出典:BigTunaOnline via Shutterstock
先月、MicrosoftはAzure仮想ネットワークに対する計画されていた変更の実施を延期しました。この変更は、準備ができていない企業のクラウドインフラを破壊する可能性があります。専門家は、クラウド運用チームに対し、切り替えの計画に時間をかけるよう強く促しています。
1年前、Microsoftは発表し、仮想マシンのデフォルト設定を、パブリックなアウトバウンドアクセスから、締切日以降に作成される仮想ネットワークではプライベートサブネット利用へと変更する予定であるとしました。当初、この変更は9月30日に実施される予定でしたが、顧客からのフィードバックを受けて2026年3月に延期されました。
この変更は、デフォルトネットワークを利用するクラウドワークロードのセキュリティ向上には理にかなっていますが、デフォルトの挙動に依存しているアプリケーションを破壊する可能性があると、セキュアクラウドネットワークプロバイダーであるCato NetworksのグローバルフィールドCTO、Brian Anderson氏は述べています。
「この影響により、アプリケーションの動作に意図しない、あるいは予期しない変更が生じる可能性があります」と彼は述べ、さらに「以前はインターネットにアクセスできていた新しいネットワークが、今はできなくなることで、私が構築し、特定の動作を期待していたワークロードが動かなくなるかもしれません」と付け加えています。
この変更は、MicrosoftがAzureクラウドインフラの潜在的な脆弱性を特定し、クラウド全体でゼロトラストアーキテクチャを推進する取り組みの一環です。Secure Future Initiativeの一部として、Microsoftは6つのエンジニアリング「柱」と28のセキュリティ関連目標に注力しています。「テナントの保護と本番システムの分離」という柱では、セキュリティリスクとなるレガシーシステムの排除、アクセスに使用されるデバイスの保護、すべてのテナントとそのリソースの保護を目指しており、これらはプライベートサブネットの強制と関連していると考えられます。
攻撃時、脅威アクターは一般的にいくつかの共通したステップ、すなわち統一されたキルチェーンをたどります。これは侵入から始まり、ネットワークやクラウドリソース内でのラテラルムーブメント、権限の昇格、そして最終的な情報の持ち出しへと進みますと、Benson George氏は述べています。
「その情報持ち出しの段階で[アウトバウンドアクセス]が本当に重要になってきます。Azureはこれが大きなリスクであり、対策が必要だと認識したのです」と彼は述べています。「実際、多くのセキュリティ脅威がこのアウトバウンドアクセスを利用しています。」
VM向けのより良いセキュリティ
新たな3月の締切日以降、Azureで新しい仮想ネットワークとともに新しい仮想マシンを作成するクラウドユーザーは、そのネットワークが自動的にインターネットへ接続しないことに気付くでしょう。代わりに、エンジニアは明示的にアウトバウンドデバイスやリソースへの接続を設定する必要があります。
Microsoftは、この変更が既存の仮想ネットワークやそれらのネットワーク内の仮想マシンには影響しないこと、またプライベートサブネットの挙動を望まない顧客も従来の挙動を維持するよう仮想ネットワークを設定できることを強調しています。
「デフォルトのパブリックネットワークはVMをインターネットに晒し、ゼロトラストの原則に反し、セキュリティリスクを高めます」とMicrosoftの広報担当者はDark Readingの質問に対し述べました。「プライベートネットワークをデフォルトにすることで、アウトバウンドアクセスが明示的に設定されるようになり、意図しない露出や顧客が管理・所有していない一時的なシステム割り当てIPへの依存リスクを減らします。」
この変更は、外部アクターによるワークロードへのアクセスをブロックすることが目的ではなく、十分なセキュリティコントロールなしにワークロードがインターネットへアクセスすることを防ぐためのものだと、Cato NetworksのAnderson氏は述べています。
「これは、ワークロードがインターネットへアクセスする際の話であり、新しい変更がなければインターネットへの経路はありません」と彼は述べています。「従来は、Azure内のネットワークやその上で動作するものは、デフォルトでインターネットへアクセスできていました。」
Infrastructure as Code(IaC)
既存インフラで問題を発見し、緩和するのは必ずしも簡単ではありません。これに類似した、関連する「Basic Load Balancer」からの移行でも、多くの企業で大きな問題が発生しました。インターネットへのデフォルトアクセスがない場合、適切なトラフィックを許可するためのルールを把握する必要があるためです。Redditのスレッドによると。
Microsoftは、デフォルトのアウトバウンドインターネットアクセスを利用しているAzureリソースを特定する2つの方法を状況に応じて案内しています。同社は、ネットワークアクセス方法をAzure Firewall、ネットワーク仮想アプライアンス(NVA)、NATゲートウェイ、特定のアウトバウンドルールを持つPublic Standard Load Balancer、またはHTTPトラフィックの場合は集中型HTTPプロキシでリクエストを転送する方法に変更することを推奨しています。(MicrosoftはBasic Load Balancerが2025年9月30日に廃止されることを明記しています。)
「プライベートサブネットを活用したいAzure顧客は、仮想マシンが明示的なアウトバウンド方法を持つサブネット内にあることを確認する必要があります」とMicrosoftの広報担当者は述べています。
設定ファイルを通じた構成を含むアジャイルなデプロイプロセス、つまりInfrastructure as Code(IaC)のようなアプローチを用いることで、移行はよりスムーズかつ容易に管理できるとCato NetworksのAnderson氏は述べています。
「顧客がInfrastructure as Codeに基づくプロセスを持っていれば、環境全体のネットワーク設定を体系的に変更するのも簡単です」と彼は述べています。「Infrastructure as Codeを使えば、クラウドリソースの管理や緩和が容易になり、すべての設定変更をモジュール化・体系化して行うことができます。」
翻訳元: https://www.darkreading.com/cloud-security/microsoft-security-change-azure-vms-creates-pitfalls
