Azureアカウントを強化し、24時間365日遅延なく監視するためのセキュリティに関するベストプラクティスをご案内します。
すべてのリソースに対して管理者や共同作成者などの上位ロールを割り当てると、意図せず設定が変更されてしまう可能性があります。アカウントとサブスクリプションには、最小限のアクセス許可を付与することが理想的です。これにより、不正なアクセスを排除できます。また、特定の目的のためにカスタムRBACロールを作成することもできます。
カスタムアプリケーションを作成し、複数のプロセスやトランザクションで使用している場合、そのアプリケーションが侵害されると問題になります。監視目的専用のカスタムアプリケーションを作成して使用することで、影響範囲を限定できます。万が一そのアプリケーションに問題が発生しても、他の業務に影響が及ぶことはありません。
クライアントシークレットの有効期間を最小限に抑えることで、漏洩のリスクを低減できます。有効期間が長いクライアントシークレットは、侵害に対してより脆弱になります。Site24x7のポータルでシークレットの有効期限を設定すると、期限が近づいた際にアラートで通知されるため、キーのローテーションが可能です。
アカウント、サブスクリプション、リソースの管理は時として困難な場合があります。特に、複数のサブスクリプションと多数のリソースがある場合は、管理がさらに複雑化します。これを回避するために、監視グループを作成し、AzureポータルでのアカウントのIAM設定に基づいて各ロールを割り当てることができます。
サーバーをAzure VMと連携する際は、Site24x7からコピーして保存するAPIキーが安全に管理されていることを確認してください。将来参照できるよう、ボールトなどに保管することを強く推奨します。これにより、不正な侵入を防ぐことができます。
Site24x7のアカウントとアクセス制御に加えられた変更を追跡することで、リソースと制御設定の状況を常に把握できます。
Site24x7のAzure監視ガイダンスレポートには、ここで紹介した以外にもセキュリティのベストプラクティスに関する推奨事項が含まれています。レポートを参照し、Azure監視への理解を深めてください。