ハイブリッドおよびマルチクラウド向け Azure Arc ランディング ゾーン アクセラレータのページには、Azure Arc 対応サーバーのデプロイを計画する際に考慮すべき一連のガイダンスがすべて記載されています。 このセクションでは、セキュリティ関連のコンテンツを取り上げています。
リソース階層と継承されたアクセス
マシンの接続先として選んだサブスクリプションとリソース グループは、Azure からマシンを表示および管理できる組織内のどのユーザーとアカウントかに影響します。 一般に、サーバーにアクセスする必要があるアカウントのグループに基づいてサーバーを整理する必要があります。 2 つのチームが 2 つの個別のサーバー セットを管理しており、互いのマシンを管理できないようにする場合は、2 つのリソース グループを使用し、そのリソース グループでサーバーへのアクセスを制御する必要があります。
オンボード資格情報
サーバーを Azure Arc に接続するときは、オンボード資格情報を使用して、Azure サブスクリプションにリソースを作成するマシンを認可する必要があります。 資格情報を指定するには、次の 3 つの方法があります。
対話型ログオン: ローカル Web ブラウザー (Windows のみ)、またはインターネットにアクセスできる任意のコンピューターで入力できるデバイス ログイン コードを使用します。
サービス プリンシパル: スクリプトによるエージェントのインストールに使用できる専用アカウントです。 サービス プリンシパルは、一意のアプリケーション ID と、プレーン テキストのシークレットまたは証明書のいずれかで構成されます。 サービス プリンシパルの使用を選んだ場合は、Microsoft Entra 条件付きアクセス ポリシーで制御できるため、シークレットではなく証明書を使用する必要があります。 資格情報が侵害されるリスクを最小限に抑えるために、サービス プリンシパルのシークレットと証明書へのアクセスを保護し、定期的にローテーションすることを忘れないでください。
アクセス トークン: 有効期限が短く、別の資格情報から取得されるものです。
使用する資格情報の種類に関係なく、最も重要な部分は、マシンを Azure Arc にオンボードするために必要なアクセス許可のみが付与され、余分なアクセス許可が付与されていないことを確認することです。 Azure Connected Machine オンボード ロールは、オンボード資格情報専用に設計されており、Azure で Azure Arc 対応サーバー リソースを作成および読み取るために必要なアクセス許可のみが含まれています。 また、ロールの割り当てのスコープを、サーバーのオンボードに必要なリソース グループまたはサブスクリプションのみに制限する必要があります。
オンボード資格情報は、azcmagent 接続ステップがサーバー上で実行されるときにのみ必要です。 サーバーが接続された後は必要ありません。 オンボード資格情報が期限切れになるか削除された場合でも、サーバーは引き続き Azure に接続されます。
悪意のあるアクターがオンボード資格情報にアクセスできた場合、その資格情報を使用して、組織の外部にあるサーバーをサブスクリプションまたはリソース グループ内の Azure Arc にオンボードする可能性があります。 プライベート エンドポイントを使用して、ネットワーク内の Azure Arc へのアクセスを制限することで、このような攻撃から保護できます。
オンボード スクリプトでのシークレットの保護
オンボード スクリプトには、サーバーを Azure に接続するために必要なすべての情報が含まれています。 これには、サーバー上で Azure Connected Machine Agent をダウンロード、インストール、構成する手順が含まれます。 また、そのサーバーを Azure に非対話形式で接続するために使用されるオンボード資格情報も含まれます。 オンボード資格情報が誤ってログに取り込まれ、間違った相手に渡らないように、オンボード資格情報を保護することが重要です。
運用環境のデプロイでは、Microsoft Configuration Manager、Red Hat Ansible、グループ ポリシーなどの自動化ツールを使用してオンボード スクリプトを調整するのが一般的です。 お使いのオートメーション ツールに、インストール スクリプトで使用されるシークレットを保護する方法があるかどうかを確認してください。 ない場合は、オンボード スクリプトのパラメーターを専用の構成ファイルに移動することを検討してください。 これにより、シークレットが解析されること、場合によってはコマンド ラインで直接ログされることを防止できます。 グループ ポリシーのオンボードに関するガイダンスのページには、構成ファイルを暗号化し、組織外のユーザーや他のものではなく、コンピューター アカウントのみが復号化できるようにするための追加の手順が記載されています。
オートメーション ツールを使って構成ファイルをサーバーにコピーする場合は、シークレットが必要以上に長く残らないように、完了後は必ずファイルをクリーンアップしてください。
さらに、すべての Azure リソースと同様に、Azure Arc 対応サーバーのタグはプレーン テキストとして保存されます。 タグには機密情報を含めないでください。
エージェントの更新情報
通常、Azure Connected Machine Agent の新しいバージョンは毎月リリースされます。 更新プログラムがリリースされる時期についての正確なスケジュールはありませんが、更新プログラムは毎月確認して適用する必要があります。 含まれている具体的な変更点などについては、すべての新しいリリースの一覧を参照してください。 ほとんどの更新プログラムには、セキュリティとパフォーマンスの改善が含まれています。 品質の修正プログラムが含まれています。 一部には、新しい機能も含まれています。 リリースに関する問題を解決するために修正プログラムが必要な場合は、新しいエージェント バージョンとしてリリースされ、通常のエージェント リリースと同じ方法で入手できます。
Azure Connected Machine Agent 自体は更新されません。 好みの更新管理ツールを使用して更新する必要があります。 Windows マシンの場合、更新プログラムは Microsoft Update を通じて配信されます。 スタンドアロンサーバーは、Microsoft Update にオプトインしてください (「他の Microsoft 製品の更新プログラムを受け取る」オプションを選択します)。 組織が Windows Server Update Services を使用して更新プログラムをローカルにキャッシュして承認する場合、WSUS 管理者は Azure Connected Machine Agent 製品の更新プログラムを同期して承認する必要があります。
Linux の更新プログラムは packages.microsoft.com に公開されます。 パッケージ管理ソフトウェア (apt、yum、dnf、zypper など) には、他のシステム パッケージと共に "azcmagent" の更新プログラムが表示されます。 詳細については、Linux エージェントのアップグレードに関する記事を参照してください。
Microsoft では、常に可能な限り最新のエージェント バージョンを使用することをお勧めします。 お客様のメンテナンス期間の頻度が低い場合でも、Microsoft は過去 12 か月以内にリリースされたすべてのエージェント バージョンをサポートします。 ただし、エージェントの更新プログラムにはセキュリティ修正プログラムが含まれているため、できるだけ頻繁に更新することをお勧めします。
Windows と Linux の両方で Azure Connected Machine Agent の更新プログラムを調整するパッチ管理ツールをお探しの場合は、Azure Update Manager を検討してください。
拡張機能の更新
拡張機能の自動更新
既定では、Azure Arc 対応サーバーにデプロイするすべての拡張機能で、拡張機能の自動アップグレードが有効になっています。 拡張機能の発行元がこの機能をサポートしている場合、拡張機能の新しいバージョンは、新しいバージョンがリリースされてから 60 日以内に自動的にインストールされます。 拡張機能の自動アップグレードは安全なデプロイ手法に従っています。つまり、一度に更新される拡張機能の数は少数です。 すべての拡張機能が更新されるまで、ロールアウトはリージョンとサブスクリプション全体でゆっくりと継続されます。
拡張機能の自動アップグレードを細かく制御することはできません。 常に最新バージョンの拡張機能にアップグレードされますが、アップグレードがいつ行われるかを選ぶことはできません。 拡張機能マネージャーは、拡張機能のアップグレードによってシステムの CPU が過剰に消費されたり、アップグレード中にワークロードが妨げられたりしないように、組み込みのリソース ガバナンスを備えています。
拡張機能の自動アップグレードを使用したくない場合は、Azure portal、CLI、または PowerShell を使用して、拡張機能ごと、サーバーごとに無効にすることができます。
拡張機能の手動更新
自動アップグレードをサポートしていない、または自動アップグレードが無効になっている拡張機能の場合は、Azure portal、CLI、または PowerShell を使用して拡張機能を最新バージョンにアップグレードできます。 CLI および PowerShell コマンドは、以前のバージョンに戻す必要がある場合に備えて、拡張機能のダウングレードもサポートしています。
オペレーティング システムの更新プログラム
インプレース アップグレード: Arc 対応マシン上でオペレーティング システムのインプレース アップグレードを実行しても、Azure Arc 接続には影響しません。 Connected Machine Agent は引き続き正常に機能する必要があり、Azure でそのサーバーを再オンボードする必要はありません。
オペレーティング システムの再インストール: オペレーティング システムを同じハードウェアに対して最初から再インストールすると、Connected Machine Agent は削除されます。 これにより、マシンに関連付けられている Azure リソースが自動的に削除されることはありません。 再インストールする前に azcmagent disconnect を使用してそのマシンを切断するか、ポータルまたはコマンド ライン ツールを使用して Azure からそのリソースを削除できます。 オペレーティング システムを再インストールした後、そのマシンに対して Connected Machine Agent を再インストールし、azcmagent connect を再実行して Azure Arc に再登録します。
ディスク暗号化の使用
Azure Connected Machine エージェントと Azure サービスとの通信には公開キー認証が使用されます。 サーバーを Azure Arc にオンボードすると、秘密キーがディスクに保存され、エージェントが Azure と通信するたびに使用されます。 盗まれた場合、別のサーバー上で秘密キーを使用してサービスと通信し、元のサーバーと同じように動作させることができます。 これには、システム割り当て ID と、その ID がアクセスできるすべてのリソースへのアクセス権の取得が含まれます。 秘密キー ファイルは、読み取りのために HIMDS アカウントのアクセスのみを許可するように保護されています。 オフライン攻撃を防ぐために、サーバーのオペレーティング システムのボリュームでディスク全体の暗号化 (BitLocker、dm-crypt など) を使用することを強くお勧めします。