標準的な企業のガバナンス ガイド

ベスト プラクティスの概要

このガバナンス ガイドは、ある架空の会社のガバナンスが成熟するさまざまな段階での経験に沿ったものです。 実際のお客様の体験に基づいています。 このベスト プラクティスは、架空の会社の制約とニーズに基づいています。

すぐに始められるように、この概要では、ベスト プラクティスに基づくガバナンスのための実用最小限の製品 (MVP) が定義されています。 また、新しいビジネスや技術的リスクが登場したときにベスト プラクティスをさらに追加するいくつかのガバナンス改善へのリンクも提供されています。

警告

この MVP は、一連の想定に基づくベースラインの起点です。 この最小限の一連のベスト プラクティスも、独自のビジネス リスクとリスク許容範囲によってもたらされる企業のポリシーに基づいています。 これらの想定がご自身にも当てはまるかどうかを確認するには、この記事に続く長文の物語をお読みください。

ガバナンスのベスト プラクティス

これらのベスト プラクティスは、お使いのサブスクリプションに対して組織が迅速かつ一貫してガバナンス ガードレールを追加するための基盤として機能します。

リソースの編成

次の図では、リソースを編成するためのガバナンス MVP 階層を示します。

リソース編成の図

すべてのアプリケーションを管理グループ、サブスクリプション、リソース グループ階層の適切な領域にデプロイする必要があります。 デプロイ計画の間に、クラウド ガバナンス チームは、クラウド導入チームを支援するために必要なノードを階層に作成します。

  1. 環境の種類 (運用、開発、テストなど) ごとに 1 つの管理グループ。
  2. 2 つのサブスクリプション (運用環境ワークロード用に 1 つと非運用環境ワークロード用に 1 つ)。
  3. このグループ階層の各レベルで、一貫性のある用語体系を適用する必要があります。
  4. リソース グループは、コンテンツのライフサイクルを考慮した方法でデプロイする必要があります。つまり、一緒に開発されたものはすべて、一緒に管理し、一緒に廃止します。 リソース グループのベスト プラクティスの詳細については、「リソースの整合性の意思決定ガイド」を参照してください。
  5. リージョンの選択は非常に重要であり、ネットワーク、監視、監査をフェールオーバー/フェールバック用に配置できるように考慮し、必要な SKU を優先リージョンで使用できることを確認する必要があります。

このパターンの使用例を次に示します。

中規模の会社のリソース編成の例

これらのパターンには、階層を必要以上に複雑にしないで成長に対応する余地があります。

注意

ビジネス要件が変化した場合は、Azure 管理グループにより、管理階層とサブスクリプション グループの割り当てを簡単に再編成できます。 ただし、管理グループに適用されるポリシーとロールの割り当ては、階層内のそのグループの下にあるすべてのサブスクリプションで継承されることに注意してください。 管理グループ間でサブスクリプションを再割り当てする場合は、ポリシーとロールの割り当てが変化する可能性があることを認識してください。 詳細については、Azure 管理グループのドキュメントに関するページを参照してください。

リソースのガバナンス

一連のグローバル ポリシーと RBAC ロールにより、ガバナンスを実施するベースライン レベルが提供されます。 クラウド ガバナンス チームのポリシー要件を満たすには、ガバナンス MVP の実装で次のタスクを完了する必要があります。

  1. ビジネス要件の適用に必要な Azure Policy 定義を識別します。 これには、組み込みの定義の使用と新しいカスタムの定義の作成が含まれる場合があります。 新しくリリースされる組み込み定義のペースについていくために、組み込みポリシーのすべてのコミットの Atom フィードがあります。これは RSS フィードで使用できます。 または、AzAdvertizer を確認することもできます。
  2. これらの組み込みのカスタム ポリシーと、ガバナンス MVP で必要なロール割り当てを使用して、ブルー プリント定義を作成します。
  3. このブルー プリント定義をすべてのサブスクリプションに割り当てて、ポリシーと構成をグローバルに適用します。

ポリシー定義を識別する

Azure が提供するいくつかの組み込みのポリシーとロール定義は、どの管理グループ、サブスクリプション、またはリソース グループにも割り当てることができます。 多くの一般的なガバナンス要件は、組み込みの定義を使用して処理できます。 しかし、特定の要件を処理するために、カスタム ポリシーの定義を作成する必要もある可能性が高いです。

カスタム ポリシー定義は、管理グループまたはサブスクリプションのいずれかに保存され、管理グループ階層を通じて継承されます。 ポリシー定義の保存場所が管理グループの場合は、ポリシー定義をそのグループの子管理グループまたはサブスクリプションのいずれかに割り当てることができます。

ガバナンス MVP のサポートに必要なポリシーは、現在のすべてのサブスクリプションに適用されることになっているため、次のビジネス要件は、組み込みの定義とルート管理グループで作成されたカスタム定義を組み合わせて使用し、実装されます。

  1. 使用可能なロール割り当てのリストを、クラウド ガバナンス チームが許可した一連の組み込み Azure ロールに制限します。 これには、カスタム ポリシーの定義が必要です。
  2. すべてのリソースで次のタグを必須にします。Department/Billing UnitGeographyData ClassificationCriticalitySLAEnvironmentApplication ArchetypeApplication、および Application Owner。 これは、Require specified tag 組み込み定義を使用して処理することができます。
  3. リソースの Application タグを、関連するリソース グループの名前と一致させる必要があります。 これは、"タグとその値が必要" の組み込みの定義を使用して処理することができます。

カスタム ポリシーの定義については、Azure Policy のドキュメントをご覧ください。 カスタム ポリシーのガイダンスおよび例については、Azure Policy のサンプル サイトに関するページ、および関連するGitHub リポジトリに関するページをご覧ください。

Azure Blueprints を使用して Azure Policy および RBAC ロールを割り当てる

Azure ポリシーは、リソース グループ、サブスクリプション、管理グループのレベルに割り当てることができ、Azure Blueprints の定義に含めることができます。 このガバナンス MVP で定義されたポリシー要件は、現在のすべてのサブスクリプションに適用されますが、将来のデプロイでは、例外や代替のポリシーが高い確率で必要になります。 その結果、管理グループを使用してポリシーを割り当て、すべての子サブスクリプションがこれらの割り当てを継承した場合は、柔軟性が足りないために、これらのシナリオをサポートできない可能性があります。

Azure Blueprints を使用すると、複数のサブスクリプション全体で、ポリシーとロールを一貫した方法で割り当て、Resource Manager テンプレートを適用し、リソース グループをデプロイできます。 ポリシー定義と同様に、ブループリント定義は管理グループまたはサブスクリプションに保存されます。 ポリシー定義は、管理グループ階層内の任意の子が、継承を通じて利用できます。

クラウド ガバナンス チームは、サブスクリプション全体に対する必要な Azure Policy と RBAC の割り当てを Azure Blueprints および関連するアーティファクトを通じて実装することを決定しました。

  1. ルート管理グループ内で、governance-baseline という名前のブループリント定義を作成します。
  2. ブループリント定義に次のブループリント アーティファクトを追加します。
    1. 管理グループ ルートで定義されたカスタム Azure Policy 定義のポリシー割り当て。
    2. ガバナンス MVP で作成または管理されるサブスクリプション内で必要なすべてのグループのリソース グループ定義。
    3. ガバナンス MVP で作成または管理されるサブスクリプション内で必要な標準ロール割り当て。
  3. ブループリント定義を公開します。
  4. governance-baseline ブループリント定義をすべてのサブスクリプションに割り当てます。

ブループリント定義の作成および使用の詳細については、Azure Blueprints ドキュメントをご覧ください。

ハイブリッド VNet をセキュリティで保護する

特定のサブスクリプションでオンプレミス リソースに対する一定レベルのアクセス権が必要になることがよくあります。 この状況が多く見られるのは、依存型リソースがオンプレミス データセンター内に存在する移行シナリオや開発シナリオです。

クラウド環境内で信頼が十分に確立されるまでは、オンプレミス環境とクラウド ワークロード間の許可された通信を厳重に制御および監視すること、およびクラウドベース リソースからの不正アクセスに対してオンプレミス ネットワークをセキュリティ保護することが重要です。 これらのシナリオをサポートするため、ガバナンス MVP では、次のベスト プラクティスが追加されています。

  1. クラウドのセキュリティで保護されたハイブリッド VNet を確立します。
    1. VPN 参照アーキテクチャで、Azure 内に VPN Gateway を作成するためのパターンとデプロイ モデルを確立します。
    2. オンプレミスのセキュリティとトラフィック管理メカニズムで、接続されているクラウド ネットワークが信頼できないものとして扱われることを検証します。 クラウドでホストされるリソースとサービスでは、許可されたオンプレミス サービスにのみアクセスできる必要があります。
    3. オンプレミス データセンター内のローカル エッジ デバイスが Azure VPN Gateway の要件と互換性があり、パブリック インターネットにアクセスするように構成されていることを確認します。
    4. 最も単純なワークロードの場合を除き、VPN トンネルは運用に対応する回線と見なすべきではないことに注意してください。 オンプレミス接続を必要とする少数の単純なワークロードを超える場合は、Azure ExpressRoute を使用してください。
  2. ルート管理グループ内で、secure-hybrid-vnet という名前のブループリント定義をもう 1 つ作成します。
    1. VPN Gateway の Resource Manager テンプレートをブループリント定義にアーティファクトとして追加します。
    2. 仮想ネットワークの Resource Manager テンプレートをブループリント定義にアーティファクトとして追加します。
    3. ブループリント定義を公開します。
  3. オンプレミス接続が必要なすべてのサブスクリプションに secure-hybrid-vnet ブループリント定義を割り当てます。 この定義は、governance-baseline ブルー プリント定義に加えて割り当てる必要があります。

IT セキュリティ チームと従来のガバナンス チームから提起される最大の懸念の 1 つは、初期段階のクラウド導入が既存の資産を危険にさらすリスクです。 クラウド導入チームは上記のアプローチを利用することで、オンプレミスの資産に対するリスクを軽減しながら、ハイブリッド ソリューションを構築および移行できます。 クラウド環境での信頼が向上しているため、今後の発展に伴い、この一時的なソリューションは削除される可能性があります。

注意

上記の内容は、ベースラインのガバナンス MVP を迅速に作成するための出発点です。 これはガバナンス体験の始まりに過ぎません。 会社がクラウドの導入を継続し、以下の領域でより多くのリスクを負うようになると、さらなる進化が必要になります。

  • ミッションクリティカルなワークロード
  • 保護されたデータ
  • コスト管理
  • マルチクラウド シナリオ

さらに、この MVP の具体的な詳細は、架空の会社の体験例に基づいて、以降の記事で説明されます。 このベスト プラクティスを実装する前に、このシリーズの他の記事を理解しておくことを強くお勧めします。

反復的なガバナンスの改善

この MVP をデプロイした後は、追加のガバナンス レイヤーを環境にすばやく組み込むことができます。 特定のビジネス ニーズに合わせて MVP を改善する方法をいくつか次に示します。

このガイダンスで提供される内容

MVP では、企業ポリシーを迅速に適用するために、デプロイ高速化規範のプラクティスとツールが確立されます。 具体的には、MVP では、Azure Blueprints、Azure Policy、Azure 管理グループを使用して、この架空の会社の物語で定義されているいくつかの基本的な企業ポリシーが適用されます。 それらの企業ポリシーが Resource Manager テンプレートと Azure ポリシーを使用して適用されて、ID とセキュリティのための小さいベースラインが確立されます。

増分ガバナンス MVP の例を示す図。

ガバナンス プラクティスの段階的な改善

このガバナンス MVP は、時間をかけたガバナンス プラクティスの改善に使用されます。 導入が進むと、ビジネス上のリスクが増大します。 それらのリスクを管理するため、クラウド導入フレームワーク ガバナンス モデル内のさまざまな規範が変化します。 このシリーズの以降の記事では、架空の企業に影響を与える企業ポリシーの段階的な改善について説明します。 これらの改善は、3 つの規範で発生します。

  • Cost Management 規範: 導入がスケーリングするとき。
  • セキュリティ ベースライン規範: 保護されたデータがデプロイされるとき。
  • リソースの整合性規範: IT 運用でミッション クリティカルなワークロードのサポートが始まるとき。

ガバナンス プラクティスの段階的な改善の例を示す図。

次のステップ

ガバナンス MVP について理解し、この後のガバナンスの改善についてわかったら、コンテキストについてさらに理解するのに役立つ物語を読んでください。