Azure に移行されたワークロードのセキュリティ保護と管理のためのベスト プラクティスBest practices to secure and manage workloads migrated to Azure

移行を計画して設計するときは、移行自体について考えるだけでなく、移行後の Azure でのセキュリティと管理モデルを検討する必要があります。As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. この記事では、移行後に Azure のデプロイをセキュリティで保護するための計画とベスト プラクティスについて説明します。This article describes planning and best practices for securing your Azure deployment after migrating. また、最適なレベルでデプロイが実行され続けるようにするための継続的なタスクについても説明します。It also covers ongoing tasks to keep your deployment running at an optimal level.

重要

この記事で説明するベスト プラクティスと考え方は、Azure プラットフォームと、記事の執筆時点で利用できるサービスの機能に基づいています。The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. 特徴や機能は時間の経過と共に変化します。Features and capabilities change over time.

移行されるワークロードをセキュリティで保護するSecure migrated workloads

移行後の最も重要なタスクは、移行されたワークロードを内部および外部の脅威からセキュリティで保護することです。After migration, the most critical task is to secure migrated workloads from internal and external threats. それを実現するには、以下のベスト プラクティスが役に立ちます。These best practices help you to do that:

  • Azure Security Center によって提供される監視、評価、およびレコメンデーションを使用する方法について説明します。Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • Azure でのデータの暗号化に関するベスト プラクティスを理解します。Get best practices for encrypting your data in Azure.
  • マルウェアや悪意のある攻撃から VM を保護します。Protect your VMs from malware and malicious attacks.
  • 移行された Web アプリで機密情報のセキュリティ保護を維持します。Keep sensitive information secure in migrated web apps.
  • 移行後に Azure サブスクリプションとリソースにアクセスできるユーザーを確認します。Verify who can access your Azure subscriptions and resources after migration.
  • Azure の監査ログとセキュリティ ログを定期的に確認します。Review your Azure auditing and security logs on a regular basis.
  • Azure で提供されている高度なセキュリティ機能を理解して評価します。Understand and evaluate advanced security features that Azure offers.

これらのベスト プラクティスについては、以降のセクションで詳しく説明します。These best practices are described in more detail in the sections that follow.

ベスト プラクティス:Azure Security Center の推奨事項に従うBest practice: Follow Azure Security Center recommendations

Azure テナント管理者は、攻撃からワークロードを保護するセキュリティ機能を有効にする必要があります。Azure tenant admins need to enable security features that protect workloads from attacks. Azure Security Center では、統合されたセキュリティ管理が提供されます。Azure Security Center provides unified security management. Security Center からは、ワークロード全体へのセキュリティ ポリシーの適用、脅威にさらされる機会の制限、攻撃の検出とその対応を行うことができます。From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center では、Azure テナント全体のリソースと構成が分析され、次のようにセキュリティに関する推奨事項が示されます。Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • 一元化されたポリシー管理: すべてのハイブリッド クラウド ワークロードのセキュリティ ポリシーを一元的に管理することで、会社や規制のセキュリティ要件に確実に準拠できます。Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • 継続的なセキュリティ評価: マシン、ネットワーク、ストレージとデータ サービス、アプリケーションのセキュリティに対する姿勢を監視して、潜在的なセキュリティの問題を検出します。Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • 実行可能な推奨事項: 優先順位が付けられた実行可能なセキュリティの推奨事項を使って、攻撃者が悪用する前にセキュリティの脆弱性を修復します。Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • 優先順位が付けられたアラートとインシデント: 優先順位が付けられたセキュリティ アラートとインシデントにより、最も重大な脅威にまず重点を置きます。Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Azure Security Center には、評価と推奨事項に加え、特定のリソースに対して有効にできるセキュリティ機能が用意されています。In addition to assessments and recommendations, Azure Security Center provides other security features that you can enable for specific resources.

  • Just-In-Time (JIT) アクセス。Just-in-time (JIT) access. Azure VM の管理ポートに対する制御されたアクセスである Just-In-Time を使用して、ネットワークの攻撃対象領域を減らします。Reduce your network attack surface with just-in-time, controlled access to management ports on Azure VMs.
    • VM の RDP ポート 3389 をインターネットに対して開いた場合、VM は悪意のあるアクターによるアクティビティに継続的にさらされます。Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Azure の IP アドレスはよく知られており、ハッカーは開いているポート 3389 での攻撃を常に探っています。Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • Just-In-Time では、ネットワーク セキュリティ グループ (NSG) と、特定のポートが開いている時間の長さを制限する受信規則が使用されます。Just-in-time uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Just-In-Time アクセスを有効にすると、Security Center によって、ユーザーが VM に対してロールベースのアクセス制御 (RBAC) の書き込みアクセス許可を持っていることが確認されます。With just-in-time access enabled, Security Center checks that a user has role-based access control (RBAC) write access permissions for a VM. さらに、ユーザーが VM に接続する方法に関する規則を指定できます。In addition, you can specify rules for how users can connect to VMs. アクセス許可に問題がない場合、アクセス要求は承認され、Security Center によって、選択したポートへの受信トラフィックを指定した時間だけ許可するように NSG が構成されます。If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. その時間が経過すると、NSG は以前の状態に戻ります。NSGs return to their previous state when the time expires.
  • 適応型アプリケーション制御。Adaptive application controls. 動的な許可リストを使用して VM で実行されるアプリケーションを制御することにより、ソフトウェアやマルウェアを VM から遠ざけます。Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • 適応型アプリケーション制御を使用すると、アプリケーションを承認し、悪意のあるユーザーや管理者によって未承認または審査中のソフトウェア アプリケーションが VM にインストールされるのを防ぐことができます。Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • 悪意のあるアプリケーションを実行する試みをブロックまたは警告し、不要なまたは悪意のあるアプリケーションを回避し、組織のアプリケーション セキュリティ ポリシーに確実に準拠することができます。You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • ファイルの整合性の監視。File Integrity Monitoring. VM で実行されているファイルの整合性を確認します。Ensure the integrity of files running on VMs.
    • VM の問題が発生するソフトウェアをインストールする必要はありません。You don't need to install software to cause VM issues. システム ファイルを変更しても、VM の障害やパフォーマンスの低下が発生する場合があります。Changing a system file can also cause VM failure or performance degradation. ファイルの整合性の監視では、システム ファイルおよびレジストリ設定の変更の有無が調査され、何らかの更新が行われた場合は通知されます。File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Security Center では、監視する必要のあるファイルが推奨されます。Security Center recommends which files you should monitor.

詳細情報:Learn more:

ベスト プラクティス:データを暗号化するBest practice: Encrypt data

暗号化は、Azure のセキュリティ プラクティスの重要な部分です。Encryption is an important part of Azure security practices. すべてのレベルで暗号化を有効にすることは、承認されていないユーザーが転送中や保存時の機密データにアクセスするのを防ぐのに役立ちます。Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

サービスとしてのインフラストラクチャ (IaaS) の暗号化Encryption for infrastructure as a service (IaaS)

  • 仮想マシン: VM の場合は、Azure Disk Encryption を使用して、Windows および Linux の IaaS VM ディスクを暗号化できます。Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux IaaS VM disks.
    • Azure Disk Encryption では、BitLocker (Windows の場合) および DM-Crypt (Linux の場合) を使用して、オペレーティング システムとデータ ディスクのボリューム暗号化を行います。Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • Azure によって作成された暗号化キーを使用するか、独自の暗号化キーを提供し、Azure Key Vault で保護することができます。You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Azure Disk Encryption では、保存時 (ディスク上) および VM の起動中に IaaS VM データがセキュリティで保護されます。With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Azure Security Center では、暗号化されていない VM があると警告を受け取ります。Azure Security Center alerts you if you have VMs that aren't encrypted.
  • ストレージ: Azure Storage に保存されている格納データを保護します。Storage: Protect at-rest data stored in Azure Storage.
    • Azure ストレージ アカウントの格納データは、Microsoft が生成する、FIPS 140-2 準拠の AES キーを使用して暗号化できます。また、ユーザー独自のキーを使用することもできます。Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Azure Storage 暗号化は、新規と既存のすべてのストレージ アカウントに対して有効になっており、無効にすることはできません。Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

サービスとしてのプラットフォーム (PaaS) の暗号化Encryption for platform as a service (PaaS)

ユーザーが自分の VM とインフラストラクチャを管理する IaaS とは異なり、PaaS モデルでは、プラットフォームとインフラストラクチャがプロバイダーによって管理されます。Unlike IaaS, in which you manage your own VMs and infrastructure, in a PaaS model platform and infrastructure is managed by the provider. ユーザーはコア アプリケーションのロジックと機能に専念できます。You can focus on core application logic and capabilities. PaaS サービスの種類は非常に多いので、セキュリティに関する評価はサービスごとに個別に行います。With so many different types of PaaS services, each service is evaluated individually for security purposes. 例として、Azure SQL Database の暗号化を有効にする方法を見てみましょう。As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted: SQL Server Management Studio で Always Encrypted ウィザードを使用して、保存データを保護します。Always Encrypted: Use the Always Encrypted Wizard in SQL Server Management Studio to protect data at rest.
    • Always Encrypted キーを作成して、個々の列のデータを暗号化します。You create an Always Encrypted key to encrypt individual column data.
    • Always Encrypted キーは、データベースのメタデータに暗号化して格納するか、または Azure Key Vault などの信頼できるキー ストアに格納することができます。Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • ほとんどの場合、この機能を使用するには、アプリケーションを変更する必要があります。Most likely, to use this feature, you'll need to make application changes.
  • 透過的なデータ暗号化 (TDE): 保存時のデータベース、関連付けられたバックアップ、トランザクション ログ ファイルをリアルタイムで暗号化および暗号化解除することにより、Azure SQL Database を保護します。Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE を使用すると、アプリケーション層を変更することなく暗号化アクティビティを実行できます。TDE allows encryption activities to take place without changes at the application layer.
    • TDE では、Microsoft によって提供される暗号化キーを使用するか、独自のキーを持ち込むことができます。TDE can use encryption keys provided by Microsoft, or you can bring your own key.

詳細情報:Learn more:

ベスト プラクティス:マルウェア対策で VM を保護するBest practice: Protect VMs with antimalware

特に、Azure に移行された古い VM には、適切なレベルのマルウェア対策がインストールされていない可能性があります。In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure では、ウイルス、スパイウェア、その他のマルウェアからの VM の保護に役立つ無料のエンドポイント ソリューションが提供されています。Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Azure Cloud Services と Virtual Machines 向けの Microsoft Antimalware では、既知の悪意のあるソフトウェアや望ましくないソフトウェアがそれ自体をインストールしようとしたときにアラートが生成されます。Microsoft Antimalware for Azure Cloud Services and Virtual Machines generates alerts when known malicious or unwanted software tries to install itself.

  • これは、ユーザーの介入なしにバックグラウンドで実行される単一のエージェント ソリューションです。It's a single agent solution that runs in the background, without human intervention.

  • Azure Security Center では、エンドポイントの保護が実行されていない VM を簡単に識別し、必要に応じて Microsoft マルウェア対策をインストールできます。In Azure Security Center, you can easily identify VMs that don't have endpoint protection running, and install Microsoft antimalware as needed.

    VM 向けのマルウェア対策のスクリーンショット。 "図 1: VM 向けのマルウェア対策。 "Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

詳細情報:Learn more:

ベスト プラクティス:Web アプリをセキュリティで保護するBest practice: Secure web apps

移行された Web アプリではいくつかの問題が発生します。Migrated web apps face a couple of issues:

  • ほとんどの従来の Web アプリケーションでは、構成ファイル内に機密情報が存在する傾向があります。Most legacy web applications tend to have sensitive information inside configuration files. このような情報を含むファイルでは、アプリケーションがバックアップされるとき、またはアプリケーション コードがソース管理にチェックインされたりソース管理からチェックアウトされたりするときに、セキュリティの問題が発生することがあります。Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • VM 内に存在する Web アプリを移行する場合は、たいてい、オンプレミス ネットワークやファイアウォールで保護された環境から、インターネットに接続された環境にそのマシンを移動します。When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. オンプレミスの保護リソースと同じ処理を行うソリューションが設定されていることを確認します。Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure では、次のソリューションを提供しています。Azure provides the following solutions:

  • Azure Key Vault: 現在、Web アプリの開発者は、これらのファイルから機密情報がリークされない手段を講じています。Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. 情報をセキュリティで保護する 1 つの方法は、情報をファイルから抽出し、Azure Key Vault に格納することです。One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • Key Vault を使用して、アプリケーション シークレットのストレージを集中化し、その配布を制御できます。You can use Key Vault to centralize storage of application secrets, and control their distribution. また、アプリケーション ファイルにセキュリティ情報を格納する必要がなくなります。It avoids the need to store security information in application files.
    • アプリケーションでは、URI を使用してコンテナー内の情報に安全にアクセスできます。カスタム コードは必要ありません。Applications can securely access information in the vault by using URIs, without needing custom code.
    • Azure Key Vault を使用すると、Azure のセキュリティ制御を使用してアクセスをロックダウンし、キーの更新をシームレスに実装できます。Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Microsoft がユーザーのデータを参照したり抽出したりすることはありません。Microsoft doesn't see or extract your data.
  • Power Apps 向けの App Service Environment: 移行するアプリで追加の保護が必要な場合は、App Service Environment と Web アプリケーション ファイアウォールを追加してアプリケーション リソースを保護することを検討してください。App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • App Service Environment により、Windows や Linux の Web アプリ、Docker コンテナー、モバイル アプリ、関数アプリなどのアプリケーションを実行するための完全に分離された専用の環境が提供されます。App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • これは、非常に大規模なアプリケーション、分離とセキュリティ保護されたネットワーク アクセスを必要とするアプリケーション、またはメモリ使用率が高いアプリケーションにとって有用です。It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Web アプリケーション ファイアウォール: これは Azure Application Gateway の機能であり、Web アプリに対する一元的な保護を提供します。Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Web アプリを保護するためにバックエンドのコードを変更する必要はありません。It protects web apps without requiring back-end code modifications.
    • Application Gateway の後方にある複数の Web アプリが同時に保護されます。It protects multiple web apps at the same time, behind Application Gateway.
    • Azure Monitor を使用して、Web アプリケーション ファイアウォールを監視できます。You can monitor Web Application Firewall by using Azure Monitor. Web アプリケーション ファイアウォールは Azure Security Center に統合されています。Web Application Firewall is integrated into Azure Security Center.

    Azure Key Vault とセキュリティで保護された Web アプリの図。 "図 2: Azure Key Vault。 "Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

詳細情報:Learn more:

ベスト プラクティス:サブスクリプションとリソースのアクセス許可を確認するBest practice: Review subscriptions and resource permissions

ワークロードを移行して Azure で実行すると、ワークロードのアクセス権を持つスタッフはあちこち移動するようになります。As you migrate your workloads and run them in Azure, staff with workload access move around. セキュリティ チームは、定期的に Azure テナントとリソース グループへのアクセスを確認する必要があります。Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure には ID 管理とアクセス制御のセキュリティのためのオファリングがあり、その中には Azure リソースにアクセスするためのアクセス許可を承認するロールベースのアクセス制御 (RBAC) も含まれます。Azure has offerings for identity management and access control security, including role-based access control (RBAC) to authorize permissions to access Azure resources.

  • RBAC では、セキュリティ プリンシパルに対してアクセス許可が割り当てられます。RBAC assigns access permissions for security principals. セキュリティ プリンシパルは、ユーザー、グループ (ユーザーのセット)、サービス プリンシパル (アプリケーションとサービスによって使用される ID)、マネージド ID (Azure によって自動的に管理される Azure Active Directory の ID) を表します。Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • RBAC を使用すると、所有者、共同作成者、閲覧者などのロールと、そのロールで実行できる操作を定義するロール定義 (アクセス許可のコレクション) を、セキュリティ プリンシパルに割り当てることができます。RBAC can assign roles to security principals, such as owner, contributor and reader, and role definitions (a collection of permissions) that define the operations that can be performed by the roles.
  • また、RBAC ではロールの境界を設定するスコープを設定できます。RBAC can also set scopes that set the boundary for a role. スコープは、管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなレベルで設定できますScope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Azure へのアクセス権を持つ管理者が許可されたリソースにのみアクセスできることを確認します。Ensure that admins with Azure access can access only resources that you want to allow. Azure で定義済みのロールの細かさが十分でない場合は、カスタム ロールを作成し、アクセス許可を分離して制限できます。If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Azure へのアクセス権を持つ管理者が許可されたリソースにのみアクセスできることを確認します。Ensure that admins with Azure access can access only resources that you want to allow. Azure で定義済みのロールの細かさが十分でない場合は、カスタム ロールを作成し、アクセス許可を分離して制限できます。If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

アクセスの制御のスクリーンショット。Screenshot of Access control. "図 3:アクセスの制御。 "Figure 3: Access control.

詳細情報:Learn more:

ベスト プラクティス:監査とセキュリティ ログを確認するBest practice: Review audit and security logs

Azure Active Directory (Azure AD) では、Azure Monitor に表示されるアクティビティ ログが提供されています。Azure Active Directory (Azure AD) provides activity logs that appear in Azure Monitor. ログでは、Azure テナントで実行された操作、操作が発生した日時、操作を実行したユーザーがキャプチャされます。The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • 監査ログでは、テナントでのタスクの履歴が示されます。Audit logs show the history of tasks in the tenant. サインイン アクティビティ ログでは、タスクを実行したユーザーが示されます。Sign-in activity logs show who carried out the tasks.

  • セキュリティ レポートに対するアクセスは、Azure AD のライセンスによって異なります。Access to security reports depends on your Azure AD license. Free および Basic ライセンスを使用している場合は、危険なユーザーとサインインの一覧が表示されます。Premium ライセンスを使用している場合は、基になるイベント情報が表示されます。With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • アクティビティ ログは、長期的な保持とデータ分析のためにさまざまなエンドポイントにルーティングできます。You can route activity logs to various endpoints for long-term retention and data insights.

  • ログの確認を慣習的に行うようにするか、またはセキュリティ情報およびイベント管理 (SIEM) ツールを統合して異常が自動的に確認されるようにします。Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Premium ライセンスを使用していない場合は、ユーザーが自分で、または SIEM システムを使用して、さまざまな分析を行う必要があります。If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. 分析には、危険なサインインやイベント、およびその他のユーザー攻撃パターンを探すことが含まれます。Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Azure AD のユーザーとグループのスクリーンショット。 "図 4: Azure AD のユーザーとグループ。 "Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

詳細情報:Learn more:

ベスト プラクティス:他のセキュリティ機能を評価するBest practice: Evaluate other security features

Azure では、高度なセキュリティ オプションを提供するセキュリティ機能が他にも用意されています。Azure provides other security features that provide advanced security options. 次のベスト プラクティスの一部を実行するには、アドオン ライセンスと Premium オプションが必要です。Note that some of the following best practices require add-on licenses and premium options.

  • Azure AD 管理単位 (AU) を実装する。Implement Azure AD administrative units (AU). サポート スタッフへの管理責務の委任は、基本的な Azure アクセス制御だけでは複雑な場合があります。Delegating administrative duties to support staff can be tricky with just basic Azure access control. Azure AD 内のすべてのグループを管理できるアクセス権をサポート スタッフに与えるのは、組織のセキュリティにとって理想的な方法ではない可能性があります。Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. AU を使用すると、オンプレミスの組織単位 (OU) と同様の方法で、コンテナーに Azure リソースを分離することができます。Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OU). AU を使用するには、AU の管理者に Premium Azure AD ライセンスが必要です。To use AU, the AU admin must have a premium Azure AD license. 詳細については、Azure Active Directory での管理単位の管理に関するページをご覧ください。For more information, see Administrative units management in Azure Active Directory.
  • 多要素認証を使用する。Use multi-factor authentication. Premium Azure AD ライセンスがある場合は、管理者アカウントに対して多要素認証を有効にして適用できます。If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. フィッシングは、アカウントの資格情報を侵害する最も一般的な方法です。Phishing is the most common way that accounts credentials are compromised. 悪意のあるアクターが管理者アカウントの資格情報を手に入れると、すべてのリソース グループの削除など、影響範囲の広いアクションを阻止することはできません。When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. 多要素認証は、電子メール、認証アプリ、携帯電話のテキスト メッセージなどのさまざまな方法で確立できます。You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. 管理者は、最も影響が少ないオプションを選択できます。As an administrator, you can select the least intrusive option. 多要素認証では、脅威分析と条件付きアクセス ポリシーと統合して、多要素認証チャレンジの応答をランダムに要求します。Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. 詳しくは、セキュリティ ガイダンス多要素認証の設定方法に関する記事をご覧ください。Learn more about security guidance, and how to set up multi-factor authentication.
  • 条件付きアクセスを実装する。Implement conditional access. ほとんどの中小規模の組織では、多くの場合、Azure 管理者とサポート チームは地理的に 1 つの場所に配置されます。In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. この場合、ほとんどのサインインは同じ地域から行われます。In this case, most sign-ins come from the same areas. これらの場所の IP アドレスが非常に静的な場合、これらの地域以外から管理者のサインインが見えてはならないのは当然のことです。If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. 離れた場所にいる不正なアクターが管理者の資格情報を侵害した場合でも、条件付きアクセスと多要素認証の組み合わせのようなセキュリティ機能を実装することで、離れた場所からのサインインを防ぐことができます。Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. これにより、ランダムな IP アドレスで偽装された場所からのサインインを防止することもできます。This can also prevent spoofed locations from random IP addresses. 条件付きアクセスについての詳細を学習し、Azure AD での条件付きアクセスのベスト プラクティスを確認してください。Learn more about conditional access and review best practices for conditional access in Azure AD.
  • エンタープライズ アプリケーションのアクセス許可を確認する。Review enterprise application permissions. 時間が経つと、管理者は組織に与える影響を知らずに Microsoft やサード パーティのリンクを選択するようになります。Over time, admins select Microsoft and third-party links without knowing their affect on the organization. リンクをクリックすると、Azure アプリにアクセス許可を割り当てる同意画面が表示される場合があります。Links can present consent screens that assign permissions to Azure apps. これにより、Azure AD データを読み取るためのアクセスや、Azure サブスクリプション全体を管理するためのフル アクセスが許可される場合があります。This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. 管理者やユーザーに Azure リソースへのアクセスが許可されるアプリケーションを定期的に確認する必要があります。You should regularly review the applications to which your admins and users have allowed access to Azure resources. このようなアプリケーションには、必要なアクセス許可のみを確保してください。Ensure that these applications have only the permissions that are necessary. さらに、四半期または半年ごとに、アプリケーション ページへのリンクを含むメールをユーザーに送り、組織データへのアクセスが許可されているアプリケーションの存在を認識させることができます。Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. 詳細については、「アプリケーション リストに予期しないアプリケーションがある」と、Azure AD でアプリケーションの割り当てを制御する方法に関するページを参照してください。For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

移行されるワークロードを管理するManaged migrated workloads

以降のセクションでは、次のような Azure の管理に関してお勧めするいくつかのベスト プラクティスについて説明します。In the following sections, we'll recommend some best practices for Azure management, including:

  • スマートな名前付け、偶発的な削除の防止、リソースのアクセス許可の管理、効果的なリソースのタグ付けなど、Azure のリソース グループとリソースに関するベスト プラクティスです。Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • デプロイ環境の構築と管理のためのブループリントの使用に関する概要を説明します。Get a quick overview on using blueprints for building and managing your deployment environments.
  • 移行後のデプロイを作成するときに参考にするサンプルの Azure アーキテクチャを確認します。Review sample Azure architectures to learn from as you build your post-migration deployments.
  • 複数のサブスクリプションがある場合、それらを管理グループにまとめて、それらのグループにガバナンス設定を適用できます。If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • Azure リソースにコンプライアンス ポリシーを適用します。Apply compliance policies to your Azure resources.
  • 障害が発生したときにデータの安全、環境の回復性、リソースの稼働状態を維持するための、事業継続とディザスター リカバリー (BCDR) 戦略を作成します。Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • 回復性と高可用性のために VM を可用性グループにグループ化します。Group VMs into availability groups for resilience and high availability. VM のディスクとストレージの管理を容易にするため、マネージド ディスクを使用します。Use managed disks for ease of VM disk and storage management.
  • Azure リソースの診断ログを有効にし、プロアクティブなトラブルシューティングのためのアラートとプレイブックを作成し、デプロイの正常性と状態の統一ビューのために Azure ダッシュボードを使用します。Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Azure のサポート プランとその実装方法を理解し、VM を最新の状態に維持するためのベスト プラクティスを把握して、プロセスを変更管理に組み込みます。Understand your Azure support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

ベスト プラクティス:リソース グループに名前を付けるBest practice: Name resource groups

管理者とサポート チームのメンバーが簡単に認識できるように、リソース グループには必ずわかりやすい名前を付けます。Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. これにより、生産性と効率を大幅に向上させることができます。This can drastically improve productivity and efficiency.

Azure AD Connect を使用してオンプレミスの Active Directory を Azure AD に同期している場合は、オンプレミスのセキュリティ グループの名前を Azure でのリソース グループの名前と一致させることを検討してください。If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

リソース グループの名前付けのスクリーンショット。

図 5:リソース グループの名前付け。 "Figure 5: Resource group naming.

詳細情報:Learn more:

ベスト プラクティス:リソース グループの削除ロックを実装するBest practice: Implement delete locks for resource groups

最も困るのは、誤って削除したためにリソース グループが消えてしまうことです。The last thing you need is for a resource group to disappear because it was deleted accidentally. このようなことが起きないように、削除ロックを実装することをお勧めします。We recommend that you implement delete locks, so that this doesn't happen.

削除ロックのスクリーンショット。

図 6:削除ロック。 "Figure 6: Delete locks.

詳細情報:Learn more:

ベスト プラクティス:リソースのアクセス許可を理解するBest practice: Understand resource access permissions

サブスクリプションの所有者は、サブスクリプション内に存在するすべてのリソース グループとリソースにアクセスできます。A subscription owner has access to all the resource groups and resources in your subscription.

  • この重要な割り当てにユーザーを追加するときは慎重に行います。Add people sparingly to this valuable assignment. この種のアクセス許可の予期しない影響を理解することは、環境の安全と安定を維持するために重要なことです。Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • リソースを配置するリソース グループが適切であることを確認します。Make sure you place resources in appropriate resources groups:
    • ライフサイクルが似ているリソースをまとめます。Match resources with a similar lifecycle together. リソース グループ全体を削除する必要があるときに、リソースを移動する必要がないようにするのが理想的です。Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • 機能またはワークロードをサポートするリソースは、管理を簡略化するために一緒に配置する必要があります。Resources that support a function or workload should be placed together for simplified management.

詳細情報:Learn more:

ベスト プラクティス:リソースに効果的なタグを付けるBest practice: Tag resources effectively

多くの場合、リソースに関連したリソース グループ名を使用するだけでは、内部課金やサブスクリプション内での管理などのメカニズムを効果的に実装するためのメタデータとして十分ではありません。Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • ベスト プラクティスとして、Azure タグを使用して、クエリやレポートの基盤として使用できる有用なメタデータを追加することをお勧めします。As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • タグを使用すると、定義したプロパティでリソースを論理的に整理する手段が提供されます。Tags provide a way to logically organize resources with properties that you define. タグは、リソース グループに、または直接リソースに適用できます。Tags can be applied to resource groups or resources directly.

  • リソース グループまたは個々のリソースにタグを適用することができます。Tags can be applied on a resource group or on individual resources. リソース グループのタグは、グループ内のリソースによって継承されません。Resource group tags aren't inherited by the resources in the group.

  • PowerShell または Azure Automation を使用してタグ付けを自動化することも、グループやリソースに個別にタグを付けることもできます。You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • 要求および変更管理システムを導入している場合は、要求の情報を使用して会社固有のリソース タグを簡単に設定できます。If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    タグ付けのスクリーンショット。 "図 7: タグ付け。 "Screenshot of tagging. Figure 7: Tagging.

詳細情報:Learn more:

ベスト プラクティス:ブループリントを実装するBest practice: Implement blueprints

エンジニアやアーキテクトがブループリントを使用してプロジェクトの設計パラメーターの概略を示すのと同じように、クラウド アーキテクトや中央の IT グループは Azure Blueprints サービスを使用して、反復可能な一連の Azure リソースを定義できます。Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. これは、組織の標準、パターン、および要件を実装して遵守するうえで役立ちます。This helps them to implement and adhere to an organization's standards, patterns, and requirements. 開発チームは、Azure Blueprints を使用して、組織のコンプライアンス要件を満たす新しい環境を迅速に構築および作成できます。Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. これらの新しい環境にはネットワークなどの一連の組み込みコンポーネントが備わっているため、開発とデリバリーが迅速化されます。These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • ブループリントを使用して、リソース グループのデプロイ、Azure Resource Manager テンプレート、およびポリシーとロールの割り当てを調整します。Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • ブループリントは、グローバルに分散されたサービスである Azure Cosmos DB に格納されます。Store blueprints in a globally distributed service, Azure Cosmos DB. Blueprint オブジェクトは複数の Azure リージョンにレプリケートされます。Blueprint objects are replicated to multiple Azure regions. ブループリントによってどのリージョンにリソースがデプロイされても、レプリケーションにより、ブループリントに対するアクセスの低遅延、高可用性、一貫性が実現されます。Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

詳細情報:Learn more:

ベスト プラクティス:Azure の参照アーキテクチャを確認するBest practice: Review Azure reference architectures

Azure においてセキュリティ保護されたスケーラブルで管理しやすいワークロードを構築することは、容易でない場合があります。Building secure, scalable, and manageable workloads in Azure can be daunting. 絶え間ない変更のため、最適な環境になるようにさまざまな機能を最新の状態に維持するのは難しいことがあります。With continual changes, it can be difficult to keep up with different features for an optimal environment. 参考になる参照を用意すると、ワークロードを設計および移行するときに役立つ可能性があります。Having a reference to learn from can be helpful when designing and migrating your workloads. Azure および Azure パートナーは、さまざまな種類の環境用に複数のサンプル参照アーキテクチャを構築してきました。Azure and Azure partners have built several sample reference architectures for various types of environments. これらのサンプルは、参考にして基にできるアイデアを提供するように設計されています。These samples are designed to provide ideas that you can learn from and build on.

参照アーキテクチャはシナリオ別に用意されています。Reference architectures are arranged by scenario. それには、ベスト プラクティスと、管理、可用性、スケーラビリティ、セキュリティに関するアドバイスが含まれます。They contain best practices and advice on management, availability, scalability, and security. App Service Environment を使用することで、Windows や Linux の Web アプリ、Docker コンテナー、モバイル アプリ、関数などのアプリケーションを実行するための完全に分離された専用の環境が提供されます。App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. App Service では、セキュリティ、負荷分散、自動スケーリング、自動管理などの Azure の機能が、アプリケーションに追加されます。App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. Azure DevOps と GitHub からの継続的デプロイ、パッケージ管理、ステージング環境、カスタム ドメイン、SSL 証明書など、DevOps の機能を利用することもできます。You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service は、分離とセキュリティ保護されたネットワーク アクセスを必要とするアプリケーションや、大量のメモリおよびスケーリングする必要があるその他のリソースを使用するアプリケーションに役立ちます。App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

詳細情報:Learn more:

ベスト プラクティス:Azure 管理グループを使用してリソースを管理するBest practice: Manage resources with Azure management groups

組織に複数のサブスクリプションがある場合は、それらのアクセス、ポリシー、コンプライアンスを管理する必要があります。If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Azure 管理グループの範囲は、サブスクリプションを上回ります。Azure management groups provide a level of scope above subscriptions. いくつかのヒントを次に示します。Here are some tips:

  • 管理グループと呼ばれるコンテナーにサブスクリプションを整理して、ガバナンス条件をそれらに適用します。You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • 管理グループ内のすべてのサブスクリプションが、管理グループの条件を自動的に継承します。All subscriptions in a management group automatically inherit the management group conditions.
  • 管理グループを使用すると、サブスクリプションの種類に関係なく、大きな規模でエンタープライズ レベルの管理を行うことができます。Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • たとえば、VM を作成できるリージョンを制限する管理グループ ポリシーを適用できます。For example, you can apply a management group policy that limits the regions in which VMs can be created. その後、このポリシーは、その管理グループの下にあるすべての管理グループ、サブスクリプション、およびリソースに適用されます。This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • 管理グループとサブスクリプションの柔軟な構造を作成し、リソースを階層に整理して、統一されたポリシーとアクセス管理を適用できます。You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

次の図は、管理グループを使用して管理のための階層を作成する例を示しています。The following diagram shows an example of creating a hierarchy for governance by using management groups.

管理グループの図。Diagram of management groups. 図 8:管理グループ。 "Figure 8: Management groups.

詳細情報:Learn more:

ベスト プラクティス:Azure Policy をデプロイするBest practice: Deploy Azure Policy

Azure Policy は、ポリシーの作成、割り当て、および管理に使用するサービスです。Azure Policy is a service that you use to create, assign, and manage policies. ポリシーにより、リソースにさまざまなルールと効果が適用されるため、それらのリソースは会社の標準とサービス レベル アグリーメントに準拠した状態が維持されます。Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Azure Policy ではリソースが評価されて、ポリシーに準拠していないリソースがスキャンされます。Azure Policy evaluates your resources, scanning for those not compliant with your policies. たとえば、VM に対して特定の SKU サイズのみを許可するポリシーを自身の環境に作成できます。For example, you can create a policy that allows only a specific SKU size for VMs in your environment. この設定は、リソースを作成および更新するときと既存のリソースをスキャンするときに Azure Policy によって評価されます。Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Azure で提供されている組み込みポリシーを割り当てることも、独自に作成することもできます。Note that Azure provides some built-in policies that you can assign, or you can create your own.

Azure Policy のスクリーンショット。Screenshot of Azure Policy. 図 9:Azure Policy。 "Figure 9: Azure Policy.

詳細情報:Learn more:

ベスト プラクティス:BCDR 戦略を実装するBest practice: Implement a BCDR strategy

事業継続とディザスター リカバリー (BCDR) の計画は、Azure への移行計画プロセスの一環として完了する必要がある重要な作業です。Planning for business continuity and disaster recovery (BCDR) is a critical exercise that you should complete as part of your Azure migration planning process. 法律的には、台風や地震などの大きな力が発生した場合に、責務が免除される "不可抗力" 条項を契約に含めることができます。In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. しかし、災害が発生したときは、サービスを継続的に実行し、必要に応じて復旧を行うことを可能な範囲で保証する義務もあります。But you also have obligations around your ability to ensure that services will continue to run, and recover where necessary, when disaster strikes. これを行う能力は、会社の未来を左右する可能性があります。Your ability to do this can make or break your company's future.

一般に、BCDR 戦略では以下のことを検討する必要があります。Broadly, your BCDR strategy must consider:

  • データのバックアップ: 障害が発生した場合に簡単に復旧できるよう、データを安全に保管する方法。Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • ディザスター リカバリー: 障害が発生した場合にアプリケーションの回復性と可用性を維持する方法。Disaster recovery: How to keep your applications resilient and available if outages occur.

BCDR をセットアップするSet up BCDR

Azure に移行する際は、Azure のプラットフォームには回復性の機能がいくつか組み込まれていますが、それらの機能を利用するためには Azure のデプロイを設計する必要があることを理解しておいてください。When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • BCDR ソリューションは会社の目標によってさまざまであり、Azure のデプロイ戦略の影響を受けます。Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. サービスとしてのインフラストラクチャ (IaaS) とサービスとしてのプラットフォーム (PaaS) のデプロイには、BCDR に関して異なる課題があります。Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • BCDR ソリューションを導入したら、定期的にテストして、戦略が変わらずに実行可能であることを確認する必要があります。After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

IaaS のデプロイをバックアップするBack up an IaaS deployment

ほとんどの場合、オンプレミスのワークロードは移行後には使用されなくなるので、データのバックアップに関するオンプレミスの戦略を拡張または置換する必要があります。In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. データセンター全体を Azure に移行する場合は、Azure のテクノロジまたはサード パーティ製の統合ソリューションを使用することで、完全バックアップ ソリューションを設計して実装する必要があります。If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Azure IaaS VM で実行されるワークロードについては、以下のバックアップ ソリューションを検討します。For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: Azure のWindows と Linux の VM に、アプリケーション整合性バックアップを提供します。Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • ストレージのスナップショット: BLOB ストレージのスナップショットを作成します。Storage snapshots: Takes snapshots of Blob storage.

Azure BackupAzure Backup

Azure Backup では、Azure Storage に格納されているデータの復旧ポイントが作成されます。Azure Backup creates data recovery points that are stored in Azure Storage. Azure Backup では、Azure VM のディスクと Azure Files (プレビュー) をバックアップできます。Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files では、サーバー メッセージ ブロック経由でアクセスできるクラウド内のファイル共有が提供されます。Azure Files provide file shares in the cloud, accessible via Server Message Block.

Azure Backup を使用すると、次の方法で VM をバックアップすることができます。You can use Azure Backup to back up VMs in the following ways:

  • VM の設定からの直接バックアップ。Direct backup from VM settings. Azure portal の VM オプションから直接、Azure Backup で VM をバックアップできます。You can back up VMs with Azure Backup directly from the VM options in the Azure portal. 1 日に 1 回 VM をバックアップし、必要に応じて VM ディスクを復元できます。You can back up the VM once per day, and you can restore the VM disk as needed. Azure Backup ではアプリに対応したデータのスナップショットが取得されます。VM にエージェントはインストールされません。Azure Backup takes app-aware data snapshots, and no agent is installed on the VM.
  • Recovery Services コンテナーでの直接バックアップ。Direct backup in a Recovery Services vault. Azure Backup Recovery Services コンテナーをデプロイすることにより、IaaS VM をバックアップできます。You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. これにより、1 か所でバックアップを追跡して管理でき、バックアップと復元のきめ細かいオプションが提供されます。This provides a single location to track and manage backups, as well as granular backup and restore options. バックアップは、ファイルおよびフォルダー レベルで 1 日に 3 回まで実行できます。Backup is up to three times a day, at the file and folder levels. これはアプリ対応ではなく、Linux はサポートされていません。It isn't app-aware, and Linux isn't supported. この方法を使用して、バックアップ対象の VM ごとに Microsoft Azure Recovery Services (MARS) エージェントをインストールします。Install the Microsoft Azure Recovery Services (MARS) agent on each VM that you want to back up by using this method.
  • Azure Backup Server に対して VM を保護する。Protect the VM to Azure Backup server. Azure Backup Server は、Azure Backup で無料提供されます。Azure Backup server is provided free with Azure Backup. VM は、ローカルの Azure Backup Server ストレージにバックアップされます。The VM is backed up to local Azure Backup server storage. その後、Azure Backup Server をコンテナー内の Azure にバックアップします。You then back up the Azure Backup server to Azure in a vault. バックアップはアプリ対応であり、バックアップの頻度と保持に関して完全な細分性を備えています。Backup is app-aware, with full granularity over backup frequency and retention. バックアップはアプリケーション レベルで実行できます。たとえば、SQL Server や SharePoint でバックアップできます。You can back up at the application level, for example by backing up SQL Server or SharePoint.

セキュリティ上の理由により、Azure Backup では AES-256 を使用して送信中のデータが暗号化されます。For security, Azure Backup encrypts data in-flight by using AES-256. これは HTTPS 経由で Azure に送信されます。It sends it over HTTPS to Azure. Azure に保存されているバックアップ データは、Azure Storage 暗号化を使用して暗号化されます。Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Azure Backup のスクリーンショット。 "図 10: Azure Backup。 "Screenshot of Azure Backup. Figure 10: Azure Backup.

詳細情報:Learn more:

ストレージのスナップショットStorage snapshots

Azure VM は、Azure Storage にページ BLOB として格納されます。Azure VMs are stored as page blobs in Azure Storage. スナップショットでは、特定の時点における BLOB の状態がキャプチャされています。Snapshots capture the blob state at a specific point in time. Azure VM ディスクの別のバックアップ方法として、ストレージ BLOB のスナップショットを取得し、別のストレージ アカウントにコピーできます。As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

BLOB 全体をコピーするか、または増分スナップショット コピーを使用して差分変更のみをコピーし、ストレージ スペースを削減できます。You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. 追加の予防措置として、BLOB ストレージ アカウントの論理的な削除を有効にできます。As an extra precaution, you can enable soft delete for Blob storage accounts. この機能が有効になっている場合、削除された BLOB は削除対象としてマークされますが、すぐには消去されません。With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. 猶予期間中は BLOB を復元できます。During the interim period, you can restore the blob.

詳細情報:Learn more:

サード パーティのバックアップThird-party backup

さらに、サード パーティのソリューションを使用して、Azure VM とストレージ コンテナーをローカル ストレージまたは他のクラウド プロバイダーにバックアップすることができます。In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. 詳細については、Azure Marketplace のバックアップ ソリューションに関するページをご覧ください。For more information, see Backup solutions in Azure Marketplace.

IaaS アプリケーションのディザスター リカバリーを設定するSet up disaster recovery for IaaS applications

BCDR の計画では、データの保護だけでなく、障害の発生時にアプリケーションとワークロードの可用性を維持する方法を検討する必要があります。In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. Azure IaaS VM および Azure Storage で実行されるワークロードについては、次のセクションのソリューションを検討してください。For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery は、障害が発生したときに Azure VM をオンラインにして VM アプリケーションを使用できるようにするための主要な Azure サービスです。Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery によって、プライマリ Azure リージョンからセカンダリ Azure リージョンに VM がレプリケートされます。Site Recovery replicates VMs from a primary to a secondary Azure region. 災害が発生した場合は、プライマリ リージョンから VM をフェールオーバーし、セカンダリ リージョンで通常どおり引き続き VM にアクセスします。If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. 操作が正常に戻ったら、プライマリ リージョンに VM をフェールバックできます。When operations return to normal, you can fail back VMs to the primary region.

Azure Site Recovery の図。Diagram of Azure Site Recovery. 図 11:Site Recovery。 "Figure 11: Site Recovery.

詳細情報:Learn more:

ベスト プラクティス:マネージド ディスクと可用性セットを使用するBest practice: Use managed disks and availability sets

Azure では、VM を論理的にグループ化し、セット内の VM を他のリソースから分離するために、可用性セットが使用されます。Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. 可用性セット内の VM は、別々のサブシステムを持つ複数の障害ドメインに分散されて、ローカル障害から保護されます。VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. また、それらの VM は複数の更新ドメインにも分散され、セット内のすべての VM が同時に再起動されることが防止されます。The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Azure マネージド ディスクによって VM ディスクに関連付けられているストレージ アカウントを管理することで、Azure Virtual Machines のディスク管理が簡素化されます。Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • 可能な限り、マネージド ディスクを使用してください。Use managed disks wherever possible. 使用するストレージの種類と必要なディスクのサイズを指定するだけで、ディスクの作成と管理は Azure によって行われます。You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • 既存のディスクをマネージド ディスクに変換できます。You can convert existing disks to managed disks.

  • 高い回復性と可用性のためには、可用性セットに VM を作成する必要があります。You should create VMs in availability sets for high resilience and availability. 計画済み、または計画外の停止が発生したときは、可用性セットによって、セット内の少なくとも 1 つの VM が使用可能であることが保証されます。When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    マネージド ディスクの図。 "図 12: マネージド ディスク。 "Diagram of managed disks. Figure 12: Managed disks.

詳細情報:Learn more:

ベスト プラクティス:リソースの使用状況とパフォーマンスを監視するBest practice: Monitor resource usage and performance

Azure の優れたスケーリング機能が目的で、Azure にワークロードを移動することがあります。You might have moved your workloads to Azure for its immense scaling capabilities. しかし、ワークロードを移動するだけで、何も入力しなくても、自動的にスケーリングが実装されるわけではありません。But moving your workload doesn't mean that Azure will automatically implement scaling without your input. 次に 2 つの例を示します。Here are two examples:

  • マーケティング組織が、トラフィックを 300% 増加させる新しいテレビ広告を配信した場合、サイトの可用性に問題が発生する可能性があります。If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. 新たに移行されたワークロードが割り当てられている制限に達し、クラッシュする恐れがあります。Your newly migrated workload might hit assigned limits, and crash.
  • 移行されたワークロードで分散型サービス拒否 (DDoS) 攻撃が発生している場合は、スケーリングしないことをお勧めします。If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. 攻撃元がリソースに到達するのを防ぐ必要があります。You want to prevent the source of the attacks from reaching your resources.

これら 2 つのケースの解決策は異なりますが、どちらの場合も、使用状況とパフォーマンスを監視して、何が起きているかについて分析情報を得る必要があります。These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Azure Monitor は、これらのメトリックを明らかにし、アラート、自動スケーリング、イベント ハブ、ロジック アプリによる応答を提供するのに役立ちます。Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, event hubs, and logic apps.

  • サード パーティ製の SIEM アプリケーションを統合して、Azure ログで監査とパフォーマンスのイベントを監視することもできます。You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Azure Monitor のスクリーンショット。 "図 13: Azure Monitor。 "Screenshot of Azure Monitor. Figure 13: Azure Monitor.

詳細情報:Learn more:

ベスト プラクティス:診断ログの有効化Best practice: Enable diagnostic logging

Azure リソースでは、かなり多くのログ メトリックとテレメトリ データが生成されます。Azure resources generate a fair number of logging metrics and telemetry data. 既定では、ほとんどのリソースの種類で診断ログは有効になっていません。By default, most resource types don't have diagnostic logging enabled. リソース全体で診断ログを有効にすることにより、ログ データのクエリを実行し、アラートとそれに基づくプレイブックを作成できます。By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

診断ログを有効にするとき、各リソースには特定のカテゴリのセットがあります。When you enable diagnostic logging, each resource will have a specific set of categories. 1 つまたは複数のログ カテゴリと、ログ データの場所を選択します。You select one or more logging categories, and a location for the log data. ログは、ストレージ アカウント、イベント ハブ、または Azure Monitor ログに送信できます。Logs can be sent to a storage account, event hub, or to Azure Monitor logs.

診断ログのスクリーンショット。 "図 14: 診断ログ。 "Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

詳細情報:Learn more:

ベスト プラクティス:アラートとプレイブックを設定するBest practice: Set up alerts and playbooks

Azure リソースの診断ログを有効にすると、ログ データを使用したカスタム アラートの作成を始めることができます。With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • アラートでは、監視データで条件が検出されると事前に通知されます。Alerts proactively notify you when conditions are found in your monitoring data. その後は、システムのユーザーがそれに気付く前に問題に対処することができます。You can then address issues before system users notice them. メトリックの値、ログ検索クエリ、アクティビティ ログ イベント、プラットフォームの正常性、Web サイトの可用性についてアラートを生成できます。You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • アラートがトリガーされたら、ロジック アプリのプレイブックを実行できます。When alerts are triggered, you can run a logic app playbook. プレイブックを使用すると、特定のアラートへの応答を自動化して調整できます。A playbook helps you to automate and orchestrate a response to a specific alert. プレイブックは、Azure Logic Apps に基づいています。Playbooks are based on Azure Logic Apps. ロジック アプリ テンプレートを使用してプレイブックを作成するか、独自のプレイブックを作成することができます。You can use logic app templates to create playbooks, or create your own.

  • 簡単な例としては、ネットワーク セキュリティ グループに対してポート スキャンが発生するとトリガーされるアラートを作成できます。As a simple example, you can create an alert that triggers when a port scan happens against a network security group. 実行してスキャン元の IP アドレスをロックするプレイブックを設定することができます。You can set up a playbook that runs and locks down the IP address of the scan origin.

  • もう 1 つの例は、メモリ リークが発生しているアプリケーションです。Another example is an application with a memory leak. メモリの使用量が特定のポイントに達したら、プレイブックでプロセスをリサイクルできます。When the memory usage gets to a certain point, a playbook can recycle the process.

    アラートのスクリーンショット。 "図 15: アラート。 "Screenshot of alerts. Figure 15: Alerts.

詳細情報:Learn more:

ベスト プラクティス:Azure ダッシュボードを使用するBest practice: Use the Azure dashboard

Azure portal は Web ベースの統合コンソールで、簡単な Web アプリから複雑なクラウド アプリケーションまですべてを構築、管理、監視することができます。The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. これには、カスタマイズ可能なダッシュボードとユーザー補助オプションが用意されています。It includes a customizable dashboard and accessibility options.

  • ダッシュボードを複数作成し、ご自分の Azure サブスクリプションにアクセスできる他のユーザーと共有することができます。You can create multiple dashboards, and share them with others who have access to your Azure subscriptions.

  • この共有モデルでは、チームは Azure 環境の内部を見ることができ、プロアクティブにクラウド内のシステムを管理できます。With this shared model, your team has visibility into the Azure environment, allowing them to be proactive when managing systems in the cloud.

    Azure ダッシュボードのスクリーンショット。 "図 16: Azure ダッシュボード。 "Screenshot of Azure dashboard. Figure 16: Azure dashboard.

詳細情報:Learn more:

ベスト プラクティス:サポート プランを理解するBest practice: Understand support plans

いつかは、社内のサポート担当者または Microsoft のサポート担当者との共同作業が必要になります。At some point, you will need to collaborate with your support staff or Microsoft support staff. ディザスター リカバリーなどのシナリオでのサポートに関するポリシーと手順のセットを用意しておくことが不可欠です。Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. さらに、管理者やサポート担当者は、これらのポリシーの実装に関するトレーニングを受ける必要があります。In addition, your admins and support staff should be trained on implementing those policies.

  • Azure サービスの問題によってワークロードに影響が発生した場合に備えて、管理者は、最も適切かつ効率的な方法で Microsoft にサポート チケットを送信する方法を知っている必要があります。In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Azure に対して提供されているさまざまなサポート プランを理解しておきます。Familiarize yourself with the various support plans offered for Azure. その範囲は、開発者インスタンス専用の応答時間から、応答時間が 15 分未満の Premier サポートにまで及びます。They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    サポート プランのスクリーンショット。 "図 17: サポート プラン。 "Screenshot of support plans. Figure 17: Support plans.

詳細情報:Learn more:

ベスト プラクティス:更新プログラムの管理Best practice: Manage updates

Azure VM をオペレーティング システムとソフトウェアの最新の更新プログラムで常に更新しておくことは、大変手間のかかる作業です。Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. すべての VM を把握し、それらに必要な更新プログラムを明らかにして、それらの更新プログラムを自動的にプッシュする機能は、非常に価値があります。The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • Azure Automation の更新管理を使用すると、オペレーティング システムの更新プログラムを管理できます。You can use update management in Azure Automation to manage operating system updates. これは、Azure、オンプレミス、および他のクラウド プロバイダーにデプロイされている Windows コンピューターと Linux コンピューターを実行するマシンに適用されます。This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Update Management を使用すると、すべてのエージェント コンピューターで利用可能な更新プログラムの状態をすばやく評価し、更新プログラムのインストールを管理できます。Use update management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • VM の更新の管理は、Azure Automation アカウントから直接有効にすることができます。You can enable update management for VMs directly from an Azure Automation account. Azure portal の VM のページから 1 つの VM を更新することもできます。You can also update a single VM from the VM page in the Azure portal.

  • さらに、Azure VM を System Center Configuration Manager に登録できます。In addition, you can register Azure VMs with System Center Configuration Manager. そうすると、Configuration Manager のワークロードを Azure に移行して、単一の Web インターフェイスからレポートの作成やソフトウェアの更新を行うことができます。You can then migrate the Configuration Manager workload to Azure, and do reporting and software updates from a single web interface.

    VM の更新の図。 "図 18: 更新。 "Diagram of VM updates. Figure 18: Updates.

詳細情報:Learn more:

変更管理プロセスを実装するImplement a change management process

他の運用システムと同様に、何らかの種類の変更によって環境に影響を与える可能性があります。As with any production system, making any type of change can affect your environment. 運用システムを変更するには要求を送信する必要がある変更管理プロセスは、移行後の環境において有用な追加機能です。A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • 変更管理のベスト プラクティス フレームワークを構築して、管理者やサポート担当者の認識を高めることができます。You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Azure Automation を使用して、移行されるワークフローの構成管理と変更追跡を支援できます。You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • 変更管理プロセスを適用するときは、監査ログを使用して、Azure の変更ログを既存の変更要求にリンクできます。When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. その後、対応する変更要求なしで行われた変更がある場合は、プロセスで発生した問題を調べることができます。Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure では、Azure Automation の変更追跡ソリューションを使用できます。Azure has a change-tracking solution in Azure Automation:

  • このソリューションでは、Windows および Linux のソフトウェアとファイル、Windows のレジストリ キー、Windows サービス、および Linux デーモンに対する変更が追跡されます。The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • 監視対象サーバーに対する変更は、処理するために Azure Monitor に送信されます。Changes on monitored servers are sent to Azure Monitor for processing.

  • 受信したデータにロジックが適用され、クラウド サービスによってそのデータが記録されます。Logic is applied to the received data, and the cloud service records the data.

  • [変更の追跡] ダッシュボードでは、サーバー インフラストラクチャで行われた変更を簡単に確認できます。On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    変更管理のスクリーンショット。 "図 19: 変更管理。 "Screenshot of change management. Figure 19: Change management.

詳細情報:Learn more:

次のステップNext steps

他のベスト プラクティスを確認します。Review other best practices: