へのリホスト移行中にファイアウォールリクエストの承認プロセスを作成する AWS

Amazon Web Services、Srikanth Rangavajhala

概要

へのリホスト移行に AWS Application Migration Serviceまたは Cloud Migration Factory on AWS を使用する場合 AWS クラウド、前提条件の 1 つは TCP ポート 443 と 1500 を開いたままにしておくことです。通常、これらのファイアウォールポートを開くには、情報セキュリティ (InfoSec) チームによる承認が必要です。

このパターンは、 AWS クラウドへのリホスト移行中に InfoSec チームからファイアウォールリクエストの承認を得るプロセスの概要を示しています。このプロセスにより、コストと時間がかかる可能性のある InfoSec チームによるファイアウォールリクエストの拒否を回避できます。ファイアウォールリクエストプロセスには、 AWS InfoSec とアプリケーションチームと協力してファイアウォールポートを開く移行コンサルタントとリードの間に 2 つのレビューと承認のステップがあります。

このパターンは、組織の AWS コンサルタントまたは移行スペシャリストによるリホスト移行を計画していることを前提としています。このパターンは、組織にファイアウォール承認プロセスやファイアウォールリクエストの一括承認フォームがない場合に使用できます。詳細については、このパターンの「制限事項」セクションを参照してください。Application Migration Service のネットワーク要件の詳細については、「Application Migration Service のドキュメント」の「ネットワークの要件」を参照してください。

前提条件と制限事項

前提条件

組織の AWS コンサルタントまたは移行スペシャリストによる計画的なリホスト移行
スタックの移行に必要なポートと IP 情報
現在と未来の状態のアーキテクチャ図
オンプレミスと宛先のインフラストラクチャ、ポート、ゾーン間のトラフィックフローに関するファイアウォール情報
ファイアウォールリクエストのレビューチェックリスト (添付)
組織の要件により構成されたファイアウォール申請書類
以下のロールを含むファイアウォールのレビュー担当者と承認者の連絡先リスト。
- ファイアウォールリクエスト送信者 – AWS 移行スペシャリストまたはコンサルタント。ファイアウォールリクエスト送信者は、組織の移行スペシャリストでもかまいません。
- ファイアウォールリクエストレビューワー – 通常、これは 1 つの連絡先 (SPOC) からのものです AWS。
- ファイアウォールリクエスト承認者 – InfoSec チームメンバー。

制限事項

このパターンは、一般的なファイアウォールリクエスト承認プロセスを表しています。要件は組織によって異なる場合があります。
ファイアウォールリクエストのドキュメントの変更を必ず追跡してください。

次の表に、このパターンの使用例を示します。

あなたの組織には既存のファイアウォール承認プロセスがありますか?	あなたの組織には既存のファイアウォール申請書がありますか?	推奨されるアクション
はい	はい	AWS コンサルタントまたは移行スペシャリストと協力して、組織のプロセスを実装します。
不可	はい	このパターンのファイアウォール承認プロセスを使用します。組織の AWS コンサルタントまたは移行スペシャリストを使用して、ファイアウォールリクエストの一括承認フォームを送信します。
いいえ	不可	このパターンのファイアウォール承認プロセスを使用します。組織の AWS コンサルタントまたは移行スペシャリストを使用して、ファイアウォールリクエストの一括承認フォームを送信します。

アーキテクチャ

次の表は、ファイアウォールリクエスト承認プロセスの手順を示しています。

AWS クラウドへのリホスト移行中に InfoSec チームからファイアウォールリクエストの承認を得るプロセス。

ツール

「Palo Alto Networks」または「SolarWinds」などのスキャナーツールを使用して、ファイアウォールと IP アドレスを分析し、検証できます。

エピック

タスク	説明	必要なスキル
ポートと IP アドレスを分析します。	ファイアウォールリクエストの送信者は、必要なファイアウォールポートと IP アドレスを把握するための初期分析を行います。これが完了したら、InfoSec チームが必要なポートを開いて IP アドレスをマッピングするよう要求されます。	AWS クラウドエンジニア、移行スペシャリスト

タスク	説明	必要なスキル
ファイアウォール情報を検証します。	AWS クラウドエンジニアは、InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。	AWS クラウドエンジニア、移行スペシャリスト
ファイアウォールリクエストのドキュメントを更新します。	InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストのドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。	AWS クラウドエンジニア、移行スペシャリスト

タスク

説明

必要なスキル

ファイアウォール情報を検証します。

AWS クラウドエンジニアは、InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。

通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。

AWS クラウドエンジニア、移行スペシャリスト

ファイアウォールリクエストのドキュメントを更新します。

InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストのドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。

このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。

AWS クラウドエンジニア、移行スペシャリスト

タスク	説明	必要なスキル
ファイアウォールリクエストを送信します。	ファイアウォールリクエスト承認者がファイアウォールの一括承認リクエストを承認すると、 AWS クラウドエンジニアはファイアウォールリクエストを送信します。このリクエストでは、解放が必要なポートと、 AWS アカウントへのマッピングと更新に必要な IP アドレスを指定します。ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。	AWS クラウドエンジニア、移行スペシャリスト

タスク

説明

必要なスキル

ファイアウォールリクエストを送信します。

ファイアウォールリクエスト承認者がファイアウォールの一括承認リクエストを承認すると、 AWS クラウドエンジニアはファイアウォールリクエストを送信します。このリクエストでは、解放が必要なポートと、 AWS アカウントへのマッピングと更新に必要な IP アドレスを指定します。

ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。

AWS クラウドエンジニア、移行スペシャリスト

アタッチメント

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Microsoft ワークロードの AWS への移行を加速

EC2 Windows インスタンスを AMS アカウントに取り込み