Azure 情報システムのコンポーネントと境界
この記事では、Azure のアーキテクチャと管理について、一般的な説明を行います。 Azure システムの環境は、次のネットワークで構成されています。
- Microsoft Azure 運用ネットワーク (Azure ネットワーク)
- Microsoft の社内ネットワーク (Corpnet)
これらのネットワークの運用とメンテナンスは個別の IT チームが担当しています。
Azure アーキテクチャ
Azure は、データセンターのネットワークを介してアプリケーションとサービスを構築、デプロイ、および管理するためのクラウド コンピューティング プラットフォームでありインフラストラクチャでもあります。 Microsoft は、これらのデータセンターを管理します。 Azure は、お客様によって指定されたリソースの数に基づいて、リソースのニーズに従って仮想マシン (VM) を作成します。 これらの VM は、クラウド内で使用されパブリックにアクセスできないように設計された Azure ハイパーバイザーで実行されます。
Azure の各物理サーバー ノードには、ハードウェア上で直接実行されるハイパーバイザーがあります。 ハイパーバイザーは、さまざまな数のゲスト VM にノードを分割します。 各ノードには、ホスト オペレーティング システムを実行するルート VM が 1 つあります。 各 VM では、Windows ファイアウォールが有効になっています。 お客様は、サービス定義ファイルを構成することで、アドレス可能なポートを定義します。 これらのポートだけが、内部的にも外部的にも、オープンされてアドレス可能なポートになります。 ディスクとネットワークへのすべてのトラフィックとアクセスは、ハイパーバイザーとルート オペレーティング システムによって仲介されます。
ホスト レイヤーでは、Azure VM は、カスタマイズされセキュリティが強化されたバージョンの最新の Windows Server を実行します。 Azure では、VM をホストするために必要なコンポーネントのみを含む Windows Server のバージョンを使用します。 これにより、パフォーマンスが向上し、攻撃対象領域が縮小されます。 マシンの境界は、オペレーティング システムのセキュリティに依存しないハイパーバイザーによって強化されます。
ファブリック コントローラーによる Azure の管理
Azure では、物理サーバー (ブレード/ノード) 上で実行される VM は、約 1,000 のクラスターにグループ化されます。 VM は、ファブリック コントローラー (FC) と呼ばれるスケール アウトされた冗長プラットフォーム ソフトウェア コンポーネントによって個別に管理されます。
各 FC は、そのクラスターで実行されているアプリケーションのライフ サイクルを管理し、その管理下にあるハードウェアの正常性を監視および提供します。 それは、サーバーでエラーが発生したと判断した場合に、正常なサーバー上に VM インスタンスを再生するなどの自律操作を実行します。 FC は、アプリケーションのデプロイ、更新、スケール アウトなどのアプリケーション管理操作も実行します。
データ センターは、クラスターに分割されます。 クラスターは、特定のクラスのエラーが、それが発生したクラスターを超えてサーバーに影響を与えることがないように、FC レベルでエラーを分離します。 特定の Azure クラスターで機能する FC は、FC クラスターにグループ化されます。
ハードウェア インベントリ
FC は、ブートストラップ構成プロセス中に、Azure ハードウェアとネットワーク デバイスのインベントリを準備します。 Azure の運用環境に入る新しいハードウェアやネットワーク コンポーネントは、ブートストラップ構成プロセスに従う必要があります。 FC は datacenter.xml 構成ファイルに記載されているインベントリ全体を管理します。
FC によって管理されるオペレーティング システムのイメージ
オペレーティング システム チームは、Azure の運用環境内のすべてのホスト VM とゲスト VM 上にデプロイされるイメージを仮想ハード ディスク形式で提供します。 チームは、オフラインの自動化されたビルド プロセスを通してこれらの基本イメージを構築します。 基本イメージは、Azure 環境をサポートするようにカーネルと他のコンポーネントの最適化と変更が行われたバージョンのオペレーティング システムです。
ファブリックによって管理されるオペレーティング システム イメージには、次の 3 つの種類があります。
- ホスト: ホスト VM 上で実行されるカスタマイズされたオペレーティング システム。
- ネイティブ: テナント (Azure Storage など) で実行されるネイティブなオペレーティング システム。 このオペレーティング システムにはハイパーバイザーはありません。
- ゲスト: ゲスト VM 上で実行されるゲスト オペレーティング システム。
ホストおよびネイティブの FC で管理されるオペレーティング システムは、クラウドで使用するように設計され、パブリックにアクセスすることはできません。
ホスト オペレーティング システムとネイティブ オペレーティング システム
ホストとネイティブは、ファブリック エージェントをホストする、セキュリティが強化されたオペレーティング システム イメージであり、(ノードの最初の VM として実行される) コンピューティング ノードとストレージ ノード上で実行されます。 ホストとネイティブの最適化された基本イメージを使用することの利点は、API や未使用のコンポーネントによって公開される領域が減少することです。 これらは、高いセキュリティ リスクがあり、オペレーティング システムのフットプリントを増加させる可能性があります。 削減されたオペレーティング システムのフットプリントには、Azure に必要なコンポーネントのみが含まれます。
ゲスト オペレーティング システム
ゲスト オペレーティング システムの VM 上で実行される Azure 内部コンポーネントには、リモート デスクトップ プロトコルを実行するチャンスはありません。 ベースラインの構成設定に対するすべての変更は、変更およびリリース管理プロセスを経由する必要があります。
Azure データセンター
Microsoft Cloud インフラストラクチャおよび運用 (MCIO) チームは、Microsoft のすべてのオンライン サービスで使用される物理的なインフラストラクチャとデータセンター施設を管理します。 MCIO の第一義的な責任は、データセンター内の物理的および環境的統制を管理することと、外部境界ネットワーク デバイス (エッジ ルーターやデータセンターのルーターなど) の管理とサポートを行うことです。 MCIO は、データ センターのラック上に最小限のサーバー ハードウェアも設定します。 お客様は、Azure と直接やり取りすることはありません。
サービス管理とサービス チーム
Azure サービスのサポートは、サービス チームと呼ばれるさまざまなエンジニアリング グループによって管理されます。 各サービス チームは、Azure サポートの 1 つの領域を担当します。 各サービス チームでは、エンジニアが年中無休体制でサービスのエラーを調査し解決する必要があります。 既定では、サービス チームは、Azure 上で動作しているハードウェアに物理的にアクセスすることはできません。
サービス チームを以下に示します。
- アプリケーション プラットフォーム
- Microsoft Entra ID
- Azure コンピューティング
- Azure Net
- クラウド エンジニアリング サービス
- ISSD: セキュリティ
- 多要素認証
- SQL Database
- ストレージ
ユーザーの種類
Microsoft の社員 (または契約社員) は、内部ユーザーとみなされます。 その他のすべてのユーザーは、外部ユーザーとみなされます。 すべての Azure 内部のユーザーの担当者のステータスは、顧客データへのアクセスを定義する機密レベル (アクセス権あり、またはアクセス権なし) ごとに分類されています。 Azure に対するユーザーの権限 (認証後に承認される権限) を次の表に示します。
| Role | 内部または外部 | 機密レベル | 承認される権限と実行する職務 | アクセスの種類 |
|---|---|---|---|---|
| Azure データセンター エンジニア | 内部 | 顧客データへのアクセス権なし | オンプレミスの物理的なセキュリティを管理します。 データセンターの屋内と屋外を巡回し、すべての出入り口を監視します。 一般的なサービス (調理や清掃など) またはデータセンター内で IT 作業を提供する特定の要員のデータセンターの出入りに同行します。 ネットワーク ハードウェアの日常的な監視とメンテナンスを実施します。 さまざまなツールを使用して、インシデント管理と障害対応作業を実施します。 データセンター内の物理ハードウェアの日常的な監視とメンテナンスを実施します。 資産の所有者からの要求に応じて環境にアクセスします。 フォレンジック調査を実施し、インシデント レポートを記録できます。セキュリティ トレーニングを受ける義務があり、ポリシー要件に対応する必要があります。 スキャナーとログの収集などの重要なセキュリティ ツールの運用とメンテナンスを行います。 | 環境への永続的なアクセス。 |
| Azure インシデント トリアージ (迅速対応エンジニア) | 内部 | 顧客データへのアクセス権あり | MCIO、サポート、およびエンジニアリング チームの間のコミュニケーションを管理します。 プラットフォーム インシデント、デプロイ問題、およびサービス要求をトリアージします。 | お客様のシステム以外のシステムへの制限付き永続的アクセスによる環境へのジャスト イン タイム アクセス。 |
| Azure デプロイ エンジニア | 内部 | 顧客データへのアクセス権あり | Azure をサポートするプラットフォーム コンポーネント、ソフトウェア、および計画された構成変更のデプロイとアップグレード。 | お客様のシステム以外のシステムへの制限付き永続的アクセスによる環境へのジャスト イン タイム アクセス。 |
| Azure カスタマー停止サポート (テナント) | 内部 | 顧客データへのアクセス権あり | 個々のコンピューティング テナントと Azure アカウントに対して、プラットフォームの停止と障害のデバッグと診断を行います。 障害を分析します。 プラットフォームまたはお客様への重要な修正を推進し、サポートを通して技術的な改善を実現します。 | お客様のシステム以外のシステムへの制限付き永続的アクセスによる環境へのジャスト イン タイム アクセス。 |
| Azure ライブ サイト エンジニア (モニタリング エンジニア) およびインシデント | 内部 | 顧客データへのアクセス権あり | 診断ツールを使用してプラットフォームの正常性を診断し、問題を緩和します。 ボリューム ドライバーの修正を推進し、停止によって障害が発生したアイテムの修理、および停止時の復元アクションの支援を行います。 | お客様のシステム以外のシステムへの制限付き永続的アクセスによる環境へのジャスト イン タイム アクセス。 |
| Azure のお客様 | 外部 | 該当なし | 該当なし | 該当なし |
Azure では、組織のユーザーとお客様 (または組織ユーザーに代わって実行されるプロセス) を認証するために一意の識別子を使用します。 これは、Azure 環境の一部であるすべての資産とデバイスに適用されます。
Azure の内部認証
Azure の内部コンポーネント間の通信は TLS 暗号化で保護されています。 ほとんどの場合、X.509 証明書は自己署名されます。 Azure ネットワークの外部からアクセスできる接続の証明書は例外であり、FC の証明書はその例外に当たります。 FC には、信頼されるルート CA に基づく Microsoft 証明書機関 (CA) によって発行された証明書があります。 これにより、FC の公開キーを簡単にロール オーバーできます。 さらに、Microsoft 開発者向けツールでは、FC の公開キーが使用されます。 開発者が新しいアプリケーション イメージを送信すると、イメージは、組み込まれたシークレットを保護するために FC の公開キーを使用して暗号化されます。
Azure のハードウェア デバイスの認証
FC は、その管理下にあるさまざまなハードウェア デバイスに対して FC 自身を認証するために使用する一連の資格情報 (キーやパスワード) を維持します。 Microsoft では、システムを使用して、これらの資格情報にアクセスできないようにしています。 具体的には、これらの資格情報の転送、永続化、および使用は、機密情報、社外秘、または個人情報に対する Azure の開発者、管理者、およびバックアップ サービス/担当者によるアクセスを防止するように設計されています。
Microsoft では、FC のマスター ID 公開キーに基づく暗号化を使用しています。 これは、FC の設定時と FC の再構成時に発生し、ネットワーク ハードウェア デバイスにアクセスするために使用される資格情報が転送されます。 資格情報を必要とするとき、FC は、それらを取得して復号化します。
ネットワーク デバイス
Azure ネットワーク チームは、ネットワーク デバイス (ルーター、スイッチ、およびロード バランサー) で Microsoft Azure クライアントが認証されるようにネットワーク サービス アカウントを構成します。
サービス管理のセキュリティ保護
セキュリティで保護された管理ワークステーション (SAW) を使用するには、Azure 運用担当者が必要です。 お客様は、特権アクセス ワークステーションを使用して、類似する管理を実装できます。 SAW では、管理担当者は、ユーザーの標準ユーザー アカウントとは別に個別に割り当てられた管理者アカウントを使用します。 SAW は、このアカウントの分離手法に基づいて、機密性の高いアカウントに対して信頼できるワークステーションを提供します。
次のステップ
Microsoft が Azure インフラストラクチャのセキュリティ保護を支援するために行っていることの詳細については、以下を参照してください。