ビュー:

Cloud Risk Managementに関するよくあるサポート質問への回答を取得します。

関連情報

Cloud Risk Management FAQs

GCPとAzureのエージェントレスによる脆弱性と脅威の検出に関連するルールの失敗をどのように管理しますか?

GCPとAzure向けのエージェントレスによる脆弱性と脅威の検出 (AVTD) 機能は、クラウド構成のベストプラクティスを満たすために、セキュリティとパフォーマンスを含む徹底的なテストが行われました。以下のルールの結果はTrendAI™チームによってレビューされ、安全に無視することができます。

Azureエージェントレスによる脆弱性と脅威の検出のルール検出結果

  1. AppService-013 自動バックアップの有効化: App Serviceはステートレスであり、データを保存しません。障害が発生した場合、Terraformを使用して完全に再作成および再展開できるため、バックアップは必要ありません。
  2. Functions-002 Azure Functionsの仮想ネットワーク統合を有効化: Function Appsは、最小特権の役割ベースのアクセス制御、マネージドID、および暗号化された接続によって既に保護されているため、VNet統合は必要ありません
  3. VirtualMachines-043 仮想マシンディスクへのパブリックネットワークアクセスを無効化: 複数のサービスがディスクにアクセスするため、VMディスクはパブリックネットワークアクセスを許可しています。ネットワークおよびサービスレベルの制御が行われており、露出を制限しています。
  4. Function-006公開Azure Functions: Function Appsは、関数間通信の安定性を維持するために公開されています。関数にアクセスするために役割が必要です。
  5. VirtualMachines-008 ディスクボリューム暗号化にBYOKを使用: AVTDによって起動されたスキャナーVMは短期間のみ存在し、検索の期間中のみ存在するため、BYOKディスク暗号化は必要ありません。
  6. VirtualMachines-013 Azure仮想マシンのバックアップを有効にする: AVTDによって起動されたスキャナーVMは短期間しか存在せず、検索の期間のみ存在するため、バックアップは必要ありません。
  7. VirtualMachines-021 仮想マシンのジャストインタイムアクセスを有効化: スキャナーVMはディスクスキャンのみに使用されるため、ジャストインタイムアクセスは必要ありません。
  8. VirtualMachine-039ブートディスクのサーバサイド暗号化にCMKを使用: 検索VMは検索の期間中のみ存在する短期間の一時的なインスタンスであり、そのブートディスクには機密データが保存されません。したがって、CMKベースのサーバサイド暗号化は必要ありません。
  9. VirtualMachine-007 SSH認証タイプの確認: スキャナーVMはSSHアクセスを許可しておらず、SSHキーは必要ありません。
  10. StorageAccounts-018 カスタマー管理型のキーを使用したストレージアカウントの暗号化: ストレージアカウントには機密データが含まれておらず、すでにMicrosoft管理型のキーで暗号化されているため、カスタマー管理型のキーは必要ありません。
  11. StorageAccounts-023 プライベートエンドポイント使用中: ストレージアカウントには機密データが含まれておらず、RBAC、マネージドID、暗号化アクセスで既に保護されているため、プライベートエンドポイントは必要ありません。
  12. StorageAccounts-024 インフラストラクチャ暗号化を有効化: ストレージアカウントは機密データを保存しておらず、すでにMicrosoft管理キーによるAzureのデフォルトサーバー側暗号化で保護されているため、インフラストラクチャレベルの暗号化は必要ありません。
  13. StorageAccounts-029 ストレージアカウントへのパブリックネットワークアクセスを無効化: 複数のサービスがアクセスを必要とするため、このストレージアカウントへのパブリックネットワークアクセスが有効になっています。データの安全性を確保するために、アクセスキーやその他のセキュリティコントロールが設定されています。
  14. KeyVault-001 Key Vaultの復旧機能を有効化: AVTDが作成したKey Vaultは即座に削除する必要があり、復旧の必要はありません。
  15. KeyVault-018 Key Vaultにプライベートエンドポイントを使用する: Key Vaultのプライベートエンドポイントは適用されません。Key VaultはVNet統合を必要とせずに安全にアクセスされます。
  16. AppService-005 Azureアプリが最新バージョンのHTTPを使用していることを確認: AVTD Function Appは、HTTP/2が必要ない軽量なリクエストを処理します。

Google Cloud (GCP) エージェントレスによる脆弱性と脅威の検出のルール検出結果

  1. CloudRun-005: 無制限のアウトバウンドネットワークアクセスの確認: AVTD Cloud Runスキャナーサービスが正常に機能するためには無制限のイグレスが必要ですが、関連するリスクは厳格なIAM制御、隔離、認証されたアクセス、一時的なワークロード、包括的な監視によって軽減されます。
  2. CloudRun-008: サービスの暗号化にCustomer-Managed Encryption Keysを使用する: AVTD Cloud Run機能はデフォルトでGoogle管理のキーを使用して暗号化されており、高度な機密データを処理しないため、追加の暗号化制御は不要です。
  3. CloudStorage-006: 顧客管理キーによるオブジェクト暗号化を有効にする: AVTDバケットはデフォルトでGoogle管理キーを使用して暗号化されており、高度な機密データを保存しないため、追加のCMEK制御は不要です。
  4. CloudStorage-005: バケットウェブサイト構成のためのインデックスページサフィックスとエラーページを定義する: クラウドストレージは、ウェブサイト構成が適用されないウェブサイトホスティングを目的としていません。
  5. SecretManager-004: Secret Managerのシークレット暗号化にCustomer-Managed Encryption Keysを使用: AVTDリソースはデフォルトキーで安全に暗号化されているため、Customer-Managed Encryption Keysを使用した追加の暗号化は必要ありません。
  6. CloudRun-001: コンテナインスタンスの最小数を確認: AVTDではコスト効率が優先されており、わずかなコールドスタートの遅延は許容されます。インスタンスを継続的に稼働させることは、意味のあるパフォーマンスの利益がないまま不必要なコストを生むことになります。
  7. CloudRun-004: Cloud RunサービスのエンドツーエンドHTTP/2を有効にする: AVTD Cloud Runサービスは、HTTP/2を必要としない軽量なリクエストを処理します。
  8. CloudRun-006: バイナリ認証を有効にする: 既存のIAM、サービスアカウント制御、プライベートレジストリの制限、ネットワークセキュリティにより、信頼できるコンテナのみがデプロイされることがすでに保証されているため、バイナリ認証は必要ありません。
  9. CloudVPC-006: すべてのVPCネットワークでCloud DNSログ記録が有効になっていることを確認してください: AVTDはGoogleネットワークを安全に展開します。監視にはCloud DNSログ記録は必要ありません。
  10. CloudVPC-003: VPC Subnetsに対してVPC Flow Logsを有効にする: AVTDはVPC Subnetsネットワークを安全に展開します。監視にはVPC Flow Logsは必要ありません。
  11. CloudStorage-009: 使用状況とストレージログを有効にする: AVTDアクセスログバケットは、リソースバケットからのログを保存するための専用バケットです。
  12. CloudLogging-010: バケットロックを使用した保持ポリシーの設定: AVTDはログシンクバケットの保持ポリシーを設定します。ポリシーを調整する柔軟性を持たせるために、バケットロック機能を強制しません。
  13. CloudStorage-003: バケットロックを使用して保持ポリシーを構成する: AVTDはクラウドストレージの保持ポリシーを設定します。ポリシーを柔軟に調整できるようにバケットロック機能を強制しません。
  14. SecretManager-002: シークレットバージョンの破棄遅延を有効にする: シークレットは破棄時に即座に削除される必要があるため、遅延破棄ポリシーは不要です。
  15. SecretManager-003: シークレットマネージャーのシークレットに対するローテーションスケジュールを有効化: AVTDには組み込みのシークレットローテーションメカニズムが含まれています。

エージェントレスの脆弱性および脅威の検出に関連する可能性のあるルールの失敗は何ですか?

新しい[ガイド付き除外]機能は、デフォルトで自動的に有効化され、AVTDリソースを除外し、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、設定の管理をご覧ください。
除外されたリソースに対する潜在的なルールの発見
次の潜在的なルールの発見は、TrendAI™チームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は該当せず、安全に無視できます。
新しいガイド付き除外機能は、デフォルトで自動的に有効化され、AVTDリソースを除外し、クラウドアカウントのコンプライアンスとリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、設定の管理を参照してください。
除外されたリソースに対する潜在的なルールの発見
次の潜在的なルールの発見は、TrendAI™チームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は該当せず、安全に無視できます。
  1. Lambda-009: 環境変数の暗号化をカスタマー管理型のキーで有効化: AVTDリソースはデフォルトのキーで安全に暗号化されています。さらに、環境変数には秘密情報が含まれていないため、カスタマー管理型のキーを使用した追加の暗号化は必要ありません。
  2. SecretsManager-001: KMSカスタマーマスターキーで暗号化されたシークレット: AVTDリソースはデフォルトキーで安全に暗号化されているため、顧客管理キーを使用した追加の暗号化は必要ありません。
  3. Lambda-001: 最新のランタイム環境を使用するLambda: AVTDは、すべてのLambdaがサポートされているランタイム環境を使用し、サポート終了日がないことを保証します。すべてのサポートされているランタイム環境は、AWSから頻繁にセキュリティ更新を受け取ります。
  4. Lambda-003: Lambdaトレースが有効: AVTDはこの機能をリリース前に徹底的にテストするため、トレースの有効化によるこの追加の可視性は必要ありません。
  5. SecretsManager-002:シークレットローテーションが有効 AVTDはAWSが提供するものではなく独自のシークレット機能を使用しているため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
  6. SecretsManager-003: シークレットローテーション間隔 AVTDはAWSが提供するものではなく独自のシークレット機能を使用しているため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
  7. S3-024: S3 Transfer Acceleration: AVTD機能は転送加速機能を使用しません。
  8. Lambda-006: 複数のLambda FunctionでIAMロールを使用する: AVTDは「permission planes」と呼ばれる戦略を採用しており、同一の権限を必要とするLambda Functionが単一のIAMロールを使用します。これにより、複数のリージョンへのデプロイ時に効率性と管理性が確保され、例えば顧客のクラウドアカウントで使用されるIAMロールの数が削減されます
  9. Lambda-007:AWS Lambda関数のVPCアクセス: AVTDは、VPCの実装が必要となる可能性のあるRedshift、ElastiCache、RDSのようなリソースを利用しません。
  10. CFM-001: CloudFormationスタック通知: AVTD CloudFormationスタックは、AWSではなくV1 CAMを通じて既に管理されています。
  11. CFM-002: CloudFormationスタックポリシー: AVTD CloudFormationスタックはすでにAWSではなくV1 CAMによって管理されています。
  12. CFM-005:CloudFormationスタック終了保護: 環境内のスタックを管理するために、AVTDはユーザがスタックを無効化し、アカウントから削除することを許可しています
  13. S3-025: S3 Bucketsが顧客提供のキーCMKsで暗号化されています: AVTDはすでにS3管理キーで暗号化されています。
  14. SQS-006:SQSデッドレターキュー: AVTDは、適用可能な場合にいくつかのSQSリソースでデッドレターキュー (DLQ) を実装しています。
  15. S3-013: S3 Bucket多要素認証削除が有効: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤削除防止のための多要素認証削除を有効にする必要はありません
  16. S3-023: オブジェクトロック: AVTD S3に保存されたオブジェクトは比較的短命であるため、誤削除防止のためのオブジェクトロックは必要ありません。

パフォーマンスのトラブルシューティング 親トピック

パフォーマンス問題のトラブルシューティングオプション
問題
Resolution or Cause
コンプライアンス検索が原因でトレンドマイクロアカウントがレート制限に達しました
コンプライアンス検索の実行間の遅延を増やしてパフォーマンスの問題を管理する
APIスロットリング
Cloud Risk Managementはプラットフォームを最適化し、不要なAPI呼び出しを回避しました。パフォーマンス最適化の例:1. Cloud Risk ManagementがS3 bucketリストのためにAWS APIを呼び出す際、ボットは繰り返し呼び出しを行わず、変更のみを確認します。2. Cloud Risk Managementは部分的なインベントリをサポートします。つまり、AWSからのリソースの部分リストを使用することで、システムは部分的な呼び出しに対応可能です。例: S3 bucketリスト - セカンダリIP呼び出し - ボットが2回目のAPI呼び出しに失敗しても、ルールエンジンは機能します。3. 指数バックオフAPIのサポート。
他の問題が発生した場合は、Cloud Risk Managementサポートを通じて当社のチームにお知らせください。