複雑な企業向けのガバナンス ガイド: リソースの整合性の規範の改善Governance guide for complex enterprises: Improve the Resource Consistency discipline

この記事では、ミッション クリティカルなアプリケーションをサポートするために、ガバナンス MVP にリソース整合性コントロールを追加することによって、話を進めます。This article advances the narrative by adding resource consistency controls to the governance MVP to support mission-critical applications.

物語を進めるAdvancing the narrative

クラウド導入チームは、保護されたデータを移動するための要件をすべて満たしました。The cloud adoption teams have met all requirements to move protected data. これらが適用されると、SLA コミットメントがビジネスで有効になり、IT 運用からのサポートが必要になります。With those applications come SLA commitments to the business and need for support from IT operations. 2 つのデータ センターを移行するチームの背後で、複数のアプリケーション開発および BI のチームが、新しいソリューションを実稼働させるための準備を整えました。Right behind the team migrating the two datacenters, multiple application development and BI teams are ready to begin launching new solutions into production. IT 運用は、クラウド運用が初めてで、既存の運用プロセスを迅速に統合する必要があります。IT operations is new to cloud operations and needs to quickly integrate existing operational processes.

現在の状態の変化Changes in the current state

  • IT では、保護されたデータを含む実稼働ワークロードを Azure に積極的に移動しています。IT is actively moving production workloads with protected data into Azure. 優先度が低いワークロードの一部により、実稼働トラフィックが処理されています。Some low-priority workloads are serving production traffic. IT 運用が、ワークロードをサポートする準備が整ったことを承認した時点で、さらに多くのものを削減できます。More can be cut over as soon as IT operations signs off on readiness to support the workloads.
  • アプリケーション開発チームは、実稼働トラフィックへの準備が完了しています。The application development teams are ready for production traffic.
  • BI チームは、3 つの事業部門の操作を実行するシステムに、予測と洞察を統合する準備を完了しました。The BI team is ready to integrate predictions and insights into the systems that run operations for the three business units.

将来の状態を段階的に改善するIncrementally improve the future state

  • IT 運用は、クラウド運用が初めてで、既存の運用プロセスを迅速に統合する必要があります。IT operations is new to cloud operations and needs to quickly integrate existing operational processes.
  • 現在や将来の状態が変わると、新しいリスクが現れるため、新しいポリシー ステートメントが必要になります。The changes to current and future state expose new risks that will require new policy statements.

具体的なリスクの変化Changes in tangible risks

業務の中断: 新しいプラットフォームにはつきもののリスクがあり、ミッション クリティカルなビジネス プロセスの中断の原因となります。Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. IT 運用チームと、さまざまなクラウド導入を実施するチームは、クラウド運用の経験がそれほどありません。The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. このことは中断のリスクを増大させるため、修正とガバナンスが必要です。This increases the risk of interruption and must be remediated and governed.

このビジネス上のリスクは、いくつかの技術的リスクに発展する可能性がありますThis business risk can be expanded into several technical risks:

  1. 運用プロセスが不整合の場合、すぐに検出または軽減できない停止が発生する可能性があります。Misaligned operational processes might lead to outages that can't be detected or mitigated quickly.
  2. 外部からの侵入またはサービス拒否攻撃により、ビジネスが中断させられる可能性があります。External intrusion or denial of service attacks might cause a business interruption.
  3. ミッション クリティカルな資産が適切に検出されていないため、適切に運用されていない可能性があります。Mission-critical assets might not be properly discovered and therefore not properly operated.
  4. 未検出やラベル誤りのある資産が、既存の運用管理プロセスでサポートされない可能性があります。Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  5. デプロイされた資産の構成が、期待どおりのパフォーマンスを達成しない可能性があります。Configuration of deployed assets might not meet performance expectations.
  6. ログへの記録が正しく行われず、集中管理もされていないため、パフォーマンスの問題の修復に対応できなくなる可能性があります。Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  7. 復旧ポリシーが守られない、または予想よりも長い時間がかかる可能性があります。Recovery policies may fail or take longer than expected.
  8. 一貫性のないデプロイ プロセスによってセキュリティの間隙が発生し、それがデータ流出または中断につながる可能性があります。Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  9. 構成ドリフトやパッチの適用漏れによって意図しないセキュリティの間隙が発生し、それがデータ流出または中断につながる可能性があります。Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  10. 定義済みの SLA の要件や確約済みの復旧要件を構成が満たすことができない可能性があります。Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  11. デプロイ済みのオペレーティング システムまたはアプリケーションが、OS およびアプリケーションのセキュリティ強化要件を満たせない可能性があります。Deployed operating systems or applications might not meet OS and application hardening requirements.
  12. 複数のチームがクラウドで作業しているため、不整合のリスクがあります。There is a risk of inconsistency due to multiple teams working in the cloud.

ポリシー ステートメントの段階的な改善Incremental improvement of the policy statements

ポリシーに対する次の変更は、新しいリスクを修正して導入をガイドするのに役立ちます。The following changes to policy will help remediate the new risks and guide implementation. 長いリストのように見えますが、これらのポリシーの採用は思ったよりは簡単である場合があります。The list looks long, but the adoption of these policies may be easier than it would appear.

  1. デプロイされたすべての資産を、重要性とデータ機密性によって分類する必要があります。All deployed assets must be categorized by criticality and data classification. 分類は、クラウドへのデプロイ前に、クラウド ガバナンス チームとアプリケーション所有者によってレビューされることになります。Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. ミッション クリティカルなアプリケーションが存在するサブネットをファイアウォール ソリューションで保護します。このソリューションは、侵入の検知と攻撃への対応ができることが必要です。Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. ガバナンス ツールでは、セキュリティ ベースライン チームによって定義されたネットワーク構成要件を監査し、適用する必要があります。Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.
  4. ミッション クリティカルなアプリケーションや保護データに関連するすべての資産がリソース減耗と最適化のための監視対象となっていることを、ガバナンス ツールが検証する必要があります。Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. ミッション クリティカルなアプリケーションや保護されるデータのすべてについて適切なレベルのログ データが収集されていることを、ガバナンス ツールで検証する必要があります。Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. ミッション クリティカルなアプリケーションと保護されるデータのためのバックアップ、復旧、SLA 準拠が正しく実装されていることを、ガバナンス プロセスで検証する必要があります。Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. 仮想マシンのデプロイは承認されたイメージのみとなるように、ガバナンス ツールが制限する必要があります。Governance tooling must limit virtual machine deployment to approved images only.
  8. ミッション クリティカルなアプリケーションをサポートするデプロイ済み資産のすべてについて自動更新が禁止されていることを、ガバナンス ツールが強制する必要があります。Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. 違反は運用管理チームがレビューし、運用ポリシーに従って修復する必要があります。Violations must be reviewed with operational management teams and remediated in accordance with operations policies. 自動的に更新されない資産は、それらのサーバーを迅速かつ効率的に更新するために、IT 運用によって所有されているプロセスに含める必要があります。Assets that are not automatically updated must be included in processes owned by IT operations to quickly and effectively update those servers.
  9. コスト、重要性、SLA、アプリケーション、データ分類に関連するタグ付けをガバナンス ツールで検証する必要があります。Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. すべての値を、クラウド ガバナンス チームが管理する定義済みの値に合わせる必要があります。All values must align to predefined values managed by the cloud governance team.
  10. すべての資産にわたって一貫性を保証するために、デプロイ時点の監査と定期的な監査をガバナンス プロセスに含める必要があります。Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. クラウドのデプロイに影響を及ぼす可能性があるトレンドおよび悪用をセキュリティ チームが定期的にレビューし、クラウドで使用されるセキュリティ ベースライン ツールの更新を提供する必要があります。Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.
  12. 本番へのリリースの前に、すべてのミッション クリティカルなアプリケーションと保護データを所定の運用監視ソリューションに追加する必要があります。Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. 選択した IT 運用ツールで検出できない資産は、本番用としてリリースすることはできません。Assets that cannot be discovered by the chosen IT operations tooling cannot be released for production use. 資産を検出可能にするために必要な変更を、関係するデプロイ プロセスに対して行う必要があります。将来のデプロイで資産が確実に検出可能となるようにするためです。Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. 検出されたら、資産がパフォーマンス要件を満たしているかを検証するために、運用管理チームが資産のサイズ設定を検証します。When discovered, asset sizing is to be validated by operational management teams to validate that the asset meets performance requirements.
  14. デプロイされた資産の継続的なガバナンスを保証するために、デプロイ ツールはクラウド ガバナンス チームの承認を受ける必要があります。Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. デプロイ スクリプトのメンテナンスは、クラウド ガバナンス チームが定期的なレビューと監査のためにアクセスできる中央リポジトリで行われる必要があります。Deployment scripts must be maintained in central repository accessible by the cloud governance team for periodic review and auditing.
  16. デプロイ済みの資産が SLA と復旧の要件に合わせて適切に構成されていることを、ガバナンス レビュー プロセスで検証する必要があります。Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

ベスト プラクティスの段階的な改善Incremental improvement of the best practices

記事のこのセクションでは、ガバナンス MVP の設計を改善して、新しい Azure ポリシーおよび Azure Cost Management と Billing の実装を含めます。This section of the article will improve the governance MVP design to include new Azure policies and an implementation of Azure Cost Management and Billing. これら 2 つの設計変更を組み合わせることで、会社の新しいポリシー ステートメントを実現します。Together, these two design changes will fulfill the new corporate policy statements.

この架空の例の体験では、保護されたデータの変化が既に発生していることが前提となります。Following the experience of this fictional example, it is assumed that the protected data changes have already occurred. そのベスト プラクティスに基づき、次の項目によって運用監視の要件が追加され、ミッション クリティカルなアプリケーションのサブスクリプションが準備されます。Building on that best practice, the following will add operational monitoring requirements, readying a subscription for mission-critical applications.

企業 IT サブスクリプション: 以下を企業 IT サブスクリプションに追加します。これはハブとして機能します。Corporate IT subscription: Add the following to the corporate IT subscription, which acts as a hub.

  1. クラウド運用チームは、外部の依存関係として、運用監視ツール、ビジネス継続性およびディザスター リカバリー (BCDR) ツール、および自動修復ツールを定義する必要があります。As an external dependency, the cloud operations team will need to define operational monitoring tooling, business continuity and disaster recovery (BCDR) tooling, and automated remediation tooling. その後、クラウド ガバナンス チームは、必要な検出プロセスをサポートできます。The cloud governance team can then support necessary discovery processes.
    1. このユース ケースでは、クラウド運用チームは Azure Monitor をミッション クリティカルなアプリケーションの監視の主要ツールとして選択しました。In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
    2. またチームは、プライマリ BCDR ツールとして Azure Site Recovery を選択しました。The team also chose Azure Site Recovery as the primary BCDR tooling.
  2. Azure Site Recovery の実装。Azure Site Recovery implementation.
    1. バックアップおよび復旧プロセスのために Azure Site Recovery コンテナーを定義してデプロイします。Define and deploy Azure Site Recovery vault for backup and recovery processes.
    2. 各サブスクリプションでのコンテナーの作成のために、Azure リソース管理テンプレートを作成します。Create an Azure resource management template for creation of a vault in each subscription.
  3. Azure Monitor の実装。Azure Monitor implementation.
    1. ミッション クリティカルなサブスクリプションが特定されたら、Log Analytics ワークスペースを作成できます。Once a mission-critical subscription is identified, a Log Analytics workspace can be created.

個々のクラウド導入サブスクリプション: 以下により、監視ソリューションで各サブスクリプションを確実に検出し、BCDR プラクティスに含めることができます。Individual cloud adoption subscription: The following will ensure that each subscription is discoverable by the monitoring solution and ready to be included in BCDR practices.

  1. ミッション クリティカルなノードのための Azure Policy:Azure Policy for mission-critical nodes:
    1. 標準ロールのみの使用を監査し、強制しますAudit and enforce use of standard roles only.
    2. すべてのストレージ アカウントに対する暗号化の適用を監査し、強制します。Audit and enforce application of encryption for all storage accounts.
    3. ネットワーク インターフェイスごとに、承認されたネットワーク サブネットおよび仮想ネットワークの使用を監査し、実施します。Audit and enforce use of approved network subnet and virtual network per network interface.
    4. ユーザー定義のルーティング テーブルの制限を監査し、実施します。Audit and enforce the limitation of user-defined routing tables.
    5. Windows と Linux の仮想マシンに対する Log Analytics エージェントのデプロイを監査し、強制します。Audit and enforce the deployment of Log Analytics agents for Windows and Linux virtual machines.
  2. Azure のブループリント:Azure blueprint:
    1. mission-critical-workloads-and-protected-data という名前のブループリントを作成します。Create a blueprint named mission-critical-workloads-and-protected-data. このブループリントは、保護されたデータ ブループリントに加えて、資産も適用します。This blueprint will apply assets in addition to the protected data blueprint.
    2. このブループリントに新しい Azure ポリシーを追加します。Add the new Azure policies to the blueprint.
    3. ミッション クリティカルなアプリケーションをホストする予定のサブスクリプションにこのブループリントを適用します。Apply the blueprint to any subscription that is expected to host a mission-critical application.

まとめConclusion

これらのプロセスおよび変更をガバナンス MVP に追加することで、リソース ガバナンスに関連した多くのリスクを修正しやすくなります。Adding these processes and changes to the governance MVP helps remediate many of the risks associated with resource governance. 同時に、クラウド対応運用を支援するために必要な回復、サイズ設定、および監視のコントロールが追加されます。Together, they add the recovery, sizing, and monitoring controls necessary to empower cloud-aware operations.

次のステップNext steps

クラウド導入が拡大し、ビジネス価値が高まる一方で、リスクやクラウド ガバナンスのニーズも変わります。As cloud adoption grows and delivers additional business value, the risks and cloud governance needs will also change. このガイドの架空の会社の場合、次の契機となるのは、クラウドへの資産が 1,000 を超えるデプロイの規模になったとき、または毎月の支出が 10,000 米ドルを超えたときです。For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 1,000 assets to the cloud or monthly spending exceeds $10,000 USD per month. この時点で、クラウド ガバナンス チームは、コスト管理のコントロールを追加します。At this point, the cloud governance team adds cost management controls.