Azure での持続可能なワークロードのセキュリティに関する考慮事項

Azure で持続可能なワークロードを設計するには、プロジェクトのすべてのフェーズを通じて基本原則であるセキュリティを含める必要があります。 より持続可能なセキュリティ体制につながる考慮事項と推奨事項について説明します。

重要

この記事は、 Azure Well-Architected持続可能なワークロード シリーズの一部です。 このシリーズに慣れていない場合は、持続可能なワークロードとは何から始めてお勧めしますか?

セキュリティの監視

クラウド ネイティブのセキュリティ監視ソリューションを使用して、持続可能性を最適化します。

必要に応じて、クラウド ネイティブのログ収集方法を使用する

従来、セキュリティ情報イベント管理 (SIEM) ソリューションに取り込むログ収集方法では、中央収集システム以降にログを収集、解析、フィルター処理、および送信するための中間リソースを使用する必要があります。 この設計を使用すると、より多くのインフラストラクチャと関連する財務および炭素関連のコストでオーバーヘッドが発生する可能性があります。

Green Software Foundation の配置: ハードウェア効率、 エネルギー効率

推奨事項:

• クラウド ネイティブ のサービス間コネクタを 使用すると、サービスと SIEM の統合が簡素化され、追加のインフラストラクチャのオーバーヘッドが排除されます。
• Azure Monitor Analytics エージェントなどの以前にデプロイされたエージェントを使用して、既存のコンピューティング リソースからログ データを取り込む可能性があります。 Log Analytics エージェントから Azure Monitor エージェントに移行する方法を確認します。
• このトレードオフを考慮してください。より多くの監視エージェントをデプロイすると、より多くのコンピューティング リソースが必要であるため、処理のオーバーヘッドが増加します。 ソリューションのセキュリティ要件を満たすのに必要な情報の量を慎重に設計し、計画し、格納して保持する適切なレベルの情報を見つけます。
  • 不要なデータ収集を減らす考えられる解決策は、 Azure Monitor データ収集規則 (DCR) に依存することです。

1 つのクラウド サービス プロバイダーから別のクラウド サービス プロバイダーに、大きなフィルター処理されていないデータ セットを転送しないようにする

従来の SIEM ソリューションでは、すべてのログ データを一元的な場所に取り込んで格納する必要があります。 マルチクラウド環境では、このソリューションにより、クラウド サービスの提供から別のサービスに大量のデータが転送され、ネットワークとストレージ インフラストラクチャの負担が増加する可能性があります。

グリーンソフトウェア財団の配置: 炭素効率、 エネルギー効率

推奨事項:

• クラウド ネイティブ セキュリティ サービスは、関連するセキュリティ データ ソースに対してローカライズされた分析を実行できます。 この分析により、ログ データの大部分をソース クラウド サービス プロバイダー環境内に保持できます。 クラウド ネイティブ SIEM ソリューションは、 API またはコネクタを介して これらのセキュリティ サービスに接続して、関連するセキュリティ インシデントまたはイベント データのみを送信できます。 このソリューションを使用すると、インシデントに対応するために高レベルのセキュリティ情報を維持しながら、転送されるデータの量を大幅に削減できます。

時間がたつと、説明されているアプローチを使用すると、データエグレスとストレージのコストが削減され、本質的に排出量の削減に役立ちます。

SIEM への送信またはインジェストの前にログ ソースをフィルター処理または除外する

考えられるすべてのソースからすべてのログを格納する場合の複雑さとコストを考慮してください。 たとえば、アプリケーション、サーバー、診断、プラットフォームアクティビティなどです。

グリーンソフトウェア財団の配置: 炭素効率、 エネルギー効率

推奨事項:

• クラウド ネイティブ SIEM ソリューションのログ収集戦略を設計する場合は、環境に必要な Microsoft Sentinel 分析ルール に基づくユース ケースを検討し、それらのルールをサポートするために必要なログ ソースを照合します。
• このオプションは、ログ データの不要な転送と保存を削除し、環境の二酸化炭素排出量を削減するのに役立ちます。

ログ データを長期ストレージにアーカイブする

多くのお客様は、規制コンプライアンス上の理由から、ログ データを長期間保存する必要があります。 このような場合、SIEM システムのプライマリ ストレージの場所にログ データを格納することは、コストのかかるソリューションです。

Green Software Foundation の配置: エネルギー効率

推奨事項:

• ログ データは、顧客の保持ポリシー を考慮する安価な長期ストレージ オプションに移動 できますが、別のストレージの場所を使用することでコストを削減できます。

ネットワーク アーキテクチャ

ネットワーク セキュリティ アーキテクチャの適切なプラクティスに従うことで、効率を高め、不要なトラフィックを回避します。

クラウド ネイティブ ネットワーク セキュリティ 制御を使用して不要なネットワーク トラフィックを排除する

一元化されたルーティングとファイアウォールの設計を使用すると、検査、フィルター処理、および以降のルーティングのために、すべてのネットワーク トラフィックがハブに送信されます。 このアプローチではポリシーの適用が一元化されますが、ソース リソースからの不要なトラフィックのネットワークにオーバーヘッドが発生する可能性があります。

Green Software Foundation の配置: ハードウェア効率、 エネルギー効率

推奨事項:

• ネットワーク セキュリティ グループとアプリケーション セキュリティ グループを使用して、ソースのトラフィックをフィルター処理し、不要なデータ転送を削除します。 これらの機能を使用すると、クラウド インフラストラクチャの負担を軽減し、帯域幅要件が低く、所有および管理するインフラストラクチャが少なくなります。

エンドポイントから宛先へのルーティングを最小限に抑える

多くの顧客環境 (特にハイブリッド展開) では、すべてのエンド ユーザー デバイス ネットワーク トラフィックは、インターネットへの到達を許可される前に、オンプレミス システム経由でルーティングされます。 通常、これはすべてのインターネット トラフィックを検査する必要があるために発生します。 多くの場合、これには、オンプレミス環境内のより高い容量のネットワーク セキュリティ アプライアンス、またはクラウド環境内のより多くのアプライアンスが必要です。

Green Software Foundation の配置: エネルギー効率

推奨事項:

• エンドポイントから宛先までのルートを最小限に抑えます。
  • 可能であれば、エンド ユーザー デバイスを最適化して 、既知のトラフィックをクラウド サービスに直接分割 しながら、他のすべての宛先のトラフィックのルーティングと検査を続行する必要があります。 これらの機能とポリシーをエンド ユーザー デバイスに近づけることで、不要なネットワーク トラフィックとそれに関連するオーバーヘッドを防ぐことができます。

自動スケーリング機能でネットワーク セキュリティ ツールを使用する

ネットワーク トラフィックに基づいて、セキュリティ アプライアンスの需要が高くなる場合もあれば、需要が低くなる場合もあります。 多くのネットワーク セキュリティ アプライアンスは、予想される最も高い需要に対応するためにスケールにデプロイされ、非効率性につながります。 さらに、これらのツールを再構成するには、多くの場合、再起動が必要になり、許容できないダウンタイムと管理オーバーヘッドが発生します。

Green Software Foundation の配置: ハードウェア効率

推奨事項:

• 自動スケーリングを使用すると、バックエンド リソースを権限化して、手動介入なしで需要を満たすことができます。
• このアプローチにより、ネットワーク トラフィックの変化に対応する時間が大幅に短縮され、不要なリソースの無駄が削減され、持続可能性の効果が向上します。
• 関連するサービスの詳細については、Application GatewayでWeb Application Firewall (WAF) を有効にし、Azure Firewall Premium をデプロイして構成する方法に関するページを参照してください。

TLS 終端を使うかどうかを評価する

TLS の終了と再確立は、特定のアーキテクチャでは不要な CPU 消費量です。

Green Software Foundation の配置: エネルギー効率

推奨事項:

• 境界ゲートウェイで TLS を終端し、ワークロードのロード バランサーまでは非 TLS で、それ以降はワークロードに進むことができるかどうかを検討します。
• TLS 終了に関する情報を確認して、提供されるパフォーマンスと使用率の影響について理解を深めます。
• トレードオフを検討する: バランスの取れたレベルのセキュリティにより、より持続可能でエネルギー効率の高いワークロードが提供される一方で、より高いレベルのセキュリティによってコンピューティング リソースの要件が増加する可能性があります。

DDoS 保護を使用する

分散型サービス拒否 (DDoS) 攻撃は、運用システムを圧倒することで運用システムを中断し、クラウド内のリソースに大きな影響を与えます。 攻撃が成功すると、ネットワークとコンピューティング リソースが殺到し、使用量とコストが不必要に急増します。

Green Software Foundation の配置: エネルギー効率、 ハードウェア効率

推奨事項:

• DDoS 保護では、 抽象化されたレイヤーでの攻撃を軽減するため、お客様が運用するサービスに到達する前に攻撃が軽減されます。
  • コンピューティングサービスとネットワーク サービスの悪意のある使用を軽減することは、最終的には不要な二酸化炭素排出量を削減するのに役立ちます。

エンドポイントのセキュリティ

クラウドでワークロードとソリューションをセキュリティで保護することが不可欠です。 軽減策をクライアント デバイスまで最適化する方法を理解すると、排出量を削減するための肯定的な結果が得られます。

Microsoft Defender for Endpoint を統合する

クラウド インフラストラクチャに対する多くの攻撃は、攻撃者の直接的な利益のためにデプロイされたリソースを誤用することを目的としています。 このような誤用のケースは、ボットネットと暗号マイニングの 2 つです。

どちらの場合も、顧客が運営するコンピューティング リソースを制御し、それらを使用して新しい暗号化コインを作成するか、DDoS 攻撃や大量電子メール スパム キャンペーンなどのセカンダリ アクションを開始するリソースのネットワークとして使用します。

Green Software Foundation の配置: ハードウェア効率

推奨事項:

• Microsoft Defender for Endpointを Defender for Cloud と統合して、暗号化マイニングとボットネットを特定してシャットダウンします。
  • EDR 機能は高度な攻撃検出を提供し、それらの脅威を修復するための対応アクションを実行できます。 これらの一般的な攻撃によって作成された不要なリソース使用量は、多くの場合、セキュリティ アナリストの介入なしに、迅速に検出および修復できます。

レポート

セキュリティ アプライアンスからの排出量に関するレポートを作成するには、適切な情報と分析情報を適切なタイミングで取得することが重要です。

セキュリティ リソースにタグを付けます

テナント内のすべてのセキュリティ アプライアンスをすばやく見つけて報告するのは困難な場合があります。 セキュリティ リソースを特定することは、ビジネスのより持続可能な運用モデルの戦略を設計する際に役立ちます。

Green Software Foundation のアラインメント: 持続可能性の測定

推奨事項:

• セキュリティ リソースにタグを付けて、セキュリティ リソースの排出量の影響を記録します。

次のステップ

持続可能性に関する設計原則を確認します。

設計原則