Azure ワークロードを監視するための主権の選択肢

主権要件は多くの場合、クラウド ワークロードの一部として使用されるアプリケーションやインフラストラクチャ サービスだけでなく、そのワークロードの運用と管理に使用される管理ソリューションにも適用されます。

厳格な主権要件を満たす必要がある組織は、運用要件とコンプライアンス要件の両方を満たす監視ソリューションを特定する必要があります。 これにより、ワークロードの移行を計画しているチームがワークロード監視の設計パターンを確実に使用できるようになります。

この記事では、監視のさまざまな目標とベスト プラクティスについて説明し、クラウドネイティブと独自のソリューションのアプローチを比較します。

ログと監視の目標を理解する

信頼性の高いソリューションを提供するには、クラウドに展開されたリソースの動作を理解することが重要です。 監視はクラウド ワークロードのコンポーネントとして含まれていることがよくありますが、監視はさまざまな理由で、いろいろな関係者の利益を目的として実装されることが多いことを理解することが重要です。

組織がクラウドで総合的な監視ソリューションを設計しようとしている場合、組織が頻繁に遭遇するさまざまな目標を強調表示すると便利です。

パフォーマンスの監視

ワークロードのパフォーマンスの監視では、アプリケーション サービスの正常性、ソリューション コンポーネントの可用性、ソリューションの速度と応答性など、さまざまな事項を監視します。 このタイプの監視は、システムの問題をできるだけ早く特定し、ダウンタイムを回避するために、ほぼリアルタイムで実行されます。

このタイプの監視からのメトリクスを収集、集計して、パフォーマンスの傾向を分析することもできます。 このタイプの監視とそれによって生成されるデータは、リソースを管理するアプリケーション チームやインフラストラクチャ チームだけでなく、イベントやインシデントに対応する運用チームやサポート チームもよく使用します。

セキュリティの監視

監視は多くの場合、リスク管理に役立つ検出制御を組織に提供するために実装されます。 セキュリティ イベントを監視すると、組織は迅速に対応し、脅威の影響を最小限に抑えることができます。 脅威を監視すると、既知の攻撃手法に対応するパターンを探すことができ、イベント データを長期にわたって維持することで、組織は犯罪に関する調査を実施し、根本原因分析を行うことができます。

セキュリティ監視から収集されたデータは、IT 運用、保証、監査チームだけでなく、運用アナリストや脅威ハンターなどのセキュリティ チームによってよく使用されます。

サービス管理の監視

ワークロードの動作を監視するパフォーマンスやセキュリティの監視に加えて、組織はワークロードの状態を監視するために追加の監視を実装する場合があります。 このタイプの監視は、IT サービス管理の目標が達成されていることを確認するためによく使用されます。 構成管理、変更制御、ソフトウェア バージョンの最新情報などのサービス管理ドメインでは、既知の正常な状態での展開を検証するために、リソースのバージョンや構成を監視する必要がよくあります。

このタイプの監視は、IT 運用チーム、アプリケーションおよびインフラストラクチャ チーム、セキュリティ チームによって、不正な変更を特定するためによく使用されます。

監視と診断のベスト プラクティスを使用する

組織が監視ソリューションを計画する際には、Azure に展開されたソリューションのクラウドネイティブ監視を実装するためのベスト プラクティスを確認すると便利です。 次の記事には、クラウドベースの監視ソリューションを設計するための推奨事項が含まれています。

• 監視と診断のベスト プラクティス
• 適切に設計されたフレームワーク監視のレコメンデーション

クラウドネイティブの監視と独自のソリューション

多くの組織は、オンプレミスのシステムを監視するための成熟した監視ソリューションをすでに導入しており、クラウド移行を計画する際の一般的な選択肢は、クラウドネイティブの監視ソリューションを採用するか、既存のソリューションをクラウドで使用できるように適応させるかです。

これらの両方のアプローチに長所と短所があるため、組織は両方のアプローチを評価して、運用要件と主権要件を適切に調整することをお勧めします。

ログと監視をサービスとして使用する

Azure では、組織が総合的な監視ソリューションを作成するために使用できるクラウドネイティブ サービスを選択できます。

• Azure Monitor は Azure のマネージド ソリューションであり、IT やアプリケーションの監視に使用します。 Azure Monitor は、次に示すさまざまな IT 監視ツールと分析機能を提供します:
  • Log Analytics - グラフィカル インターフェイスであり、収集されたログ データに対するクエリの作成と実行を行います。
  • インサイト - Microsoft が厳選した構成済みのデータ入力、クエリ、警告、視覚化に対応した、標準の監視エクスペリエンス。
  • Application Insights - 顧客が作成したコードにアプリケーション パフォーマンス管理機能を提供します。
• Microsoft Sentinel を Azure Monitor と一緒に使用することで、セキュリティ オーケストレーション、自動化、応答 (SOAR)が実現します。
• Microsoft Defender for Cloud は、Azure Monitor と連携してクラウドベースのアプリケーションを脅威から保護するクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) です。

組織は監視アプローチをゼロから開発することもできますが、多くの組織は Azure Monitor や Microsoft Defender for Cloud などのサービスによって、厳選されたエクスペリエンスのメリットを享受できます。

これらのサービスは、データ所在地の場所の選択に関しては同じレベルの詳細を提供しない可能性があるため、組織が非リージョン サービスを監視戦略に組み込むことを選択する場合、データがどこにどのように保存されるかを理解する必要があります。

• Azure のデータ所在地に関する詳細

オンプレミスの監視ソリューションを Azure に拡張する

PaaS 監視ソリューションでは監視できない機密性の高いデータを含むアプリケーションに対して、組織がオンプレミスの監視ソリューションを引き続き活用できる方法がいくつかあります。

• IaaS ワークロードの場合、エージェントベースの監視ソリューションを引き続き仮想マシン イメージに含めることができます。
• アプリケーション パフォーマンス監視ソリューションは、顧客が開発したコードを使用して引き続きコンパイルできます。
• 仮想マシンを使用してログ サーバーを Azure に展開し、WAN リンク間のクライアント トラフィックを最小限に抑えることができます。
• ログはストレージ アカウントに送信したり、Event Hubs でストリーミングしたり、API 経由でアクセスしたりできます。

これらのアプローチはすべて、組織がオンプレミスの監視システムのより高いレベルの運用主権を維持しながら、運用モデルをクラウドに移行するのに役立ちます。 ただし、これらのアプローチでは、従来の監視ソリューションが仮想マシンやクラウド ストレージなどのクラウド リソースを消費するため、追加コストがかかる可能性もあります。

組織が運営をクラウドに移行するのに役立つもう他のアプローチは、Azure Monitor から Azure Monitor パートナーが提供するオンプレミスのソリューションに監視データをストリーミングすることです。

• Azure Monitor からのログ データのストリーミングに関する詳細
• サードパーティの Azure Monitor パートナーのリストを表示する

Azure ワークロードの監視ソリューションを選択する

次のシナリオでは、厳密な主権要件を持つワークロードを含む、組織がワークロードを監視するために使用できる監視ソリューションをいくつかを取り上げます。

リージョンおよび非リージョンのサービスを使用して Azure リソースを監視する

• データ ソースとインストルメンテーション: Azure Monitor を使用してプラットフォームとアクティビティ ログをネイティブに収集します。 Azure Monitor エージェントで IaaS リソースからログを収集します。 Application Insights でカスタム アプリケーションからランタイム製品利用統計情報を収集します。
• 収集と保管: Log Analytics ワークスペースで個別のワークロードのログ データを集計します。 Event Hubs を使用してログをストリーミングすることで、Azure Data Lake の企業全体のログ データを集約します。
• 分析と診断: Azure Monitor と Defender for Cloud の厳選された監視エクスペリエンスでインサイトを生成します。 Log Analytics や Azure Data Explorer でログを分析します。 Microsoft Sentinel でセキュリティ対応を自動化し、調整します。

リージョン サービスのみを使用して Azure リソースを監視する

• データ ソースとインストルメンテーション: Azure Monitor を使用してプラットフォームとアクティビティ ログを収集します。 Application Insights でカスタム アプリケーションからランタイム製品利用統計情報を収集します。
• 収集と保管: 要件に合った地域に展開された Log Analytics ワークスペースで個別のワークロードのログ データを集約します。 Event Hubs を使用してログ データを希望するサブスクリプションのデータ レイクにストリーミングします。
• 分析と診断: Log Analytics または Azure Data Explorer を使用してログを分析します。

オンプレミスの ソリューションを使用して Azure リソースを監視する

• データソースとインストルメンテーション: Azure Monitor でログをキャプチャし、ストレージ アカウント、Event Hubs、または API を使用してオンプレミスのソリューションにエクスポートします。 サードパーティ エージェントを使用してログを直接キャプチャします。
• 収集とストレージ: ログ データをオンプレミスで集約してアーカイブします。
• 分析と診断: 分析と診断には既存のオンプレミス ソリューションを使用します。

関連リソース

• Azure Monitor の基礎のラーニング パス をレビューして、Azure Monitor を使用したアプリケーションとインフラストラクチャの監視に関するトレーニング コースを見つけることができます。