クラスター ガバナンス ポリシーを実施する
この記事では、クラウド ガバナンス ポリシーへのコンプライアンスを実施する方法について説明します。 クラウド ガバナンスの実施とは、クラウドの使用方法をクラウド ガバナンス ポリシーに合わせて調整する制御と手順を指します。 クラウド ガバナンス チームは、クラウド リスクを評価して、それらのリスクを管理するためのクラウド ガバナンス ポリシーを作成します。 クラウド ガバナンス ポリシーに確実に準拠するには、クラウド ガバナンス チームが実施責任を委任する必要があります。 各チームまたは個人がその責任範囲内でクラウド ガバナンス ポリシーを実施するための能力を付与する必要があります。 クラウド ガバナンス チームがすべてを実行することはできません。 自動化された実施コントロールが望ましいですが、自動化できない場合は、コンプライアンスを手動で実施してください。
クラウド ガバナンス ポリシーを適用するためのアプローチを定義する
クラウド ガバナンス ポリシーへの準拠を実施するための、体系的な戦略を確立します。 目標は、自動化ツールと手動の監督を組み合わせることで、コンプライアンスを効率的に実施することです。 実施アプローチを定義するには、次の推奨事項に従ってください。
ガバナンス責任を委任します。 個人とチームが責任の範囲内でガバナンスを実施できるようにします。 たとえば、プラットフォーム チームはワークロードが継承するポリシーを適用し、ワークロード チームはワークロードのガバナンスを実施する必要があります。 クラウド ガバナンス チームは、実施コントロールを適用する責任を負いません。
継承モデルを採用します。 特定のワークロードがプラットフォームからガバナンス ポリシーを継承する、階層型ガバナンス モデルを適用します。 このモデルは、クラウド サービスの購入要件など、組織の基準が適切な環境に適用されるようにするのに役立ちます。 Azure ランディング ゾーンとそのリソース組織の設計領域における設計原則に従って、適切な継承モデルを確立します。
実施の詳細を検討します。 ガバナンス ポリシーを適用する場所と方法について説明します。 目標は、コンプライアンスを実施して生産性を向上させるためのコスト効率の高い方法を見つけることです。 検討を怠ると、特定のチームの進捗状況を妨げるリスクが発生します。 リスクを効果的に管理すると同時に、事業目標をサポートするバランスを見つけることが重要です。
モニター優先のスタンスを取ります。 アクションを理解するまでは、それらをブロックしないでください。 優先順位の低いリスクの場合は、まずクラウド ガバナンス ポリシーのコンプライアンスを監視します。 リスクを理解したら、より制限の厳しい実施コントロールに移行することもできます。 モニター優先のアプローチにより、ガバナンスのニーズについて話し合い、クラウド ガバナンス ポリシーと実施コントロールをそれらのニーズに対して再調整する機会が得られます。
ブロックリストを優先します。 許可リストよりもブロックリストを優先します。 ブロックリストを使用すると、特定のサービスが展開できなくなります。 使用できるサービスの長い一覧よりも、使用すべきではないサービスの短い一覧を使うことをお勧めします。 長いブロックリストを回避するために、既定ではブロックリストに新しいサービスを追加しないようにしてください。
名前付けとタグ付けの戦略を作成します。 クラウド リソースの名前付けとタグ付けに関する体系的なガイドラインを確立します。 そうすることで、クラウド環境全体でリソースの分類、コスト管理、セキュリティ、コンプライアンスのための構造化されたフレームワークが得られます。 開発チームなどのチームが、独自のニーズに合わせて他のタグを追加できるようにします。
クラウド ガバナンス ポリシーを自動的に適用する
クラウド管理とガバナンスのツールを使って、ガバナンス ポリシーの準拠を自動化します。 これらのツールは、ガードレールの設定、構成の監視、コンプライアンスの確保の役に立ちます。 自動実施を設定するには、次の推奨事項に従ってください。
まず、少数の自動ポリシー セットから始めます。 少数の重要なクラウド ガバナンス ポリシーのセットでコンプライアンスを自動化します。 運用の中断を回避するために、自動化を実装してテストします。 準備ができたら、自動実施コントロールの一覧を拡張します。
クラウド ガバナンス ツールを使用します。 クラウド環境で使用できるツールを使用して、コンプライアンスを実施します。 Azure の主要なガバナンス ツールは Azure Policy です。 Microsoft Defender for Cloud (セキュリティ)、Microsoft Purview (データ)、Microsoft Entra ID ガバナンス (ID)、Azure Monitor (操作)、管理グループ (リソース管理)、コードとしてのインフラストラクチャ (IaC) (リソース管理)、および各 Azure サービス内の構成を使用して Azure Policy を補完します。
適切なスコープでガバナンス ポリシーを適用します。 管理グループなどの、上位レベルでポリシーが設定されている継承システムを使用します。 上位レベルのポリシーは、サブスクリプション、リソース グループなどの下位レベルに自動的に適用されます。 ポリシーは、クラウド環境内に変更がある場合でも適用されるので、管理オーバーヘッドが削減されます。
ポリシー実施ポイントを使用します。 クラウド環境内で、ガバナンス ルールを自動的に適用するポリシー実施ポイントを設定します。 事前展開 チェック、ランタイム監視、自動修復アクションを検討してください。
ポリシーをコードとして使用します。 IaC ツールを使用して、コードによってガバナンス ポリシーを実施します。 コードとしてのポリシーは、ガバナンス制御の自動化を強化して、さまざまな環境間の一貫性を確保します。 Enterprise Azure Policy as Code (EPAC) を使用して、推奨される Azure ランディング ゾーン ポリシーに合わせたポリシーを管理することを検討してください。
必要に応じてカスタム ソリューションを開発します。 カスタム ガバナンス アクションについては、カスタム スクリプトまたはアプリケーションの開発を検討してください。 Azure サービス API を使用して、データを収集したり、リソースを直接管理したりします。
Azure ファシリテーション: クラウド ガバナンス ポリシーを自動的に実施する
次のガイダンスは、Azure のクラウド ガバナンス ポリシーへのコンプライアンスを自動化するための適切なツールを見つけるうえで役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点となります。
規制コンプライアンス ガバナンスを自動化する
規制コンプライアンス ポリシーを適用します。 HITRUST/HIPAA、ISO 27001、CMMC、FedRamp、PCI DSSv4 などのコンプライアンス基準に合った、ビルトイン規制コンプライアンス ポリシーを使用します。
カスタム制限を自動化します。 Azure 操作における独自のルールを定義するカスタム ポリシーを作成します。
セキュリティ ガバナンスを自動化する
セキュリティ ポリシーを適用します。 ビルトイン セキュリティ ポリシーと自動化されたセキュリティ コンプライアンスを使用して、一般的なセキュリティ基準に準拠します。 ビルトイン ポリシーには、NIST 800 SP シリーズ、Center for Internet Security ベンチマーク、Microsoft クラウド セキュリティ ベンチマークなどがあります。 ビルトイン ポリシーを使用して、特定の Azure サービスのセキュリティ構成を自動化します。 Azure 操作における独自のルールを定義するカスタム ポリシーを作成します。
ID ガバナンスを適用します。 Microsoft Entra 多要素認証 (MFA) および セルフサービス パスワード リセットを有効にします。 脆弱なパスワードをなくします。 アクセス要求ワークフロー、アクセス レビュー、ID ライフサイクル管理など、ID ガバナンスの他の側面を自動化します。 Just-In-Time アクセスを有効にして、重要なリソースへのアクセスを制限します。 条件付きアクセス ポリシーを使用して、クラウド サービスへのユーザー ID とデバイス ID のアクセスを許可またはブロックします。
アクセス制御を適用します。 Azure ロールベースのアクセス制御 (RBAC) と属性ベースのアクセス制御 (ABAC) を使用して、特定のリソースへのアクセスを管理します。 ユーザーとグループに対するアクセス許可を付与および拒否します。 適切なスコープ (管理グループ、サブスクリプション、リソース グループ、またはリソース) でアクセス許可を適用して、必要なアクセス許可のみを付与し、管理オーバーヘッドを制限します。
コスト ガバナンスを自動化する
展開の制限を自動化します。 コストのかかるリソースの使用を防ぐために、特定のクラウド リソースを禁止します。
カスタム制限を自動化します。 Azure 操作における独自のルールを定義するカスタム ポリシーを作成します。
コストの割り当てを自動化します。 タグ付け要件を適用して、環境 (開発、テスト、運用)、部門、プロジェクト間でコストをグループ化して割り当てます。 タグを使用して、リソースを識別して追跡します。これはコスト最適化作業の一部です。
運用ガバナンスを自動化する
冗長性を自動化します。 ビルトイン Azure ポリシーを使用して、ゾーン冗長インスタンスや geo 冗長インスタンスなど、指定されたレベルのインフラストラクチャ冗長性を必須とします。
バックアップ ポリシーを適用します。 バックアップ ポリシーを使用して、バックアップの頻度、保持期間、および保存場所を管理します。 バックアップ ポリシーを、データ ガバナンス、規制コンプライアンス要件、目標復旧時間 (RTO)、目標復旧時点 (RPO) に合わせます。 Azure SQL データベースなどの個々の Azure サービスのバックアップ設定を使用して、必要な設定を構成します。
目標とするサービス レベル目標を達成します。 対象のサービス レベル目標を満たしていない特定のサービスおよびサービス レベル (SKU) の展開を制限します。 たとえば、Azure Policy で
Not allowed resource types
ポリシー定義を使用します。
データ ガバナンスを自動化する
データ ガバナンスを自動化します。 カタログ化、マッピング、安全な共有、ポリシーの適用などのデータ ガバナンス タスクを自動化します。
データ ライフサイクル管理を自動化します。 データが効率的かつ準拠して格納されるように、ストレージ ポリシーとストレージのライフサイクル管理を実施します。
データ セキュリティを自動化します。 データの分離、暗号化、冗長性などのデータ保護戦略を確認して実施します。
リソース管理のガバナンスを自動化する
リソース管理階層を作成します。 管理グループを使用してサブスクリプションを整理し、ポリシー、アクセス、支出を効率的に管理できるようにします。 Azure ランディング ゾーン リソース組織 のベスト プラクティスに従ってください。
タグ付け戦略を実施します。 管理容易性、コスト追跡、コンプライアンスを向上させるために、すべての Azure リソースに一貫したタグを付けます。 タグ付け戦略を定義し、タグ ガバナンスを管理します。
配置できるリソースを制限します。 禁止するリソースの種類を設定して、不要なリスクを追加するサービスの展開を制限します。
展開を特定のリージョンに制限します。 規制要件に準拠し、コストを管理し、待機時間を短縮するために、リソースを配置する場所を制御します。 たとえば、Azure Policy で
Allowed locations
ポリシー定義を使用します。 また、展開パイプラインにリージョン制限を実施します。コードとしてのインフラストラクチャ (IaC) を使用します。 Bicep、Terraform または Azure Resource Manager テンプレート (ARM テンプレート) を使用してインフラストラクチャの展開を自動化します。 IaC 構成をソース管理システム (GitHub または Azure Repos) に格納して変更を追跡し、共同作業します。 Azure ランディング ゾーン アクセラレータを使用して、プラットフォームとアプリケーション リソースの展開を管理し、時間の経過にともなう構成ドリフトを回避します。
ハイブリッドおよびマルチクラウド環境を管理します。 ハイブリッドとマルチクラウドのリソースを管理します。 管理とポリシーの適用の一貫性を維持します。
AI ガバナンスを自動化する
取得拡張生成 (RAG) パターンを使用します。 RAG は、言語モデルが応答を生成するために使用するグラウンディング データを制御する情報取得システムを追加します。 たとえば、独自のデータ機能で Azure OpenAI Service を使用したり、Azure AI Search で RAG を設定して生成 AI をお使いのコンテンツに制限したりできます。
AI 開発ツールを使用します。 AI を使用するアプリケーションを開発する際、AI オーケストレーションを容易にし、標準化するセマンティック カーネルなどの AI ツールを使用します。
出力生成を管理します。 不正使用や有害なコンテンツの生成を防ぐのに役立ちます。 AI コンテンツのフィルタリングと AI 不正使用の監視を行います。
データ損失防止を構成します。 Azure AI サービスのデータ損失防止を構成します。 AI サービス リソースのアクセスが許可されるアウトバウンド URL の一覧を構成します。
システム メッセージを使用します。 システム メッセージを使用して、AI システムの動作をガイドし、出力を調整します。
AI セキュリティ ベースラインを適用します。 Azure AI セキュリティ ベースラインを使用して、AI システムのセキュリティを管理します。
クラウド ガバナンス ポリシーを手動で実施する
ツールの制限やコスト次第では、自動化された実施が現実的でない場合があります。 実施を自動化できない場合は、クラウド ガバナンス ポリシーを手動で実施します。 クラウド ガバナンスを手動で実施するには、次の推奨事項に従ってください。
チェックリストを使用します。 ガバナンス チェックリストを使用して、チームがクラウド ガバナンス ポリシーに簡単に従えるようにします。 詳細については、「コンプライアンス チェックリストの例」を参照してください。
定期的なトレーニングを行います。 関連するすべてのチーム メンバーに対してトレーニング セッションを多く実施し、ガバナンス ポリシーを確実に認識できるようにします。
定期的なレビューをスケジュールします。 ガバナンス ポリシーへの準拠を確保するために、クラウド リソースとプロセスの定期的なレビューと監査のスケジュールを組みます。 これらのレビューは、確立されたポリシーからの逸脱を特定して、是正措置を取る上で重要です。
手動で監視します。 ガバナンス ポリシーに準拠するために、クラウド環境を監視する専用の担当者を割り当てます。 リソースの使用を追跡し、アクセス制御を管理して、ポリシーに合わせてデータ保護対策を実施することを検討してください。 たとえば、クラウド コストを管理するための包括的なコスト管理アプローチを定義します。
ポリシーの実施を確認する
コンプライアンスの実施メカニズムを定期的に確認して更新します。 目標は、クラウド ガバナンス ポリシーの実施を、開発者、アーキテクト、ワークロード、プラットフォーム、ビジネス要件など、現在のニーズに合わせて維持することです。 ポリシーの実施を確認するには、次の推奨事項に従います。
利害関係者と連携します。 実施メカニズムの有効性について利害関係者と話し合います。 クラウド ガバナンスの実施がビジネス目標とコンプライアンス要件と一致することを確認します。
要件を監視します。 新しい要件または更新された要件に合わせて実施メカニズムを更新または削除します。 実施メカニズムの更新を必要とする規制と標準の変更を追跡します。 たとえば、Azure ランディング ゾーンで推奨されるポリシーは、時間の経過とともに変更される可能性があります。 これらのポリシーの変更を検出するか、最新の Azure ランディング ゾーンカスタム ポリシーに更新するか、必要に応じてビルトイン ポリシーに移行する必要があります。
クラウド ガバナンス コンプライアンスのチェックリストの例
コンプライアンス チェックリストは、チームが自身に適用されるガバナンス ポリシーを理解するのに役立ちます。 コンプライアンス チェックリストの例では、クラウド ガバナンス ポリシーの例のポリシー ステートメントを使用していて、相互参照用のクラウド ガバナンス ポリシー ID が含まれています。
カテゴリ | コンプライアンス要件 |
---|---|
規制に対するコンプライアンス | ☐ Microsoft Purview を使用して機密データを監視する必要があります (RC01)。 ☐ 毎日の機密データ コンプライアンス レポートは、Microsoft Purview で生成する必要があります(RC02)。 |
セキュリティ | ☐ すべてのユーザー に対して MFA を有効にする必要があります (SC01)。 ☐ アクセス レビューは、ID ガバナンス で毎月行う必要があります (SC02)。 ☐ 指定した GitHub 組織を使用して、すべてのアプリケーションとインフラストラクチャ コードをホストします (SC03)。 ☐ パブリック ソースのライブラリを使用するチームは、検疫パターンを採用する必要があります (SC04)。 |
操作 | ☐ 運用ワークロードには、複数リージョンに渡るアクティブ/パッシブ アーキテクチャが必要です (OP01)。 ☐ ミッション クリティカルなすべてのワークロードで、リージョン間のアクティブ/アクティブ アーキテクチャを実装する必要があります (OP02)。 |
コスト | ☐ ワークロード チームは、リソース グループ レベルで予算アラートを設定する必要があります (CM01)。 ☐ Azure Advisor のコストに関する推奨事項を確認する必要があります (CM02)。 |
データ | ☐ 転送中と保存中の暗号化は、機密データすべてに適用する必要があります。 (DG01) ☐ すべての機密データに対してデータ ライフサイクル ポリシーを有効にする必要があります (DG02)。 |
リソース管理 | ☐ リソースを配置するには、Bicep を使用する必要があります (RM01)。 ☐ Azure Policy を使用して、すべてのクラウド リソースにタグを適用する必要があります (RM02)。 |
AI | ☐ AI コンテンツ フィルタリング構成は、中以上に設定する必要があります (AI01)。 ☐ 顧客向けの AI システムは、毎月レッドチーミングを実施する必要があります (AI02)。 |