防御クラウドの導入のための準備
準備手法は、クラウド導入のプラットフォーム ドメインの最初のステップです。
図 1: ドメイン トラッカー - プラットフォーム ドメイン
準備手法では、クラウド プラットフォームの構築に重点を置いています。 このクラウド プラットフォームをランディング ゾーンと呼びます。 ランディング ゾーンには、コア サービス、ワークロード、アプリケーションがあります。 これらは、セキュリティとリソース管理の基盤を提供します。 エンタープライズ規模でのアプリケーションの移行、最新化、イノベーションを可能にします。 ランディング ゾーンは、サービス、アプリケーション、ワークロードがデプロイされる場所です。 クラウド ブローカーが従う必要があるランディング ゾーンビルドの主な考慮事項を次に示します。
セキュリティで保護されたランディング ゾーンを構築する
ランディング ゾーン内では、クラウド ブローカーによってプラットフォーム環境が構築され、ミッション所有者がワークロード環境を管理します。 これらのワークロード環境は、プラットフォームのセキュリティ制御を継承します。 ランディング ゾーンはワークロード セキュリティの基盤であり、セキュリティで保護する必要があります。 多くの場合、防御組織には、ランディング ゾーンに適用されるアーキテクチャのコンプライアンス標準があります。 クラウド ブローカーは、これらの標準を満たすためにランディング ゾーンを構築する責任を負います。 ランディング ゾーンの詳細については、次を参照してください。
ランディング ゾーンのデプロイに関するいくつかの一般的なアーキテクチャのおすすめ候補を次に示します。
クラウドと防御ネットワークの間にファイアウォールを配置する - アーキテクチャでは、ファイアウォール、侵入検出システム (IDS)、および/または侵入防止システム (IPS) を使用して、クラウドから発生した攻撃から防御ネットワークを保護する必要があります。 防御ネットワークに配置し、クラウドから防御ネットワークに向かうすべてのトラフィックを検査してフィルター処理する必要があります。 この配置により、2 つの環境間の障壁が提供されます。
すべての受信トラフィックを検査する - アプリケーションに送信する前に、すべての受信トラフィックをセキュリティ スタック経由でルーティングします。 セキュリティ スタックは独自の環境に存在し、クラウド アプリケーションにルーティングする前にトラフィックを検査してフィルター処理する必要があります。
セキュリティ管理ツールを分離する - セキュリティ管理ツール 用の別の環境を作成します。 少なくとも、セキュリティ管理環境には、脆弱性スキャン、ホスト スキャン、エンドポイント保護、一元化されたログ記録が含まれている必要があります。
アーキテクチャ所有者を指定する - ミッション所有者は、ランディング ゾーンのセキュリティを所有する担当者の 1 人のメンバーを指定する必要があります。 この担当者は、クラウド ブローカーとの調整、ID とアクセスの管理、昇格された特権の制限を担当する必要があります。
詳細については、次を参照してください。
運用と管理の期待を定義する
ミッション所有者とクラウド ブローカーは、ランディング ゾーンの構築期間中の運用と管理に対する期待を定義する必要があります。 ワークロードは、ライフサイクル全体を通じてプラットフォームに大きく依存します。 プラットフォーム ID、管理、または接続の構成の変更は、ホストされているワークロードに影響します。 ミッション所有者とクラウド ブローカーが成功について共通理解できるように、プラットフォームのビルド中に期待と優先順位を同期することが重要です。 運用環境が稼働する前にしっかりとした作業関係を持つことは、リスクを軽減するのに役立ちます。
運用と管理には、次のおすすめ候補があります。
通信チャネルを確立する - ミッション所有者は、クラウド ブローカーが使用する通信チャネルを確立する必要があります。 通信は、頻繁で一貫性があり、明確である必要があります。 また、ミッションオーナーは、定期的な会議以外の緊急の事項に対してフィールドコミュニケーションを利用できる必要があります。 コミュニケーションは、ミッション目標からのリスクと技術的なドリフトを最小限に抑えます。 予想は、クラウド ブローカーに書き留め、説明し、アクセスできるようにする必要があります。 クラウド ブローカーとミッション所有者の間の定期的な同期は、クラウド ブローカーがミッション所有者とそのワークロードのセキュリティ、パフォーマンス、財務要件を確実に理解するのに役立ちます。
運用測定を選択する: 運用上の計測値をレビューする方法を確立します。 ミッション所有者とクラウド ブローカーは、フィードバックの受信方法と改善を決定する必要があります。
コア サービスの共有 - ほとんどのインスタンスのクラウド ブローカーは、ミッション所有者が使用するための共有サービスを提供する必要があります。 共有サービスには、セキュリティで保護されたクライアント コンピューティング用の Azure Virtual Desktop と、Azure DevOps などの共有 DevOps ツールセットが含まれます。 クラウド ブローカーは、ガバナンスまたは共有コンテナー プラットフォームと共通のデータ プラットフォームを共有することもできます。 共通のサービスを共有すると、コストが節約され、コンプライアンスが向上します。
インフラストラクチャの自動化について話し合う - 機能の高いクラウド ブローカーは、コードとしてのインフラストラクチャ (IaC) テンプレートを構築して、セキュリティで保護されたワークロード環境を一貫して迅速に構築します。 これらの IaC テンプレートを使用すると、強化された VM、関数、ストレージなどを構築できます。 ブローカーは、一貫性とコンプライアンスを確保するために、コードを通じてミッション所有者ランディング ゾーン全体を構築することもできます。
変更管理プロセスを確立する - クラウドで変更が必要です。 実際、クラウドの主な利点は、変更を加速できることです。 肯定的な変化を加速することは、デジタル変革の目標です。 ミッション所有者とクラウド ブローカーが変更管理プロセスを確立することが重要です。 変更管理では、標準、通常、緊急の変更要求を考慮する必要があります。 各要求の型には、一貫性、速度、およびセキュリティのために最適化され、合理化された独自のプロセスが必要です。
詳細については、次を参照してください。
次のステップ
準備手法では、クラウド プラットフォームの構築に重点を置いています。 ガバナンス手法では、セキュリティ、コスト、管理のためのプラットフォームの規制に重点を置いています。