標準的な企業のガバナンス ガイド:リソースの整合性の規範の改善Standard enterprise governance guide: Improve the Resource Consistency discipline

この記事では、さらに進めて、ミッション クリティカルなアプリケーションをサポートするためのリソース整合性のコントロールを追加します。This article advances the narrative by adding resource consistency controls to support mission-critical applications.

物語を進めるAdvancing the narrative

新しい顧客エクスペリエンス、新しい予測ツール、そして移行されたインフラストラクチャは、前進を続けます。New customer experiences, new prediction tools, and migrated infrastructure continue to progress. これらの資産を、本番容量で業務に使用できる状態になりました。The business is now ready to begin using those assets in a production capacity.

現在の状態の変化Changes in the current state

この物語の前のフェーズでは、アプリケーション開発と BI のチームが顧客と財務のデータを本番ワークロードに統合する準備がほぼ完了していました。In the previous phase of this narrative, the application development and BI teams were nearly ready to integrate customer and financial data into production workloads. IT チームは、DR データベースの廃止作業を行っているところでした。The IT team was in the process of retiring the DR datacenter.

その後、以下に示すように、ガバナンスに影響を与えるいくつかの変化がありました。Since then, some things have changed that will affect governance:

  • IT チームは DR データセンターの 100% 廃止を、予定よりも前に完了しました。IT has retired 100% of the DR datacenter, ahead of schedule. その過程で、実稼働データセンターにあった一連の資産がクラウド移行候補として特定されました。In the process, a set of assets in the production datacenter were identified as cloud migration candidates.
  • アプリケーション開発チームは、本番トラフィックに対応できる状態になっています。The application development teams are now ready for production traffic.
  • BI チームは、予測と分析情報を実稼働データセンター内のオペレーション システムに返せる状態になっています。The BI team is ready to feed predictions and insights back into operation systems in the production datacenter.

将来の状態を段階的に改善するIncrementally improve the future state

Azure のデプロイを本番の業務プロセスで使用するには、クラウド運用が成熟している必要があります。Before using Azure deployments in production business processes, cloud operations must mature. 併せて、資産を適切に運用するためのさらなるガバナンスの変化が必要です。In conjunction, additional governance changes is required to ensure assets can be operated properly.

現在や将来の状態が変わると、新しいリスクが現れるため、新しいポリシー ステートメントが必要になります。The changes to current and future state expose new risks that will require new policy statements.

具体的なリスクの変化Changes in tangible risks

業務の中断: 新しいプラットフォームにはつきもののリスクがあり、ミッション クリティカルなビジネス プロセスの中断の原因となります。Business interruption: There is an inherent risk of any new platform causing interruptions to mission-critical business processes. IT 運用チームと、さまざまなクラウド導入を実施するチームは、クラウド運用の経験がそれほどありません。The IT operations team and the teams executing on various cloud adoptions are relatively inexperienced with cloud operations. このことは中断のリスクを増大させるため、修正とガバナンスが必要です。This increases the risk of interruption and must be remediated and governed.

このビジネス上のリスクは、いくつかの技術的リスクに発展する可能性がありますThis business risk can be expanded into several technical risks:

  1. 外部からの侵入またはサービス拒否攻撃により、ビジネスが中断させられる可能性があります。External intrusion or denial of service attacks might cause a business interruption.
  2. ミッション クリティカルな資産が適切に検出されないことがあり、その結果として適切に運用されなくなる可能性があります。Mission-critical assets may not be properly discovered, and therefore might not be properly operated.
  3. 未検出やラベル誤りのある資産が、既存の運用管理プロセスでサポートされない可能性があります。Undiscovered or mislabeled assets might not be supported by existing operational management processes.
  4. デプロイされた資産の構成が、期待どおりのパフォーマンスを達成しないことがあります。The configuration of deployed assets may not meet performance expectations.
  5. ログへの記録が正しく行われず、集中管理もされていないため、パフォーマンスの問題の修復に対応できなくなる可能性があります。Logging might not be properly recorded and centralized to allow for remediation of performance issues.
  6. 復旧ポリシーが守られない、または予想よりも長い時間がかかる可能性があります。Recovery policies may fail or take longer than expected.
  7. 一貫性のないデプロイ プロセスによってセキュリティの間隙が発生し、それがデータ流出または中断につながる可能性があります。Inconsistent deployment processes might result in security gaps that could lead to data leaks or interruptions.
  8. 構成ドリフトやパッチの適用漏れによって意図しないセキュリティの間隙が発生し、それがデータ流出または中断につながる可能性があります。Configuration drift or missed patches might result in unintended security gaps that could lead to data leaks or interruptions.
  9. 定義済みの SLA の要件や確約済みの復旧要件を構成が満たすことができない可能性があります。Configuration might not enforce the requirements of defined SLAs or committed recovery requirements.
  10. デプロイ済みのオペレーティング システムやアプリケーションがセキュリティ強化の要件を満たせない可能性があります。Deployed operating systems or applications might fail to meet hardening requirements.
  11. 多数のチームがクラウドで作業しているため、不整合のリスクがあります。With so many teams working in the cloud, there is a risk of inconsistency.

ポリシー ステートメントの段階的な改善Incremental improvement of the policy statements

ポリシーに対する次の変更は、新しいリスクを修正して導入をガイドするのに役立ちます。The following changes to policy will help remediate the new risks and guide implementation. 多すぎるように見えるかもしれませんが、これらのポリシーの採用はそれほど難しいものではありません。The list looks long, but adopting these policies may be easier than it appears.

  1. デプロイされたすべての資産を、重要性とデータ機密性によって分類する必要があります。All deployed assets must be categorized by criticality and data classification. 分類は、クラウドへのデプロイ前に、クラウド ガバナンス チームとアプリケーション所有者によってレビューされることになります。Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. ミッション クリティカルなアプリケーションが存在するサブネットをファイアウォール ソリューションで保護します。このソリューションは、侵入の検知と攻撃への対応ができることが必要です。Subnets containing mission-critical applications must be protected by a firewall solution capable of detecting intrusions and responding to attacks.
  3. ガバナンス ツールは、セキュリティ管理チームによって定義されたネットワーク構成要件を監査し、適用する必要があります。Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  4. ミッション クリティカルなアプリケーションや保護データに関連するすべての資産がリソース減耗と最適化のための監視対象となっていることを、ガバナンス ツールが検証する必要があります。Governance tooling must validate that all assets related to mission-critical applications or protected data are included in monitoring for resource depletion and optimization.
  5. ミッション クリティカルなアプリケーションや保護されるデータのすべてについて適切なレベルのログ データが収集されていることを、ガバナンス ツールで検証する必要があります。Governance tooling must validate that the appropriate level of logging data is being collected for all mission-critical applications or protected data.
  6. ミッション クリティカルなアプリケーションと保護されるデータのためのバックアップ、復旧、SLA 準拠が正しく実装されていることを、ガバナンス プロセスで検証する必要があります。Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  7. 仮想マシンのデプロイは承認されたイメージのみとなるように、ガバナンス ツールで制限する必要があります。Governance tooling must limit virtual machine deployments to approved images only.
  8. ミッション クリティカルなアプリケーションをサポートするデプロイ済み資産のすべてについて自動更新が禁止されていることを、ガバナンス ツールで強制する必要があります。Governance tooling must enforce that automatic updates are prevented on all deployed assets that support mission-critical applications. 違反は運用管理チームがレビューし、運用ポリシーに従って修復する必要があります。Violations must be reviewed with operational management teams and remediated in accordance with operations policies. 自動的に更新されない資産は、IT 運用チームが担当するプロセスに含める必要があります。Assets that are not automatically updated must be included in processes owned by IT operations.
  9. コスト、重要性、SLA、アプリケーション、データ分類に関連するタグ付けをガバナンス ツールで検証する必要があります。Governance tooling must validate tagging related to cost, criticality, SLA, application, and data classification. すべての値は、ガバナンス チームが管理する事前定義済みの値と整合している必要があります。All values must align to predefined values managed by the governance team.
  10. すべての資産にわたって一貫性を保証するために、デプロイ時点の監査と定期的な監査をガバナンス プロセスに含める必要があります。Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  11. クラウドのデプロイに影響を及ぼす可能性があるトレンドおよび悪用をセキュリティ チームが定期的にレビューし、クラウドで使用されるセキュリティ管理ツールの更新を提供するべきです。Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  12. 本番へのリリースの前に、すべてのミッション クリティカルなアプリケーションと保護データを所定の運用監視ソリューションに追加する必要があります。Before release into production, all mission-critical applications and protected data must be added to the designated operational monitoring solution. 選択した IT 運用ツールで検出できない資産は、本番用としてリリースすることはできません。Assets that cannot be discovered by the chosen IT operations tooling, cannot be released for production use. 資産を検出可能にするために必要な変更を、関係するデプロイ プロセスに対して行う必要があります。将来のデプロイで資産が確実に検出可能となるようにするためです。Any changes required to make the assets discoverable must be made to the relevant deployment processes to ensure assets will be discoverable in future deployments.
  13. 検出時に、運用管理チームは資産のサイズを調整します。その資産が確実にパフォーマンス要件を満たすようにするためです。When discovered, operational management teams will size assets, to ensure that assets meet performance requirements.
  14. デプロイされた資産の継続的なガバナンスを保証するために、デプロイ ツールはクラウド ガバナンス チームの承認を受ける必要があります。Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. デプロイ スクリプトのメンテナンスは、クラウド ガバナンス チームが定期的なレビューと監査のためにアクセスできる中央リポジトリで行われる必要があります。Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  16. デプロイ済みの資産が SLA と復旧の要件に合わせて適切に構成されていることを、ガバナンス レビュー プロセスで検証する必要があります。Governance review processes must validate that deployed assets are properly configured in alignment with SLA and recovery requirements.

ガバナンス プラクティスの段階的な改善Incremental improvement of governance practices

記事のこのセクションでは、ガバナンス MVP の設計を変更して、新しい Azure ポリシーと Azure Cost Management + Billing の実装を含めます。This section of the article will change the governance MVP design to include new Azure policies and an implementation of Azure Cost Management + Billing. これら 2 つの設計変更を組み合わせることで、会社の新しいポリシー ステートメントを実現します。Together, these two design changes will fulfill the new corporate policy statements.

  1. クラウド運用チームは、運用監視と自動修復に使用するツールを定義します。The cloud operations team will define operational monitoring tooling and automated remediation tooling. クラウド ガバナンス チームは、これらの検出プロセスをサポートします。The cloud governance team will support those discovery processes. このユース ケースでは、クラウド運用チームは Azure Monitor をミッション クリティカルなアプリケーションの監視の主要ツールとして選択しました。In this use case, the cloud operations team chose Azure Monitor as the primary tool for monitoring mission-critical applications.
  2. Azure DevOps でリポジトリを作成し、関連するすべての Resource Manager テンプレートとスクリプト化された構成をここに保存してバージョン管理を行います。Create a repository in Azure DevOps to store and version all relevant Resource Manager templates and scripted configurations.
  3. Azure Recovery Services コンテナーの実装:Azure Recovery Services vault implementation:
    1. バックアップおよび復旧プロセス用に Azure Recovery Services コンテナーを定義してデプロイします。Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    2. コンテナーを各サブスクリプションに作成するための Resource Management テンプレートを作成します。Create a Resource Manager template for creation of a vault in each subscription.
  4. すべてのサブスクリプションについて Azure Policy を次のように更新します。Update Azure Policy for all subscriptions:
    1. すべてのサブスクリプションを対象として重要性とデータ分類を監査し、強制します。これは、ミッション クリティカルな資産を持つサブスクリプションを特定するためです。Audit and enforce criticality and data classification across all subscriptions to identify any subscriptions with mission-critical assets.
    2. 承認されたイメージだけを使用することを監査し、実施します。Audit and enforce the use of approved images only.
  5. Azure Monitor の実装:Azure Monitor implementation:
    1. ミッション クリティカルなワークロードが特定されたら、Azure Monitor Log Analytics ワークスペースを作成します。Once a mission-critical workload is identified, create an Azure Monitor Log Analytics workspace.
    2. デプロイ テストの中で、クラウド運用チームは必要なエージェントをデプロイして検出をテストします。During deployment testing, the cloud operations team deploys the necessary agents and tests discovery.
  6. ミッション クリティカルなアプリケーションを持つすべてのサブスクリプションについて、Azure Policy を更新します。Update Azure Policy for all subscriptions that contain mission-critical applications.
    1. 1 つの NSG をすべての NIC とサブネットに適用することを監査し、強制します。Audit and enforce the application of an NSG to all NICs and subnets. ネットワーク構成と IT セキュリティによって NSG が定義されます。Networking and IT security define the NSG.
    2. ネットワーク インターフェイスのそれぞれについて、承認済みのネットワーク サブネットと仮想ネットワークの使用を監査し、実施します。Audit and enforce the use of approved network subnets and virtual networks for each network interface.
    3. ユーザー定義のルーティング テーブルの制限を監査し、実施します。Audit and enforce the limitation of user-defined routing tables.
    4. すべての仮想マシンに対して Azure Monitor エージェントをデプロイすることを監査し、強制します。Audit and enforce deployment of Azure Monitor agents for all virtual machines.
    5. Azure Recovery Services コンテナーがサブスクリプションに存在することを監査して適用します。Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  7. ファイアウォールの構成:Firewall configuration:
    1. セキュリティの要件を満たす Azure Firewall の構成を特定します。Identify a configuration of Azure Firewall that meets security requirements. または、Azure と連携するサードパーティ製アプライアンスを特定します。Alternatively, identify a third-party appliance that is compatible with Azure.
    2. Resource Manager テンプレートを作成し、必須の構成を持つファイアウォールをデプロイします。Create a Resource Manager template to deploy the firewall with required configurations.
  8. Azure のブループリント:Azure blueprint:
    1. protected-data という名前の Azure ブループリントを作成します。Create a new Azure blueprint named protected-data.
    2. ファイアウォールと Azure Recovery Services コンテナーのテンプレートをブループリントに追加します。Add the firewall and Azure Recovery Services vault templates to the blueprint.
    3. 保護対象データのサブスクリプション用の新しいポリシーを追加します。Add the new policies for protected data subscriptions.
    4. このブループリントを、ミッションクリティカルなアプリケーションをホストする予定の管理グループに発行します。Publish the blueprint to any management group that will host mission-critical applications.
    5. 新しいブループリントを、影響を受けるサブスクリプションのそれぞれに既存のブループリントとともに適用します。Apply the new blueprint to each affected subscription as well as existing blueprints.

まとめConclusion

これらのプロセスと変更をガバナンス MVP に追加することは、リソース ガバナンスに伴うリスクの多くの改善に役立ちます。These additional processes and changes to the governance MVP help remediate many of the risks associated with resource governance. これらが一体となって追加される復旧、サイズ調整、監視のコントロールは、クラウドに対応した運用の力となります。Together they add recovery, sizing, and monitoring controls that empower cloud-aware operations.

次のステップNext steps

クラウド導入が継続し、ビジネス価値が高まる一方で、リスクやクラウド ガバナンスのニーズも変わります。As cloud adoption continues and delivers additional business value, risks and cloud governance needs will also change. このガイドの架空の会社の場合、次の契機となるのは、クラウドにデプロイされる資産が 100 を超える規模になったとき、または月間の支出額が 1,000 米ドルを超えたときです。For the fictional company in this guide, the next trigger is when the scale of deployment exceeds 100 assets to the cloud or monthly spending exceeds $1,000 per month. この時点で、クラウド ガバナンス チームは、コスト管理のコントロールを追加します。At this point, the cloud governance team adds cost management controls.