BLOGAzureブログ

Azure Backup のマルチユーザー承認でバックアップデータの保護を強化する

2022.10.06

クラウドサーバーご検討中の方必見 お役立ち資料一覧

皆さまこんにちは。SB C&Sの井上です。
今回はAzure Backupのマルチユーザー承認(MUA)を使用してRecovery Services コンテナーのバックアップデータやバックアップポリシーに対する重要な変更や操作を保護する方法をご紹介します。

AzureではVMのデータを保護するため、運用ワークロードで稼働しているVMは定期的にバックアップを取ることがベストプラクティスとされています。Azure BackupはAzureネイティブなバックアップサービスで、Azure VM、Azure Fire Share、SQL Server、SAP HANA、オンプレミスのサーバーなどのバックアップを簡単に行うことができます。

Azure BackupでAzure VMなどをバックアップする際には、任意のバックアップ日時やバックアップデータの保持期間などを設定したバックアップポリシーを作成し、ポリシーに従ってバックアップデータが保存されます。そして保存されたバックアップデータは意図せず削除されたりしないように保護することが重要ですが、従来ではRecovery Services コンテナーの操作権限を持つユーザーであれば削除や変更の操作が可能で、バックアップデータが削除されるというリスクがありました。

そこで今回ご紹介するAzure Backupのマルチユーザー承認を利用すると、Recovery Services コンテナーの操作権限を持つユーザーがバックアップデータを意図せず削除したり、バックアップポリシーの保持期間を短縮したりするような操作をブロックし、バックアップデータの保護を強化できます。

1.Azure Backupとは

Azure Backupとは、Azureで提供されているシンプルで安全かつコスト効率の高いバックアップサービスです。AzureではVMのデータを保護するため、運用ワークロードで稼働しているVMは定期的にバックアップを取ることがベストプラクティスとされていますが、Azure Backupを利用することで、非常に簡単にAzure上にVMのバックアップを行うことができます。
また、Azure VMだけでなく、Azure Fire Share、Azure VM上で動作するSQL Server、Azure VM上で動作するSAP HANA、オンプレミスのサーバーなど、幅広いシステムでバックアップを簡単に構成し、Azure上でバックアップデータを一元管理することができます。

backup1.png

Azure BackupでVMをバックアップするためには、Recovery Services コンテナーというリソースを作成する必要があります。Recovery Services コンテナーでは、バックアップデータの格納や、VMのバックアップスケジュールを設定するバックアップポリシーの作成、バックアップした復元ポイントの管理などAzure Backupの様々な操作を行うことができます。
また、Azureで提供されるBCP/DR対策サービスであるAzure Site RecoveryでもRecovery Services コンテナーリソースを使用します。

Azure Backupの利用料金は、バックアップ対象のインスタンスに対する基本料金と、バックアップデータの保存で使用したストレージ料金の合計で算出されます。バックアップ対象のインスタンスに対する料金は、保護するインスタンスのサイズによって異なり、Azure VMの場合は以下の料金になります。

backup2.png

2022年8月時点、東日本リージョンの料金

バックアップデータの保存で使用したストレージ料金は、Recovery Services コンテナーの冗長レベルによって1GB当たりの利用料金が異なり、以下の料金となります。

backup3.png

2022年8月時点、東日本リージョンの料金

Azure Backupでは初回バックアップが完全バックアップ、スケジュールバックアップが増分バックアップとして取得されます。また、復元ポイントの保持期間が長ければ長いほど時間と共に保存データが大きくなり、ストレージ料金も高額になっていくため、月額コストを考慮したバックアップ計画を立てることをお勧めします。

2.Azure Backup マルチユーザー承認とは

Azure Backup マルチユーザー承認とは、Azure BackupのRecovery Services コンテナーのバックアップデータの削除やバックアップポリシーの保持期間を短縮する操作など、バックアップに対する重要な操作や変更をブロックする機能です。

マルチユーザー承認機能を使用するためには、Recovery Services コンテナーの認証サービスとして「Resource Guard」というリソースを利用します。
マルチユーザー承認を使用しない場合、Recovery Services コンテナーの所有者や共同作成者である「バックアップ管理者」はコンテナー内の全ての操作を行うことができますが、Resource Guardを作成してマルチユーザー承認を使用した場合は、「セキュリティ管理者」がResource Guardの設定を管理することで、特定のコンテナーに対する「バックアップ管理者」による重要な操作を許可したりブロックしたりすることができます。

backup4.png

また、Resource Guardによって保護できる重要な操作の一覧は以下の表の通りです。

backup5.png

重要な操作の内、「論理的な削除の無効化」と「マルチユーザー承認保護の無効化」は除外できない(バックアップ管理者に操作を許可することができない)ですが、その他の操作に関してはバックアップ管理者に操作を許可するかブロックするかを設定できます。

Resource GuardはRecovery Services コンテナーと同じリージョンに作成する必要がありますが、同じサブスクリプションや同じテナント内に作成する必要はありません。
Resource GuardとRecovery Services コンテナーを同じテナントの同じサブスクリプション内に作成した場合は、バックアップ管理者とセキュリティ管理者の分離は最低限となり、異なるテナントの異なるサブスクリプション内にそれぞれを作成した場合は、バックアップ管理者とセキュリティ管理者の分離は最大となり、セキュリティも最大になります。

backup6.png

3.Azure Backup マルチユーザー承認 設定方法

今回は、Recovery Services コンテナーとResource Guardを異なるテナント内に作成し、バックアップ管理者はResource Guardリソース、サブスクリプション、テナントへのアクセス権を持たない環境でマルチユーザー承認を設定します。これにより、バックアップ管理者とセキュリティ管理者の分離が最大限となり、マルチユーザー承認保護のセキュリティは最大になります。

マルチユーザー承認を利用するには、以下の前提条件が必要です。

  • Recovery Services コンテナーとResource Guardが同じリージョンに存在する
  • バックアップ管理者にResource Guardへの「共同作成者」アクセス許可が付与されていない
  • サブスクリプションにMicrosoft.RecoveryServicesプロバイダーが登録されている

マルチユーザー承認は以下の手順で設定しますが、バックアップ管理者の作業とセキュリティ管理者の作業が混在するため、各手順で作業を行う管理者を( )内に記載しています。また、今回は異なる2つのテナントで作業するため、セキュリティ管理者とResource GuardはテナントA、バックアップ管理者とRecovery Services コンテナーはテナントBに作成し、どちらのテナントで作業を行うかを( )内に記載しています。

  • Recovery Services コンテナーの作成 (バックアップ管理者, テナントB)
  • Resource Guardの作成 (セキュリティ管理者, テナントA)
  • Resource Guardで保護する操作を選択 (セキュリティ管理者, テナントA)
  • Resource Guardのアクセス許可設定 (セキュリティ管理者, テナントA)
  • Recovery Services コンテナーでマルチユーザー承認を有効化 (バックアップ管理者, テナントB)
  • マルチユーザー承認の動作確認 (バックアップ管理者, テナントB)

(1)Recovery Services コンテナーの作成 (バックアップ管理者, テナントB)

まずはマルチユーザー承認で保護する対象のRecovery Services コンテナーを作成します。(既存のRecovery Services コンテナーに対してマルチユーザー承認を設定する場合は、この手順はスキップしてください。)

バックアップ管理者には、本手順でRecovery Services コンテナーを作成して管理する権限と、手順5でマルチユーザー承認を有効化する権限(所有者 or 共同作成者)を付与しておく必要があります。

backup7.png

Azure PortalでRecovery Services コンテナーを作成します

backup8.png

作成したRecovery Services コンテナーページからAzure VMをバックアップします。

backup9.png

VMのバックアップスケジュールと保持期間をバックアップポリシーで設定します。
今回は日次バックアップを30日保持、月次バックアップを60か月保持で設定しています。

backup10.png

バックアップするVMを選択します。

backup11.png

入力値に誤りがないことを確認し、[バックアップの有効化]をクリックします。

Azure Backupでは、バックアップポリシーで設定した日時になるまで自動バックアップは実行されないため、すぐにバックアップを行いたい場合はバックアップ項目ページで[今すぐバックアップ]をクリックして手動バックアップを行ってください。

(2)Resource Guardの作成 (セキュリティ管理者, テナントA)

マルチユーザー承認を構成するためのResource Guardを作成します。セキュリティ管理者には、本手順でResource Guardを作成して管理する権限と、手順4でAzureリソースに対するユーザーアクセスを管理する権限(所有者 or 共同作成者+ユーザーアクセス管理者)を付与しておく必要があります。

backup12.png

Azure Portalの検索バーに[リソース]と入力し、リソースガードをクリックします。

backup13.png

リソースガードページで[追加]をクリックします。

backup14.png

基本タブでリソースグループやリージョン、リソースガード名などを選択します。
リージョンは手順1で作成したRecovery Services コンテナーと同じリージョンを選択してください。

backup15.png

保護された操作タブでは、保護のオン/オフを選択できます。
保護のオン/オフはリソースガード作成後にも変更できます。

backup16.png

入力値に誤りがないことを確認してリソースガードを作成します。

(3)Resource Guardで保護する操作を選択 (セキュリティ管理者, テナントA)

作成したリソースガードの概要ページでは、各操作の保護の状態などを確認できます。

backup17.png

プロパティページでは操作の保護の有効化/無効化を設定できます。[マルチユーザー承認保護の削除操作]と[論理削除の無効化操作]は保護の状態がグレーアウトしており、保護を無効化することはできません。

backup18.png

[保護の削除]、[保護の変更]、[ポリシーの変更]、[バックアップセキュリティPINの取得]は規定で保護が有効になっていますが、必要に応じて無効化することができます。

backup19.png

[説明]では、リソースガードで保護されるRecovery Services コンテナーで表示される説明文を入力できます。

backup20.png

(4)Resource Guardのアクセス許可設定 (セキュリティ管理者, テナントA)

リソースガードでRecovery Services コンテナーを保護するために、バックアップ管理者に対してリソースガードの[閲覧者]ロールを付与します。

backup21.png

リソースガードの[アクセス制御 (IAM)]ページで[追加] > [ロール割り当ての追加]をクリックします。

backup22.png

ロールタブで閲覧者を選択します。

backup23.png

メンバータブの[+ メンバーを選択する]でバックアップ管理者のユーザープリンシパルを入力します。
バックアップ管理者は異なるテナントのユーザーの為、ドメイン名も含めて入力してください。

backup24.png

メンバーにバックアップ管理者が追加されたことを確認して[レビューと割り当て]をクリックします。

backup25.png

入力値に誤りがないことを確認して、バックアップ管理者にリソースガードの閲覧者ロールを付与します。

backup26.png

バックアップ管理者はテナントAのメンバーではないため、ロールを付与するとテナントAにゲストとして招待されます。
招待リンクは通知で確認できるため、右クリックしてコピーし、バックアップ管理者に送付します。

※ここからはバックアップ管理者側の操作です

backup27.png

バックアップ管理者はセキュリティ管理者から送付された招待リンクをクリックし、ID/パスワードを入力してサインインします。

backup28.png

アクセス許可の要求が表示されるので、[承認]をクリックします。

backup29.png

承認後、バックアップ管理者はテナントAのゲストとしてサインインされます。

※ここからはセキュリティ管理者側の操作です

Azure ADのユーザー一覧で、バックアップ管理者がテナントAにゲスト追加されたことが確認できます。

backup30.png

リソースガードのアクセス制御ページでは、バックアップ管理者がリソースガードの閲覧者ロールを持つことが確認できます。

backup31.png

(5)Recovery Services コンテナーでマルチユーザー承認を有効化 (バックアップ管理者, テナントB)

backup32.png

Recovery Services コンテナーのプロパティページで、[マルチユーザー認可 (プレビュー)]の[更新]をクリックします。

backup33.png

[リソースガードで保護する]にチェックを入れます。

リソースガードの関連付け方法は2通りあります。1つ目は[リソースガードURIを入力する]を選択し、リソースガードURIを入力する方法です。

backup34.png

リソースガードURIはリソースガードの概要ページの[リソースガードID]で確認できます。

backup35.png

backup36.png

[ディレクトリ]でリソースガードを作成したディレクトリ(テナントA)を選択し、[認証]をクリックします。

backup37.png

認証後、指定したリソースガードの情報が表示されるので、[保存]をクリックします。

リソースガードを関連付ける2つ目の方法は、リソースガードを直接選択する方法です。

backup38.png

[リソースガードの選択]をクリックし、[ディレクトリ]でリソースガードを作成したディレクトリ(テナントA)を選択し、[認証]をクリックします。

backup39.png

指定したリソースガードの情報が表示されるので、[保存]をクリックします。

backup40.png

マルチユーザー認可設定の完了は通知で確認できます。

(6)マルチユーザー承認の動作確認 (バックアップ管理者, テナントB)

最後に、リソースガードで設定した保護に従ってバックアップ管理者の操作がブロックされるかを確認します。

セキュリティPINの作成操作を確認します。Recovery Services コンテナーのプロパティページで[セキュリティPIN]の[生成]をクリックし、[ディレクトリ]を選択して[認証]をクリックします。セキュリティPINの取得はリソースガードで保護を有効化しているため、バックアップ管理者が操作を行ってもブロックされます。

backup41.png

論理削除の無効化を確認します。

backup42.png

Recovery Services コンテナーのプロパティページで[セキュリティ設定]の[更新]をクリックし、[ディレクトリ]を選択して[認証]をクリックして[保存]をクリックします。

論理削除の無効化はリソースガードで保護が有効になっており、無効化はできないため、バックアップ管理者が操作を行ってもブロックされます。

backup43.png

エラー(ブロックされた操作)の詳細は通知から確認できます。

backup44.png

バックアップポリシーの変更を確認します。

backup45.png

Recovery Services コンテナーのバックアップポリシーページで変更するバックアップポリシーを選択します。

backup46.png

バックアップポリシーの日次バックアップの保持期間を30日間から7日間に変更して[更新]をクリックします。

backup47.png

[ディレクトリの選択]でディレクトリを選び、[認証]をクリック後、再度[更新]をクリックします。

backup48.png

バックアップポリシーの変更(保持期間の短縮)はリソースガードで保護を有効化しているため、バックアップ管理者が操作を行ってもブロックされます。

backup49.png

エラー(ブロックされた操作)の詳細は通知から確認できます。

backup50.png

バックアップの停止とバックアップデータの削除確認します。
Recovery Services コンテナーのバックアップ項目ページで[バックアップの停止]をクリックします。

backup51.png

必要事項を入力し、[バックアップの停止]をクリックします。

backup52.png

[ディレクトリの選択]でディレクトリを選び、[認証]をクリック後、再度[バックアップの停止]をクリックします。

backup53.png

バックアップの停止とバックアップデータの削除はリソースガードで保護を有効化しているため、バックアップ管理者が操作を行ってもブロックされます。

backup54.png

エラー(ブロックされた操作)の詳細は通知から確認できます。

マルチユーザー承認保護の無効化を確認します。

backup55.png

Recovery Services コンテナーのプロパティページで[マルチユーザー認可 (プレビュー)]の[更新]をクリックします。

backup56.png

[リソースガードで保護する]のチェックを外し、[保存]をクリックします。

backup57.png

[ディレクトリ]でディレクトリを選択し、[認証]をクリック後、再度[保存]をクリックします。

backup58.png

マルチユーザー承認保護の無効化はリソースガードで保護が有効になっており、無効化はできないため、バックアップ管理者が操作を行ってもブロックされます。

backup59.png

エラー(ブロックされた操作)の詳細は通知から確認できます。

4.まとめ

今回はAzure Backupのマルチユーザー承認(MUA)を使用してRecovery Services コンテナーのバックアップデータやバックアップポリシーに対する重要な変更や操作を保護する方法をご紹介しました。
Azure Backupで保存されたバックアップデータは意図せず削除されたりしないように保護することが重要ですが、従来ではRecovery Services コンテナーの操作権限を持つユーザーはバックアップデータの削除やバックアップポリシーの変更操作が可能で、意図せず削除や変更がされてしまうリスクがありました。そこで今回ご紹介したAzure Backupのマルチユーザー承認を利用すると、Recovery Services コンテナーの操作権限を持つユーザーが爆アップデータを削除したり、バックアップポリシーの保持期間を短縮するような操作をブロックし、バックアップデータの保護を強化することができます。
また、バックアップ管理者がResource Guardによって保護された操作を行いたい場合は、Resource Guardの共同作成者ロールをバックアップ管理者に対して割り当てる必要がありますが、PIM(Azure AD Privileged Identity Management)を使用して一時的に共同作成者ロールを付与することもできます。PIMを使用するにはAzure AD Premium P2ライセンスが必要になりますが、操作が必要な時だけ一時的にロールを付与することができるため、リソースに直接ロールを付与するよりもセキュリティが向上します。

最後までお読みいただき、ありがとうございます。

利用方法やユースケースなど、Azureに関してご不明な点がございましたら、ぜひお気軽に Azure相談センター までお問い合わせください。
Azure に精通したスタッフが丁寧にご回答いたします。

著者紹介:SB C&S 井上 雄貴

  【 著者紹介 】
  井上 雄貴
  ・Azure Solutions Architect Expert
  ・JDLA Deep Lerning for ENGINEER 2019 #1
  SB C&S株式会社 技術統括部 第1技術部 2課

 

Azureの導入や運用に関するお悩みは SoftBankグループのSB C&Sにご相談ください

SoftBankグループのSB C&Sは、さまざまな分野のエキスパート企業との協力なパートナーシップによって、多岐にわたるAzure関連ソリューションをご提供しています。

「Azureのサービスを提供している企業が多すぎて、どの企業が自社にベストか分からない」
「Azure導入のメリット・デメリットを知りたい」
「Azureがどういう課題を解決してくれるのか知りたい」
など、Azureに関するお悩みならお気軽にお問い合わせください。
中立的な立場で、貴社に最適なソリューションをご提案いたします。

クラウドサーバーご検討中の方必見
お役立ち資料一覧

クラウドサーバーご検討中の方必見 お役立ち資料一覧
  • クラウドサーバーの導入を検討しているがオンプレミスとどう違うのか
  • AWSとAzureの違いについて知りたい
  • そもそもAzureについて基礎から知りたい
  • 今、話題の「WVD」って何?

そのようなお悩みはありませんか?
Azure相談センターでは、上記のようなお悩みを解決する
ダウンロード資料を豊富にご用意しています。
是非、ご覧ください。

Azureの導入・運用に役立つ資料を
無料でダウンロードしていただけますDOWNLOAD

オンプレミスからクラウドへの移行を検討している方のために、安心・スムーズな移行を実現する方法を解説し、
運用コストの削減に有効な「リザーブドインスタンス」もご紹介するホワイトペーパーです。

Azureのことなら、
SB C&Sにご相談を!

導入から活用まで専門スタッフが回答いたします。
お気軽にお問い合わせください。