Azure Local 23H2 では セキュリティ機能 として、セキュリティベースラインとドリフト制御というセキュリティ機能が追加されました。
この機能の理解度が低かったので情報をまとめておきたいと思います。
Azure Local 23H2 以降のセキュリティについては次のドキュメントも一読しておくとよいかと。
セキュリティベースライン
Azure Local 23H2 を新規に展開した環境ではセキュリティベースラインが適用された状態でノードが構成されています。
セキュリティベースラインの設定については こちら から確認することができます。
上記の GitHub の CSV の他に セキュリティ ベースラインを適用する に記載されている次のコマンドを使用してもセキュリティベースラインの設定を確認することができます。
- Get-ASOSConfigSecuredCoreDoc
- Get-ASOSConfigSecuritySettingsDoc
コマンドの実行結果としては次のようになります。
セキュリティベースラインとして、「SecuredCore」「ASHCIApplianceSecurityBaselineConfig」という二つのセキュリティベース林のドキュメントが適用されるように設定されています。
各設定の内容については、上述の GitHubで公開されている内容 か一部の設定については 構成サービス プロバイダー の情報から確認することができます。
Azure Local はセキュリティベースラインにより、一定のセキュリティを満たす設定が行われた環境となっています。
この「一定のセキュリティ」には Microsoft Cloud Security Benchmark (MCSB) が使用されており、Windows セキュリティベースライン の大半を満たすことができる設定になっているという理解です。
アップグレード環境の考慮点
23H2 以降を新規に展開した環境であれば、既定の設定で展開してれば、セキュリティベースラインが適用されている状態になるはずですが、22H2 からアップグレードした環境については、セキュリティベースラインが適用されていない状態となっています。
これは Azure Local をアップグレードした後のセキュリティの管理 に記載されています。
22H2 空のアップグレード環境については手動でセキュリティベースラインの適用を検討する必要があるかと。
ドリフト制御
Azure Local にはドリフト制御という機能があります。この機能については セキュリティのデフォルト設定 に記載されています。
ドリフト制御を適用すると、セキュリティ設定は 90 分ごとに更新されます。 この更新間隔により、必要な状態からの変更が確実に修復されます。 継続的な監視と自動修復により、デバイスのライフサイクル全体にわたって一貫した信頼性の高いセキュリティ体制が実現します。
ドリフト制御はセキュリティの設定を一定に保つための機能となり、セキュリティベースラインの設定を 90 分ごとに確認して設定に準拠していない場合には、自動的に適用する機能となります。
セキュリティベースラインの設定の一部については、ドリフト制御を調整 することができるようになっており、Disable-AzsSecurity で指定可能な FeatureName の設定で、ドリフト制御がサポートされている設定については、設定を手動で変更しても強制的な準拠の対象外とすることができます。
これによりセキュリティベースラインによるセキュリティの既定の設定とは異なる設定が挙動できるようになります。
ドリフト制御の対象外とすることができる設定は多くはなく、展開後の環境で制御可能な内容については デプロイ後にセキュリティ設定を変更する で許可されている設定のみとなるようです。