Azure Backup のセキュリティ機能の概要

データを保護するために実行できる非常に重要な手順の 1 つは、信頼性の高いバックアップ インフラストラクチャを使用することです。 しかし、データを安全な方法でバックアップすること、およびバックアップを常に保護することも同様に重要です。 Azure Backup は、データの転送時と保存時の両方で、バックアップ環境にセキュリティを提供します。 この記事では、バックアップ データを保護し、ビジネスのセキュリティ ニーズを満たすのに役立つ Azure Backup のセキュリティ機能を示します。

ID とユーザー アクセスの管理と制御

Recovery Services コンテナーによって使用されるストレージ アカウントは分離されており、悪意のある目的でユーザーがアクセスすることはできません。 アクセスが許可されるのは、復元などの Azure Backup 管理操作だけです。 Azure Backup では、Azure のロールベースのアクセス制御 (Azure RBAC) を使用したきめ細かなアクセスを通して、マネージド型の操作を管理することができます。 Azure RBAC を使用すると、チーム内で職務を分離し、職務を実行するために必要なアクセス権のみをユーザーに付与することができます。

Azure Backup では、バックアップの管理操作を制御する 3 つの組み込みロールが提供されます。

  • Backup Contributor: Recovery Services コンテナーの削除と他のユーザーへのアクセス権の付与を除き、バックアップの作成と管理を行います
  • Backup Operator: バックアップの削除とバックアップ ポリシーの管理を除き、共同作成者が行うすべての操作
  • Backup Reader: すべてのバックアップ管理操作を表示するためのアクセス許可

Azure Backup を管理するための Azure ロールベースのアクセス制御について確認してください。

Azure Backup には、セキュリティ脆弱性の防止、検出、および対応を行うための、サービスに組み込まれているセキュリティ コントロールがいくつかあります。 Azure Backup のセキュリティ コントロールについて確認してください。

Azure Backup によるデータの分離

Azure Backup では、保管済みのバックアップ データは Microsoft が管理する Azure サブスクリプションとテナントに格納されます。 外部ユーザーまたはゲストは、このバックアップ ストレージまたはその内容に直接アクセスできないため、データ ソースが存在する運用環境からバックアップ データが確実に分離されることになります。

Azure では、転送中のすべての通信とデータが HTTPSTLS 1.2 以降のプロトコルで安全に転送されます。 このデータは Azure バックボーン ネットワーク上に残り、信頼性が高く効率的なデータ転送が保証されます。 既定では、保存バックアップ データは、"Microsoft マネージド キー" を使用して暗号化されます。 データをよりきめ細かく制御する必要がある場合、暗号化のために独自のキーを持ち込むこともできます。 保護を強化するために、不変性を利用できます。不変にすると、保持期間前のデータが改ざんまたは削除されるのを防ぐことができます。 Azure Backup には、ある時点でバックアップを停止する必要がある場合、論理的な削除、バックアップの停止とデータの削除、データの保持など、さまざまオプションが用意されています。 クリティカル操作を保護するため、マルチユーザー認可 (MUA) を追加できます。これにより、Azure Resource Guard と呼ばれる Azure リソースを利用して保護層が追加されます。

この堅牢なアプローチにより、環境が侵害されても、承認されていないユーザーによる既存のバックアップの改ざんや削除ができなくなります。

Azure VM バックアップにはインターネット接続は不要

Azure VM のバックアップを行うには、お使いの仮想マシンのディスクから Recovery Services コンテナーにデータを移動する必要があります。 ただし、必要な通信やデータ転送はすべて Azure バックボーン ネットワーク上でのみ行われ、仮想ネットワークにアクセスする必要はありません。 そのため、セキュリティで保護されたネットワーク内に配置された Azure VM のバックアップでは、IP や FQDN へのアクセスを許可する必要がありません。

Azure Backup のプライベート エンドポイント

プライベート エンドポイントを使用して、仮想ネットワーク内のサーバーから Recovery Services コンテナーにデータを安全にバックアップできるようになりました。 プライベート エンドポイントでは、お使いのコンテナーには VNET アドレス空間に属する IP が使用されるため、どのパブリック IP にも仮想ネットワークを公開する必要はありません。 プライベート エンドポイントを使用して、お使いの Azure VM 内で実行される SQL データベースと SAP HANA データベースのバックアップと復元を行うことができます。 また、MARS エージェントを使用して、オンプレミス サーバーでも使用できます。

こちらから、Azure Backup のプライベート エンドポイントの詳細を参照してください。

データの暗号化

暗号化によりお使いのデータが保護され、組織のセキュリティとコンプライアンスのコミットメントを満たすのに役立ちます。 データの暗号化は、Azure Backup の多くの段階で行われます。

論理的な削除

Azure Backup には、削除後もバックアップ データを保護するためのセキュリティ機能が用意されています。 論理的な削除では、VM のバックアップを削除した場合、バックアップ データは "追加で 14 日間" 保持されるので、データを失うことなくそのバックアップ項目を回復できます。 "バックアップ データが論理的な削除状態にあるこの追加の 14 日間の保有期間中" は、コストが発生しません。 論理的な削除の詳細については、こちらを参照してください

Azure Backup では、論理的な削除も強化され、削除後にデータを回復できる可能性がさらに向上しました。 詳細については、こちらを参照してください

不変コンテナー

不変コンテナーは、復旧ポイントを失う可能性のある操作をブロックすることで、バックアップ データを保護するのに役立ちます。 さらに、不変コンテナーの設定をロックして元に戻せないようにし、悪意のあるアクターが不変性を無効にしてバックアップを削除するのを防止できます。 不変コンテナーの詳細については、こちらを参照してください

マルチユーザー認可

Azure Backup のマルチユーザー承認 (MUA) を使用すると、Recovery Services コンテナーと Backup コンテナーに対する重要な操作に保護レイヤーを追加できます。 MUA の場合、Azure Backup Resource Guard と呼ばれる別の Azure リソースを使用して、重要な操作が適用可能な承認でのみ実行される必要があります。 Azure Backup のマルチユーザー認可の詳細については、こちらを参照してください

強化された論理的な削除

強化された論理的な削除を利用すると、誤って、または悪意を持って削除された後でも、データを回復できます。 この機能は、指定した期間だけデータの完全な削除を遅らせ、データを取得する機会を提供して実現します。 論理的な削除を "常に有効" にして、無効にされないようにすることもできます。 バックアップの論理的な削除の強化に関する詳細については、こちらを参照してください

疑わしいアクティビティの監視とアラート

Azure Backup には、Azure Backup に関連するイベントのアクションを表示および構成する組み込みの監視とアラートの機能が用意されています。 バックアップ レポートは、使用状況の追跡、バックアップと復元の監査、およびさまざまな細分性レベルでの主要な傾向の特定を行うための、ワンストップの宛先として機能します。 Azure Backup の監視およびレポート ツールを使用すると、承認されていない、疑わしい、または悪意のあるアクティビティが発生した場合に直ちにアラートを受け取ることができます。

ハイブリッド バックアップを保護するためのセキュリティ機能

Azure Backup サービスは、Microsoft Azure Recovery Services (MARS) エージェントを使用して、ファイル、フォルダー、およびボリュームまたはシステム状態をオンプレミスのコンピューターから Azure にバックアップおよび復元します。 MARS では、ハイブリッド バックアップの保護に役立つセキュリティ機能が提供されるようになりました。 次のような機能が該当します。

  • パスフレーズの変更など、重要な操作を実行するたびに、認証レイヤーが追加されます。 この検証により、有効な Azure 資格情報を持つユーザーのみがそのような操作を実行できるようになります。 攻撃を防ぐ機能の詳細については、こちらを参照してください

  • 削除されたバックアップ データは、削除日から追加で 14 日間保持されます。 これにより、特定の期間内のデータの復旧性が確保され、攻撃が行われてもデータが失われることはありません。 また、保持される最小復旧ポイントの数が非常に増えたため、データの破損を防ぐことができます。 削除されたバックアップ データの復旧の詳細については、こちらを参照してください

  • Microsoft Azure Recovery Services (MARS) エージェントを使用してバックアップされたデータの場合は、Azure Backup にアップロードする前にデータが暗号化され、Azure Backup からダウンロードした後にのみ暗号化が解除されるようにするために、パスフレーズが使用されます。 パスフレーズの詳細は、パスフレーズを作成したユーザーと、それを使用して構成されたエージェントでのみ使用できます。 そのサービスとの間で転送または共有されるものはありません。 これにより、(ネットワーク上の中間者攻撃などで) 誤って公開されたデータはパスフレーズなしで使用できず、パスフレーズはネットワーク経由で送信されないため、データの完全なセキュリティが確保されます。

セキュリティ態勢とセキュリティ レベル

Azure Backup には、バックアップ格納データを保護するための、コンテナー レベルのセキュリティ機能が用意されています。 これらのセキュリティ対策には、コンテナーの Azure Backup ソリューションに関連付けられている設定と、コンテナーに含まれている保護されたデータ ソースが含まれます。

Azure Backup コンテナーのセキュリティ レベルは、次のように分類されます。

  • 非常に良い (最大): このレベルは、最高度のセキュリティを表しており、包括的な保護を保証しています。 これは、すべてのバックアップ データが誤削除から保護されており、ランサムウェア攻撃から防御されている場合に達成できます。 この高レベルのセキュリティを実現するには、次の条件を満たす必要があります。

  • 良い (適切): これは、強固なセキュリティ レベルを表しており、データ保護が信頼できることを保証しています。 既存のバックアップが意図しない削除から保護され、データ復旧の可能性が強化されています。 このレベルのセキュリティを実現するには、ロックによる不変性または論理的な削除を有効にする必要があります。

  • 普通 (最低限または平均): これは、標準的な保護要件に適した基本レベルのセキュリティを表しています。 保護層を追加すると、バックアップの必須操作を実行しやすくなります。 最小限のセキュリティを実現するには、コンテナーでマルチユーザー認可 (MUA) を有効にする必要があります。

  • 悪い (不良またはなし): これは、セキュリティ対策が不足していることを示しており、データ保護には適していません。 このレベルでは、高度な保護機能も、単に元に戻す機能も、どちらも用意されていません。 セキュリティなしのレベルで提供されるのは、誤削除に対する保護のみです。

Azure Business Continuity Center で各コンテナー内にあるすべてのデータソースのセキュリティ レベルを表示および管理できます。

標準化されたセキュリティ要件への準拠

個人データの収集と使用に関する国、地域、業界固有の要件に組織が準拠できるように、Microsoft Azure と Azure Backup では、包括的な認定と認証を提供しています。 コンプライアンス認定の一覧については、こちらを参照してください

次のステップ