Cloud OptixにAzureアカウントを追加する
Sophos Cloud Optixをご紹介します。Cloud Optixはパブリッククラウドを対象にしたエージェントレスのSaaS型サービスです。クラウド環境の可視化をできるほか、設定がコンプライアンスに沿っているか確認できます。今回はAzureアカウントをCloud Optixに追加する方法を紹介します。
AzureアカウントをCloud Optixに追加する
Cloud OptixのEnvironmentsから、環境を追加します。Add your cloud environmentからAzureを選ぶと、スクリプトをダウンロードし実行する手順が表示されます。
スクリプトをAzure Cloud Shellで実行します。
スクリプトの実行時にSophos Appの追加とサブスクリプションの許可に関するオプションがありました。どちらも有効("y")にしました。
You have sophos app in your AD. Do you want to onboard subscriptions. Answer "N" if you do not have Owner permissions in any of the subscription and look for next steps at end of script, otherwise press "Y"? [Y] Yes [N] No [?] Help (default is "Y"): y 0 going to onboard subscriptions Do you want to allow read for all subscriptions ? [Y] Yes [N] No [?] Help (default is "Y"): y
スクリプトが完了すると、URLが表示されるのでブラウザで開きます。
EnvironmentsにAzureアカウントが表示されれば成功です。
パブリックなBLOBコンテナを検知、修正する
テストのために、Storage ExplorerでパブリックなBLOBコンテナを作成しました。
環境のスキャンが行われると、アラート「Ensure that 'Public access level' is set to Private for blob containers」が発生しました。Remediationに対応方法が表示されています。パブリック設定が意図どおりの場合、ベルのマークを選択して抑制します。抑制するとアラートの一覧から削除されます。
Remediationに記載の対応を行います。Azureのストレージアカウントから、BLOB SERVICEを選択し、アクセスレベルをプライベートにしました。こちらの対応を行った上で再度スキャンすると、アラートは消えました。
おわりに
Cloud OptixにAzureアカウントを追加し、パブリックなバケットをアラート検知できることを確認しました。