この記事では、Azure のアーキテクチャと管理の一般的な説明について説明します。 Azure システム環境は、次のネットワークで構成されています。
- Microsoft Azure 運用ネットワーク (Azure ネットワーク)
- マイクロソフト社内ネットワーク(corpnet)
これらのネットワークの運用と保守には、個別のITチームが担当します。
Azure アーキテクチャ
Azure は、データセンターのネットワークを通じてアプリケーションとサービスを構築、デプロイ、管理するためのクラウド コンピューティング プラットフォームおよびインフラストラクチャです。 Microsoft は、これらのデータセンターを管理します。 指定したリソースの数に基づいて、Azure はリソースのニーズに基づいて仮想マシン (VM) を作成します。 これらの VM は、クラウドで使用するように設計されており、一般にはアクセスできない Azure ハイパーバイザーで実行されます。
各 Azure 物理サーバー ノードには、ハードウェア上で直接実行されるハイパーバイザーがあります。 ハイパーバイザーは、ノードを可変数のゲスト VM に分割します。 各ノードには、ホストオペレーティングシステムを実行するルートVMも1つあります。 Windows ファイアウォールは、各 VM で有効になっています。 アドレス指定可能なポートを定義するには、サービス定義ファイルを構成します。 これらのポートは、内部または外部で開いてアドレス指定可能なポートのみです。 ディスクとネットワークへのすべてのトラフィックとアクセスは、ハイパーバイザーとルートオペレーティングシステムによって仲介されます。
ホスト レイヤーでは、Azure VM は、最新の Windows Server のカスタマイズおよび強化されたバージョンを実行します。 Azure では、VM をホストするために必要なコンポーネントのみを含む Windows Server のバージョンが使用されます。 これにより、パフォーマンスが向上し、攻撃対象領域が減少します。 マシンの境界はハイパーバイザーによって適用され、オペレーティング システムのセキュリティには依存しません。
ファブリック コントローラーによる Azure 管理
Azure では、物理サーバー (ブレード/ノード) で実行されている VM は、約 1000 のクラスターにグループ化されます。 VM は、ファブリック コントローラー (FC) と呼ばれるスケールアウトされた冗長プラットフォーム ソフトウェア コンポーネントによって個別に管理されます。
各 FC は、そのクラスターで実行されるアプリケーションのライフサイクルを管理し、その制御下にあるハードウェアの正常性をプロビジョニングおよび監視します。 これは、サーバーに障害が発生したと判断した場合に、正常なサーバー上で VM インスタンスを再配置するなどの自律操作を実行します。 また、FC は、アプリケーションのデプロイ、更新、スケールアウトなどのアプリケーション管理操作も実行します。
データセンターはクラスターに分割されます。 クラスタは、障害を FC レベルで分離し、特定のクラスのエラーが、エラーが発生したクラスタ以外のサーバに影響を及ぼさないようにします。 特定の Azure クラスターにサービスを提供する FC は、FC クラスターにグループ化されます。
ハードウェア インベントリ
FC は、ブートストラップ構成プロセス中に Azure ハードウェアとネットワーク デバイスのインベントリを準備します。 Azure 運用環境に入る新しいハードウェアとネットワーク コンポーネントは、ブートストラップ構成プロセスに従う必要があります。 FC は、datacenter.xml 構成ファイルにリストされているインベントリ全体を管理する役割を担います。
FC管理オペレーティング・システム・イメージ
オペレーティング システム チームは、Azure 運用環境のすべてのホストとゲスト VM にデプロイされたイメージを仮想ハード ディスクの形式で提供します。 チームは、自動化されたオフライン ビルド プロセスを通じてこれらの基本イメージを構築します。 基本イメージは、カーネルとその他のコア コンポーネントが Azure 環境をサポートするように変更および最適化されたオペレーティング システムのバージョンです。
ファブリックで管理されるオペレーティング・システム・イメージには、次の3つのタイプがあります。
- ホスト: ホスト VM で実行されるカスタマイズされたオペレーティング システム。
- ネイティブ: テナント (Azure Storage など) で実行されるネイティブ オペレーティング システム。 このオペレーティング システムにはハイパーバイザーがありません。
- ゲスト: ゲスト VM で実行されるゲスト オペレーティング システム。
ホストおよびネイティブの FC 管理オペレーティングシステムは、クラウドで使用するように設計されており、一般にはアクセスできません。
ホストおよびネイティブオペレーティングシステム
ホストとネイティブは、ファブリック エージェントをホストし、コンピューティング ノード (ノード上の最初の VM として実行) とストレージ ノードで実行される強化されたオペレーティング システム イメージです。 ホストとネイティブの最適化された基本イメージを使用する利点は、API または未使用のコンポーネントによって公開されるサーフェス領域が減少することです。 これらは高いセキュリティリスクをもたらし、オペレーティングシステムのフットプリントを増加させる可能性があります。 フットプリントが削減されたオペレーティング システムには、Azure に必要なコンポーネントのみが含まれます。
ゲスト オペレーティング システム
ゲスト オペレーティング システムの VM で実行されている Azure 内部コンポーネントには、リモート デスクトップ プロトコルを実行する機会がありません。 ベースライン構成設定の変更は、変更およびリリース管理プロセスを経る必要があります。
Azure データセンター
Microsoft Cloud Infrastructure and Operations (MCIO) チームは、すべての Microsoft オンライン サービスの物理インフラストラクチャとデータセンター施設を管理します。 MCIO は、主にデータセンター内の物理的および環境的制御の管理と、外部境界ネットワーク デバイス (エッジ ルーターやデータセンター ルーターなど) の管理とサポートを担当します。 MCIO は、データセンターのラックに最小限のサーバー ハードウェアをセットアップする役割も担います。 お客様は Azure と直接やり取りすることはありません。
サービス管理チームとサービスチーム
サービス チームと呼ばれるさまざまなエンジニアリング グループが、Azure サービスのサポートを管理します。 各サービス チームは、Azure のサポート領域を担当します。 各サービス チームは、サービスの障害を調査して解決するために、エンジニアを 24x7 で利用できるようにする必要があります。 既定では、サービス チームは Azure で動作するハードウェアに物理的にアクセスできません。
サービスチームは次のとおりです。
- アプリケーション プラットフォーム
- マイクロソフト エントラ ID
- Azure コンピューティング
- Azure ネット
- クラウドエンジニアリングサービス
- ISSD:セキュリティ
- 多要素認証
- SQLデータベース
- ストレージ
ユーザーの種類
Microsoft の従業員 (または請負業者) は、内部ユーザーと見なされます。 他のすべてのユーザーは、外部ユーザーと見なされます。 すべての Azure 内部ユーザーの従業員ステータスは、顧客データへのアクセス (アクセスまたはアクセスなし) を定義する感度レベルで分類されています。 Azure に対するユーザー特権 (認証が行われた後の承認アクセス許可) については、次の表で説明します。
| 役割 | 内部または外部 | 感度レベル | 許可された特権と実行された機能 | アクセスの種類 |
|---|---|---|---|---|
| Azure データセンター エンジニア | 国内 | 顧客データへのアクセスなし | 施設の物理的なセキュリティを管理します。 データセンター内外のパトロールを実施し、すべてのエントリ ポイントを監視します。 データセンター内で一般的なサービス (食事や清掃など) や IT 作業を提供する特定の未認可の担当者をデータセンターに出入りさせます。 ネットワークハードウェアの定期的な監視と保守を実施します。 インシデント管理と障害修正作業をさまざまなツールを使用して実行します。 データセンター内の物理ハードウェアの定期的な監視と保守を実施します。 不動産所有者からの要求に応じて環境へのアクセス。 フォレンジック調査を実行し、インシデントレポートをログに記録し、必須のセキュリティトレーニングとポリシー要件を必要とする能力があります。 スキャナーやログ収集などの重要なセキュリティツールの運用所有権と保守。 | 環境への永続的なアクセス。 |
| Azure インシデント トリアージ (迅速な対応エンジニア) | 国内 | 顧客データへのアクセス | MCIO、サポート、エンジニアリングチーム間のコミュニケーションを管理します。 プラットフォームのインシデント、デプロイの問題、およびサービス要求のトリアージ。 | 環境へのジャストインタイムアクセス、非顧客システムへの永続的なアクセスは制限付き。 |
| Azure デプロイ エンジニア | 国内 | 顧客データへのアクセス | Azure をサポートするためのプラットフォーム コンポーネント、ソフトウェア、およびスケジュールされた構成変更をデプロイおよびアップグレードします。 | 環境へのジャストインタイムアクセス、非顧客システムへの永続的なアクセスは制限付き。 |
| Azure 顧客停止サポート (テナント) | 国内 | 顧客データへのアクセス | 個々のコンピューティング テナントと Azure アカウントのプラットフォームの停止と障害をデバッグおよび診断します。 障害を分析します。 プラットフォームやお客様に対して重要な修正を推進し、サポート全体で技術的な改善を推進します。 | 環境へのジャストインタイムアクセス、非顧客システムへの永続的なアクセスは制限付き。 |
| Azure ライブ サイト エンジニア (監視エンジニア) とインシデント | 国内 | 顧客データへのアクセス | 診断ツールを使用してプラットフォームの正常性を診断し、軽減します。 ボリューム ドライバーのドライブ修正、停止に起因するアイテムの修復、および障害の復元アクションの支援。 | 環境へのジャストインタイムアクセス、非顧客システムへの永続的なアクセスは制限付き。 |
| Azure のお客様 | 外部 | なし | なし | なし |
Azure では、一意の識別子を使用して、組織のユーザーと顧客 (または組織のユーザーに代わって動作するプロセス) を認証します。 これは、Azure 環境の一部であるすべての資産とデバイスに適用されます。
Azure 内部認証
Azure 内部コンポーネント間の通信は、TLS 暗号化で保護されます。 ほとんどの場合、X.509 証明書は自己署名されています。 Azure ネットワークの外部からアクセスできる接続を持つ証明書は例外であり、FC の証明書も同様です。 FC には、信頼されたルート CA によってサポートされている Microsoft Certificate of Authority (CA) によって発行された証明書があります。 これにより、FC 公開鍵を簡単にロールオーバーできます。 さらに、Microsoft 開発者ツールは FC 公開キーを使用します。 開発者が新しいアプリケーションイメージを提出すると、埋め込まれたシークレットを保護するために、イメージはFC公開鍵で暗号化されます。
Azure ハードウェア デバイス認証
FC は、その制御下にあるさまざまなハードウェア デバイスに対して自身を認証するために使用される一連の資格情報 (キーやパスワード) を保持します。 Microsoft は、これらの資格情報へのアクセスを防止するシステムを使用しています。 具体的には、これらの資格情報の転送、永続化、および使用は、Azure の開発者、管理者、バックアップ サービス、および担当者が機密情報、機密情報、またはプライベート情報にアクセスできないように設計されています。
Microsoft は、FC のマスター ID 公開キーに基づく暗号化を使用します。 これは、FC のセットアップ時と FC の再構成時に発生し、ネットワーキング ハードウェア デバイスへのアクセスに使用されるクレデンシャルを転送します。 FC がクレデンシャルを必要とする場合、FC はクレデンシャルを取得して復号化します。
ネットワークデバイス
Azure ネットワーク チームは、Azure クライアントがネットワーク デバイス (ルーター、スイッチ、ロード バランサー) に対して認証できるように、ネットワーク サービス アカウントを構成します。
安全なサービス管理
Azure の運用担当者は、セキュリティで保護された管理ワークステーション (SAW) を使用する必要があります。 お客様は、特権アクセス ワークステーションを使用して同様の制御を実装できます。 SAW では、管理担当者は、ユーザーの標準ユーザー アカウントとは別の、個別に割り当てられた管理アカウントを使用します。 SAWは、機密性の高いアカウントに信頼できるワークステーションを提供することにより、そのアカウント分離の実践に基づいています。
次のステップ
Microsoft が Azure インフラストラクチャのセキュリティ保護を支援するために行っていることの詳細については、以下を参照してください。