前回までに、クラウド事業者と利用者の情報セキュリティの責任分担、そして「Microsoft Office 365」のセキュリティアップデートの配信と管理について説明しました。今回は、Microsoft Azure(以下、Azure)のセキュリティアップデートについて取り上げたいと思います。
Azureは、2010年10月に「Windows Azure」としてサービスの提供を開始しました。開始当初は、SQLデータベースやWebサービスを提供するPaaS(Platform as a Service)のサービスのみを提供していましたが、現在は、仮想OSや仮想ネットワークを提供するIaaS(Infrastructure As a Service)も提供しています。
以降では、それぞれについて順に見ていきましょう。
ホスト環境のアップデート
Azureを提供しているデータセンターでは、IaaSとして提供されている仮想マシンをホストするためのホスト環境が動作しており、そのホストの仮想化環境上で、仮想マシンは動作しています。ホスト環境も、セキュリティ更新プログラムの適用や、機能拡張/変更のために、定期的なメンテナンスが行われています。
このメンテナンスが行われる際、ホスト環境の再起動が必要となる場合があり、時として動作している仮想化環境も一時停止が必要なケースもあります。その場合は、再起動対象のホスト環境上に構築されている仮想マシンは、一度シャットダウンされ、ホスト環境の再起動後に仮想マシンが再度起動してきます。このようなメンテナンスが必要となる場合は、事前に通知が行われます。
IaaS仮想マシンの更新管理
IaaSの仮想マシンの場合、Azureでは、仮想マシンの最新の更新を含むイメージが「Azure Marketplace」に提供されており、ユーザーは利用したい仮想マシンをギャラリーから選択してデプロイします。
IaaSの仮想マシンでは、デプロイした後は、オンプレミスの環境同様に、利用者のユーザーがOSおよび利用しているアプリケーション、サービスの更新プログラムの管理を行っていきます。
PaaS環境
WebロールなどのPaaSの場合、利用されているAzureゲストOSは、クラウドサービス側で管理と更新が行われます。Azureの場合、ホストOSの環境更新は、ユーザーにある程度設定と管理が行えるようになっています。常に最新のゲストOSを利用するよう自動更新の設定を行うこともできますし、ユーザー側で手動でアップデートを行うよう設定することも可能です。
ゲストOSに関しては、毎月、月例のセキュリティ更新プログラムが適用された新しいイメージが提供されています。また、サポートしているゲストOSにて、どのようなセキュリティのどのバージョンで、どのセキュリティ更新プログラムが含まれたかを示す一覧表も公開されています。
注意する必要があるのは、サポートされているゲストOSのバージョンです。毎月提供されている新しいイメージでは、サポートされているゲストファミリの少なくとも最新の2つのバージョンをサポートしています(詳細は、Microsoftのサポートページ「ゲストOSのサポートポリシー」を参照してください)。
言い換えると、毎月新しいバージョンが定期的に公開されますので、ゲストOSのバージョンは通常、リリースから約60日後に無効になる、というサイクルになります。すなわち、ユーザーは少なくとも60日ごとに新しいバージョンへゲストOSを更新する必要があるわけです。
自動更新が有効な場合は問題ありませんが、手動で更新するよう設定している場合は注意が必要です。利用しているゲストOSのバージョンのサポートが終了すると、「無効」なバージョンとして処理されます。新規のデプロイはできなくなり、またすでにデプロイ済みの環境は実行された状態のままですが、コードや構成変更はできなくなります。「無効」となっているバージョンはしばらくすると「有効期限切れ」となり、強制的にアップグレードされ、自動更新が「有効」に変更されます。
自動で全ての更新プログラムを適用する場合は、自動更新の設定をあらかじめ設定しておけば、特に管理の手間はかかりません。しかしながら、特に企業環境の場合、全て自動で更新するのではなく、互換性テストを行った上で更新プログラムを適用するケースもあるでしょう。
この場合、適用する更新プログラムのバージョンをコントロールしながら、膨大な数のVMへのパッチ適用を管理していくことが必要です。こうしたニーズに応えるものとして、Azureでは、複数の仮想マシンやサービスのパッチ管理を容易にするための機能を用意しています。次回は、こうした更新管理機能についてご紹介したいと思います。
著者紹介
垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー
マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。