ケーススタディ1 - Fabrikam, Inc
概要
Fabrikam, Inc. は、ニューヨークに本社、パリに支店を持つ保険会社です。
既存の環境
オンプレミス環境
オンプレミス ネットワークには、corp.fabrikam.com という名前の単一の Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
Azure環境
Fabrikam には次の Azure リソースがあります。
- corp.fabrikam.com と同期する fabrikam.onmicrosoft.com という名前の Microsoft Entra テナント
- Sub1 という名前の単一の Azure サブスクリプション
- 米国東部 Azure リージョンの Vnet1 という仮想ネットワーク
- 西ヨーロッパの Azure リージョンにある Vnet2 という仮想ネットワーク
- Azure Web アプリケーション ファイアウォール (WAF) が有効になっている FD1 という名前の Azure Front Door インスタンス
- Microsoft Sentinel ワークスペース
- ClaimDetails というテーブルを含む ClaimsDB という Azure SQL データベース
- アプリケーション サーバーとして構成され、Microsoft Defender for Cloud にオンボードされていない仮想マシン 20 台
- テスト目的のみに使用される TestRG という名前のリソース グループ
- 個人に割り当てられたセッションホストを含む Azure Virtual Desktop ホストプール
- Sub1 のすべてのリソースは、米国東部または西ヨーロッパのいずれかのリージョンにあります。
パートナー
Fabrikamは、アプリケーション開発をContoso, Ltd.という会社と契約しています。Contosoは以下のインフラストラクチャを保有しています。
- contoso.onmicrosoft.com という名前の Microsoft Entra
- ContosoAWS1 という名前の Amazon Web Services (AWS) 実装。これには、Contoso の Fabrikam 開発者のアプリケーションのテスト ワークロードをホストするために使用される AWS EC2 インスタンスが含まれており、アプリケーションをテストまたは更新するために Fabrikam のリソースに接続します。
開発者は、fabrikam.onmicrosoft.com 内の Contoso Developers というセキュリティ グループに追加され、Sub1 のロールに割り当てられます。ContosoDevelopers グループには、ClaimsDB データベースの db.owner ロールが割り当てられます。
コンプライアンスイベント
Fabrikam は次のコンプライアンス環境を展開しています。
- Defender for Cloud は、Sub1 内のすべてのリソースが HIPAA HITRUST 標準に準拠しているかどうかを評価するように構成されています。
- 現在、HIPAA HITRUST 標準に準拠していないリソースは手動で修復されます。
- Qualys は、サーバーの標準的な脆弱性評価ツールとして使用されます。
問題ステートメント
Defender for Cloud のセキュリティスコアは、すべての仮想マシンが以下の推奨事項を生成していることを示しています。マシンには脆弱性評価ソリューションが必要です。すべての仮想マシンは Defender for Cloud に準拠している必要があります。
ClaimAppの展開
Fabrikamは、ClaimsAppというインターネットアクセス可能なアプリケーションを実装する予定です。その仕様は次のとおりです。
- ClaimsApp は、Vnet1 および Vnet2 に接続する Azure App Service インスタンスにデプロイされます。
- ユーザーは、https://claims.fabrikam.com の URL を使用して ClaimsApp に接続します。
- ClaimsApp は ClaimsDB 内のデータにアクセスします。
- ClaimsDB は、Azure 仮想ネットワークからのみアクセスできる必要があります。
- ClaimsApp のアプリ サービス権限を ClaimsDB に割り当てる必要があります。
アプリケーション開発要件
Fabrikam は、アプリケーション開発に次のような要件があると考えています。
- Azure DevTest ラボは開発者がテストに使用します。
- すべてのアプリケーション コードは GitHub Enterprise に保存する必要があります。
- アプリケーションのデプロイを管理するために Azure Pipelines が使用されます。
- すべてのアプリケーションコードの変更は、セキュリティ脆弱性がないかスキャンする必要があります。これには、平文で機密情報を含むアプリケーションコードや設定ファイルも含まれます。スキャンは、コードをリポジトリにプッシュする時点で実施する必要があります。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
- インターネットにアクセス可能なアプリケーションは、北朝鮮からの接続を防ぐ必要があります。
- InfraSec というグループのメンバーのみが、ネットワーク セキュリティ グループ (NSG) と、Sub1 の Azure Firewall、VJM、および Front Door のインスタンスを構成できるようにする必要があります。
- 管理者は、仮想マシンのリモート管理を実行するために、セキュアホストに接続する必要があります。セキュアホストは、カスタムオペレーティングシステムイメージからプロビジョニングする必要があります。
AWS 要件
Fabrikam は、ContosoAWSV でホストされるデータに対して次のセキュリティ要件を特定しています。
- AWS EC2 インスタンスがセキュア スコアの推奨事項に準拠していない場合は、Fabrikam のセキュリティ管理者に通知します。
- セキュリティ管理者が Azure 環境から AWS サービス ログを直接クエリできることを確認します。
Contoso 開発者の要件
Fabrikam は、Contoso 開発者に対して次の要件を特定しています。
- 毎月、ContosoDevelopers グループのメンバーシップを検証する必要があります。
- Contoso の開発者は、Sub1 のリソースにアクセスするために、既存の contoso.onmicrosoft.com 資格情報を使用する必要があります。
- Comoro の開発者が ClaimDetails テーブルの MedicalHistory という列のデータを表示できないようにする必要があります。
コンプライアンス要件
Fabrikam は、Sub1 の仮想マシンを HIPPA HITRUST 標準に準拠させるため、自動的に修復したいと考えています。TestRG の仮想マシンはコンプライアンス評価から除外する必要があります。
アプリケーションコードをスキャンするためのソリューションを推奨する必要があります。ソリューションは、アプリケーション開発要件を満たす必要があります。
推薦書には何を含めるべきでしょうか?
概要
Fabrikam, Inc. は、ニューヨークに本社、パリに支店を持つ保険会社です。
既存の環境
オンプレミス環境
オンプレミス ネットワークには、corp.fabrikam.com という名前の単一の Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
Azure環境
Fabrikam には次の Azure リソースがあります。
- corp.fabrikam.com と同期する fabrikam.onmicrosoft.com という名前の Microsoft Entra テナント
- Sub1 という名前の単一の Azure サブスクリプション
- 米国東部 Azure リージョンの Vnet1 という仮想ネットワーク
- 西ヨーロッパの Azure リージョンにある Vnet2 という仮想ネットワーク
- Azure Web アプリケーション ファイアウォール (WAF) が有効になっている FD1 という名前の Azure Front Door インスタンス
- Microsoft Sentinel ワークスペース
- ClaimDetails というテーブルを含む ClaimsDB という Azure SQL データベース
- アプリケーション サーバーとして構成され、Microsoft Defender for Cloud にオンボードされていない仮想マシン 20 台
- テスト目的のみに使用される TestRG という名前のリソース グループ
- 個人に割り当てられたセッションホストを含む Azure Virtual Desktop ホストプール
- Sub1 のすべてのリソースは、米国東部または西ヨーロッパのいずれかのリージョンにあります。
パートナー
Fabrikamは、アプリケーション開発をContoso, Ltd.という会社と契約しています。Contosoは以下のインフラストラクチャを保有しています。
- contoso.onmicrosoft.com という名前の Microsoft Entra
- ContosoAWS1 という名前の Amazon Web Services (AWS) 実装。これには、Contoso の Fabrikam 開発者のアプリケーションのテスト ワークロードをホストするために使用される AWS EC2 インスタンスが含まれており、アプリケーションをテストまたは更新するために Fabrikam のリソースに接続します。
開発者は、fabrikam.onmicrosoft.com 内の Contoso Developers というセキュリティ グループに追加され、Sub1 のロールに割り当てられます。ContosoDevelopers グループには、ClaimsDB データベースの db.owner ロールが割り当てられます。
コンプライアンスイベント
Fabrikam は次のコンプライアンス環境を展開しています。
- Defender for Cloud は、Sub1 内のすべてのリソースが HIPAA HITRUST 標準に準拠しているかどうかを評価するように構成されています。
- 現在、HIPAA HITRUST 標準に準拠していないリソースは手動で修復されます。
- Qualys は、サーバーの標準的な脆弱性評価ツールとして使用されます。
問題ステートメント
Defender for Cloud のセキュリティスコアは、すべての仮想マシンが以下の推奨事項を生成していることを示しています。マシンには脆弱性評価ソリューションが必要です。すべての仮想マシンは Defender for Cloud に準拠している必要があります。
ClaimAppの展開
Fabrikamは、ClaimsAppというインターネットアクセス可能なアプリケーションを実装する予定です。その仕様は次のとおりです。
- ClaimsApp は、Vnet1 および Vnet2 に接続する Azure App Service インスタンスにデプロイされます。
- ユーザーは、https://claims.fabrikam.com の URL を使用して ClaimsApp に接続します。
- ClaimsApp は ClaimsDB 内のデータにアクセスします。
- ClaimsDB は、Azure 仮想ネットワークからのみアクセスできる必要があります。
- ClaimsApp のアプリ サービス権限を ClaimsDB に割り当てる必要があります。
アプリケーション開発要件
Fabrikam は、アプリケーション開発に次のような要件があると考えています。
- Azure DevTest ラボは開発者がテストに使用します。
- すべてのアプリケーション コードは GitHub Enterprise に保存する必要があります。
- アプリケーションのデプロイを管理するために Azure Pipelines が使用されます。
- すべてのアプリケーションコードの変更は、セキュリティ脆弱性がないかスキャンする必要があります。これには、平文で機密情報を含むアプリケーションコードや設定ファイルも含まれます。スキャンは、コードをリポジトリにプッシュする時点で実施する必要があります。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
- インターネットにアクセス可能なアプリケーションは、北朝鮮からの接続を防ぐ必要があります。
- InfraSec というグループのメンバーのみが、ネットワーク セキュリティ グループ (NSG) と、Sub1 の Azure Firewall、VJM、および Front Door のインスタンスを構成できるようにする必要があります。
- 管理者は、仮想マシンのリモート管理を実行するために、セキュアホストに接続する必要があります。セキュアホストは、カスタムオペレーティングシステムイメージからプロビジョニングする必要があります。
AWS 要件
Fabrikam は、ContosoAWSV でホストされるデータに対して次のセキュリティ要件を特定しています。
- AWS EC2 インスタンスがセキュア スコアの推奨事項に準拠していない場合は、Fabrikam のセキュリティ管理者に通知します。
- セキュリティ管理者が Azure 環境から AWS サービス ログを直接クエリできることを確認します。
Contoso 開発者の要件
Fabrikam は、Contoso 開発者に対して次の要件を特定しています。
- 毎月、ContosoDevelopers グループのメンバーシップを検証する必要があります。
- Contoso の開発者は、Sub1 のリソースにアクセスするために、既存の contoso.onmicrosoft.com 資格情報を使用する必要があります。
- Comoro の開発者が ClaimDetails テーブルの MedicalHistory という列のデータを表示できないようにする必要があります。
コンプライアンス要件
Fabrikam は、Sub1 の仮想マシンを HIPPA HITRUST 標準に準拠させるため、自動的に修復したいと考えています。TestRG の仮想マシンはコンプライアンス評価から除外する必要があります。
アプリケーションコードをスキャンするためのソリューションを推奨する必要があります。ソリューションは、アプリケーション開発要件を満たす必要があります。
推薦書には何を含めるべきでしょうか?
