azure-cloud-security-review

分类: 测试与安全 | 上传者: shyamagu-ms | 下载: 0 | 版本: v1.0（最新）

评估 Azure 上部署的资源的安全配置，并验证是否符合 Azure 安全基准 v3 和 CIS 基准。查看 IAM、网络安全、数据加密、Defender for Cloud、日志监控和 Azure 策略。与“Azure 安全审核”、“云安全审核”、“Azure 审核”、“IAM 审核”、“NSG 审核”等关键字一起使用 --- # Azure 云安全审核 ## 目的评估 Azure 上部署的资源的安全配置，并验证是否符合 Azure 安全基准 v3 和 CIS 基准。 ## 前提条件 - Azure CLI 已安装并登录到目标订阅 - 对目标资源组具有读取权限（Reader 或更高） ## 工作说明 1. **了解整个 Azure 环境** - 使用以下命令检查资源的整体情况：````bash # 订阅列表 az account list --output table # 资源组列表 az group list --output table # 资源列表 az resources list --resource-group <rg-name> --output table ``` 2. **验证 IAM（身份和访问管理）** - 检查以下各项：````bash # 检查角色分配 az 角色分配列表 --all --output table # 检查自定义角色 az 角色定义列表 --custom-role-only true --output table ```` - 验证项目： - 是否使用托管身份？ - 服务主体是否使用证书身份验证而不是密码身份验证？ - 是否适用最小权限原则（授予最小所有者权限）？ - 来宾用户访问是否受到适当限制？ - 是否启用了特权身份管理 (PIM)？ 3. **验证网络安全** - 检查： ```bash # 检查 NSG 规则 az network nsg list --output table az network nsg Rule list --nsg-name <nsg-name> --resource-group <rg-name> --output table # 检查公共 IP az network public-ip list --output table # 检查 VNet 配置 az network vnet list --output table ``` - 验证项： - 是否有任何不必要的入站规则（来自 SSH/RDP 的规则） 0.0.0.0/0) - 是否使用专用端点？ - 是否应用WAF（Web应用程序防火墙）？ - 是否启用了 DDoS 防护？ 4. **验证数据保护/加密** - 检查：````bash # 检查 Key Vault az keyvault list --output table az keyvault show --name <vault-name> # 检查存储帐户 az storage account list --output table az storage account show --name <account-name> --query "{httpsOnly:enableHttpsTrafficOnly,minimumTlsVersion:minimumTlsVersion,publicAccess:allowBlobPublicAccess}" ```` - 验证项目： - 存储帐户的公共访问是否被禁用？ - 是否强制仅使用 HTTPS 通信？ - TLS 1.2 或更高版本是否设置为最低版本？ - 机密是否在 Key Vault 中进行管理？ - 关键 Vault 软删除和擦除保护是否已启用？ 5. **米

更新日志: Source: GitHub https://github.com/shyamagu-ms/ai-scrum

目录结构

当前层级: tree/main/.github/skills/azure-cloud-security-review/

📄 SKILL.md 5.6 KB

SKILL.md

---
name: azure-cloud-security-review
description: >
  Azure上にデプロイされたリソースのセキュリティ構成を評価し、Azure Security Benchmark v3およびCIS Benchmarksに準拠しているかを検証する。
  IAM、ネットワークセキュリティ、データ暗号化、Defender for Cloud、ログ監視、Azure Policyを確認する。
  「Azureのセキュリティ監査」「クラウドセキュリティ監査」「Azure監査」「IAM監査」「NSG監査」等のキーワードで使用する。
---

# Azureクラウド セキュリティレビュー

## 目的

Azure上にデプロイされたリソースのセキュリティ構成を評価し、Azure Security Benchmark v3およびCIS Benchmarksに準拠しているかを検証する。

## 前提条件

- Azure CLIがインストールされ、対象サブスクリプションにログイン済みであること
- 対象リソースグループへの読み取り権限（Reader以上）を持っていること

## 作業指示

1. **Azure環境の全体把握を行う**
   - 以下のコマンドでリソースの全体像を確認する：
     ```bash
     # サブスクリプション一覧
     az account list --output table

     # リソースグループ一覧
     az group list --output table

     # リソース一覧
     az resource list --resource-group <rg-name> --output table
     ```

2. **IAM（Identity and Access Management）を検証する**
   - 以下を確認する：
     ```bash
     # ロール割り当ての確認
     az role assignment list --all --output table

     # カスタムロールの確認
     az role definition list --custom-role-only true --output table
     ```
   - 検証項目：
     - マネージドID（Managed Identity）が使用されているか
     - サービスプリンシパルにパスワード認証ではなく証明書認証が使用されているか
     - 最小権限の原則が適用されているか（Owner権限の付与が最小限か）
     - ゲストユーザのアクセスが適切に制限されているか
     - Privileged Identity Management（PIM）が有効化されているか

3. **ネットワークセキュリティを検証する**
   - 以下を確認する：
     ```bash
     # NSGルールの確認
     az network nsg list --output table
     az network nsg rule list --nsg-name <nsg-name> --resource-group <rg-name> --output table

     # パブリックIPの確認
     az network public-ip list --output table

     # VNet構成の確認
     az network vnet list --output table
     ```
   - 検証項目：
     - 不要なインバウンドルール（0.0.0.0/0からのSSH/RDP）がないか
     - プライベートエンドポイントが使用されているか
     - WAF（Web Application Firewall）が適用されているか
     - DDoS Protection が有効化されているか

4. **データ保護・暗号化を検証する**
   - 以下を確認する：
     ```bash
     # Key Vaultの確認
     az keyvault list --output table
     az keyvault show --name <vault-name>

     # ストレージアカウントの確認
     az storage account list --output table
     az storage account show --name <account-name> --query "{httpsOnly:enableHttpsTrafficOnly,minimumTlsVersion:minimumTlsVersion,publicAccess:allowBlobPublicAccess}"
     ```
   - 検証項目：
     - ストレージアカウントのパブリックアクセスが無効化されているか
     - HTTPSのみの通信が強制されているか
     - TLS 1.2以上が最小バージョンとして設定されているか
     - Key Vaultでシークレットが管理されているか
     - Key Vaultのソフト削除と消去保護が有効化されているか

5. **Microsoft Defender for Cloudの状態を確認する**
   - 以下を確認する：
     ```bash
     # セキュリティ評価の確認
     az security assessment list --output table

     # セキュアスコアの確認
     az security secure-score-control list --output table

     # 規制コンプライアンスの確認
     az security regulatory-compliance-standards list --output table
     ```
   - 検証項目：
     - Defender for Cloudが全サブスクリプションで有効化されているか
     - セキュアスコアが70%以上であるか
     - Critical/Highの推奨事項に未対応のものがないか

6. **ログ・監視・アラートの設定を検証する**
   - 以下を確認する：
     ```bash
     # 診断設定の確認
     az monitor diagnostic-settings list --resource <resource-id> --output table

     # Log Analytics ワークスペースの確認
     az monitor log-analytics workspace list --output table

     # アクティビティログアラートの確認
     az monitor activity-log alert list --output table
     ```
   - 検証項目：
     - 主要リソースの診断ログが有効化されているか
     - Log Analyticsワークスペースにログが集約されているか
     - セキュリティイベントに対するアラートが設定されているか
     - ログの保持期間が適切に設定されているか（最低90日推奨）

7. **Azure Policyによるガバナンスを確認する**
   - 以下を確認する：
     ```bash
     # ポリシー割り当ての確認
     az policy assignment list --output table

     # ポリシーコンプライアンス状態の確認
     az policy state summarize --output table
     ```
   - 検証項目：
     - セキュリティ関連のポリシーが割り当てられているか
     - 非準拠リソースの数と内容を確認し、改善を提案する

登录后下载/点赞/收藏 ❤ 12 | ★ 0

azure-cloud-security-review

目录结构

SKILL.md

举报内容

提示