この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。
はじめに
今回の記事ではCAFのライフサイクルのうち“ガバナンス”について概要を記載致します。ガバナンスとはAzureにおける内部統制や役割と指示系統を明確にする仕組みづくりのことを指しており、CAFにおいてはそのガバナンスを徹底しクラウドの安全性を高めることの大切さが書かれています。
他のCAFの記事と同様全体概要を把握するための内容となっておりますのでその点はご了承下さい。詳細についてはこちらの公式ドキュメントをご確認下さい。
CAFにおけるガバナンスとは
ガバナンスの目的はAzureを安全に効率よく運用できる管理、監視体制の構築です。クラウドはIaaS、PaaS、SaaSと様々なサービスが提供されている反面、無計画に利用すると管理が行き届かなくなり、管理コストの増加や人員不足や予期せぬ事象の発生といった問題が発生します。
一般的なガバナンスとしてリソースを作成する場合、申請・承認・作成といった手順を踏むことが上記の問題解決の一つと言えるでしょう。しかし、それではクラウドならではのスピード感の喪失や管理者の負担増、余分なコストが発生するという問題を抱えてることになります。CAFにおけるガバナンスでは従来の手順をポリシーやサービスを活用することで管理、監視体制の構築をし、上記の問題解決の手助けとします。
ガバナンスの考慮ポイント
ガバナンスを実行するにあたり課題に対してどの様に対応するかを考慮していきます。ガバナンスは3つの企業ポリシーと5つの規範を基に構成されます。企業ポリシーとは現在の課題に対してどの項目が当てはまるのかを考慮することで、適切な対応方法を探し出すことが出来ます。
企業ポリシー
| ビジネスリスク(Business Risks) | データ分類とアプリケーションの重要度に基づいて、進化するビジネスリスクとリスクに対するビジネス許容度を文書化します。 |
| ポリシーとコンプライアンス(Policy &Compliance) | リスク判断をポリシーステートメントに変換して、クラウドの採用境界を確立します。 |
| プロセス(Process) | 企業ポリシーの違反と順守を監視するプロセスを確立します。 |
クラウドガバナンスの5つの規範
| コスト管理(Cost Management) | コストの評価と監視の実装、IT支出の制限、ニーズに合わせたスケーリング、コストの説明責任を作成します。 |
| セキュリティベースライン | すべての導入作業にセキュリティベースラインを適用することにより、ITセキュリティ要件へのコンプライアンスを確保します。 |
| リソースの整合性 | リソース構成の一貫性を確保します。オンボーディング、リカバリ、および発見可能性の実践を実施します。 |
| IDベースライン | 役割定義の割り当てを一貫して適用することにより、IDとアクセスのベースラインが実施されていることを確認します。 |
| デプロイ高速化 | 展開テンプレート全体の集中化、一貫性、および標準化を通じて展開を加速します。 |
初期ガバナンスの構築
初期のガバナンス構築にあたって2通りのガバナンスガイドが用意されております。
| 標準的なガバナンスガイド | 一般的な組織向けガバナンスガイド |
| 複雑な企業向けのガバナンスガイド | 複数の独立したIT事業部を持つ企業、パブリッククラウドおよびソブリンまたは政府機関クラウドにまたがる組織向けガバナンスガイド |
以下に標準的なガバナンスガイドの説明を抜粋して記載します。
- リソースの編成
無秩序にデプロイされたリソースを管理することは簡単ではありません。始めにAzureのリソースの運用、管理方針を決定します。すべてのアプリケーションやリソースを管理グループ、サブスクリプション、リソースグループ単位で管理することで用途やユーザーに合わせた制御を行うことが出来ます。例えば本番環境と試用環境でサブスクリプションを分ける、プロジェクト単位でリソースグループを作成する、リソースのタグ付けといったことが挙げられます。 - リソースのガバナンス
・ポリシーを定義する
リソースの運用、管理方針が定まりましたらポリシーとして定義することで、ユーザーに強制し、自動で制御を行うことが可能になります。AzureにはAzure Policyと呼ばれるサービスが存在しています。
既定で用意されている組み込みポリシーとユーザーが自由にカスタムできるカスタムポリシーの2つを適切に運用し、リソースの制御を行っていきます。
また、Azure Security Centerと併用することでより詳細な制御と監視を行うことが可能になります。
・Azure Blueprintsを使用し、Azure PolicyおよびRBACロールを割り当てる
Azure Policyだけでもリソースの制御を行うことも可能ですが、将来的には例外や代替のポリシーが必要になります。管理グループにAzure Policyを割り当て、全ての子サブスクリプションに継承されている場合、柔軟性が足りない可能性があります。Azure Blueprintsを使用すると複数のサブスクリプション全体とポリシー、ロールの一貫した割り当てを実現できます。ブループリント定義は管理グループ、サブスクリプション単位で管理されます。そのため以前に作成したAzure PolicyをAzure Blueprintsで管理することにより管理グループ階層内の任意の子が継承を通して利用可能になります。
また、RBACロールを合わせて管理することもでき、1つのブループリント定義の中にリソース制御とロール管理を実現することが可能です。
反復的なガバナンスの改善
ガバナンスは一度構成しただけでは不十分となります。それは初期構成段階で想定できなかったリスクやニーズが発生するからです。そのため定期的なガバナンスの見直しを行う機会や緊急のガバナンス改善を行える仕組みを構築する必要が有ります。
リスク・ニーズの対応後、Azure Policyによって新たなポリシーを追加することや関連するサービスを併用することで次同様の問題が発生したときには自動で検出することが可能になるかもしれません。
この様に都度ポリシーやロールの制御を追加、改善していくことでより強固なガバナンス構築がなされていきます。
おわりに
CAFのガバナンスについて概要を記載しました。ガバナンスの取り組みには多くの関係者の協力が必要になっています。まずは公式ドキュメントを参考に検証環境等でお試しになることをおすすめします。
(この記事が参考になった人の数:2)
読み込み中...