Microsoft は、Azure Active Directory の「停止モード」を Web アプリケーションとデスクトップ アプリケーションに拡張することで、クラウド サービスの耐障害性を向上させたいと考えています。
Azure Active Directory(AAD)は、Office 365の認証を処理するMicrosoftのクラウドディレクトリであり、オンプレミスのActive Directoryと連携できます。開発者はこのサービスを使用するアプリケーションを開発できます。しかし、AADに問題が発生した場合、他のクラウドサービスを管理するためにAzureポータルにアクセスできなくなるなど、複数の障害が発生します。
昨年 12 月、マイクロソフトは AAD の SLA (サービス レベル契約) を 99.9% から 99.99% の稼働率に更新しましたが、可用性の定義から「管理機能」も削除するという巧妙な手段が講じられました。
同社は現在、その取り組みについてより詳しい情報を明らかにしており、通常の運用中に認証データを複製し、プライマリサービスに障害が発生した場合には「停止モード」に移行してリクエストを確認し、クライアントにトークンを提供するバックアップ認証サービスに重点を置いている。
バックアップAADの仕組みを示すMicrosoftの図
Microsoftによると、この障害は2019年からOutlook Web AccessとSharePoint Onlineで発生していましたが、2020年9月の障害発生時にはOutlookとSharePointの両方が影響を受けました。当時の理由は「最近の構成変更がバックエンドのストレージ層に影響を与えた」というもので、この問題は「影響を軽減するために実施された変更」によってさらに悪化しました。そのため、このケースではバックアップサービスが十分ではなかったようです。
また、ユーザーが過去3日間(「ストレージウィンドウ」と呼ばれる)以内に「アプリまたはリソース」にアクセスした場合にのみ、バックアップサービスによる認証が処理されるという制限もあります。同社は、これは「毎日、同じデバイスから最も重要なアプリケーションにアクセスする」ほとんどのユーザーにとっては問題ないと考えていますが、例えば新しいデバイスを購入した場合など、ユーザーがロックアウトされるケースも容易に考えられます。
何もないよりはましです。Microsoftは適用範囲の拡大に尽力しています。今年初めにはデスクトップアプリケーションとモバイルアプリケーションのサポートが追加され、来年にはTeams OnlineやOffice 365のその他の機能を含む、より多くのWebアプリケーションもサポートされる予定です。Open ID Connectを利用する顧客向けアプリケーションもまもなくサポートされる予定です。
答えよりも疑問の方が多い
Microsoftの最新の投稿は、ある意味では答えよりも疑問を多く投げかけています。Azureのステータスページをざっと見ると、「Azure Active Directory - 認証試行時の問題」と記載されていますが、これはAzure Active Directory外部IDを使用している顧客に限定されている可能性があり、根本原因は「送信ポートの枯渇」とされていますが、これが同社のアーキテクチャ図のどこに位置づけられているのかは明確ではありません。
今年3月、暗号署名に使用されたキーが誤って削除されたことが原因で、AADで長時間の障害が発生しました。Microsoftは当時、バックアップサービスについて言及し、「残念ながら、このケースではトークン発行はカバーされましたが、影響を受けたメタデータエンドポイントに依存していたトークン検証はカバーされませんでした」と述べています。
したがって、バックアップ サービスの拡張は有益ではあるものの、AAD に影響を与える可能性のあるすべての問題を解決するわけではないことは明らかです。
今年8月、ガートナーのアナリストは、Azureのパフォーマンスは絶対的な意味では悪くないにもかかわらず、顧客はAzureの信頼性が「現実世界に与える影響について依然として懸念している」と報告しました。ガートナーは、一部のAzureリージョンの回復力が、おそらくキャパシティの問題に起因すると見ています。ただし、パンデミックによってすべてのクラウドプロバイダーの需要が急増したことにも留意してください。
- Windows 11がバグだらけなら、満足するまで待つのも悪くない
- マイクロソフトが警告:Active Directory FoggyWebマルウェアがNobeliumギャングによって積極的に利用されている
- Microsoft Azure の廃止: API の変更によりアプリケーションと PowerShell スクリプトが機能しなくなる
- マイクロソフトは「需要の急増」により、Windows 365の無料トライアルを1日で停止した。
- マイクロソフトの顧客がTeams、Office、Xbox、Dynamicsにアクセスできなくなり、Azure Active Directoryの障害が原因とされる
マイクロソフトは、今月初めにWizのセキュリティ研究者が報告したCosmos DBの脆弱性についても回答を求めています。この脆弱性は修正されましたが、研究者らは、侵入のエスカレーションを防ぐためのファイアウォールルールが設計されていたものの、「これらのファイアウォールルールは、現在rootとして実行しているコンテナ上でローカルに設定されていた」など、アーキテクチャ上の重大なミスを発見しました。そこで、iptables -Fコマンドを実行してルールを削除し、これらの禁止IPアドレスへのアクセスを可能にしました。これにより、さらに興味深い発見につながりました。
Azure CTO の Mark Russinovich 氏が同僚とともに Azure の信頼性の向上について語ってくれるのは良いことですし、拡張された AAD バックアップ サービスは必ずしも効果的ではないとしても歓迎すべきことですが、私たちはこれらの他の緊急の問題についてもっと知りたいと思っています。®
