Azure 仮想マシンのセキュリティの概要Azure Virtual Machines security overview

この記事では、仮想マシンで使用できるコアの Azure セキュリティ機能の概要を示します。This article provides an overview of the core Azure security features that can be used with virtual machines.

Azure Virtual Machines を使うと、さまざまなコンピューティング ソリューションを俊敏にデプロイできます。You can use Azure Virtual Machines to deploy a wide range of computing solutions in an agile way. このサービスは、Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP、および Azure BizTalk Services をサポートします。The service supports Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP, and Azure BizTalk Services. したがって、ほぼすべてのオペレーティング システム上に任意のワークロードと言語を展開できます。So you can deploy any workload and any language on nearly any operating system.

Azure Virtual Machine は、仮想マシンを実行する物理的なハードウェアを購入して維持する手間を省き、仮想化がもたらす柔軟性を提供します。An Azure virtual machine gives you the flexibility of virtualization without having to buy and maintain the physical hardware that runs the virtual machine. 高度にセキュリティ保護されたデータセンターでデータが保護されているという安心感を持って、アプリケーションを構築して展開できます。You can build and deploy your applications with the assurance that your data is protected and safe in highly secure datacenters.

Azure によって、セキュリティが強化され、コンプライアンスに準拠している、以下を可能にするソリューションを構築できます。With Azure, you can build security-enhanced, compliant solutions that:

  • 仮想マシンをウイルスやマルウェアから保護します。Protect your virtual machines from viruses and malware.
  • 機密データを暗号化します。Encrypt your sensitive data.
  • ネットワーク トラフィックをセキュリティで保護します。Secure network traffic.
  • 脅威を識別して検出します。Identify and detect threats.
  • コンプライアンス要件を満たします。Meet compliance requirements.

マルウェア対策Antimalware

Azure では、Microsoft、Symantec、Trend Micro、Kaspersky などのセキュリティ ベンダーのマルウェア対策ソフトウェアを使用できます。With Azure, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, and Kaspersky. このソフトウェアは、悪意のあるファイル、アドウェア、他の脅威から仮想マシンを保護するのに役立ちます。This software helps protect your virtual machines from malicious files, adware, and other threats.

Azure Cloud Services および 仮想マシン に対する Microsoft マルウェア対策は、ウイルス、スパイウェアなどの悪意のあるソフトウェアの特定や駆除に役立つリアルタイムの保護機能です。Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a real-time protection capability that helps identify and remove viruses, spyware, and other malicious software. Azure の Microsoft マルウェア対策は、既知の悪意あるまたは望ましくないソフトウェアが Azure システム上に自動でインストールまたは実行されそうになった場合に、構成可能なアラートを提供します。Microsoft Antimalware for Azure provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems.

Azure の Microsoft マルウェア対策は、アプリケーションやテナント環境のための単一エージェント ソリューションです。Microsoft Antimalware for Azure is a single-agent solution for applications and tenant environments. ユーザーの介入なしにバックグラウンドで実行するように設計されています。It's designed to run in the background without human intervention. アプリケーションのワークロードのニーズに基づいて、マルウェア対策監視など、基本的な既定のセキュリティまたは高度なカスタム構成で、保護をデプロイできます。You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring.

詳細については、Azure 向け Microsoft Antimalware と利用可能なコア機能に関するページを参照してください。Learn more about Microsoft Antimalware for Azure and the core features available.

仮想マシンを保護するマルウェア対策ソフトウェアの詳細については、以下を参照してください。Learn more about antimalware software to help protect your virtual machines:

さらに強力な保護のためには、Windows Defender の Advanced Threat Protection を使用することを検討してください。For even more powerful protection, consider using Windows Defender Advanced Threat Protection. Windows Defender の ATP を使用すると、以下が得られます。With Windows Defender ATP, you get:

詳細情報:Learn more:

ハードウェア セキュリティ モジュールHardware security module

キーのセキュリティを高めると、暗号化と認証による保護を強化できます。Improving key security can enhance encryption and authentication protections. 大切な秘密情報とキーを Azure Key Vault に格納して、それらの管理とセキュリティ保護をシンプルにできます。You can simplify the management and security of your critical secrets and keys by storing them in Azure Key Vault.

Key Vault では、オプションとして、キーを保管するためのハードウェア セキュリティ モジュール (HSM) が提供されています。HSM は FIPS 140-2 レベル 2 標準に準拠しています。Key Vault provides the option to store your keys in hardware security modules (HSMs) certified to FIPS 140-2 Level 2 standards. バックアップまたは Transparent Data Encryption 用の SQL Server 暗号化キーに加えて、アプリケーションのすべてのキーや秘密情報を Key Vault に格納できます。Your SQL Server encryption keys for backup or transparent data encryption can all be stored in Key Vault with any keys or secrets from your applications. 保護されたこれらのアイテムに対するアクセス許可とアクセスは、Azure Active Directory を通して管理されます。Permissions and access to these protected items are managed through Azure Active Directory.

詳細情報:Learn more:

仮想マシン ディスクの暗号化Virtual machine disk encryption

Azure Disk Encryption は、Windows および Linux 仮想マシン ディスクを暗号化する新機能です。Azure Disk Encryption is a new capability for encrypting your Windows and Linux virtual machine disks. Azure Disk Encryption では、Windows の業界標準である BitLocker 機能と Linux の dm-crypt 機能を使用して、OS およびデータ ディスクのボリュームの暗号化を提供します。Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the dm-crypt feature of Linux to provide volume encryption for the OS and the data disks.

このソリューションは Azure Key Vault と統合されており、ディスクの暗号化キーとシークレットは Key Vault サブスクリプションで制御および管理できます。The solution is integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets in your key vault subscription. 仮想マシン ディスク内のすべてのデータが、Azure Storage での保存時に暗号化されることを保証します。It ensures that all data in the virtual machine disks are encrypted at rest in Azure Storage.

詳細情報:Learn more:

仮想マシンのバックアップVirtual machine backup

Azure Backup は、設備投資なしで、また最小限の運用コストでアプリケーション データを保護できる、スケーラブルなソリューションです。Azure Backup is a scalable solution that helps protect your application data with zero capital investment and minimal operating costs. アプリケーション エラーが発生するとデータが破損するおそれがあり、ヒューマン エラーが生じればアプリケーションにバグが生まれる危険があります。Application errors can corrupt your data, and human errors can introduce bugs into your applications. Azure Backup により、Windows と Linux で実行されている仮想マシンが保護されます。With Azure Backup, your virtual machines running Windows and Linux are protected.

詳細情報:Learn more:

Azure Site RecoveryAzure Site Recovery

組織の BCDR 戦略において重要となるのは、計画済みおよび計画外の停止が発生した場合に企業のワークロードとアプリを継続して実行する方法を見極めることです。An important part of your organization's BCDR strategy is figuring out how to keep corporate workloads and apps running when planned and unplanned outages occur. Azure Site Recovery は、ワークロードとアプリのレプリケーション、フェールオーバー、および復旧を調整するため、1 次拠点がダウンした場合でも 2 次拠点からワークロードとアプリを利用できます。Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they're available from a secondary location if your primary location goes down.

Site Recovery:Site Recovery:

  • BCDR 戦略を簡素化:Site Recovery では、1 か所から複数のビジネス ワークロードとアプリのレプリケーション、フェールオーバー、および復旧を簡単に処理できます。Simplifies your BCDR strategy: Site Recovery makes it easy to handle replication, failover, and recovery of multiple business workloads and apps from a single location. Site Recovery はレプリケーションとフェールオーバーを調整しますが、アプリケーション データをインターセプトすることや、そのデータに関する情報を持つことはありません。Site Recovery orchestrates replication and failover but doesn't intercept your application data or have any information about it.
  • 柔軟なレプリケーション機能の提供:Site Recovery を使うことで、Hyper-V 仮想マシン、VMware 仮想マシン、および Windows または Linux の物理サーバーで実行されているワークロードをレプリケートできます。Provides flexible replication: By using Site Recovery, you can replicate workloads running on Hyper-V virtual machines, VMware virtual machines, and Windows/Linux physical servers.
  • フェールオーバーと復旧のサポート:Site Recovery では、運用環境に影響を与えずにディザスター リカバリーの練習ができるよう、テスト フェールオーバーの機能が用意されています。Supports failover and recovery: Site Recovery provides test failovers to support disaster recovery drills without affecting production environments. また、予期された停止の場合はデータ損失ゼロの計画されたフェールオーバーを実行し、予期しない停止の場合は (レプリケーションの頻度に応じた) 最小限のデータ損失で計画外のフェールオーバーを実行することもできます。You can also run planned failovers with a zero-data loss for expected outages, or unplanned failovers with minimal data loss (depending on replication frequency) for unexpected disasters. フェールオーバー後は、プライマリ サイトにフェールバックできます。After failover, you can fail back to your primary sites. Site Recovery に用意されている復旧計画には、多層アプリケーションのフェールオーバーと復旧をカスタマイズできるように、スクリプトや Azure Automation ブックが含まれています。Site Recovery provides recovery plans that can include scripts and Azure automation workbooks so that you can customize failover and recovery of multi-tier applications.
  • セカンダリ データセンターを排除:オンプレミスのセカンダリ サイトまたは Azure にレプリケートできます。Eliminates secondary datacenters: You can replicate to a secondary on-premises site, or to Azure. ディザスター リカバリーのためのレプリケーション先として Azure を使用すると、セカンダリ サイトの管理に伴うコストと手間が削減されます。Using Azure as a destination for disaster recovery eliminates the cost and complexity of maintaining a secondary site. レプリケートされたデータは Azure Storage に格納されます。Replicated data is stored in Azure Storage.
  • 既存の BCDR テクノロジとの統合:Site Recovery は、その他のアプリケーションの BCDR 機能と連携します。Integrates with existing BCDR technologies: Site Recovery partners with other applications' BCDR features. たとえば、Site Recovery を使用すると、企業のワークロードの SQL Server バックエンドを保護できます。For example, you can use Site Recovery to help protect the SQL Server back end of corporate workloads. これには、SQL Server Always On による可用性グループのフェールオーバーの管理のネイティブ サポートが含まれます。This includes native support for SQL Server Always On to manage the failover of availability groups.

詳細情報:Learn more:

仮想ネットワークVirtual networking

仮想マシンには、ネットワーク接続が必要です。Virtual machines need network connectivity. その要件に対応するため、Azure では、仮想マシンによる Azure 仮想ネットワークへの接続が必要となります。To support that requirement, Azure requires virtual machines to be connected to an Azure virtual network.

Azure 仮想ネットワークは、物理的な Azure ネットワーク ファブリック上に構築される論理的な構築物です。An Azure virtual network is a logical construct built on top of the physical Azure network fabric. 各論理 Azure 仮想ネットワークは、他のすべての Azure 仮想ネットワークから分離されています。Each logical Azure virtual network is isolated from all other Azure virtual networks. この分離は、他の Microsoft Azure ユーザーによるデプロイ内のネットワーク トラフィックへのアクセスを防ぐ上で役立ちます。This isolation helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

詳細情報:Learn more:

セキュリティ ポリシーの管理とレポートSecurity policy management and reporting

Azure Security Center は、脅威の防御、検出、対応を可能にする機能です。Azure Security Center helps you prevent, detect, and respond to threats. Security Center により、Azure リソースのセキュリティの可視化を向上させ、コントロールすることができます。Security Center gives you increased visibility into, and control over, the security of your Azure resources. Azure サブスクリプション間のセキュリティ監視とポリシー管理を総合的に提供します。It provides integrated security monitoring and policy management across your Azure subscriptions. Security Center は、見つけにくい脅威の検出を支援すると共に、さまざまなセキュリティ ソリューションをまとめた広範なエコシステムとして機能します。It helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Security Center は、仮想マシンのセキュリティの最適化と監視に役立つ次の機能を備えています。Security Center helps you optimize and monitor the security of your virtual machines by:

  • 仮想マシンのセキュリティに関する推奨事項の提供。Providing security recommendations for the virtual machines. 推奨事項の例としては、システム更新プログラムの適用、ACL エンドポイント、マルウェア対策の有効化、ネットワーク セキュリティ グループの有効化、ディスク暗号化の適用などがあります。Example recommendations include: apply system updates, configure ACLs endpoints, enable antimalware, enable network security groups, and apply disk encryption.
  • 仮想マシンの状態の監視。Monitoring the state of your virtual machines.

詳細情報:Learn more:

コンプライアンスCompliance

Azure Virtual Machines は、FISMA、FedRAMP、HIPAA、PCI DSS レベル 1、その他の主要なコンプライアンス プログラムの認定を受けています。Azure Virtual Machines is certified for FISMA, FedRAMP, HIPAA, PCI DSS Level 1, and other key compliance programs. この認定により、Azure アプリケーションをコンプライアンス要件に準拠させ、広範に及ぶ国内および国際的な規制の要件にビジネスを対応させることが容易になります。This certification makes it easier for your own Azure applications to meet compliance requirements and for your business to address a wide range of domestic and international regulatory requirements.

詳細情報:Learn more:

Confidential ComputingConfidential Computing

Confidential Computing は、技術的には仮想マシンのセキュリティの一部ではありません。仮想マシンのセキュリティのトピックは、"コンピューティング" のセキュリティの、高レベルのテーマに属します。While confidential computing is not technically part of virtual machine security, the topic of virtual machine security belongs to the higher-level subject of "compute" security. Confidential Computing は、カテゴリとしては、"コンピューティング" のセキュリティに属しています。Confidential computing belongs within the category of "compute" security.

Confidential Computing により、データが効率的な処理のために必要な "クリアの状態" にあるとき、データは信頼できる実行環境 https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - エンクレーブとも呼ばれます) 内で確実に保護されるようになっています。その例を、下の図に示しています。Confidential computing ensures that when data is "in the clear," which is required for efficient processing, the data is protected inside a Trusted Execution Environment https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - also known as an enclave), an example of which is shown in the figure below.

TEE によって、外部からは、デバッガーを使用しても内部のデータや操作を見る方法がないようになっています。TEEs ensure there is no way to view data or the operations inside from the outside, even with a debugger. それらは、承認されたコードのみがデータへのアクセスを許可されるようにさえしています。They even ensure that only authorized code is permitted to access data. コードが変更されたり改ざんされたりしている場合、操作は拒否され、環境が無効にされます。If the code is altered or tampered, the operations are denied and the environment disabled. TEE は、その内部でのコードの実行全体を通して、これらの保護を強制します。The TEE enforces these protections throughout the execution of code within it.

詳細情報:Learn more:

次のステップNext steps

VM とオペレーティング システムのセキュリティに関するベスト プラクティスについて説明します。Learn about security best practices for VMs and operating systems.