へのリホスト移行中にファイアウォールリクエストの承認プロセスを作成する AWS

Srikanth Rangavajhala、Amazon Web Services

概要

へのリホスト移行に AWS Application Migration Serviceまたは Cloud Migration Factory on AWS を使用する場合 AWS クラウド、前提条件の 1 つは TCP ポート 443 と 1500 を開いたままにしておくことです。通常、これらのファイアウォールポートを開くには、情報セキュリティ (InfoSec) チームによる承認が必要です。

このパターンは、へのリホスト移行中に InfoSec チームからファイアウォールリクエストの承認を取得するプロセスの概要を示しています AWS クラウド。このプロセスにより、コストと時間がかかる可能性のある InfoSec チームによるファイアウォールリクエストの拒否を回避できます。ファイアウォールリクエストプロセスには、 AWS 移行コンサルタントと、InfoSec とアプリケーションチームと協力してファイアウォールポートを開くリーダーの間で、2 つのレビューと承認のステップがあります。

このパターンは、組織の AWS コンサルタントまたは移行スペシャリストによるリホスト移行を計画していることを前提としています。このパターンは、組織にファイアウォール承認プロセスやファイアウォールリクエストの一括承認フォームがない場合に使用できます。詳細については、このパターンの [制限事項] セクションを参照してください。Application Migration Service のネットワーク要件の詳細については、「Application Migration Service のドキュメント」の「ネットワークの要件」を参照してください。

前提条件と制限

前提条件

組織の AWS コンサルタントまたは移行スペシャリストによる計画的なリホスト移行
スタックの移行に必要なポートと IP 情報
現在と未来の状態のアーキテクチャ図
オンプレミスと宛先のインフラストラクチャ、ポート、ゾーン間のトラフィックフローに関するファイアウォール情報
ファイアウォールリクエストのレビューチェックリスト (添付)
組織の要件により構成されたファイアウォール申請書類
以下のロールを含むファイアウォールのレビュー担当者と承認者の連絡先リスト。
- ファイアウォールリクエスト送信者 – AWS 移行スペシャリストまたはコンサルタント。ファイアウォールリクエスト送信者は、組織の移行スペシャリストでもかまいません。
- ファイアウォールリクエストレビューワー – 通常、これは 1 つの問い合わせ先 (SPOC) です AWS。
- ファイアウォールリクエスト承認者 — InfoSec チームメンバー。

機能制限

このパターンは、一般的なファイアウォールリクエスト承認プロセスを表しています。要件は組織によって異なる場合があります。
ファイアウォールリクエストのドキュメントの変更を必ず追跡してください。

次の表に、このパターンの使用例を示します。

あなたの組織には既存のファイアウォール承認プロセスがありますか?	あなたの組織には既存のファイアウォール申請書がありますか?	推奨されるアクション
あり	あり	AWS コンサルタントまたは移行スペシャリストと協力して、組織のプロセスを実装します。
なし	あり	このパターンのファイアウォール承認プロセスを使用します。組織の AWS コンサルタントまたは移行スペシャリストを使用して、ファイアウォールリクエストの一括承認フォームを送信します。
なし	なし	このパターンのファイアウォール承認プロセスを使用します。組織の AWS コンサルタントまたは移行スペシャリストを使用して、ファイアウォールリクエストの一括承認フォームを送信します。

アーキテクチャ

次の表は、ファイアウォールリクエスト承認プロセスの手順を示しています。

AWS クラウドへのリホスト移行中の InfoSec チームからのファイアウォールリクエスト承認のプロセス。

ツール

「Palo Alto Networks」または「SolarWinds」などのスキャナーツールを使用して、ファイアウォールと IP アドレスを分析し、検証できます。

エピック

タスク	説明	必要なスキル
ポートと IP アドレスを分析します。	ファイアウォールリクエストの送信者は、必要なファイアウォールポートと IP アドレスを把握するための初期分析を行います。これが完了すると、InfoSec チームが必要なポートを開き、IP アドレスをマッピングするようにリクエストします。	AWS クラウドエンジニア、移行スペシャリスト

タスク	説明	必要なスキル
ファイアウォール情報を検証します。	AWS クラウドエンジニアは、InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。	AWS クラウドエンジニア、移行スペシャリスト
ファイアウォールリクエストのドキュメントを更新します。	InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストのドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。	AWS クラウドエンジニア、移行スペシャリスト

タスク

説明

必要なスキル

ファイアウォール情報を検証します。

AWS クラウドエンジニアは、InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。

通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。

AWS クラウドエンジニア、移行スペシャリスト

ファイアウォールリクエストのドキュメントを更新します。

InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストのドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。

このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。

AWS クラウドエンジニア、移行スペシャリスト

タスク	説明	必要なスキル
ファイアウォールリクエストを送信します。	ファイアウォールリクエスト承認者がファイアウォールの一括承認リクエストを承認すると、 AWS クラウドエンジニアはファイアウォールリクエストを送信します。リクエストは、開いている必要があるポートと、のマッピングと更新に必要な IP アドレスを指定します AWS アカウント。ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。	AWS クラウドエンジニア、移行スペシャリスト

タスク

説明

必要なスキル

ファイアウォールリクエストを送信します。

ファイアウォールリクエスト承認者がファイアウォールの一括承認リクエストを承認すると、 AWS クラウドエンジニアはファイアウォールリクエストを送信します。リクエストは、開いている必要があるポートと、のマッピングと更新に必要な IP アドレスを指定します AWS アカウント。

ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。

AWS クラウドエンジニア、移行スペシャリスト

添付ファイル

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Microsoft ワークロードの AWS への移行を加速する

EC2 Windows インスタンスを AMS アカウントに取り込み