次の方法で共有

Azure運用セキュリティの概要

Azure運用上のセキュリティとは、Microsoft Azure のデータ、アプリケーション、その他の資産を保護するためにユーザーが利用できるサービス、コントロール、機能のことです。 これは、Microsoft 独自のさまざまな機能を通じて得られた知識を統合化したフレームワークです。 これらの機能には、Microsoft Security Development Lifecycle (SDL)、Microsoft Security Response Center プログラム、およびサイバーセキュリティ上の脅威に関する高度なノウハウが含まれています。

Azure管理サービス

IT 運用チームは、データセンター インフラストラクチャ、アプリケーション、データの管理を担当します。これには、こうしたシステムの安定性とセキュリティが含まれます。 ただし、多くの場合、複雑さを増す IT 環境のセキュリティを組織が把握するには、複数のセキュリティおよび管理システムのデータをまとめる必要があります。

Microsoft Azure Monitor ログ は、オンプレミスおよびクラウド インフラストラクチャの管理と保護に役立つクラウドベースの IT 管理ソリューションです。 そのコア機能は、Azureで実行される次のサービスによって提供されます。 Azureには、オンプレミスとクラウドのインフラストラクチャの管理と保護に役立つ複数のサービスが含まれています。 各サービスでは、固有の管理機能が提供されます。 お客様は、複数のサービスを組み合わせて、さまざまな管理シナリオを実現することができます。

Azure モニター

Azure Monitor は、マネージド ソースから中央データ ストアにデータを収集します。 このデータには、API によって提供されるイベント、パフォーマンス データ、またはカスタム データを含めることができます。 収集されたデータは、アラート、分析、エクスポートに使用できます。

さまざまなソースからのデータを統合し、Azure サービスのデータを既存のオンプレミス環境と組み合わせることができます。 Azureモニター ログでは、データの収集とそのデータに対して実行されたアクションが明確に分離されるため、すべてのアクションをあらゆる種類のデータで使用できます。

Automation

Azure Automation は、手動で実行時間の長い、エラーが発生しやすく、頻繁に繰り返されるタスクを自動化する方法を提供します。これは、クラウドおよびエンタープライズ環境で一般的に実行されます。 これによりお客様は、管理タスクにかかる時間を短縮すると共に、タスクの信頼性を高めることができます。 また、これらのタスクは一定の頻度で自動的に実行されるようスケジュールされます。 Runbook を使用してプロセスを自動化したり、Desired State Configurationを使用して構成管理を自動化したりできます。

Backup

Azure Backup は、Microsoft Cloud でのデータのバックアップ (または保護) と復元に使用できるAzureベースのサービスです。 Azure Backupは、既存のオンプレミスまたはオフサイトのバックアップ ソリューションを、信頼性、セキュリティ、コスト競争力のあるクラウドベースのソリューションに置き換えます。

Azure Backupには、適切なコンピューターまたはサーバー、またはクラウドにダウンロードして展開するコンポーネントが用意されています。 デプロイするコンポーネント (エージェント) は、何を保護するかによって決まります。 すべてのAzure Backupコンポーネント (オンプレミスでもクラウドでも) を使用して、AzureのAzure Recovery Services コンテナーにデータをバックアップできます。

詳細については、Azure Backup コンポーネントの表を参照してください。

Site Recovery

Azure Site Recovery は、オンプレミスの仮想マシンと物理マシンのAzureまたはセカンダリ サイトへのレプリケーションを調整することで、ビジネス継続性を提供します。 プライマリ サイトが使用できなくなった場合には、ユーザーが作業を継続できるよう、セカンダリの場所にフェールオーバーできます。 システムが復旧したら、フェールバックできます。 Microsoft Defender for Cloudを使用して、よりインテリジェントで効果的な脅威検出を実行します。

Microsoft Entra ID

Microsoft Entra ID は、次の包括的な ID サービスです。

  • クラウド サービスとしての ID とaccess管理 (IAM) を有効にします。
  • 中央アクセス管理、シングルサインオン (SSO)、およびレポート機能を提供します。
  • Salesforce、Google Apps、Box、Concur など、Azure Marketplaceのアプリケーションの統合されたaccess管理をサポートします。

Microsoft Entra IDには、以下を含む identity 管理機能の完全なスイートも含まれています。

Microsoft Entra IDでは、パートナーと顧客 (ビジネスまたはconsumer) 用に発行するすべてのアプリケーションは、同じ ID とaccess管理機能を持ちます。 これにより、運用コストを大幅に減らすことができます。

Microsoft Defender for Cloud

Microsoft Defender for Cloud は、Azure リソースのセキュリティの可視性 (および制御) を強化することで、脅威の防止、検出、対応に役立ちます。 Security Center では、各サブスクリプションに対するセキュリティ監視機能とポリシー管理機能が総合的に提供されます。 Security Center は、見つけにくい脅威の検出を支援すると共に、さまざまなセキュリティ ソリューションをまとめた広範なエコシステムとして機能します。

Safeguard 仮想マシン (VM) データをAzure 仮想マシン上で可視化し、セキュリティ設定と脅威を監視します。 Defender for Cloud では、仮想マシンの監視が可能です。

  • 推奨される構成規則を使用したオペレーティング システムセキュリティ設定。
  • 不足しているシステムのセキュリティ更新プログラムと重要な更新プログラム。
  • エンドポイント保護の推奨事項。
  • ディスク暗号化の検証。
  • ネットワークベースの攻撃。

Defender for Cloud では、Azure ロールベースのアクセス制御 (Azure RBAC)を使用します。 Azure RBAC には、Azureのユーザー、グループ、サービスに割り当てることができる組み込みロールが用意されています。

Defender for Cloud は、リソースの構成を評価して、セキュリティの問題と脆弱性を特定します。 Defender for Cloud では、リソースが属するサブスクリプションまたはリソース グループに対する所有者、共同作業者、または閲覧者のロールが割り当てられている場合にのみ、リソースに関連した情報が表示されます。

注意

Defender for Cloud でのロールと許可されるアクションの詳細については、「Microsoft Defender for Cloud の Permissions」を参照してください。

Defender for Cloud では、Microsoft Monitoring Agent が使用されます。 これは、Azure Monitor サービスが使用するのと同じエージェントです。 このエージェントから収集されたデータは、VM の位置情報を考慮して、Azure サブスクリプションまたは新しいワークスペースに関連付けられている既存の Log Analytics workspace に格納されます。

Azure モニター

クラウド アプリのパフォーマンスの問題は、ビジネスに影響を及ぼす場合があります。 複数の相互接続されたコンポーネントや頻繁なリリースにより、いつでもパフォーマンスの低下が生じる可能性があります。 さらに、アプリを開発している場合、通常、テストで見つからなかった問題はユーザーによって発見されます。 このような問題について即座に把握し、問題を診断して修正するためのツールを用意しておく必要があります。

Azure Monitor は、Azureで実行されているサービスを監視するための基本的なツールです。 サービスのスループットと周辺環境に関するインフラストラクチャ レベルのデータが示されます。 アプリをすべてAzureで管理し、リソースをスケールアップまたはスケールダウンするかどうかを決定する場合は、Azure Monitor を開始します。

またこのツールでは、監視データを使用して、アプリケーションに関する詳細なインサイトを取得することもできます。 そのような知識は、アプリケーションのパフォーマンスや保守容易性を向上させたり、手作業での介入が必要な操作を自動化したりするうえで役立ちます。

Azure モニターには、次のコンポーネントが含まれています。

Azure アクティビティ ログ

Azure アクティビティ ログ は、サブスクリプション内のリソースに対して実行された操作に関する分析情報を提供します。 アクティビティ ログではサブスクリプションのコントロール プレーン イベントが報告されるため、以前は "監査ログ" または "操作ログ" と呼ばれていました。

Azure の診断ログ

Azure診断ログはリソースによって出力され、そのリソースの操作に関する豊富で頻繁なデータを提供します。 これらのログの内容は、リソースの種類によって異なります。

Windows イベント システム ログは、VM 用診断ログの 1 カテゴリです。 BLOB ログ、テーブル ログ、キュー ログは、storage アカウントの診断ログのカテゴリです。

診断ログは、Activity Log とは異なります。 アクティビティ ログでは、サブスクリプションのリソースに対して実行された操作を調査できます。 診断ログでは、リソース自体が実行した操作を調査できます。

メトリック

Azure Monitor には、Azureでのワークロードのパフォーマンスと正常性を可視化するテレメトリが用意されています。 Azureテレメトリ データの最も重要な種類は、ほとんどのAzure リソースによって出力される metrics (パフォーマンス カウンターとも呼ばれます) です。 Azure Monitor には、監視とトラブルシューティングのためにこれらのメトリックを構成して使用するいくつかの方法が用意されています。

Azure diagnostics

Azure Diagnosticsでは、デプロイされたアプリケーションで診断データを収集できます。 さまざまなソースで診断拡張機能を使用することができます。 現在サポートされているのは、Azureクラウド サービスロール、Microsoft Windows を実行しているAzure virtual machines、および Azure Service Fabric です。

Azure Network Watcher

お客様は、仮想ネットワーク、Azure ExpressRoute、Azure Application Gateway、ロード バランサーなどの個々のネットワーク リソースを調整および構成することで、Azureでエンド ツー エンド ネットワークを構築します。 各ネットワーク リソースは監視することができます。

エンド ツー エンド ネットワークでは、構成のあり方や、リソース間での相互作用が複雑化することがあります。 その結果、Azure Network Watcher を使用したシナリオベースの監視が必要な複雑なシナリオが発生します。

Network Watcherを使用すると、Azure ネットワークの監視と診断が簡単になります。 Network Watcherの診断ツールと視覚化ツールを使用すると、次のことができます。

  • Azure仮想マシンでリモート パケット キャプチャを実行します。
  • フロー ログを使用して、ネットワーク トラフィックに関するインサイトを取得する。
  • Azure VPN Gatewayと接続を診断します。

現在、Network Watcherには次の機能があります。

  • トポロジ: リソース グループ内のネットワーク リソース間のさまざまな相互接続および関係を確認できます。
  • 可変パケット キャプチャ: 仮想マシンで送受信されるパケット データをキャプチャします。 時間やサイズの制限を設定する機能など、詳細なフィルター オプションときめ細やかなコントロールにより、多様なキャプチャを行えます。 パケット データは、.cap 形式で BLOB ストアまたはローカル ディスクに保管できます。
  • IP フロー検証: フロー情報の 5 タプル パケット パラメーター (宛先 IP、発信元 IP、宛先ポート、発信元ポート、プロトコル) に基づいてパケットが許可されたか拒否されたかを確認します。 パケットがセキュリティ グループによって拒否された場合は、そのパケットを拒否した規則とグループが返されます。
  • 次ホップ: Azure ネットワーク ファブリックでルーティングされるパケットの次ホップを決定するため、誤って構成されたユーザー定義ルートを診断できます。
  • セキュリティ グループ ビュー - VM に適用されている有効な適用セキュリティ規則を確認できます。
  • ネットワーク セキュリティ グループの NSG フロー ログ: そのグループのセキュリティ規則で許可または拒否されるトラフィックに関係するログを記録できます。 フローは 5 タプル情報 (送信元 IP、宛先 IP送信元ポート、宛先ポート、プロトコル) で定義されます。
  • 仮想ネットワーク ゲートウェイと接続のトラブルシューティング: 仮想ネットワークゲートウェイと接続のトラブルシューティングを行う機能を提供します。
  • ネットワーク サブスクリプションの制限: ネットワーク リソースの使用状況を制限と照らし合わせて確認できます。
  • 診断ログ: 1 つのウィンドウで、リソース グループ内のネットワーク リソースの診断ログを有効化または無効化することができます。

詳細については、「Configure Network Watcher」を参照してください。

クラウドサービスプロバイダーによるアクセスの透明性

Customer Lockbox for Microsoft Azure はAzure portalに統合されたサービスであり、Microsoft Support エンジニアが問題を解決するためにあなたのデータにアクセスする必要があるまれなケースで、あなたに明示的な制御権を与えます。 Microsoft Support エンジニアがこの問題を解決するために高い権限を必要とするリモートアクセスのデバッグの問題などのインスタンスはほとんどありません。 このような場合、Microsoft のエンジニアは Just-In-Time アクセス サービスを使用します。このサービスでは、サービスへのアクセスが制限され、時間制限付きの承認が提供されます。
Microsoft は常にaccessに対するお客様の同意を得ているが、カスタマー ロックボックスは、Azure portalからのそのような要求を確認および承認または拒否する機能を提供するようになりました。 Microsoftのサポートエンジニアは、要求を承認するまでアクセスが付与されません。

標準化され、かつ準拠した展開

Azure Blueprints クラウド アーキテクトと中央情報技術グループは、組織の標準、パターン、要件を実装して準拠するAzure リソースの反復可能なセットを定義できます。
これにより、DevOps チームは新しい環境を迅速に構築して立ち上げると共に、自分達が組織のコンプライアンスを維持するインフラストラクチャを使用して新しい環境を構築していることを確信することができます。 ブループリントは、次のようなさまざまなリソース テンプレートとその他のartifactsのデプロイを調整する宣言型の方法を提供します。

  • ロールの割り当て
  • ポリシーの割り当て
  • Azure Resource Manager テンプレート
  • リソース グループ

DevOps

Developer Operations (DevOps) アプリケーション開発の前に、チームはソフトウェア プログラムのビジネス要件の収集とコードの記述を担当していました。 その後、別の QA チームが、分離開発環境でプログラムをテストしていました。 QA チームは、要件が満たされていることを確認したうえで、デプロイ用の運用コードをリリースしていました。 デプロイ チームは、ネットワークやデータベースなど、さらに細かいグループに分かれていました。 そのため、分離されたチーム間でソフトウェア プログラムが引き渡されるたびに、ボトルネックが発生していました。

DevOps を導入すれば、各チームが連携し、より安全で高品質なソリューションを、より高速かつ安価に提供できるようになります。 お客様は、ソフトウェアとサービスを使用するときに、動的で信頼性の高いエクスペリエンスを期待します。 各担当チームは、ソフトウェア更新時の反復作業を迅速に実行し、更新による影響を測定する必要があります。 また、新たな開発作業にすばやく対応し、問題を解決して、より高度な価値を提供する必要があります。

Microsoft Azure などのクラウド プラットフォームは、従来のボトルネックを取り除き、インフラストラクチャのコモディティ化に役立ちました。 ソフトウェアは、ビジネスの成果における重要な差別化要因および要素としてすべてのビジネスに君臨します。 どの組織、開発者、IT worker も、DevOps の動きを回避できず、回避する必要もありません。

成熟した DevOps 実践者は、次のプラクティスのいくつかを採用します。 これらのプラクティスには、ビジネス シナリオに基づいて戦略を形作るユーザーが関係します。 ツールは、さまざまなプラクティスの自動化に役立ちます。

  • Agile の計画とproject管理の手法を使用して、作業をスプリントに計画および分離し、チームの能力を管理し、チームが変化するビジネス ニーズに迅速に適応できるようにします。
  • 通常は Git を使用したバージョン コントロールにより、チームは世界中のどこにいてもソースを共有でき、ソフトウェア開発ツールと統合してリリース パイプラインを自動化できます。
  • 継続的インテグレーションは、実行中のコードのマージとテストを推進します。これにより、障害を早期に検出できるようになります。 その他のメリットとして、マージの問題への取り組みや開発チームへの迅速なフィードバックに浪費される時間が短縮されます。
  • 環境の保護とテストのためのソフトウェア ソリューションの継続的デリバリーにより、組織はバグを迅速に修正し、絶えず変化するビジネス要件に対応できます。
  • 実行中のアプリケーションの監視 (運用環境でのアプリケーションの正常性や顧客の使用状況など) は、組織が仮説を形成し、戦略を迅速に検証または誤りを証明するのに役立ちます。 豊富なデータがキャプチャされ、さまざまなログ形式で格納されます。
  • コードとしてのInfrastructure (IaC)は、セキュリティで保護された安定したアプリケーション ホスティング プラットフォームの提供に役立つ、ネットワークとvirtual machinesの作成と破棄の自動化と検証を可能にするプラクティスです。
  • マイクロサービス アーキテクチャを使用して、ビジネス ユース ケースを小規模の再利用可能なサービスに分離します。 このアーキテクチャでは、スケーラビリティと効率性が実現されます。

次の手順

セキュリティおよび監査ソリューションの詳細については、次の記事をご覧ください。

  • Last updated on