2024年2月に一部加筆しました。
本記事について
2023年7月にオンプレミスのサーバーに対して ESU (延長セキュリティ更新プログラム) を利用するにあたり、Azure Arc から購入・有効化ができることが発表されました。このニュースで、Azure Arc 対応サーバー (Azure Arc enabled servers) というものがあることを知った方もいるかと思います。
Azure Arc 対応サーバーにサーバーをオンボードすることで、ESU の配布以外にも様々な機能をサーバー管理のために利用することができるようになります。ですが、複数の色々なサービスから様々な機能が利用できるため、その全体像を把握することが難しくなっています。
そのため、本記事では Azure Arc 対応サーバーでできることをリストアップし、一目で何ができるのか?をお伝えできればと思います。そして、この中でひとつでも2つでも利用したい機能があった場合は、ぜひ Azure Arc 対応サーバーのご利用をご検討いただければ幸いです。
Azure Arc 対応サーバーについて
Azure Arc 対応サーバーは、Azure の外にあるサーバーに対して Connected Machine Agent をインストールすることで、Azure のサーバーのように扱えるようにする仕組みです。これにより、Azure の様々な管理の機能を Azure VM に対して利用するのと同じように活用できるようになります。Azure には様々な便利なツールが備わっています。Azure Arc にオンボードすることで、それらへのアクセスを一気に手に入れることができます。
以下ではその主だったサービスや機能を見ていきます。
1. ESU の購入と有効化 (Windows Server 2012/2012 R2, SQL Server 2012)
ESU (延長セキュリティセキュリティ更新プログラム) は、EOS を迎えたサーバー (Windows Server 2012/2012 R2, SQL Server 2012) に対してセキュリティパッチ (Windows Server は緊急または重要レベル、SQL Server は緊急レベル) を提供する仕組みです。
Windows Server 2012/2012 R2 と SQL Server 2012 に対しては、Azure Arc へオンボードすることで、ESU を Azure Arc 経由で購入・有効化させられるようになることが発表されています。
2. Azure Update Manager (Windows Server, Linux)
Windows Server と Linux のパッチ管理をまとめて行えるサービスが、Azure Update Manager というサービスです。 (以前のバージョンは、Azure Automation の一部で、Update Management という名前で提供されていました。) Update Manager は Azure Arc 対応サーバーとシームレスに連携されており、追加のエージェントなしですぐに利用を開始できます。
機能としては、パッチの適用状況の情報収集と可視化、オンデマンドのパッチの適用、スケジュールベースのパッチ適用、が提供されています。
3. Defender for Cloud / Defender for Servers (Windows Server, Linux)
Defender for Cloud はクラウドワークロード保護 (CWP(P)) とクラウドセキュリティポスチャ管理 (CSPM) を提供するサービスです。特にサーバー向けのワークロード保護は Defender for Servers という名前で提供されています。Microsoft 365 Defender のメニューである、Defender for Endpoint や Defender Vulnerability Management もサーバーに対しては、このサービスの一部として利用することができるため、複数の Defender の名前が出てきてややこしくなっています。ただ、これらの機能群も Defender for Servers P2 を有効化すればすべて利用できるので、すでに使っている方でまだ試せていない機能があれば、ぜひお試しいただければと思います。
3-1. Defender for Endpoint (Windows Server, Linux)
Defender for Endpoint はマイクロソフトの統合エンドポイントセキュリティ製品です。サーバーに対しては、特に EDR (Windows Server, Linux) とアンチマルウェア (Windows Server 2012 R2, Linux) を提供しています。
OS バージョンごとの詳細については下記にてまとめていますので、併せてご参照ください。(Windows Server 2008 R2, 2012, 2012 R2 に対するアンチマルウェアは、Microsoft Antimalware という Azure の拡張機能ベースの無償サービスで提供されます。)
また、Defender for Cloud/Servers と Defender for Endpoint の関係とアーキテクチャについては下記記事にて詳細に解説しています。
3-2. Defender Vulnarability Management (Windows Server, Linux (一部は Windows Server のみ))
Defender Vulnerabiltiy Management は、もしかしたら普段 Azure しか触らない方には聞きなれないサービスかもしれません。前まで Threat and Vulnerability Management (TVM) と呼ばれていた Defender for Endpoint の1サービスという位置づけだった脆弱性管理機能群が独立し、ひとつのサービスを形成しています。この新ブランドの中で、OS・ミドルウェア・ソフトウェアの脆弱性管理機能に加え、OS のセキュリティベースライン評価や証明書の管理、ネットワーク共有のチェック機能などを提供しています。
サーバーに対して利用できる主な機能は下記のとおりです。
- ソフトウェアインベントリ - OS・ミドルウェア・ソフトウェアのインストール状況やバージョン情報などを一元的に取得し可視化します。
- OS・ミドルウェア・ソフトウェアの脆弱性管理 - インベントリ情報と CVE・CVSS 情報をマッチングし、組織内のサーバーの脆弱性を評価します。
- OS のセキュリティ構成の評価 (Windows Server のみ) - CIS ベンチマークおよび STIG ベンチマークベースの構成表化を行います。
- 証明書インベントリ (Windows Server のみ) - マシンにインストールされている証明書の情報を取得し、期限切れや構成の不備を検知します。
- ネットワーク共有構成の評価 (Windows Server のみ) - ネットワーク共有の利用状況を可視化します。
- ブラウザー拡張機能の評価 (Windows Server のみ) - 利用されているブラウザの拡張機能の一覧を取得し脅威を可視化します。
詳細については下記公式ドキュメントをご参照ください。
また、最近引き合いの多いサーバー OS のセキュリティベースライン評価については別途下記 Qiita 記事にまとめています。
4. Azure Monitor (VM Insights, Log Analytics) (Windows Server, Linux)
Azure Monitor は Azure の監視サービスの総合ブランドという位置づけであり、Azure Monitor の機能として様々な監視サービスを提供しています。特にサーバーについては、VM Insights や Log Analytics を有効活用いただけます。
4-1. VM Insights
VM Insights はサーバーのインベントリ情報、実行中のプロセス情報、パフォーマンスカウンター、TCP のネットワーク接続情報などを一元的に取得し、利用状況の可視化やアラートを出せるようにする機能です。特に、マップの機能でサーバー間通信やサーバーの接続先をチャートとして可視化してくれる機能が便利です。
4-2. Log Analytics
Azure Monitor Agent を Azure Arc 経由でサーバーにインストールすることで、イベントログや Syslog, カスタムログ (イベントログや Syslog ではない形式のログ)、パフォーマンスカウンターの情報を Log Analytics ワークスペース に収集することができます。
収集されたログは、クエリによる検索、Azure Monitor ブック機能によるダッシュボード化、アラート発行 (メール通知、Webhook 発行など) などに活用することができます。
5. Microsoft Sentinel (Windows Server, Linux)
Log Analytics が利用できるということは Microsoft Sentinel もまた利用できます。Sentinel からコネクターを有効化することでセキュリティ関係のログ (イベントログや Windows Firewall ログ) を取得できます。そして、Sentinel の SIEM 機能による脅威検知やインシデント管理、SOAR 機能 による自動化などを活用できます。
実際のサーバーセキュリティ監視という観点だと、先にご紹介した Defender for Endpoint のログ・アラートも Sentinel に入れ、イベントログとまとめて管理するのがおすすめです。
6. Azure Automation (Hybrid Runbook Worker) (Windows Server, Linux)
元々 Azure Automation の一部として、Log Analytics エージェント経由で利用できていた Hybrid Runbook Worker 機能も、今は Azure Arc 経由で利用できます。拡張機能が有効化されているサーバー上で、Runbook として事前定義された PowerShell スクリプトや **Python コードを実行できます。
7. Azure Policy (Azure Automanage マシン構成) (Windows Server, Linux)
Azure Policy (Azure Automanage マシン構成) では、オペレーティングシステムの設定をコードとして監査または構成することができます。こちらでは、Microsoft Cloud Security Benchmark のコンピューティングセキュリティベースラインを利用できます。
セキュリティの目的であれば、まずは Defender Vulnarability Management をチェックすることが個人的にはおすすめですが、こちらの機能を利用することもできます。
詳細については、下記記事でまとめています。
(補足) Windows Admin Center (Preview)
こちらは Azure のサービスとは少し異なりますが、Windows Admin Center を Azure Arc 経由で拡張機能として展開し、Azure Portal から Windows Admin Center のメニューを使うことができる仕組みがプレビューリリースされています。
(補足) SSH による管理
こちらも Azure のサービスの利用という観点とは少しずれますが、Arc 対応サーバー向けの SSH により、パブリック IP アドレスや追加のポートの開放を必要とせずに、Arc 対応サーバーへの SSH ベースの接続が可能です。
最後に
本記事では、「Azure Arc 対応サーバーでできること一覧!」と題して、リストとして Azure Arc にオンボードされたサーバーがアクセスできる Azure のサービスや機能をご紹介しました。サーバー管理やセキュリティ対策でお悩みの方が、もし Azure Arc を入れたらこんなことができそう、といったイメージを湧かせていただけたら幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。