Azure における運用のコンプライアンス
"運用のコンプライアンス" は、すべてのクラウド管理ベースラインにおける 2 つ目の規範です。
運用のコンプライアンスを強化することで、構成のずれに関連した機能停止や、システムのパッチが不適切に適用されたことに関連した脆弱性の可能性を小さくすることができます。
すべてのエンタープライズグレード環境について、管理ベースラインの推奨最小値の概要を次の表に示します。
| Process | ツール | 目的 |
|---|---|---|
| 更新プログラムの管理 | Azure Automation の Update Management | 更新プログラムの管理とスケジューリング |
| ポリシーの適用 | Azure Policy | 環境とゲストのコンプライアンスを確保するための自動ポリシーの適用 |
| 環境のコンフィギュレーション | Infrastructure as Code (IaC) | 環境の作成、構成、および構成の誤差を回避するための自動化 |
| リソース構成 | Desired State Configuration (DSC) | ゲスト OS と環境のいくつかの側面の自動構成 |
更新管理
Azure Automation の Update Management ソリューションによって管理されるコンピューターでは、次の構成を使用して評価と更新プログラムのデプロイが実行されます。
- Windows または Linux 用 Log Analytics エージェント。
- Linux 用の PowerShell DSC。
- Azure Automation の Hybrid Runbook Worker。
- Microsoft Update または Windows Server Update Services (WSUS) (Windows コンピューターの場合)。
詳細については、Azure Automation の Update Management ソリューションに関する記事をご覧ください。
警告
Update Management を使用するには、あらかじめ仮想マシンまたはサブスクリプション全体を Log Analytics および Azure Automation にオンボードしておく必要があります。
オンボードには、次の 2 つの方法があります。
Update Management に進む前に、いずれかに従う必要があります。
更新プログラムの管理
リソース グループにポリシーを適用するには:
- [Azure Automation] に移動します。
- [Automation アカウント] を選択し、一覧表示されているアカウントの 1 つを選択します。
- [構成管理] に移動します。
- State Configuration (DSC)を使用して、マネージド VM の状態と運用上のコンプライアンスを制御します。
Azure Policy
Azure Policy は、ガバナンス プロセス全体で使用されます。 クラウド管理プロセス内でも大いに役立ちます。 Azure Policy では、Azure リソースを監査および修復でき、マシン内の設定を監査および構成することもできます。 検証は、クライアントとマシン構成拡張機能によって実行されます。 クライアントを介した拡張機能によって、次のような設定が検証されます。
- オペレーティング システムの構成。
- アプリケーションの構成または存在。
- 環境設定。
このプロセスの重要な部分は、ガバナンス プロセスの必要に応じて Azure Policy の割り当てを維持および更新することです。 IaC を使用すると、ポリシー インフラストラクチャの更新と維持に役立ちます。 詳細については、「IaC を使用して Azure ランディング ゾーンを更新する」を参照してください。
アクション
組み込みのポリシーを管理グループ、サブスクリプション、またはリソース グループに割り当てます。