Azure における運用のコンプライアンス
"運用のコンプライアンス" は、すべてのクラウド管理ベースラインにおける 2 つ目の規範です。
運用のコンプライアンスを強化することで、構成のずれに関連した機能停止や、システムのパッチが不適切に適用されたことに関連した脆弱性の可能性を小さくすることができます。
すべてのエンタープライズグレード環境について、管理ベースラインの推奨最小値の概要を次の表に示します。
Process | ツール | 目的 |
---|---|---|
更新プログラムの管理 | Azure Automation の Update Management | 更新プログラムの管理とスケジューリング |
ポリシーの適用 | Azure Policy | 環境とゲストのコンプライアンスを確保するためのポリシーの適用 |
環境の構成 | Azure Blueprint | コア サービスの自動化されたコンプライアンス |
リソース構成 | 必要な状態の構成 | ゲスト OS と環境のいくつかの側面の自動構成 |
更新管理
Azure Automation の Update Management ソリューションによって管理されるコンピューターでは、次の構成を使用して評価と更新プログラムのデプロイが実行されます。
- Windows または Linux 用 Log Analytics エージェント。
- PowerShell Desired State Configuration (DSC) (Linux の場合)。
- Azure Automation の Hybrid Runbook Worker。
- Microsoft Update または Windows Server Update Services (WSUS) (Windows コンピューターの場合)。
詳細については、Azure Automation の Update Management ソリューションに関する記事をご覧ください。
警告
Update Management を使用するには、あらかじめ仮想マシンまたはサブスクリプション全体を Log Analytics および Azure Automation にオンボードしておく必要があります。
オンボードには、次の 2 つの方法があります。
Update Management に進む前に、いずれかに従う必要があります。
更新プログラムの管理
リソース グループにポリシーを適用するには:
- [Azure Automation] に移動します。
- [Automation アカウント] を選択し、一覧表示されているアカウントの 1 つを選択します。
- [構成管理] に移動します。
- [インベントリ]、[変更管理]、[State Configuration] を使用して、マネージド VM の状態と運用のコンプライアンスを制御します。
Azure Policy
Azure Policy は、ガバナンス プロセス全体で使用されます。 クラウド管理プロセス内でも大いに役立ちます。 Azure Policy では、Azure リソースを監査および修復でき、マシン内の設定を監査することもできます。 検証は、ゲスト構成の拡張機能とクライアントによって実行されます。 クライアントを介した拡張機能によって、次のような設定が検証されます。
- オペレーティング システムの構成。
- アプリケーションの構成または存在。
- 環境設定。
Azure Policy ゲスト構成では、現在、マシン内の設定の監査のみを行います。 構成は適用されません。
このプロセスの重要な部分は、Azure Policy の割り当てを維持および更新し、ガバナンス プロセスで必要になったときに更新することです。 コードとしてのインフラストラクチャを使用すると、ポリシー インフラストラクチャの更新と管理に役立ちます。 詳細については、「コードとしてのインフラストラクチャを使用して Azure ランディング ゾーンを更新する」を参照してください。
アクション
組み込みのポリシーを管理グループ、サブスクリプション、またはリソース グループに割り当てます。
ポリシーを適用する
リソース グループにポリシーを適用するには:
- Azure Policy に移動します。
- [ポリシーを割り当てる] を選択します。
詳細情報
詳細については、次を参照してください。
Azure Blueprint
Azure Blueprints を使用すると、クラウド アーキテクトや中央の情報テクノロジ グループは、反復可能な一連の Azure リソースを定義できます。 これらのリソースによって、組織の標準、パターン、および要件が実装され、遵守されます。
Azure Blueprints を使用すると、開発チームは新しい環境を迅速に構築して立ち上げることができます。 チームは、組織のコンプライアンスに従って構築しているという確信を得ることができます。 そのためには、ネットワークなどの一連の組み込みコンポーネントを使用して、開発とデリバリーを高速化します。
ブループリントは、さまざまなリソース テンプレートや以下のようなその他のアーティファクトのデプロイを宣言によって調整する手法です。
- ロールの割り当て。
- ポリシーの割り当て。
- Azure Resource Manager のテンプレート。
- リソース グループ。
クラウド ガバナンス チームがまだこの適用を行っていない場合は、ブループリントを適用することによって、環境における運用のコンプライアンスを徹底することができます。
ブループリントを作成する
ブループリントを作成するには:
- [Blueprints:Getting started] (ブループリント: 作業の開始) に移動します。
- [ブループリントの作成] ペインで、 [作成] を選択します。
- ブループリントの一覧をフィルター処理して、適切なブループリントを選択します。
- ブループリントの名前 ボックスに、ブループリントの名前を入力します。
- [定義の場所] を選択し、適切な場所を選択します。
- [次へ :アーティファクト] を選択し、ブループリントに含まれるアーティファクトを確認します。
- [下書きの保存] を選択します。
- [Blueprints:Getting started] (ブループリント: 作業の開始) に移動します。
- [ブループリントの作成] ペインで、 [作成] を選択します。
- ブループリントの一覧をフィルター処理して、適切なブループリントを選択します。
- ブループリントの名前 ボックスに、ブループリントの名前を入力します。
- [定義の場所] を選択し、適切な場所を選択します。
- [次へ :アーティファクト] を選択し、ブループリントに含まれるアーティファクトを確認します。
- [下書きの保存] を選択します。
ブループリントを発行する
ブループリント アーティファクトをサブスクリプションに対して発行するには、次のようにします。
- [ブループリント>ブループリントの定義] に移動します。
- 前の手順で作成したブループリントを選択します。
- ブループリントの定義を確認し、 [ブループリントを発行する] を選択します。
- [Version](バージョン) ボックスに「1.0」のようなバージョンを入力します。
- [変更に関するメモ] ボックスに、メモを入力します。
- [発行] を選択します。
- Azure portal で [ブループリント: ブループリントの定義] に移動します。
- 前の手順で作成したブループリントを選択します。
- ブループリントの定義を確認し、 [ブループリントを発行する] を選択します。
- [Version](バージョン) ボックスに「1.0」のようなバージョンを入力します。
- [変更に関するメモ] ボックスに、メモを入力します。
- [発行] を選択します。
詳細情報
詳細については、次を参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示