Azure Arc 対応 SQL Managed Instance のガバナンスとセキュリティ

この記事では、Azure Arc 対応 SQL Managed Instance のデプロイの計画と実装に役立つ、ガバナンス、セキュリティ、コンプライアンスに関する重要な設計上の考慮事項とベスト プラクティスについて説明します。 エンタープライズ規模のランディング ゾーンのドキュメントでは、ガバナンスとセキュリティを個別のトピックとして取り上げていますが、Arc 対応 SQL Managed Instance の場合、これらの重要な設計領域は単一のトピックにまとめられています。

アーキテクチャ

次の図は、Arc 対応 SQL Managed Instance のセキュリティ、コンプライアンス、ガバナンスの設計領域を示す概念参照アーキテクチャを示しています。

設計上の考慮事項

このセクションでは、Arc 対応 SQL Managed Instance のセキュリティとガバナンスを計画する際に留意する必要がある設計上の考慮事項について説明します。

Azure ランディング ゾーンのセキュリティとガバナンスの設計領域を確認して、Arc 対応 SQL Managed Instance がガバナンスおよびセキュリティ モデル全体に及ぼす影響を評価します。

ガバナンスの規範

• ランディング ゾーンでのガバナンスの適用に関するベスト プラクティスについては、リソース編成の重要な設計領域を確認します。
• Arc 対応 SQL Managed Instance、データ コントローラー、カスタムの場所などのハイブリッド リソースに対して、組織の名前付け規則を確認して適用します。
• "間接接続" モードの組み込み構成プロファイルを確認し、Kubernetes インフラストラクチャに応じてカスタム プロファイルが必要かどうかを判断します。

データのプライバシーと所在地

• データ主権の要件を考慮して、セキュリティとコンプライアンスの要件に基づいて Arc 対応 SQL Managed Instance とデータ コントローラーをデプロイする予定の Azure リージョンを検討します。 "直接" および "間接接続" モードでリソースから収集されるデータを把握し、組織のデータ所在地の要件に基づいて適切に計画します。

クラスターのセキュリティ

• Arc 対応 SQL Managed Instance は、ハイブリッドまたはマルチクラウド Kubernetes クラスターに配置できます。 選択したクラウド プロバイダーと Kubernetes ディストリビューションのセキュリティとガバナンスに関する考慮事項を確認します。
• Azure Arc 対応 Kubernetes のガバナンスとセキュリティの規範の設計領域で設計上の考慮事項を確認します。

ネットワークのセキュリティ

• ベスト プラクティスとガイダンスについては、ネットワーク接続の重要な設計領域を確認します。
• 組織のセキュリティとコンプライアンスの要件に応じて、Arc 対応 SQL Managed Instance に使用する接続モードを決定します。
• クラスターがデプロイされている場所に応じて、Grafana と Kibana を使用して Arc 対応 SQL Managed Instance を監視するために必要なネットワーク ポートとエンドポイントを検討します。
• データ コントローラーを作成するときは、Kubernetes LoadBalancer または NodePort との間で使用するサービスの種類を決定します。

ID 管理とアクセス管理

• Arc 対応 SQL Managed Instance の ID およびアクセス管理でベスト プラクティスとガイダンスを確認します。
• 組織の職務の分離と最小限の特権アクセスの要件を考慮しながら、組織内のクラスター管理、操作、データベース管理、開発者ロールを定義します。 各チームをアクションと責任にマッピングすることで、使用する接続モードに応じて、Azure ロールベースのアクセス制御 (RBAC) ロールまたは Kubernetes ClusterRoleBinding と RoleBinding が決まります。
• この作業をサポートするために、実行責任、説明責任、助言、通知 (RACI) の関係者のマトリックスを使用することを検討します。 リソース整合性とインベントリ管理のガイダンスに基づいて定義した管理スコープ階層に制御を組み込みます。
• Azure Arc データ コントローラーをデプロイするには、Kubernetes 名前空間の作成やクラスター ロールの作成など、高い特権と見なすことができる何らかのアクセス許可が必要です。 過剰な特権を防ぐために、必要なアクセス許可を把握します。
• Arc 対応 SQL Managed Instance 内で使用する認証モデルとして、Microsoft Entra 認証と SQL 認証のどちらを使用するかを決定します。 適切な認証モードを選択するための設計上の考慮事項と推奨事項については、ID およびアクセス管理の設計領域を確認します。
• Arc 対応 SQL Managed Instance で Microsoft Entra 認証をサポートするために Azure Arc AD コネクタをデプロイするには、"システム マネージド keytab" と "カスタマー マネージド keytab" の違いを考慮します。 どちらの方法でも、サービス アカウントの管理と Microsoft Entra 認証サポート用の keytab を顧客が完全に制御する場合と比較して、操作が簡単になるという利点があります。

Azure Arc 対応 SQL Managed Instance のセキュリティ

• Azure に直接接続する場合としない場合のトレードオフや、現在および将来的に Azure で有効にされるセキュリティ機能を使用することでハイブリッドおよびマルチクラウド インスタンスに影響を与える可能性を考慮して、接続モードを決定します。
• データ ワークロードの Arc 対応 SQL Managed Instance で使用できるセキュリティ機能を確認します。
• Kubernetes クラスター内の永続ボリュームに使用するストレージ プラットフォームを定義し、永続ボリュームに存在するデータをセキュリティで保護するために使用できるセキュリティ機能を把握します。 ランディング ゾーンの設計時に、ストレージ規範の重要な設計領域を確認します。
• Arc 対応 SQL Managed Instance で有効にする前に、Transparent Data Encryption の要件とアーキテクチャを確認します。
• 組織の暗号化キー管理ポリシーと手順に基づいて Transparent Data Encryption 資格情報を格納できるさまざまな場所を検討します。
• "間接接続" モードで Arc 対応 SQL Managed Instance をデプロイする場合は、組織のセキュリティとコンプライアンスの要件に従って、ユーザー マネージド証明書を提供するために使用される証明機関を決定します。
• "直接接続" モードで Arc 対応 SQL Managed Instance をデプロイすると、自動ローテーション機能を備えたシステム マネージド証明書が提供されます。 間接接続モードでは、ユーザー マネージド証明書をローテーションするために手動介入が必要です。 デプロイする接続モードを選択するときは、手動操作とセキュリティ要件を考慮してください。
• 直接または間接接続モードのどちらでデプロイされていても、Arc 対応 SQL Managed Instance を最新のバージョンに保つ必要があることを考慮します。 詳細なガイダンスについては、アップグレード可能性の規範の重要な設計領域を確認します。

監視戦略

• 管理規範の重要な設計領域を確認し、さらに分析、監査、アラートを行うために、ハイブリッド リソースから Log Analytics ワークスペースにメトリックとログを収集することを計画します。
• サービス プリンシパルがログとメトリックを Azure Monitor にアップロードするために必要な最小限の特権のアクセス許可について理解します。

設計の推奨事項

ネットワークのセキュリティ

• トランスポート層のセキュリティ用の SSL/TLS 証明書を使用して Grafana と Kibana の監視ダッシュボードをセキュリティで保護します。
• 可用性を向上させるために Arc 対応 SQL Managed Instance をデプロイするときは、Kubernetes LoadBalancer をサービスの種類として使用します。

ID 管理とアクセス管理

• Microsoft Entra 認証を使用して、ユーザー ライフサイクル管理をディレクトリ サービスにオフロードし、Microsoft Entra ID のセキュリティ グループを使用して、SQL データベースにアクセスするためのユーザー アクセス許可を管理することをお勧めします。
• Microsoft Entra 認証のサポートにシステム マネージド keytab モードを使用して、ドメイン アカウントと keytab 管理のオーバーヘッドを軽減し、運用を簡素化します。
• SQL 認証を使用する場合は、強力なパスワード ポリシーを採用し、監査を有効にして、データベース サーバーとデータベースにアクセスするために付与された SQL ユーザー ID とアクセス許可を監視します。
• Kubernetes 名前空間を Azure Arc データ コントローラーのデプロイ専用にし、デプロイと管理のための最小限の特権のアクセス許可を割り当てます。
• Grafana および Kibana ダッシュボード用の強力なパスワードを作成し、定期的に監査とローテーションを行います。
• Arc 対応 SQL Managed Instance とデータ コントローラーのアクティビティ ログを監視して、ハイブリッド リソースで発生するさまざまな操作を監査します。 関連するイベントのアラートを作成し、セキュリティの監視とインシデント対応のための Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ツールと統合します。

Azure Arc 対応 SQL Managed Instance のセキュリティ

• 可能な限り、Azure Arc 対応データ サービスと Arc 対応 SQL Managed Instance では、間接接続モードよりも直接接続モードのデプロイを選択し、直接接続モードに関連する現在および将来のすべてのセキュリティ機能の利点を確実に得られるようにします。
• 保存データを暗号化するには、可能な限り Transparent Data Encryption を有効にします。
• 回復性を高めるために、Transparent Data Encryption 資格情報を永続ボリュームに格納します。
• ストレージ プラットフォームの機能を使用して、組織のセキュリティとコンプライアンスの要件に従って永続ボリュームを暗号化します。
• データ損失から回復するための要件に従って、バックアップ ポリシーを確実に設定します。 詳細なガイダンスについては、事業継続とディザスター リカバリーの重要な設計領域を確認します。
• 間接接続モードでデプロイする場合は、ユーザー マネージド証明書をローテーションするプロセスを作成します。
• 接続モードに関係なく、Arc 対応 SQL Managed Instance を最新バージョンに更新して維持するプロセスがあることを確認します。

監視戦略

• Azure にメトリックとログをアップロードするために使用される資格情報の有効期限またはサービス プリンシパルの変更を監視します。
• 組織のセキュリティとコンプライアンスの要件に従ってサービス プリンシパルの資格情報をローテーションするプロセスを作成します。

次のステップ

ハイブリッドとマルチクラウドでのクラウドの取り組みの詳細については、次の記事を参照してください。

• Azure Arc 対応データ サービスのセキュリティ機能を確認します。
• Azure Arc 対応データ サービスの検証済み Kubernetes ディストリビューションを確認します。
• ハイブリッドおよびマルチクラウド環境の管理を確認します。
• Arc 対応 SQL Managed Instance を最小限の特権で操作する方法の詳細を確認します。
• Azure Arc Jumpstart を使用して、Arc 対応 SQL Managed Instance の自動化シナリオを体験します。
• Azure Arc の詳細については、Microsoft Learn の Azure Arc ラーニング パスを確認します。