テネット 3。それをサポートする明確な戦略とガバナンスを持つ - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

テネット 3。それをサポートする明確な戦略とガバナンスを持つ

マルチクラウド戦略の策定は不十分です。どのワークロードがどこへ、なぜ向かうのかを明確にガバナンスするなど、目標を達成するための戦略を確立する必要があります。ワークロードとその依存関係を最適化するには、評価基準を使用する必要があります。評価を個人に任せると、CSPs 間で調整されていないスプロールにより、マルチクラウド戦略の価値が損なわれる可能性があります。CSP ワークロードのパフォーマンスを定期的に評価し、評価を CSP の選択、基準、将来の使用状況への重要な入力として使用することをお勧めします。

効果的なガバナンス戦略では、企業全体で使用されているサービス、アプリケーション、コンポーネントの総数を可視化する必要があります。これは、CSPs にまたがる堅牢なタグ付け戦略であり、デプロイされたすべてのリソースの所有権、使用状況、環境 (開発、QA、ステージング、本番稼働など) を明確に確立します。すべて所有者にタグ付けする必要があります。タグ付けされていない場合や所有者を特定できない場合は、削除する必要があります。タグ付けされていないリソースを自動的に検索して削除する主要な金融サービス組織と密接に連携し、開発チームにとっての不便さに関係なく、これをベストプラクティスと見なします。このタグ付けアプローチは、進行するブロックを作成するのではなく (ゲートではなくガードレールを実装する)、ガバナンスルールを体系化し、適用を自動化します。コスト、運用、セキュリティは、CSPs 全体で同じ深さのデータと透明性で、同じ方法で追跡、モニタリング、対処する必要があります。

マルチクラウド戦略を実装する場合、運用管理とセキュリティを維持するには、クラウドプロバイダー間で明確で一貫したアカウント構造を確立することが重要です。ハブhub-and-spokeモデルを採用することをお勧めします。ここでは、ビジネスユニット AWS アカウント ごとに個別に作成します。これらは、統合コンプライアンスとセキュリティモニタリング用のセキュリティ/監査アカウントと、相互接続を管理するための中央ネットワークアカウントの 2 つの重要な中央アカウントによって固定されます。(このアプローチは の設計で規定されていますAWS Control Tower。 ただし、最小特権の原則と職務分離の原則は、他の雲にも同様に適用されます。 AWS Well-Architected フレームワークでは、これらの概念を詳しく説明しており、技術的な視聴者に強くお勧めします。) この基本的なアプローチは、ガバナンスと運用の一貫性を維持するために、クラウドプロバイダー全体にミラーリングする必要があります。ワークロードアカウントは環境 (開発、ステージング、本番稼働) または機能別に整理し、アカウントの作成と削除のための明確なプロセスを確立する必要があります。

ガイダンス:

  • 包括的なタグ付け戦略を実装して、すべてのクラウドリソースにわたって明確な所有権と使用パターンを維持します。一貫したタグ付けポリシーを通じて、環境、コストセンター、アプリケーション、ビジネスユニットを追跡します。ガバナンス標準を適用し、環境の明確性を維持するために、適切なタグがないリソースを削除します。

  • マルチクラウド環境全体の規制要件をマッピングする統合コンプライアンスフレームワークを確立します。各クラウドプロバイダーのコントロールと証明書がコンプライアンス義務をどのようにサポートしているかを明確に文書化します。

  • 手動の承認プロセスを使用する代わりに、自動化を通じてガバナンスの適用を自動化します。ポリシー違反が発生する前に防止する自動システムにガバナンスルールをコーディングします。これにより、開発速度を維持しながらヒューマンエラーが排除されます。

  • 一元化されたセキュリティとネットワーク制御を使用して、hub-and-spokeモデルでアカウントを構築します。セキュリティ監査とネットワーク管理専用のアカウントを作成して、重要な機能を一元化します。この基盤により、組織全体で一貫したセキュリティポリシーとネットワーク接続が可能になります。

  • 運用の境界を維持するには、さまざまな環境と機能に対して個別のアカウント、サブスクリプション、またはプロジェクト (CSP の命名規則によって異なります) を作成します。開発環境、ステージング環境、本番環境でワークロードを分割します。この分離により、セキュリティインシデントが拡散するのを防ぎ、明確な運用ドメインを維持します。

  • 環境全体で一貫したメトリクスを使用して、コスト、運用、セキュリティをモニタリングします。リソース使用率、セキュリティイベント、支出パターンの統合モニタリングを実装します。このデータを使用して、ワークロードの配置とリソース割り当ての決定を最適化します。

  • 組織のポリシーと自動コントロールを通じて、不正なクラウドの使用を防止します。アカウント作成とリソースプロビジョニングの明確なプロセスを定義します。サービスコントロールポリシー (SCPs) を実装して、すべてのアカウントで組織標準への準拠を適用します。

  • 検出コントロールと予防コントロールを確立して、権限のないプロバイダーアカウントを通じてシャドウ IT が出現するのを防ぎます。経費レポートとネットワークトラフィックを通じて、不正なクラウド使用状況をモニタリングします。承認されたイノベーションパスを維持しながら、不正なプロバイダーアクセスをブロックします。