この記事では、アマゾン ウェブ サービス (AWS) から Azure にセキュリティ サービスを移行するシナリオについて説明します。 セキュリティ サービスは、ワークロードの監視、脅威の検出、ID、シークレット、ネットワーク保護の基盤の一部です。 移行中は、Azure設計を検証し、AWS コントロールを安全に廃止するまで、両方のクラウドでセキュリティ カバレッジをアクティブに保ちます。
これらのシナリオでは、セキュリティの監視と SOC 操作、クラウド のセキュリティ体制とコンプライアンス、ID、シークレットとキー、データ セキュリティ、ネットワーク保護が対象となります。
コンポーネントの比較
まず、ワークロードで使用される AWS のセキュリティサービスと ID サービスを、最も近いAzureサービスと比較します。 目標は、移行後に監視、ポスチャ管理、ID、シークレット、暗号化キー、トラフィック検査を所有する必要があるAzure サービスを特定することです。
ID とセキュリティの比較については、「AWS と Azure ID 管理ソリューションの比較」を参照してください。 移行中にまだMicrosoftセキュリティカバレッジが必要な AWS 環境については、AWS のMicrosoftセキュリティソリューションを参照してください。
注
この比較では、すべてのサービス機能がカバーされるわけではありません。 運用セキュリティ操作を削減する前に、サービスの動作、データ形式、保持、アクセス制御、運用プロセスを検証します。
移行シナリオ
このセクションは、カテゴリ ナビゲーションとして使用します。 最初にセキュリティ機能カテゴリと移行シナリオを選択し、次にリンクをたどって Azure、クラウド導入フレームワーク、Well-Architected Framework、または Azure Architecture Center の詳細なガイダンスを参照してください。
現在の AWS セキュリティ コントロールのインベントリを作成し、一致するシナリオを選択します。
- SOC 操作を所有している場合は、Microsoft SentinelとMicrosoft Defender for Cloudから始めます。
- プラットフォームのセキュリティ アーキテクチャを所有している場合は、 体制管理 とサービスの比較から始めます。
- アプリケーションの顧客 ID を所有している場合は、Microsoft Entra 外部 IDから始めます。
これらのAzureサービスは、すべての AWS 機能ではなく、最も近い機能をカバーします。 両方のクラウドでセキュリティ カバレッジをアクティブに保ち、AWS コントロールをカットオーバーして廃止する前に動作を検証します。 Microsoft Entra製品ファミリには、従業員とディレクトリ ID、顧客 ID、ワークロードまたはアプリケーション ID (マネージド ID を含む) の 3 つの異なるカテゴリがあります。 Microsoft Entra 外部 IDでは、コンシューマー向けアプリまたはビジネス向けアプリの顧客 ID が対象となります。 これは、ワークロード ID に対応するクラウド リソース アクセス用の AWS IAM を置き換えるものではありません。 リンクされた ID の比較を使用して、従業員、アプリケーション、リソース アクセスのシナリオに適したAzure ソリューション パスを選択します。
| Category | シナリオ | 行き先 |
|---|---|---|
| 脅威検出と SIEM/SOC | セキュリティ監視、検出、SOC 操作をクラウドネイティブ SIEM に移行します。 | Microsoft Sentinel |
| クラウド セキュリティ体制とコンプライアンス | マルチクラウド体制を評価し、規制コンプライアンス要件を満たす。 | Microsoft Defender for Cloud、体制管理 |
| 脆弱性とワークロードの保護 | サーバーとコンテナーの脆弱性評価とワークロード保護を移動します。 | サーバーのMicrosoft Defender、コンテナーのMicrosoft Defender |
| 顧客 ID | コンシューマー向けアプリまたはビジネス向けアプリの顧客 ID とアクセス管理を移行します。 | Microsoft Entra 外部 ID |
| 従業員とディレクトリ ID | AWS から従業員のサインイン、ディレクトリ、アクセス管理を移行し、ID ガバナンスと特権アクセスを計画します。 | AWS と Azure の ID 管理ソリューションを比較する |
| ワークロードとリソース ID | ワークロードとリソース間アクセスに使用される AWS IAM ロールを置き換えます。 | Azureリソースのマネージド ID、AWS と Azure ID 管理ソリューションの比較 |
| アプリケーションと API の認証 | アプリケーションと API 認証を Amazon Cognito から Microsoft ID プラットフォーム に移動します。 | AWS と Azure ID 管理ソリューションの比較、Amazon Cognito から Microsoft Entra 外部 ID への移行 |
| シークレットとキー管理 | アプリケーション シークレット、暗号化キー、HSM ベースのキーを移動します。 | Azure Key Vault、Azure Managed HSM |
| データのセキュリティと分類 | クラウド間で機密データを検出して分類します。 | Microsoft Purview |
| Web アプリケーション保護 | Web アプリケーション ファイアウォールを使用して Web アプリケーションを保護します。 | Azure Front DoorまたはAzure Application GatewayのAzure Web Application Firewall |
| ネットワーク保護と検査 | ネットワーク トラフィックを検査してフィルター処理します。 | Azure Firewall |
関連するワークロード コンポーネント
セキュリティ サービスは、クラウド ワークロードの一部のみを構成します。 移行する可能性があるその他のコンポーネントを調べる:
セキュリティ シナリオを移行するには、ID を一元化する必要があります。 ワークロードで使用される AWS ID サービス を、最も近い Azure に対応するサービスと比較します。