Microsoft Defender for Cloud の一つである Azure Storage の セキュリティサービス「Microsoft Defender for Storage」の新プラン適用方法について紹介します。
- Microsoft Defender for Storage 新プランと旧プランの違いについて
- Defender for Storage 新プランの移行とコストへの影響について
- Defender for Storage 新プランを一部のAzure Storageのみ適用したい
- 最後に
Microsoft Defender for Storage 新プランと旧プランの違いについて
Defender for Storage の違いについては Microsoft 公式で紹介されていますね。
learn.microsoft.com
大きく違う点はセキュリティ機能の差と価格体系ですね。
新しい Defender for Storage に移行しないと使えない機能があります。
- Blobストレージ内のマルウェアスキャン(アドオン)
- 機密データ脅威検出(アドオン)
- 漏えいまたは侵害された恐れのあるSASトークンの検出
価格体系については新プランの場合はストレージアカウント数ベースの課金(例外あり)で、旧プランの場合はトランザクション数ベースの課金となります。
時期や環境によって違うかもしれませんが、私が確認したタイミングで新プランの基本料金は1ストレージあたり1,500円(月間7300万トランザクションを超える場合はそれ以降100万トランザクションごとに約22円)ぐらい、旧プランは1万トランザクションあたり0.02ドルでした。
Defender for Storage 新プランの移行とコストへの影響について
違いを学んだところでDefender for Storage のコスト最適化について考えます。
使用頻度の低いストレージに関してはトランザクション数課金の旧プランの方が安いのです。新プランのアドオンを使わない状態でシミュレーションしてみた結果、482万トランザクションぐらいからは旧プランの方が高くなり続けますね。
コスト最適化の観点としては、セキュリティの重要度、コスト、使用量などを考えて、重要度低、低使用量の Azure Storage はそのままトランザクション課金にしたままにしたくなりますね。
Defender for Storage 新プランを一部のAzure Storageのみ適用したい
そこで起こった疑問ですが、プランの切り替えはサブスクリプション単位でしかできないのか?「Microsoft Defender for Cloud」→ クラウド セキュリティ「ワークロードの保護」の画面に行くと、下記の画像のようにアップグレードするボタンしか選択肢がなく、サブスクリプション単位でのアップグレードを迫られるのではないでしょうか?
疑問の答えとしてはストレージアカウント単位で新プランに切り替え可能です。Microsoft Azure サポートに確認済み。
ストレージアカウント単位で新プランに切り替える方法ですが、対象のストレージアカウントの画面に移動→セキュリティとネットワークの「Microsoft Defender for Cloud」を選択します。
左の概要のページに何プランが適用されているかが表示されています。そして右には「サブスクリプション全体をアップグレードする」のリンクが。ここをもう一枚のタブに移動するとストレージアカウント単位で適用できるリンクが登場。
適用リンクをクリックすると詳細の設定画面が出てきます。ここでアドオンのONOFF、1か月あたりにスキャンされるGBの制限などを設定できるようです。一度アップデートすると、Azure Portalからはクラシックプランに戻せなくなります。
ちなみに現時点でMS Defender for Storageが有効になっていない場合はクラシックプランは選択不可で新プランによる適用に自動的になるみたいです。
最後に
今回はクラシックプランから一部ストレージのみを新プランへ紹介しましたが、セキュリティ面で考えると新プランの方がメリットが多いのも確かです。コストを安くするだけがコスト最適化ではないように、予算とリスクを考えて設定していければ良いと思います。