Azure基盤構築支援

Office365の移行を目的とし、認証基盤、及びExchange環境の基盤をAzureで構築しました。環境を構築するにあたりIaaS仮想マシンの実行環境以外に、以下の機能を構成しました。

• Azure Backup

  Azure Backupは、Recovery Servicesコンテナーの一部の機能で、バックアップや災害復旧の管理を行うことが可能です。本件では、Azure IaaS の仮想マシンのバックアップ/リストアを目的として、ローカル冗長ストレージを使用しAzure Backupの機能を構成しました。

• Azure Multi-Factor Authentication

  Azure Multi-Factor Authenticationを使うことにより、認証手段の多層化によってユーザーを絶えず保護することが可能となるため、セキュリティを向上することができます。
  2段階認証は、”onmicrosoft.com”アカウントのサインイン時に入力するパスワードに加え追加で認証方式を構成できます。認証方式は、電話、テキストメッセージ、モバイルアプリによる確認などユーザーの好みに合わせて要素を構成することが可能なため、非常に扱いやすくなっています。本件では、管理者アカウントを対象に2段階認証を使用しました。

• Azure Log Analytics

  Azure Log Analyticsは、クラウド環境及びオンプレミス環境のリソースから生成されたログデータを収集し分析する機能です。本件では、お客様のコンプライアンスによりログを長期間保管するという要件がありました。ログの保管にLog Analyticsを使用し、以下のリソースを対象に最大2年間ログをため込むことが出来るように構成しました。
  →IaaS仮想マシン（Windowsイベントログ）、IISログ、Squid(Proxy)サーバーのログ、Office365のログ、Azure Key Vaultのログ、Azure NSGのログ、Azureの操作ログ。

• Azure Disk Encryption

  Azure Disk Encryptionは、WindowsのBitLocker機能を利用して、OS、及びデータディスクのボリュームの暗号化を実現する機能です。暗号化キーの管理は、Azure Key Vaultを使用して行います。暗号化キーの参照/変更は、RBACロールによる管理が可能なため、不必要に第三者から参照/変更されません。

Azure Backupを使用したリストアの注意点

IaaS仮想マシンのリストアは一部制限があり、可用性セットやロードバランサーを構成している仮想マシンは、GUIを使用してリストアすることが出来ず、PowerShellまたは、Azure CLIの使用が必須になります。本件で構築した仮想マシンをリストアできるようPowerShellを使用し、環境に合わせたリストアスクリプトを作成しました。作成したスクリプトは、リストア対象の仮想マシンの情報を埋め込む必要がありますが、知識が無くても仮想マシンの情報を入力するだけで、リストアが可能です。

環境に合わせた柔軟な対応が可能

上記記載の通り、製品の制約上、PowerShellまたは、Azure CLIの使用が必須でしたので、本件ではPowerShellを使用いたしました。弊社では、製品の制約がある中でも柔軟に対応することが可能です。

設計

• 詳細設計書

• リソースグループ
• 仮想ネットワーク
• 可用セット
• ロードバランサー
• 仮想マシン
• 監視（Log Analysics）
• バックアップ
• セキュリティ（Azure MFA、Azure Disk Encryption）

設計

• 基本設計書
• 詳細設計書
• 動作確認項目表兼結果報告書
• 運用手順書