Azure Arc 対応サーバーとその機能について

完了

デジタル資産全体のセキュリティ体制を向上させるために Microsoft Defender for Cloud (他のクラウドの脆弱性と脅威インテリジェンス対応には Microsoft Sentinel、オンプレミス サービスの監視には Azure Monitor) を使用すると、Azure Arc 対応サーバーにより、シンプルなアーキテクチャを通じて顧客に非常に大きな価値が提供されます。

Wide World Importers は Azure Arc 対応サーバーのデプロイを最優先に位置付けたため、まずは Azure Arc を使用して Azure の管理プレーンを Azure 外部のサーバーに拡張する方法について理解し、Azure Arc 対応サーバーが会社で実行できる機能について学習します。

Connected Machine エージェントの概要

Azure Arc では、ローカルにインストールされたエージェントを利用して、ローカル リソースと Azure の間に論理接続を確立します。 このエージェントは Connected Machine エージェントです。 Connected Machine エージェントのパッケージには、複数の論理コンポーネントがまとめられています。

  • Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。

  • ゲスト構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。

  • 拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。

Azure とローカル リソースとの間の接続を確立することによって、Azure Connected Machine Agent ではリソースを実質的に Arc 対応にできます。 その結果、Azure 以外のリソースは自動的に、Azure Resource Manager プレーンの一部として、ハイブリッド Azure リソースになります。 管理インターフェイスとして機能する Azure Resource Manager を使用して、Azure リソースの作成、変更、削除を行うことができます。

Connected Machine エージェント アーキテクチャを示す図。Connected Machine エージェントには、HIMDS、ゲスト構成エージェント、および拡張機能エージェントが含まれています。

Azure Arc 対応サーバーの機能

Azure Arc 対応サーバーは幅広い機能を利用できるため、オンプレミス、マルチクラウド、エッジのどの環境でも、お使いのマシンに Azure サービスを導入できます。 これらの機能は、セキュリティ、監視、ガバナンスのニーズに応じてさまざまなユース ケースに対応します。

サービス 説明
Azure リソース Azure Arc 対応サーバーでは、次のような Azure の信頼性の高いリソース管理機能を利用できます。
  • Azure 管理グループ、サブスクリプション、リソース グループ、タグを使用して、組織のすべてのリソースを整理する機能。
  • Azure Resource Graph を使用した検索とインデックス作成のサポートなど、マルチクラウドとオンプレミスを対象とする組織資産の単一の包括的なインベントリ。
  • Azure portal、Azure コマンド ライン インターフェイス (CLI)、Azure PowerShell、Representational State Transfer (REST) アプリケーション プログラミング インターフェイス (API) による、Azure および Azure Arc 対応リソースの統合されたビュー。
Microsoft Defender for Cloud Microsoft Defender for Cloud により、お客様は (Microsoft Defender for Cloud を介して組み込まれる) Microsoft Defender for Endpoint で Azure 以外のサーバーを保護して、脅威の検出や脆弱性の管理を行い、潜在的なセキュリティ上の脅威を積極的に監視できます。 Microsoft Defender for Cloud では、検出された脅威からアラートと修復の提案を提示し、セキュリティ体制を高レベルのセキュリティ スコアと統合します。
Microsoft Sentinel Arc 対応サーバーに接続されているマシンを Microsoft Sentinel で構成して、セキュリティ関連のイベントを収集し、それらを他のデータ ソースと関連付けることができます。
Azure Monitor VM Insights を使用して、接続されているマシンのゲスト オペレーティング システムのパフォーマンスを監視します。また、アプリケーション コンポーネントを検出して、そのプロセスや、他のリソースとの依存関係を監視します。 Log Analytics エージェントを使用して、マシンで実行されているオペレーティング システムやワークロードから、パフォーマンス データやイベントなどの他のログ データを収集します。
Azure Policy Azure Policy を使うと、お客様は、Arc 対応サーバーの社内および規制へのコンプライアンスを管理および評価できます。 ユーザーは、タイム ゾーンやセキュリティの脆弱性など、マシン内の監査設定について、Azure Policy ゲスト構成に基づいて、定義、割り当て、および修復を行うことができます。
Azure Automation PowerShell と Python Runbook を使用して、頻繁で時間のかかる管理タスクを自動化します。 変更履歴とインベントリを使用して、インストールされているソフトウェア、Microsoft サービス、Windows レジストリとファイル、および Linux デーモンに関する構成変更を評価します。 Update Management を使用して、Windows と Linux サーバーのオペレーティング システム用の更新プログラムを管理します。
Azure Automanage Azure Arc 対応サーバーの Automanage マシンを使用するときに、一連の Azure サービスのオンボードと構成を自動化します。

Azure Arc 対応サーバーでは、Azure VM 拡張機能を利用できます。 Azure VM 拡張機能は、オペレーティング システムのデプロイ後の構成とオートメーション タスクを自動化する軽量のソフトウェア コンポーネントです。 従来、Azure VM 拡張機能は Azure VM のみで使用できましたが、Azure Arc 対応サーバーで選択したものを使用できるようになりました。

拡張機能 説明
カスタム スクリプト拡張機能 対象の Azure Arc 対応サーバーでスクリプトを実行します
必要な状態の構成 対象の Azure Arc 対応サーバーに PowerShell DSC の構成を適用します
Log Analytics エージェント 対象の Azure Arc 対応サーバーに Log Analytics エージェントをインストールし、Log Analytics ワークスペースにログを転送するようにそれを構成します
依存関係エージェント 対象の Azure Arc 対応サーバーに Dependency Agent をインストールして、サーバーのワークロードの内部および外部の依存関係の識別を容易にします
Azure Key Vault エージェント Azure Key Vault インスタンスからの証明書を Arc 対応サーバーに同期します
Qualys 拡張機能 サーバーの脆弱性評価スキャン ソリューションのための Microsoft Defender