Amazon Web Services ブログ
クラウドを展開する上で確立すべきガバナンス、リスク、コンプライアンス
ビジネスリーダーやテクノロジーリーダーと話すと、彼らは新しい製品やサービスを迅速に市場に投入することが必要だと話します。その一方で、彼らはセキュリティを継続的に確保する必要もあります。また同時に、時間とともに変化するビジネスニーズにワークロードを適応させながら、回復力のある環境を維持する必要があります。このブログシリーズでは、AWSのベストプラクティスを共有して、お客様がこれらのセキュリティ、スケーラビリティ、および適応性の要件を満たすようにAWS環境を計画するのを支援します。
私の目標は、クラウド環境の配備を管理するための設計上の考慮事項についてお客様をガイドすることです。このブログシリーズでは、今後、このガイダンスに沿った一般的なユースケースとパターンの実装を解説するブログを投稿していきます。
ランディングゾーンのご紹介
お客様の社内でAWSを採用するチームが増えるにつれ、関心の分離はより困難かつ重要になります。企業は、さまざまなユーザー、ビジネスユニット、製品チームにおいて、システム環境の変化が互いに干渉したり、悪影響を与えたりしないようにする必要があります。それらのコストは予算化され、適切なコストセンターに割り当てられます。このセキュリティは、個々のワークロードの機密性に基づいて適切に実装されており、セキュリティおよび運用イベントから生じる影響の範囲は限られています。安全で再現可能な方法で、AWS環境全体にわたる分離を実現するためのリソースコンテナが必要です。お客様のクラウド配備と利用規模が拡大するにつれ、これらのリソースコンテナを管理および統合するメカニズムが必要になります。これは「ランディングゾーン」と呼ばれます。
ランディングゾーンは、スケーラブルでセキュアな、よい設計のマルチアカウントAWS環境です。これは、クラウドへのマイグレーションジャーニーの出発点となります。 AWSにおけるランディングゾーンは、AWS Organizationsと複数のAWSアカウントから構成されます。 AWS Organizationsにより、論理グループによるAWSアカウントの管理と編成が可能になります。個々のAWSアカウントは、独立した請求、ユーザーアイデンティティー、およびアクセス管理を備えた分離されたリソースコンテナを提供します。また、デフォルトでは他のAWSアカウントのリソースにアクセスできない、ネットワーク境界も提供します。
ランディングゾーンで多数のAWSアカウントを管理するためのベストプラクティスは、運用に必要な基本機能を提供するアカウントセットを使用することです。たとえば、セキュリティモニタリング、オンプレミスハイブリッド環境へのネットワーク接続、ログのアーカイブといったサービスは、ランディングゾーンにおいてよくある機能ニーズです。
ランディングゾーンを実現するためのフレームワーク
ランディングゾーンを実現するためのこのガイダンスは、さまざまなAWSチームからの情報、お客様のフィードバックとやり取りから導き出されたベストプラクティスに基づいています。このマルチアカウントフレームワークでは、AWS環境をセキュアに保つために必要な分離レベルを提供すると同時に、必要に応じて運用を拡張し、組織的な変化へも適応できます。
AWS Organizationsを使用して、AWSアカウントを2つのカテゴリーの組織単位(OU)にグループ化します。 基本機能OUと追加機能OUです。OUは、共通のセキュリティポリシー要件に基づいてAWSアカウントをグループ化する方法です。基本機能OUは、すべてのAWSアカウントに必要な機能を提供する共有サービス(セキュリティログのアーカイブ、ネットワークなど)であり、通常は中央チームの責任です。これらは、他のアカウントを構成するためのビルディングブロックとなります。追加機能OUは、お客様の総合的な環境を確立するためのものであり、基本OUに依存しています。
基本機能OUは、インフラストラクチャOUとセキュリティOUの2つのグループにさらに分類されます。インフラストラクチャOUアカウントは、共有ITサービスやネットワークインフラストラクチャなどのAWS Organizations全体の共有サービスに使用されます。セキュリティOUアカウントは、ログのアーカイブ、セキュリティツール、非常事態(Break-glass)およびフォレンジックなどの一元化されたセキュリティサービスに使用されます。
追加機能OUは、ビジネスユースケースに合わせて構成されます。たとえば、サンドボックスOUは、個々の開発者が独自のアカウントを持って新しいサービスや製品の試行やテストをできるようにするために使用されます。ワークロードOUは、本番ワークロード/アプリケーションサービスを分離して厳格にコントロールするために使用できます。
これらのOUの構成は、明示的な要件ではなく、実装のガイドと考えてください。ビジネスニーズと運用の成熟度に応じて、AWS Organizations内で定義するOUの数を増減できます。また、私が推奨したOU構成の一部を独自のユースケースに合わせて変化させることもできます。私はこのガイダンスとベストプラクティスを継続的に進化させるべく、あなたのアプローチについてフィードバックを是非いただきたいと思っています。
詳細については、AWS Organizationsを使ったベストプラクティスのドキュメントをご覧ください。このブログシリーズの第2部では、マルチアカウントフレームワーク内の推奨OUの詳細を説明します。
ランディングゾーンのセットアップの自動化
ランディングゾーンのAWSアカウントの数が増えると、効率的なガバナンスと管理のために自動化が必要になります。 AWSの理念に従い、作業を行うにあたっては適切な道具を使用すべきです。自動化された手段を通じてランディングゾーンのオーケストレーションを支援するために2つのオプションをお勧めします。 1つ目は、AWSマネージドサービスであるAWS Control Towerを使用して、AWS Organizationsと他の多数のサービスを使用するマルチアカウント環境をセットアップおよび管理し、オーケストレーションを自動化することです。新しいランディングゾーンを構築する場合や、大幅なカスタマイズを必要とせずに簡単なソリューションを好む場合は、AWS Control Towerにより一元管理されたガバナンスと事前設定されたベストプラクティスをすばやく開始できます。 2番目のオプションは、AWS Organizationsを通して直接管理する方法であり、高度なカスタマイズ性を必要とし、環境を管理するためのツールの構築経験のあるお客様向けです。
今後のブログでは、それぞれの方法の考慮事項について説明します。
結論
お客様は、新しいビジネス革新を開始する際、迅速さとセキュリティの両方を常に求めます。マルチアカウントフレームワークは、お客様がAWS環境を計画するのに役立つベストプラクティスのガイダンスを提供します。このフレームワークは、セキュリティニーズを満たすように設計されており、変化するビジネスニーズに合わせて環境を拡張および適応させることができます。この投稿では、ランディングゾーンを使用するための主要なビジネスドライバーの概要を説明しました。
このブログシリーズにご注目ください。今後3つの記事で以下について解説します。
- マルチアカウントフレームワークのOU構造の詳細
- ランディングゾーンを適切に実装および管理するための主要な内部機能
- ランディングゾーンの展開を自動化するためのさまざまなオプションに関する考慮事項
著者について
Brandon Wuは、セキュリティソリューションアーキテクトで、金融サービスのお客様がAWSで重要なワークロードをセキュアに稼働させる支援をしています。余暇には、屋外での散策やキッチンでの実験を楽しんでいます。
原文はこちら。翻訳はSA石橋が担当しました。