Azure で Windows Server と SQL Server のワークロードでの比類のないセキュリティをお客様に提供

2019年6月13日 に投稿済み

General Manager, Microsoft Azure

AllscriptsChevronJ.B. Hunt、およびその他の数千社ものお客様が重要なワークロードを Azure に移行し、比類のないセキュリティを得ています。多くの企業がクラウド セキュリティへの理解を深めることについて最初は心配しますが、詳細を調べた後では、Azure で設定できるセキュリティ体制は実装が容易であり、他の環境で提供できるものよりもはるかに包括的であると述べます。

Azure では、物理データセンターの安全な基盤から、運用方法や、業界標準の Mitre ガイドラインに準拠したエンジニアリング プロセスに至るまで、多層のセキュリティを提供します。それに加えて、お客様は Azure とオンプレミスの両方のワークロードで機能するさまざまなセルフサービ スセキュリティ サービスから選択できます。Microsoft では、3,500 人を超えるサイバーセキュリティの専門家を雇用し、年間 10 億ドルをセキュリティに費やして脅威の保護、検出、対応に役立てており、お客様に 24 時間 365 日のセキュリティ運用を提供しています。

本ブログ記事では、Azure が Windows Server と SQL Server のワークロードに比類のないセキュリティを提供する方法の例をいくつかご紹介します。

Azure Security Center によるハイブリッド環境全体にわたる広範な組み込みの保護

Azure Security Center により、お客様は、クラウドとオンプレミスの両方で利用可能な広範な組み込みの保護を得ることができます。これには、仮想マシン、ストレージ、ネットワーク、データベース、ID、アプリケーション サービス、および IOT に対するセキュリティの推奨事項が含まれます。これらはすべて、1 つの統合されたダッシュボードから提供されます。

Azure Security Center では、Xbox、Dynamics 365、Office 365、Azure などの Microsoft サービスから 1 日に 6.5 兆を超えるシグナルを収集する Microsoft インテリジェント セキュリティ グラフと、幅広いパートナー エコシステムを活用します。Azure Security Center により、お客様は Windows Server にエージェントを簡単にインストールし、実装すべきベスト プラクティス (エンドポイントの保護や最新の修正プログラムのインストールなど) に関する詳細な推奨事項を得ることができます。また、Microsoft Defender ATP ビルトインのすべての機能も備えています。これにより、業界をリードする脅威保護を利用して、Windows Server と SQL Server のワークロードを保護します。

さらに、Windows Admin Center より、Azure Security Center の統合が間もなく提供される予定です。これは、今日、数百万ものインスタンスを管理するために使用されている、最新の Windows Server 管理ソリューションです。数回クリックするだけで、オンプレミスの Windows Server インスタンスへのセキュリティ保護を Windows Admin Center から直接行えるようになります。

固有のプラットフォーム レベルのセキュリティとガバナンス

Azure の一貫したポリシー プラットフォームにより、Windows Server と SQL Server のワークロード全体へのセキュリティ ポリシーの迅速な適用が簡単に行えます。Azure で実行するすべてのワークロードに対して、セキュリティ ポリシーのセットを簡単に定義し、サブスクリプションや大規模な管理グループに一様に適用できます。Azure Blueprints を使用して、必要なすべてのセキュリティ設定を備えた新しいサブスクリプションを文字どおり数回のクリックで作成できます。このすべてが可能なのは、固有のリソース管理の基盤が Azure にあるためです。これにより、Windows Server と SQL Server のワークロードで仕様によりコンプライアンスが確保されていることを確信できます。最大の利点は、Azure のガバナンスの機能を追加料金なしで利用できることです。

組み込みの AI によるセキュリティ情報とイベント管理 (SIEM)

お客様は、多くの場合、高度な検出と脅威の軽減のために、SIEM を使用して企業全体からの脅威保護情報を集約します。Azure Sentinel は、組み込みの AI を備えたクラウド ネイティブな SIEM であり、忠実度が低いシグナルではなく重要な脅威に焦点を合わせることができます。これにより、ノイズを大幅に減らすことができます。早期導入企業では、最大 90 パーセントのアラート疲労の削減が見られました。また、不正ユーザーに先手を打って脅威を軽減するために、Azure 上の Windows Server と SQL Server のワークロードからのシグナルを、Office 365、オンプレミス アプリケーション、ファイアウォールなどの他のすべてのアセットと結合できます。

業界をリードする Confidential Computing 機能

Azure Confidential Computing では、使用時のデータの暗号化を行えます。これは、オンプレミスのデータセンターとパブリック クラウドの両方においてこれまでなかった保護です。特定のワークロードについては、CPU での処理時にデータが透過的でないことが重要です。Azure では、仮想マシンの Azure DC シリーズで Intel SGX 拡張機能に基づいて構築されたハードウェア ベースのエンクレーブによってこの機能が提供されます。クラウド オペレーターとして、Microsoft では、セキュリティ保護されたエンクレーブ内のデータやコンピューティング リソースにアクセスできません。Confidential Computing により、セキュリティ保護されたブロックチェーンや複数の当事者が関与する機械学習など、データが二者間で共有されているものの、セキュリティ保護されたエンクレーブによりどちらも他者のデータにアクセスできないような新たなシナリオが実現されます。さらに、セキュリティで保護されたエンクレーブをサポートするために SQL Server 2019 の Always Encrypted 機能が拡張されました。オープン SDK でこのテクノロジを使用して独自のアプリケーションを構築できます。

クラウド SQL の固有なデータベース セキュリティ監視

Microsoft では、過去数年間にわたって 100 万を超えるデータベースを監視してきた経験に基づき、SQL Database および SQL Server VM 用の Advanced Data Security を提供しています。これには、脆弱性評価と高度な脅威検出の 2 つの主要なコンポーネントが含まれています。脆弱性評価では、データベースの潜在的な脆弱性を検出、追跡、修復できるように、データベースをスキャンします。高度な脅威検出では、SQL インジェクションなどのデータベースでの不審なアクティビティを継続的に監視し、異常なデータベース アクセス パターンに対するアラートを提供します。脆弱性評価のこれらの脅威アラートやレポートは、Azure Security Center 脅威ダッシュボードにも表示されます。

Windows Server および SQL Server 2008 の無料のセキュリティ更新プログラム

SQL Server および Windows Server 2008 と 2008 R2 でワークロードを引き続き実行されているお客様がいることを把握しています。これらのバージョンはそれぞれ 2019 年 7 月と 2020 年 1 月にサポートが終了します。保護を確保するために 2008 と 2008 R2 のインスタンスを Azure に移行するだけで、3 年間の無料セキュリティ更新プログラムの延長が自動的に得られます。Azure に移行したら、新しいバージョンへのアップグレードを計画できます。また、SQL Server の場合は、レガシ SQL Server ワークロードを SQL Database Managed Instance に移行できます。この完全に管理された、バージョンなしのサービスにより、組織がサポート終了期限に再び直面することはなくなります。

クラウドで比類のないセキュリティを得るために Azure を使ってみましょう

Microsoft では、クラウドで Windows Server と SQL Server のワークロードに最も強力な保護を設定するために必要なトレーニングベスト プラクティス ガイドを提供しています。

Azure の組み込みツールを活用してワークロードを保護する方法のベスト プラクティスについてさらに詳しく知るには、来週の水曜日 2019 年 6 月 19 日に実施される Azure のセキュリティ エキスパート シリーズのウェビナーにご参加ください。