アマゾン ウェブ サービス (AWS) からセキュリティ サービスを移行する

この記事では、アマゾン ウェブ サービス (AWS) から Azure にセキュリティ サービスを移行するシナリオについて説明します。 セキュリティ サービスは、ワークロードの監視、脅威の検出、ID、シークレット、ネットワーク保護の基盤の一部です。 移行中は、Azure設計を検証し、AWS コントロールを安全に廃止するまで、両方のクラウドでセキュリティ カバレッジをアクティブに保ちます。

これらのシナリオでは、セキュリティの監視と SOC 操作、クラウド のセキュリティ体制とコンプライアンス、ID、シークレットとキー、データ セキュリティ、ネットワーク保護が対象となります。

コンポーネントの比較

まず、ワークロードで使用される AWS のセキュリティサービスと ID サービスを、最も近いAzureサービスと比較します。 目標は、移行後に監視、ポスチャ管理、ID、シークレット、暗号化キー、トラフィック検査を所有する必要があるAzure サービスを特定することです。

ID とセキュリティの比較については、「AWS と Azure ID 管理ソリューションの比較」を参照してください。 移行中にまだMicrosoftセキュリティカバレッジが必要な AWS 環境については、AWS のMicrosoftセキュリティソリューションを参照してください。

この比較では、すべてのサービス機能がカバーされるわけではありません。 運用セキュリティ操作を削減する前に、サービスの動作、データ形式、保持、アクセス制御、運用プロセスを検証します。

移行シナリオ

このセクションは、カテゴリ ナビゲーションとして使用します。 最初にセキュリティ機能カテゴリと移行シナリオを選択し、次にリンクをたどって Azure、クラウド導入フレームワーク、Well-Architected Framework、または Azure Architecture Center の詳細なガイダンスを参照してください。

現在の AWS セキュリティ コントロールのインベントリを作成し、一致するシナリオを選択します。

これらのAzureサービスは、すべての AWS 機能ではなく、最も近い機能をカバーします。 両方のクラウドでセキュリティ カバレッジをアクティブに保ち、AWS コントロールをカットオーバーして廃止する前に動作を検証します。 Microsoft Entra製品ファミリには、従業員とディレクトリ ID、顧客 ID、ワークロードまたはアプリケーション ID (マネージド ID を含む) の 3 つの異なるカテゴリがあります。 Microsoft Entra 外部 IDでは、コンシューマー向けアプリまたはビジネス向けアプリの顧客 ID が対象となります。 これは、ワークロード ID に対応するクラウド リソース アクセス用の AWS IAM を置き換えるものではありません。 リンクされた ID の比較を使用して、従業員、アプリケーション、リソース アクセスのシナリオに適したAzure ソリューション パスを選択します。

Category シナリオ 行き先
脅威検出と SIEM/SOC セキュリティ監視、検出、SOC 操作をクラウドネイティブ SIEM に移行します。 Microsoft Sentinel
クラウド セキュリティ体制とコンプライアンス マルチクラウド体制を評価し、規制コンプライアンス要件を満たす。 Microsoft Defender for Cloud体制管理
脆弱性とワークロードの保護 サーバーとコンテナーの脆弱性評価とワークロード保護を移動します。 サーバーのMicrosoft DefenderコンテナーのMicrosoft Defender
顧客 ID コンシューマー向けアプリまたはビジネス向けアプリの顧客 ID とアクセス管理を移行します。 Microsoft Entra 外部 ID
従業員とディレクトリ ID AWS から従業員のサインイン、ディレクトリ、アクセス管理を移行し、ID ガバナンスと特権アクセスを計画します。 AWS と Azure の ID 管理ソリューションを比較する
ワークロードとリソース ID ワークロードとリソース間アクセスに使用される AWS IAM ロールを置き換えます。 Azureリソースのマネージド IDAWS と Azure ID 管理ソリューションの比較
アプリケーションと API の認証 アプリケーションと API 認証を Amazon Cognito から Microsoft ID プラットフォーム に移動します。 AWS と Azure ID 管理ソリューションの比較Amazon Cognito から Microsoft Entra 外部 ID への移行
シークレットとキー管理 アプリケーション シークレット、暗号化キー、HSM ベースのキーを移動します。 Azure Key VaultAzure Managed HSM
データのセキュリティと分類 クラウド間で機密データを検出して分類します。 Microsoft Purview
Web アプリケーション保護 Web アプリケーション ファイアウォールを使用して Web アプリケーションを保護します。 Azure Front DoorまたはAzure Application GatewayAzure Web Application Firewall
ネットワーク保護と検査 ネットワーク トラフィックを検査してフィルター処理します。 Azure Firewall

セキュリティ サービスは、クラウド ワークロードの一部のみを構成します。 移行する可能性があるその他のコンポーネントを調べる:

セキュリティ シナリオを移行するには、ID を一元化する必要があります。 ワークロードで使用される AWS ID サービス を、最も近い Azure に対応するサービスと比較します。