SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Azure Arc Enabled SQL Server の基本操作方法について

leave a comment

Azure Arc Enabled SQL Server (Azure Arc 対応サーバーでの SQL Server) の操作方法について、ドキュメントを見てもわかりづらいところがいくつかあったので、本投稿で操作方法をまとめておきたいと思います。

私の環境では、サブスクリプション単位で、Microsoft Defender for Cloud を有効にせず、Log Analytics ワークスペース単位で有効にしているということもあるので、その辺も操作の複雑性に起因しているかもしれません。

今回の環境は Windows 版の SQL Server を対象としています。

Azure Arc Enabled Server の有効化

Azure Arc Enabled SQL Server は単体の機能ではなく、Azure Arc Enabled Server の拡張機能としてインストールするものとなります。そのため、次のような手順で機能を有効化することになります。

  1. Azure Arc Enabled Server (Azure Arc 対応サーバー) をインストール
  2. Log Analytics ワークスペースと連携させる
  3. Azure Arc Enabled SQL Server を拡張機能としてインストール

 

Azure Arc Enabled Server の有効化

最初にSQL Server がインストールされているサーバーに対して、Azure Arc Enabled Server を有効化する必要があります。Azure Arc ですので、インストールをするサーバーは Azure 以外で動作している環境でも問題はなく、オンプレミスの環境に導入することも可能となっています。

有効化の方法については、クイックスタート: Azure Arc 対応サーバーにハイブリッド マシンを接続する から確認でき、導入用のスクリプトを実行することで、Azure Connected Machine Agent が導入され、Azure Arc Enabled Server の管理対象として接続が行われます。

Azure Connected Machine Agent については、次のドキュメントを確認してください。

 

Log Analytics Workspace と連携

Azure Connected Machine Agent が導入されると、Azure Arc のブレードで Agent をインストールしたサーバーが認識されます。

Azure Arc Enabled Server が導入されている環境は「拡張機能」を追加することができ、Log Analytics Agent (Microsoft Monitoring Agent : MMA) を拡張機能としてインストールすることができます。

image

インストール方法については、Azure portal から Azure VM 拡張機能を有効にする で解説が行われています。拡張機能を追加する際に、接続を行う Log Analytics ワークスペースの指定ができます。

 

ここまでの作業が終われば、Azure Arc Enabled SQL Server を導入する準備は完了です。

 

Azure Arc Enabled SQL Server の有効化

Azure Arc Enabled SQL Server の有効化については、SQL Server を Azure Arc に接続する で解説が行われており、Azure Arc Enabled SQL Server についても、スクリプトを実行することでインストールが行われます。

拡張機能としてインストールが行われますので、Enabled Server の拡張機能の「WindowsAgent.SqlServer」として追加が行われ「C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer」として拡張機能がインストールされます。

image

Azure Arc Enabled SQL Server が追加され、情報が Azure に連携されると、Azure Arc のブレードの「SQL サーバー」として認識が行われます。

image

 

Azure Arc Enabled SQL Server の機能の有効化

Azure Arc Enabled SQL Server を有効にすることで、「プロパティ」から各種情報を取得することができるようになりますが、Azure Arc Enabled SQL Server には、次の二つの機能が含まれており、各機能は手動で有効化する必要があります。

  • 環境正常性
  • Microsoft Defender for SQL Server

 

環境正常性の有効化

環境正常性の有効化については、SQL Assessment を構成する | Azure Arc 対応サーバーでの SQL Server に記載されている方法で有効にすることができます。

ドキュメント内にも記載されていますが、手順を実行すると、次のようなタスクスケジューラーが作成され、タスクが実行されることで環境正常性の情報がアップロードされます。
image

環境正常性の情報が認識されると、「SQL Server Assesment」として、SQL Server のアセスメント情報が表示されるようになります。

image

評価内容としては SQL Server オンデマンド評価の概要 の内容と類似のものとなると思います。

 

Microsoft Defender for SQL Server

これが今回のメインの内容となるのですが、Azure Arc Enabled SQL Server を有効にしている環境では、Microsoft Defender for SQL Server (Microsoft Defender for SQL Server on Machines) を有効にすることができます。

機能については次のドキュメントで解説が行われており、Azure Arc を使用しなくても、Log Analytics エージェントが入っていれば、油工にすることができるようです。

Microsoft Defender for SQL Server は有償のサービスとなり、Security Center の価格 で価格が記載されています。

機能の有効化は「サブスクリプション」「Log Analytics ワークスペース」のいずれかで有効化することができ、有効化の方法については Azure Defender を有効にする に記載されているのですが、この方法がわかりづらかったです…。

 

Defender プランの有効化

機能の有効化ですが「Microsoft Defender for Cloud」から「Defender プラン」の設定を行うことで有効化できます。Defender プランは次の操作で設定を変更することができます。

最初に「Microsoft Defender for Cloud」のブレードを開いて、「概要」の「Azure サブスクリプション」をクリックします。(「管理」の「環境設定」からも同様の画面に遷移することができます)
image

Azure サブスクリプションをクリックすると、サブスクリプションと Log Analytics ワークスペースを選択することができます。

image

有効にするリソースを選択すると「Defender プラン」を選択することができ、どの機能を有効化するかを指定できます。

image

「マシン上の SQL サーバー」を有効化することで、Microsoft Defender for SQL Server を有効にできます。

検知した際のメールの送信先については、サブスクリプション名をクリックした際に表示できる「電子メールの通知」から設定することができます。

image

 

Advanced Threat Protection の確認

Microsoft Defender for SQL Server では、Advanced Threat Protection (高度なデータセキュリティ) の機能を使用することができます。

Advanced Threat Protection では、SQL インジェクションを検知する機能があり、SQL インジェクションの検証方法については Microsoft Learn の Advanced Threat Protection で確認することができます。

  • SSMS で検証をする場合は、追加の接続パラメーターで「Application Name」を指定する
  • 「SELECT * FROM sys.databases WHERE database_id like ” or 1 = 1 –‘ and family = ‘test1’;」を実行する

を実施することで、SQL インジェクションに類するクエリとして実行することができます。

検知がされると、通知されたメールアドレスにメールが送信されます。
image

連続したメールの送信は行われないようで、メールが送信されていない場合は、Microsfot Defender for Cloud の概要から、「評価済みリソース」をクリックし、
image

対象のサーバーをクリックし、
image

「アラート」から SQL インジェクションの検知を確認することができます。
image

Log Analytics ワークスペースレベルで、Defender を有効にしている場合、Arc のブレードの SQL Server からでは、Security Center の表示が次の画像のようになり、推奨事項があっても表示がされていなかったので、上記の評価済みリソースから確認したほうが良いかと思います。
image

他にも該当のサーバーのイベントビューアーの Application に「SQL Advanced Data Security」のログが出力されますので、ここからも確認することができます。
image

Defender 連携の情報をどこから見るのかが判断が難しかったのですが、どこから見れるのかを把握していると、Azure Arc Enabled SQL Server を活用できるのではないでしょうか。

Share

Written by Masayuki.Ozawa

1月 18th, 2022 at 10:53 pm

Leave a Reply