6
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

ESUだけじゃない!? Azure Arc 対応サーバーでできること一覧!

Last updated at Posted at 2023-08-20

2024年2月に一部加筆しました。

本記事について

2023年7月にオンプレミスのサーバーに対して ESU (延長セキュリティ更新プログラム) を利用するにあたり、Azure Arc から購入・有効化ができることが発表されました。このニュースで、Azure Arc 対応サーバー (Azure Arc enabled servers) というものがあることを知った方もいるかと思います。

Azure Arc 対応サーバーにサーバーをオンボードすることで、ESU の配布以外にも様々な機能をサーバー管理のために利用することができるようになります。ですが、複数の色々なサービスから様々な機能が利用できるため、その全体像を把握することが難しくなっています。

そのため、本記事では Azure Arc 対応サーバーでできることをリストアップし、一目で何ができるのか?をお伝えできればと思います。そして、この中でひとつでも2つでも利用したい機能があった場合は、ぜひ Azure Arc 対応サーバーのご利用をご検討いただければ幸いです。

Azure Arc 対応サーバーについて

Azure Arc 対応サーバーは、Azure の外にあるサーバーに対して Connected Machine Agent をインストールすることで、Azure のサーバーのように扱えるようにする仕組みです。これにより、Azure の様々な管理の機能を Azure VM に対して利用するのと同じように活用できるようになります。Azure には様々な便利なツールが備わっています。Azure Arc にオンボードすることで、それらへのアクセスを一気に手に入れることができます。

以下ではその主だったサービスや機能を見ていきます。

1. ESU の購入と有効化 (Windows Server 2012/2012 R2, SQL Server 2012)

ESU (延長セキュリティセキュリティ更新プログラム) は、EOS を迎えたサーバー (Windows Server 2012/2012 R2, SQL Server 2012) に対してセキュリティパッチ (Windows Server は緊急または重要レベル、SQL Server は緊急レベル) を提供する仕組みです。

Windows Server 2012/2012 R2 と SQL Server 2012 に対しては、Azure Arc へオンボードすることで、ESU を Azure Arc 経由で購入・有効化させられるようになることが発表されています。

2. Azure Update Manager (Windows Server, Linux)

Windows Server と Linux のパッチ管理をまとめて行えるサービスが、Azure Update Manager というサービスです。 (以前のバージョンは、Azure Automation の一部で、Update Management という名前で提供されていました。) Update Manager は Azure Arc 対応サーバーとシームレスに連携されており、追加のエージェントなしですぐに利用を開始できます。

機能としては、パッチの適用状況の情報収集と可視化オンデマンドのパッチの適用スケジュールベースのパッチ適用、が提供されています。

3. Defender for Cloud / Defender for Servers (Windows Server, Linux)

Defender for Cloudクラウドワークロード保護 (CWP(P))クラウドセキュリティポスチャ管理 (CSPM) を提供するサービスです。特にサーバー向けのワークロード保護は Defender for Servers という名前で提供されています。Microsoft 365 Defender のメニューである、Defender for EndpointDefender Vulnerability Management もサーバーに対しては、このサービスの一部として利用することができるため、複数の Defender の名前が出てきてややこしくなっています。ただ、これらの機能群も Defender for Servers P2 を有効化すればすべて利用できるので、すでに使っている方でまだ試せていない機能があれば、ぜひお試しいただければと思います。

3-1. Defender for Endpoint (Windows Server, Linux)

Defender for Endpoint はマイクロソフトの統合エンドポイントセキュリティ製品です。サーバーに対しては、特に EDR (Windows Server, Linux) とアンチマルウェア (Windows Server 2012 R2, Linux) を提供しています。

OS バージョンごとの詳細については下記にてまとめていますので、併せてご参照ください。(Windows Server 2008 R2, 2012, 2012 R2 に対するアンチマルウェアは、Microsoft Antimalware という Azure の拡張機能ベースの無償サービスで提供されます。)

また、Defender for Cloud/Servers と Defender for Endpoint の関係とアーキテクチャについては下記記事にて詳細に解説しています。

3-2. Defender Vulnarability Management (Windows Server, Linux (一部は Windows Server のみ))

Defender Vulnerabiltiy Management は、もしかしたら普段 Azure しか触らない方には聞きなれないサービスかもしれません。前まで Threat and Vulnerability Management (TVM) と呼ばれていた Defender for Endpoint の1サービスという位置づけだった脆弱性管理機能群が独立し、ひとつのサービスを形成しています。この新ブランドの中で、OS・ミドルウェア・ソフトウェアの脆弱性管理機能に加え、OS のセキュリティベースライン評価や証明書の管理、ネットワーク共有のチェック機能などを提供しています。

サーバーに対して利用できる主な機能は下記のとおりです。

詳細については下記公式ドキュメントをご参照ください。

また、最近引き合いの多いサーバー OS のセキュリティベースライン評価については別途下記 Qiita 記事にまとめています。

4. Azure Monitor (VM Insights, Log Analytics) (Windows Server, Linux)

Azure Monitor は Azure の監視サービスの総合ブランドという位置づけであり、Azure Monitor の機能として様々な監視サービスを提供しています。特にサーバーについては、VM InsightsLog Analytics を有効活用いただけます。

4-1. VM Insights

VM Insights はサーバーのインベントリ情報、実行中のプロセス情報、パフォーマンスカウンター、TCP のネットワーク接続情報などを一元的に取得し、利用状況の可視化やアラートを出せるようにする機能です。特に、マップの機能でサーバー間通信やサーバーの接続先をチャートとして可視化してくれる機能が便利です。

4-2. Log Analytics

Azure Monitor Agent を Azure Arc 経由でサーバーにインストールすることで、イベントログや Syslog, カスタムログ (イベントログや Syslog ではない形式のログ)、パフォーマンスカウンターの情報を Log Analytics ワークスペース に収集することができます。

収集されたログは、クエリによる検索Azure Monitor ブック機能によるダッシュボード化アラート発行 (メール通知、Webhook 発行など) などに活用することができます。

5. Microsoft Sentinel (Windows Server, Linux)

Log Analytics が利用できるということは Microsoft Sentinel もまた利用できます。Sentinel からコネクターを有効化することでセキュリティ関係のログ (イベントログや Windows Firewall ログ) を取得できます。そして、Sentinel の SIEM 機能による脅威検知やインシデント管理、SOAR 機能 による自動化などを活用できます。

実際のサーバーセキュリティ監視という観点だと、先にご紹介した Defender for Endpoint のログ・アラートも Sentinel に入れ、イベントログとまとめて管理するのがおすすめです。

6. Azure Automation (Hybrid Runbook Worker) (Windows Server, Linux)

元々 Azure Automation の一部として、Log Analytics エージェント経由で利用できていた Hybrid Runbook Worker 機能も、今は Azure Arc 経由で利用できます。拡張機能が有効化されているサーバー上で、Runbook として事前定義された PowerShell スクリプトや **Python コードを実行できます。

7. Azure Policy (Azure Automanage マシン構成) (Windows Server, Linux)

Azure Policy (Azure Automanage マシン構成) では、オペレーティングシステムの設定をコードとして監査または構成することができます。こちらでは、Microsoft Cloud Security Benchmark のコンピューティングセキュリティベースラインを利用できます。

セキュリティの目的であれば、まずは Defender Vulnarability Management をチェックすることが個人的にはおすすめですが、こちらの機能を利用することもできます。

詳細については、下記記事でまとめています。

(補足) Windows Admin Center (Preview)

こちらは Azure のサービスとは少し異なりますが、Windows Admin Center を Azure Arc 経由で拡張機能として展開し、Azure Portal から Windows Admin Center のメニューを使うことができる仕組みがプレビューリリースされています。

注意点として、この Windows Admin Center 拡張機能は、サーバー自分自身を管理する仕組みであり、Windows Admin Center を Windows Server に直接インストールした際には利用できる他のマシンを管理する機能が備わっていません。

(補足) SSH による管理

こちらも Azure のサービスの利用という観点とは少しずれますが、Arc 対応サーバー向けの SSH により、パブリック IP アドレスや追加のポートの開放を必要とせずに、Arc 対応サーバーへの SSH ベースの接続が可能です。

最後に

本記事では、「Azure Arc 対応サーバーでできること一覧!」と題して、リストとして Azure Arc にオンボードされたサーバーがアクセスできる Azure のサービスや機能をご紹介しました。サーバー管理やセキュリティ対策でお悩みの方が、もし Azure Arc を入れたらこんなことができそう、といったイメージを湧かせていただけたら幸いです。

*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。

6
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?