Azure における IaaS ワークロードのセキュリティに関するベスト プラクティスSecurity best practices for IaaS workloads in Azure

この記事では、VM とオペレーティング システムのセキュリティに関するベスト プラクティスについて説明します。This article describes security best practices for VMs and operating systems.

これらのベスト プラクティスは、集約された意見に基づくものであり、Azure プラットフォームの最新の機能に対応しています。The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. 人の考え方やテクノロジは時間の経過と共に変化する可能性があるため、この記事はそれらの変化に応じて更新されます。Because opinions and technologies can change over time, this article will be updated to reflect those changes.

ほとんどの IaaS (サービスとしてのインフラストラクチャ) で、クラウド コンピューティングを使用している組織にとっての主要なワークロードは Azure 仮想マシン (VM) です。In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. この事実は、ワークロードを段階的にクラウドに移行するハイブリッド シナリオで顕著となります。This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. IaaS のセキュリティに関する一般的な考慮事項に従い、セキュリティのベスト プラクティスをすべての VM に適用することになります。In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Shared responsibilityShared responsibility

お客様のセキュリティの責任は、クラウド サービスの種類に応じて決まります。Your responsibility for security is based on the type of cloud service. 表は、Microsoft とお客様の責任の分担をまとめたものです。The following chart summarizes the balance of responsibility for both Microsoft and you:

責任の分担

セキュリティ要件は、さまざまな種類のワークロードを含む多くの要因によって異なります。Security requirements vary depending on a number of factors including different types of workloads. ここで説明するベスト プラクティスの 1 つだけを適用してシステムを保護できるわけではありません。Not one of these best practices can by itself secure your systems. セキュリティの他の要素と同様、適切なオプションを選択しつつ、複数のソリューションが互いに不足した部分を補完し合う方法について検討する必要があります。Like anything else in security, you have to choose the appropriate options and see how the solutions can complement each other by filling gaps.

認証とアクセス制御を使用して VM を保護するProtect VMs by using authentication and access control

VM 保護の第一歩は、承認されたユーザーのみが新しい VM を設定し、VM にアクセスできるようにすることです。The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

注意

Azure の Linux VM のセキュリティを強化するために、Azure AD の認証と統合できます。To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. Linux VM に Azure AD の認証を使用することで、VM へのアクセスを許可/拒否するポリシーを一元管理および施行します。When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

ベスト プラクティス: VM へのアクセスを制御する。Best practice: Control VM access.
詳細:Azure ポリシーを使用して、組織内のリソース向けの規則を確立し、カスタマイズ ポリシーを作成します。Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. これらのポリシーをリソース グループなどのリソースに適用します。Apply these policies to resources, such as resource groups. リソース グループに属する VM は、それらのポリシーを継承します。VMs that belong to a resource group inherit its policies.

組織に多数のサブスクリプションがある場合は、これらのサブスクリプションのアクセス、ポリシー、およびコンプライアンスを効率的に管理する方法が必要になることがあります。If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure 管理グループの範囲は、サブスクリプションを上回ります。Azure management groups provide a level of scope above subscriptions. サブスクリプションを管理グループ (コンテナー) にまとめ、それらのグループに管理条件を適用できます。You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. 管理グループ内のすべてのサブスクリプションは、グループに適用された条件を自動的に継承します。All subscriptions within a management group automatically inherit the conditions applied to the group. 管理グループを使うと、サブスクリプションの種類に関係なく、大きな規模でエンタープライズ レベルの管理を行うことができます。Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

ベスト プラクティス:VM の設定とデプロイ方法のばらつきを減らす。Best practice: Reduce variability in your setup and deployment of VMs.
詳細:Azure Resource Manager テンプレートを使用して、デプロイの選択の自由を強化し、環境内の VM を理解してインベントリを実行しやすくします。Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

ベスト プラクティス:特権アクセスをセキュリティで保護する。Best practice: Secure privileged access.
詳細:最低限の特権と Azure に組み込まれているロールを使用して、ユーザーが VM へのアクセスと設定を実行できるようにします。Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • 仮想マシン共同作成者:VM を管理することはできますが、それが接続されている仮想ネットワークまたはストレージ アカウントを管理することはできません。Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • 従来の仮想マシン共同作成者:クラシック デプロイ モデルを使って作成された VM を管理することはできますが、その VM が接続されている仮想ネットワークまたはストレージ アカウントを管理することはできません。Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • セキュリティ管理者:Security Center のみ:セキュリティ ポリシーの表示、セキュリティ状態の表示、セキュリティ ポリシーの編集、アラートと推奨事項の表示、アラートと推奨事項の却下を行うことができます。Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • DevTest Labs ユーザー:すべてを表示し、VM を接続、開始、再起動、シャットダウンできます。DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

サブスクリプション管理者と共同管理者は、この設定を変更して、彼らをサブスクリプション内のすべての VM の管理者にすることができます。Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. マシンにログインするすべてのサブスクリプション管理者と共同管理者を信頼できることを確認してください。Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

注意

ライフサイクルが同じ VM は、同じリソース グループにまとめることをお勧めします。We recommend that you consolidate VMs with the same lifecycle into the same resource group. 皆さんが使用するリソースは、リソース グループを使ってデプロイして監視し、請求額をまとめることができます。By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

組織は、VM へのアクセスと設定を制御することで、VM の総合的なセキュリティを向上させることができます。Organizations that control VM access and setup improve their overall VM security.

可用性を高めるために複数の VM を使用するUse multiple VMs for better availability

高可用性を必要とする重要なアプリケーションが仮想マシンで実行されている場合は、複数の VM を使うことを強くお勧めします。If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. 可用性を高めるには、可用性セットを使用します。For better availability, use an availability set.

可用性セットは、Azure で使用できる論理グループであり、グループに配置された VM リソースは、Azure データ センター内にデプロイされるときに互いに分離されます。An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure では、可用性セット内に配置された VM は、複数の物理サーバー、コンピューティング ラック、ストレージ ユニット、およびネットワーク スイッチ間で実行されることが保証されます。Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. ハードウェアまたは Azure ソフトウェアの障害が発生した場合に影響を受けるのは VM のサブセットに限定され、顧客は引き続きアプリケーション全体を利用できます。If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. 可用性セットは、信頼性の高いクラウド ソリューションを構築する際に不可欠な機能です。Availability sets are an essential capability when you want to build reliable cloud solutions.

マルウェアを防ぐProtect against malware

ウイルスやスパイウェアなどの悪意のあるソフトウェアを識別して削除するために、マルウェア対策保護を導入する必要があります。You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Microsoft Antimalware または Microsoft パートナーのエンドポイント保護ソリューション (Trend MicroSymantecMcAfeeWindows Defender、およびSystem Center Endpoint Protection) をインストールします。You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Symantec, McAfee, Windows Defender, and System Center Endpoint Protection).

Microsoft Antimalware には、リアルタイム保護、スケジュールされたスキャン、マルウェアの駆除、シグネチャの更新、エンジンの更新、サンプルのレポート、および除外イベントの収集などの機能が含まれます。Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. 運用環境とは別にホストされている環境では、マルウェア対策拡張機能を使用して、VM とクラウド サービスを保護できます。For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

デプロイと検出の組み込み (アラートとインシデント) を容易にするために、Microsoft Antimalware とパートナー ソリューションを Azure Security Center と統合できます。You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

ベスト プラクティス:マルウェアから保護するためにマルウェア対策ソリューションをインストールする。Best practice: Install an antimalware solution to protect against malware.
詳細:Microsoft パートナーのソリューションまたは Microsoft Antimalware をインストールします。Detail: Install a Microsoft partner solution or Microsoft Antimalware

ベスト プラクティス:マルウェア対策ソリューションを Security Center と統合して、保護の状態を監視する。Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
詳細:Security Center でエンドポイントの保護に関する問題を管理します。Detail: Manage endpoint protection issues with Security Center

VM の更新の管理Manage your VM updates

Azure VM は、他の VM と同じように、ユーザーによって管理されることを意図しています。Azure VMs, like all on-premises VMs, are meant to be user managed. Azure では、それらに対して Windows 更新プログラムをプッシュしません。Azure doesn't push Windows updates to them. VM の更新は、お客様が管理する必要があります。You need to manage your VM updates.

ベスト プラクティス:VM を最新の状態に保つ。Best practice: Keep your VMs current.
詳細:Azure Automation の Update Management ソリューションを使用すると、Azure、オンプレミスの環境、またはその他のクラウド プロバイダーにデプロイされた Windows コンピューターと Linux コンピューターに関して、オペレーティング システムの更新プログラムを管理できます。Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. すべてのエージェント コンピューターで利用可能な更新プログラムの状態をすばやく評価し、サーバーに必要な更新プログラムをインストールするプロセスを管理できます。You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Update Management で管理されるコンピューターでは、評価と更新プログラムのデプロイに次の構成を使用します。Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Windows または Linux 用の Microsoft Monitoring Agent (MMA)Microsoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell Desired State Configuration (DSC) (Linux の場合)PowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook WorkerAutomation Hybrid Runbook Worker
  • Microsoft Update または Windows Server Update Services (WSUS) (Windows コンピューターの場合)Microsoft Update or Windows Server Update Services (WSUS) for Windows computers

Windows Update を使用している場合は、自動 Windows Update の設定は有効のままにしておきます。If you use Windows Update, leave the automatic Windows Update setting enabled.

ベスト プラクティス:デプロイ時に作成したイメージに Windows 更新プログラムの最新の適用が含まれていることを確認する。Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
詳細:Windows の更新プログラムを確認してすべてインストールすることは、あらゆるデプロイの第一歩です。Detail: Check for and install all Windows updates as a first step of every deployment. 独自にイメージをデプロイするときや、独自のライブラリからイメージをデプロイするときは、このことが特に重要となります。This measure is especially important to apply when you deploy images that come from either you or your own library. ただし、Azure Marketplace のイメージは既定で自動的に更新されますが、公開リリース後は遅れが発生する可能性があります (最大数週間)。Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

ベスト プラクティス:VM を定期的に再デプロイして、OS の最新バージョンを使用する。Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
詳細:VM を Azure Resource Manager テンプレートを使用して VM を定義して、簡単に再デプロイできるようにします。Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. テンプレートを使用すると、必要なときに、修正プログラムが適用されセキュリティで保護された VM を設定できます。Using a template gives you a patched and secure VM when you need it.

ベスト プラクティス: VM にセキュリティ更新プログラムを迅速に適用する。Best practice: Rapidly apply security updates to VMs.
詳細: Azure Security Center (Free レベルまたは Standard レベル) を有効にし、不足しているセキュリティ更新プログラムを特定して適用します。Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

ベスト プラクティス: 最新のセキュリティ更新プログラムをインストールする。Best practice: Install the latest security updates.
詳細:お客様が最初に Azure に移動するワークロードに、ラボと外部向けのシステムがあります。Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. インターネットへのアクセスが必要なアプリケーションまたはサービスを Azure VM でホストしている場合は、修正プログラムの適用を忘れずに実行してください。If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. これは、オペレーティング システムへの修正プログラムの適用だけではありません。Patch beyond the operating system. サード パーティ アプリケーションでも、修正プログラムの未適用による脆弱性が原因で問題が発生する可能性があります。このような問題は、適切な修正プログラム管理が行われていれば回避できます。Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

ベスト プラクティス:バックアップ ソリューションをデプロイしてテストする。Best practice: Deploy and test a backup solution.
詳細:セキュリティ更新プログラムと同様、バックアップについても、他の操作と同じ方法で対処する必要があります。Detail: A backup needs to be handled the same way that you handle any other operation. これは、クラウドに拡張する運用環境に含まれるシステムに該当します。This is true of systems that are part of your production environment extending to the cloud.

テスト用システムと開発用システムは、ユーザーがオンプレミス環境の経験で使い慣れているのと同様の復元機能を提供できるバックアップ戦略に沿う必要があります。Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. Azure に移動する運用ワークロードは、可能な限り、既存のバックアップ ソリューションと統合するのが適切です。Production workloads moved to Azure should integrate with existing backup solutions when possible. または、Azure Backup を使用してバックアップ要件に対処することもできます。Or, you can use Azure Backup to help address your backup requirements.

ソフトウェア更新ポリシーを適用していない組織は、既に修正されている既知の脆弱性を悪用した脅威にさらされやすくなります。Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. 企業は業界の規制を遵守するために、適切なセキュリティ制御を使用して、クラウドに存在するワークロードのセキュリティ強化に努めていることを証明する必要があります。To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

ソフトウェア更新のベスト プラクティスについては、従来のデータセンターと Azure IaaS とで多くの類似点があります。Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. 現在のソフトウェア更新ポリシーを評価して、Azure 内に配置されている VM を対象に含めることをお勧めします。We recommend that you evaluate your current software update policies to include VMs located in Azure.

VM のセキュリティ体制の維持Manage your VM security posture

サイバー攻撃の脅威は進化しています。Cyberthreats are evolving. VM を保護するには、脅威をすばやく検出し、リソースへの不正アクセスを防止し、アラートをトリガーし、偽陽性を減らすことができる、より高性能の監視機能が必要です。Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Windows VMLinux VM のセキュリティ体制を監視するには、Azure Security Center を使用します。To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. Security Center では、次の機能を利用して VM を保護します。In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • 推奨される構成規則を使用して OS のセキュリティ設定を適用する。Apply OS security settings with recommended configuration rules.
  • 不足している可能性のあるシステムのセキュリティ更新プログラムと重要な更新プログラムを特定してダウンロードする。Identify and download system security and critical updates that might be missing.
  • エンドポイント保護の推奨事項をデプロイする。Deploy recommendations for endpoint antimalware protection.
  • ディスク暗号化を検証する。Validate disk encryption.
  • 脆弱性を評価して修復する。Assess and remediate vulnerabilities.
  • 脅威を検出する。Detect threats.

Security Center は脅威を積極的に監視でき、脅威のリスクはセキュリティ通知で公開されます。Security Center can actively monitor for threats, and potential threats are exposed in security alerts. 関連性のある脅威は、セキュリティ インシデントと呼ばれる 1 つのビューに集約されます。Correlated threats are aggregated in a single view called a security incident.

Security Center では、データを Azure Monitor ログに格納します。Security Center stores data in Azure Monitor logs. Azure Monitor ログには、アプリケーションとリソースの操作に関する分析情報を提供するクエリ言語と分析エンジンがあります。Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. データは、Azure Monitor、管理ソリューション、およびクラウドやオンプレミスの仮想マシンにインストールされたエージェントからも収集されます。Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. この共有機能は、環境の全体像を把握するうえで役に立ちます。This shared functionality helps you form a complete picture of your environment.

許可のないユーザーがセキュリティ制御を回避しようとする試みは、VM を強固なセキュリティで保護していなければ認識できません。Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

VM パフォーマンスの監視Monitor VM performance

VM のプロセスが必要以上に多くのリソースを消費しているときは、リソースの酷使が問題になる可能性があります。Resource abuse can be a problem when VM processes consume more resources than they should. VM のパフォーマンスの問題はサービス中断に発展する場合があり、そうなれば可用性というセキュリティの原則を損ないます。Performance issues with a VM can lead to service disruption, which violates the security principle of availability. CPU またはメモリの使用率の高さはサービス拒否 (DoS) 攻撃を示唆していることがあるため、IIS や他の Web サーバーをホストしている VM にとって、これは特に重要です。This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. VM のアクセスを監視することは、問題発生時の対処としてのみならず、通常運用時に測定された基準パフォーマンスと照らして能動的に行うことが不可欠となります。It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Azure Monitor を使用してリソースの正常性を把握することをお勧めします。We recommend that you use Azure Monitor to gain visibility into your resource’s health. Azure Monitor には次の特長があります。Azure Monitor features:

VM のパフォーマンスを監視していない組織は、パフォーマンス パターンにおけるある変化が正常であるか異常であるかを判断できません。Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. 消費しているリソースが通常よりも多い VM は、外部リソースからの攻撃を受けているか、その VM で実行されているプロセスが侵害されていることを示唆している可能性があります。A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

仮想ハード ディスク ファイルを暗号化するEncrypt your virtual hard disk files

ブート ボリュームとストレージに保存されているデータ ボリュームに加え、暗号化キーとシークレットを保護できるように、仮想 ハード ディスク (VHD) を暗号化することをお勧めします。We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Azure Disk Encryption を使用して、Windows と Linux の IaaS 仮想マシンのディスクを暗号化できます。Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Azure Disk Encryption では、Windows の業界標準である BitLocker 機能と Linux の DM-Crypt 機能を使用して、OS とデータ ディスクのボリュームの暗号化を提供します。Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. このソリューションは Azure Key Vault と統合されており、ディスクの暗号化キーとシークレットは Key Vault サブスクリプションで制御および管理できます。The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. また、このソリューションでは、仮想マシン ディスク上のすべてのデータが、Azure Storage での保存時に暗号化されます。The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Azure Disk Encryption 使用時のベスト プラクティスを次に示します。Following are best practices for using Azure Disk Encryption:

ベスト プラクティス:VM の暗号化を有効にする。Best practice: Enable encryption on VMs.
詳細:Azure Disk Encryption は、暗号化キーを生成してキー コンテナーに書き込みます。Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Key Vault の暗号化キーを管理するには、Azure AD 認証が必要です。Managing encryption keys in your key vault requires Azure AD authentication. この目的で Azure AD アプリケーションを作成します。Create an Azure AD application for this purpose. 認証には、クライアント シークレット ベースの認証か、クライアント証明書ベースの Azure AD 認証を使用できます。For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

ベスト プラクティス:暗号化キーのセキュリティに対する追加レイヤーとしてキー暗号化キー (KEK) を使用する。Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. キー コンテナーに KEK を追加します。Add a KEK to your key vault.
詳細: キー コンテナーにキー暗号化キーを作成するには、Add-AzKeyVaultKey コマンドレットを使用します。Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. キー管理用のオンプレミスのハードウェア セキュリティ モジュール (HSM) から KEK をインポートすることもできます。You can also import a KEK from your on-premises hardware security module (HSM) for key management. 詳細については、Key Vault のドキュメントを参照してください。For more information, see the Key Vault documentation. キー暗号化キーが指定されている場合、Azure Disk Encryption では、Key Vault への書き込みの前に、そのキーを使用して暗号化シークレットがラップされます。When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. このキーのエスクロー コピーをオンプレミスのキー管理 HSM で保持することは、キーを誤って削除した場合の二重の保護を提供します。Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

ベスト プラクティス:ディスクを暗号化する前に、スナップショットまたはバックアップ、あるいはその両方を作成する。Best practice: Take a snapshot and/or backup before disks are encrypted. バックアップは、暗号化中に予期しないエラーが発生した場合の回復オプションを提供します。Backups provide a recovery option if an unexpected failure happens during encryption.
詳細:マネージド ディスクを含む VM では、暗号化する前にバックアップが必要になります。Detail: VMs with managed disks require a backup before encryption occurs. バックアップを作成した後、Set-AzVMDiskEncryptionExtension コマンドレットで -skipVmBackup パラメーターを指定して、マネージド ディスクを暗号化できます。After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. 暗号化された VM のバックアップと復元方法の詳細については、Azure Backup に関する記事を参照してください。For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

ベスト プラクティス:暗号化シークレットがリージョンの境界を越えないようにするため、Azure Disk Encryption ではキー コンテナーと VM を同じリージョンに併置する必要がある。Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
詳細:暗号化する VM と同じリージョン内にキー コンテナーを作成して使用します。Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Azure Disk Encryption を適用すると、次のビジネス ニーズに対応できます。When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • 業界標準の暗号化テクノロジを通して保存中の IaaS VM をセキュリティで保護し、組織のセキュリティおよびコンプライアンス要件に対処します。IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • IaaS VM はお客様が管理するキーとポリシーに従って起動します。さらに、キー コンテナー内のそれらの使用状況を監査できます。IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

インターネットへの直接接続を制限するRestrict direct internet connectivity

VM からインターネットへの直接接続を監視して制限します。Monitor and restrict VM direct internet connectivity. 攻撃者は、パブリック クラウドの IP 範囲を常にスキャンして開いている管理ポートを検索し、よく使用されるパスワードや修正プログラムが適用されていない既知の脆弱性などの "簡単な" 攻撃を試みます。Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. 次の表に、こうした攻撃から保護するためのベスト プラクティスを示します。The following table lists best practices to help protect against these attacks:

ベスト プラクティス: ネットワーク ルーティングやセキュリティの不注意による漏洩を回避する。Best practice: Prevent inadvertent exposure to network routing and security.
詳細: RBAC を使用して、中央のネットワーク グループのみがネットワーク リソースへのアクセス許可を持つようにします。Detail: Use RBAC to ensure that only the central networking group has permission to networking resources.

ベスト プラクティス: "あらゆる" 発信元 IP アドレスからアクセス可能な露出した VM を特定して修復する。Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
詳細: Azure Security Center を使用します。Detail: Use Azure Security Center. Security Center では、ネットワーク セキュリティ グループのいずれかに、"あらゆる" 発信元 IP アドレスからのアクセスを許可する 1 つ以上の受信規則が含まれている場合に、インターネットに接続するエンドポイント経由のアクセスを制限するよう推奨します。Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Security Center では、これらの受信規則を編集して、実際にアクセスを必要とする発信元 IP アドレスにアクセスを制限するよう推奨します。Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

ベスト プラクティス: 管理ポートを制限する (RDP、SSH)。Best practice: Restrict management ports (RDP, SSH).
詳細: Just-In-Time (JIT) VM アクセスを使用すると、Azure VM への受信トラフィックをロックダウンすることができるので、攻撃に対する露出が減り、VM への接続が必要な場合は簡単にアクセスできます。Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. JIT が有効になっている場合、Security Center ではネットワーク セキュリティ グループの規則の作成により、Azure VM への受信トラフィックがロックダウンされます。When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. ユーザーは VM 上の受信トラフィックがロックダウンされるポートを選択します。You select the ports on the VM to which inbound traffic will be locked down. これらのポートは、JIT ソリューションによって制御されます。These ports are controlled by the JIT solution.

次の手順Next steps

Azure を使用してクラウド ソリューションを設計、デプロイ、管理するときに使用するセキュリティのベスト プラクティスの詳細については、「Azure セキュリティのベスト プラクティスとパターン」を参照してください。See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Azure のセキュリティとそれに関連する Microsoft サービスの一般情報については、以下のリソースを参照してください。The following resources are available to provide more general information about Azure security and related Microsoft services: