デジタル変革が進むにつれ、クラウド コンピューティングは、企業が柔軟で拡張可能な IT インフラストラクチャを構築するための中核的な柱となっています。世界有数のクラウド サービス プロバイダーである Amazon Web Services (AWS) は、ユーザーが強力なクラウド基盤を簡単に構築できるようにするための豊富なツールとリソースを提供しています。 AWS は、コンピューティングリソースからストレージサービス、ネットワーク、セキュリティ機能まで、企業がクラウド内に信頼性の高いインフラストラクチャを構築するための包括的なサポートを提供します。
導入
- クラウド サービスの幅と深さが増すにつれ、クラウドは効率性、俊敏性、迅速なイノベーションを向上させる強力な手段となります。ただし、基盤となる AWS クラウド環境を構築するには、複数の AWS およびパートナー製品、サービス、ソリューションにわたって意思決定を行う必要があります。
- 顧客は、自社の IT プラクティスと互換性のある環境を構築および運用し、ガバナンス要件を遵守しながら構築者とオペレーターをサポートするためのガイダンスを求めています。
- このホワイトペーパーでは、定義、ユースケース、ガイダンス、自動化の統合セットに基づいて、お客様が AWS クラウド環境を構築および拡張するのに役立つガイドパスアプローチについて説明します。このアプローチには、AWS クラウド環境を構築するための人材、プロセス、テクノロジーに関する考慮事項が含まれます。
- クラウドへの移行を推進する主なビジネス上の要因としては、俊敏性、イノベーション、スケールの向上などが挙げられます。クラウド導入戦略を計画する際には、実稼働対応のクラウド環境を確立するためにいくつかの決定を行う必要があります。
- 早い段階での決定は、将来的に環境を強化および/または拡張する能力に影響を与える可能性があります。この複雑さにより、顧客は基盤となる環境を作成するために使用できる AWS サービスの範囲に関する規範的なガイダンスを求めるようになりました。
- AWS 上にクラウド基盤を構築するには、ビジネスニーズに合わせたガイダンスが必要です。機能ベースのアプローチを使用すると、ワークロードを展開、運用、管理するための環境を作成できます。
- また、ニーズの変化に応じて環境を拡張し、追加のワークロードをクラウドに展開する能力を高めることもできます。
- さまざまな機能領域にわたる標準の正規機能セットを使用して、AWS 上にインフラストラクチャを構築できます。これらの機能は、AWS クラウド環境を迅速に構築または拡張するための構造化されたアプローチとして使用でき、ユースケースのシナリオと対応するガイダンスが含まれます。
- 運用およびガバナンスのニーズに応じて機能を採用および実装できます。ビジネス要件が成熟するにつれて、機能ベースのアプローチは、クラウド環境がワークロードをサポートし、必要に応じて拡張できる準備ができていることを検証するためのメカニズムとして使用できます。このアプローチにより、ビルダーとビジネス向けのクラウド環境を自信を持って構築できるようになります。
関数
- クラウドの導入をサポートするために、AWS では、ワークロードのデプロイ、運用、管理を可能にする一連の基本機能を用意することを推奨しています。
- 機能には、定義、ユースケース シナリオ、主観的なガイダンス、クラウド環境の特定の部分を構築および運用するための自動化のサポートが含まれます。
- 機能とは、人材、プロセス、テクノロジーに関する考慮事項を含むクラウド環境の計画、実装、運用に役立つコンポーネントです。機能は、全体的なテクノロジー環境に統合されるように設計されています。
- 機能には、技術的な実装ガイダンスに加えて、各機能を確立して運用するために必要な運用ガイダンス (通知、インシデントの処理と修復、チーム リソースのスキルとプロセスなど) も含まれます。
- AWS は、クラウド基盤の構築を支援する 30 個の機能セットを定義しています。これらの機能を分類する方法の 1 つは機能領域別です。これにより、機能の開発、運用、ガバナンスの責任者と関係者を特定するのに役立ちます。
- 各機能はさまざまな成熟度ステージで構成されており、ガバナンスや運用要件など、クラウド導入の段階に応じて実装できます。クラウド環境が成長し成熟するにつれて、これらの機能は新しい要件を満たすように強化されます。
能力の定義
- このセクションには、主要な機能領域別に整理された各基本機能の高レベルの定義が含まれています。
安全性
- 安全機能領域の機能には以下が含まれます。
- アイデンティティ管理とアクセス制御チームがクラウド環境へのアクセスを効率的に構築し、一元管理できるようにします。この機能を使用すると、最小権限モデルに基づいて組織を構築し、アカウントを整理し、環境へのアクセス権を設定できます。
- ログ保存環境ログを一元的に収集し、改ざん防止ストレージに安全に保存できます。この機能により、AWS リソースおよびイベントに対して実行されたアクセスとアクションを時間の経過とともに評価、監視、アラート、監査できるようになります。
- データ分離適切に承認されたエンティティのみがデータにアクセスできるように、保存中および転送中のデータへのアクセスを制限できます。この機能には、データの不正使用や不正アクセス、漏洩、盗難を検出する機能も含まれます。
- 暗号化と鍵管理さまざまなワークロードの暗号化キーを集中管理する機能と、保存中および転送中のデータを暗号化する機能を指します。キーへのアクセスは最小限の権限に基づいており、使用状況が監視されて異常が報告されます。この機能には、需要に応じたさまざまな回転モードも含まれます。
- 機密管理パスワード、アクセス キー、その他の API キー、X.509 または SSH 秘密キーなどの秘密 (アクセス資格情報) を管理するのに適しています。この機能には、シークレットの保存、アクセス制御、アクセス ログ、失効、ローテーションの側面の管理が含まれます。
- セキュリティインシデント対応セキュリティ インシデントに対応できるようになります。ポリシーで指定された決定に基づいて、対応にはインシデントの性質の説明と変更の実施が含まれます (これには、運用状態の回復、根本原因の特定と修復、民事または刑事訴追に従った証拠の収集などのアクティビティが含まれる場合があります)。
- 証拠収集ログ データと、侵害の可能性があるリソースの証拠としてキャプチャされたイメージを分析して、侵害が発生したかどうか (発生した場合は、どのように発生したか) を判断します。法医学調査による根本原因分析の結果は、予防策の適用を開発および推進するためによく使用されます。
- 修理ワークロードの運用およびセキュリティのプロパティを更新、修復、および/または強化するための一連の変更を展開する機能を指します。これには、セキュリティの脆弱性への対処、バグの修正、その他の関連作業が含まれます。パッチ適用の範囲には、オペレーティング システム、アプリケーション、および関連するソフトウェア システムが含まれます。
- 脆弱性と脅威管理環境(可用性、パフォーマンス、セキュリティ)に影響を及ぼす可能性のある脆弱性を特定する機能です。この機能により、脆弱性や脅威の影響と範囲 (影響範囲など) を評価し、それらに対処/修復することができます。
- ワークロード分離境界新しく作成または移行されたワークロードを格納するための分離された環境を作成および管理できます。このアプローチは、リソースへのアクセスを分離するメカニズムを提供することで、脆弱性と脅威の影響を軽減し、コンプライアンスの複雑さを軽減します。
中央IT
- 中央 IT 機能領域の機能には以下が含まれます。
- テンプレート管理再利用可能なテンプレートを中央リポジトリに作成およびグループ化し、環境全体でインフラストラクチャ、アーキテクチャ、ゴールデン イメージ、リソースを迅速に展開、管理、更新します。この機能には、必要に応じてテンプレートを作成、テスト、更新、検証するために必要なプロセスが含まれます。これらのテンプレートは、承認されオンボードされた AWS サービスを使用した、事前承認済みの実装パターンであり、さまざまなチームがニーズに応じて使用できます。
- マーキング機能クラウド リソースにメタデータを割り当てることで、さまざまな目的に合わせてリソース セットをグループ化できます。これらの目的には、アクセス制御 (ABAC など)、コストレポート、自動化 (選択したタグ付きインスタンスへのパッチ適用など) が含まれます。タグは、可視性や制御のための新しいリソース構造を作成するためにも使用できます (たとえば、マイクロサービス、アプリケーション、ワークロードを構成するリソースをグループ化するなど)。タグ付けは、企業全体の可視性と制御を提供するために重要です。
- メタデータの並べ替え/検索環境内のタグ リソースに適用されたメタデータに基づいて検索およびフィルタリングする機能。これらのリソースは、アカウントまたはアカウント内のリソースである場合があります。
- サービスオンボーディング内部、コンプライアンス、規制要件に基づいて AWS サービスの使用をレビューおよび承認する機能を指します。この機能には、リスク評価、ドキュメント作成、実装モデル、サービス使用状況の変更の伝達が含まれます。
- 記録管理データを削除する前にアーカイブに変換する方法など、社内ポリシーと規制要件に従ってデータ保持を設定できます。このデータには、財務記録、取引データ、監査ログ、ビジネス記録、個人を特定できる情報 (PII)、または保持ポリシーの対象となるその他のデータが含まれる場合があります。
- データの匿名化必要に応じて基礎となるデータ形式を保持しながら、データと情報のサブセットを匿名化して、保存および処理時に機密性を低減する機能を指します (例: 国民識別番号、貿易データ、医療情報)。この機能には、データ(クレジットカード番号、住所、医療記録など)をトークン化して、基礎となる機密データにアクセスする必要性を減らす機能も含まれています。
- ログ記録と監視これは、システムとアプリケーションのアクティビティに関するセキュリティと運用データを収集および集約する機能であり、そのデータのほぼリアルタイムの分析により、異常、侵害の兆候、パフォーマンスの問題、構成の変更を特定します。
- ガバナンスAWS クラウド環境が遵守しなければならない執行委員会のポリシーを実施する機能を指します。このポリシーには環境規則が含まれ、リスクが定義され、内部ポリシーの調整が通知されます。クラウド基盤が成熟するにつれて、この機能の一部はガバナンス要件への準拠を確保するために他のすべての機能に組み込まれます。
- 監査と評価クラウド環境とその環境内のアクティビティを標準に照らして内部または独立して評価できるようにするための証拠書類の収集と整理を指します (誰が何にいつどこからアクセスし、どのような変更が行われたかに関する情報を含む)。この機能を使用すると、すべての変更がポリシーに準拠しており、適切なワークフロー メカニズムを通じて実行されているというアサーションを検証できます。
- 変更管理定義されたスコープ内 (運用やテストなど) の環境内のすべての構成可能な項目に対して計画された変更を展開できます。承認された変更は、リソース構成を変更するアクションであり、既存の IT インフラストラクチャに対するリスクを最小限に抑えて、許容できる範囲で実装できます。
操作
運用機能領域の機能には以下が含まれます。
- サポート環境のトラブルシューティング、問題の提起、チケットの送信、既存のチケット システムへの統合、および重大度とサポート レベルに基づいてタイムリーな対応のために適切なエンティティに問題をエスカレートする機能を指します。サポートでは、トラブルシューティングや修復アクティビティを実行するために、関連するリソースへのアクセスを許可する必要もあります。
- ロールアウト/ロールバックアプリケーションまたは構成の変更を環境に展開したり、障害発生時にそれらの変更をロールバックしたりするための定義済みの戦略。アプリケーションおよび構成の変更には、更新された権限、新しいポリシー、新規または更新されたネットワーク構成、新しいバージョンのアプリケーション、更新されたソフトウェア開発キットなどが含まれます。これらの構成の変更には、これらの変更を展開するオーケストレーション フレームワークへの変更も含まれる場合があります。
- バックアップこれは、ビジネス目標やセキュリティ目標、復旧ポイント目標 (RPO)、復旧時間目標 (RTO) を満たすために、必要に応じてデータを取得できる信頼性の高い方法でのデータのレプリケーションを指します。バックアップする必要があるコンテンツには、ビジネス プロセス フレームワークのデータと構成、アプリケーション データ、ログ、顧客データが含まれます。
- 災害復旧トランザクションが最初に処理された物理環境が予期せず利用できなくなった場合に、自動化されたメカニズムを使用して、ある物理環境でホストされているトランザクションの処理を別の物理環境で再開します。
ソフトウェアエンジニアリング
- ソフトウェア エンジニアリングの機能領域の機能には以下が含まれます。
- 開発者エクスペリエンスとツール開発者がワークロードを簡単に構築してクラウドにデプロイするために必要なツールとプロセスが含まれています。この機能は、コードの保存からワークフローの構築、テスト環境から本番環境へのワークロードの移行まで多岐にわたります。
- アプリケーションセキュリティこれには、アプリケーション ソフトウェアの保護と、アプリケーションとクライアント間のやり取りにおける異常な動作の検出が含まれます。対処する必要がある脅威には、不正アクセス、権限の昇格、および脅威フレームワークで一般的に説明されるその他のアプリケーション レベルの脅威が含まれます。
ネットワーク
- ネットワーク機能領域の機能には以下が含まれます。
- サイバーセキュリティネットワーク スタックのさまざまなレベルにわたってセキュリティ ポリシーと制御を設計および実装し、外部または内部の脅威からリソースを保護して、機密性、可用性、整合性、使いやすさを確保できます。この機能には、入口/出口および横方向のデータ移動の監視に基づいて、異常なネットワーク トラフィックを防止、検出、ブロックすることが含まれます。
- ネットワーク接続安全で可用性の高いネットワーク クラウド インフラストラクチャを設計、構築、管理できます。この機能は、ネットワーク インフラストラクチャの構築、構成、およびスケーリングを自動化するためのベスト プラクティスとリソースを提供します。
ファイナンス
- 財務機能分野の能力には以下が含まれます。
- クラウド財務管理クラウド サービスの変動経費の管理と最適化に役立ちます。この機能には、意思決定をサポートするほぼリアルタイムの可視性とコストおよび使用状況分析(支出ダッシュボード、最適化、支出制限、チャージバック、異常検出と対応など)が含まれます。この機能には予算編成と予測も含まれており、ワークロードのコストが最適化されたアーキテクチャを定義し、適切な価格モデルを選択し、リソース コストを関連チームに割り当てます。これにより、環境とリソース全体でコスト最適化手法を追跡、通知、適用できるようになります。経費情報は集中的に管理および使用され、主要な関係者にアクセスを提供して、対象を絞った可視性と意思決定を行うことができます。
- リソース在庫管理IT レベルのサービスまたはワークロードを構成するクラウド リソースの可視性と構成を可能にします。 ITSM 管理環境の CMDB などの記録システムを通じて環境内のリソースとそれに関連付けられた構成を追跡すると、クラウド環境内のすべてのソフトウェア、ハードウェア、ファームウェア リソースの可視性と構成管理のための、より大規模な IT レベルの記録システムが可能になります。
機能を活用する
- クラウド導入のプロセスは組織ごとに異なります。クラウド環境を正常に構築するには、組織の現在の状態、目標とする状態、そしてそれを達成するために必要な移行を理解する必要があります。環境の構築を計画する際に、機能は、関連する利害関係者 (各機能の機能領域によって決まります) 間の会話や意思決定を促進するのに役立ちます。
- 次の図は、環境を計画するときに従うことができるパスを示しています。これは機能間の依存関係に基づいており、環境に機能を実装するためのプロジェクト計画を作成するために使用できます。矢印で示されている依存関係に加えて、一部の機能は環境全体に適用されます (ガバナンス、監査と評価など)。
次のステップ
- まだクラウドを検討中の場合、AWS では、ビジネス価値を関係者に示すために概念実証 (POC) をいくつか展開することをお勧めします。
- クラウド上でワークロードをホストするためのクラウド環境の構築を開始する準備ができている場合は、この定義済みの機能セットが、基盤となるクラウド環境の構築に役立ちます。
- クラウド導入を開始する前に、AWS では次のアクティビティを完了し、詳細についてアカウントチームに問い合わせることをお勧めします。
- 機能のリストを確認し、依存関係を考慮して機能を実装するためのタイムラインを作成します。
- 各機能に責任を負う組織内の関係者を特定します。
- クラウド環境を構築するための実装計画とタイムラインを作成します。
- ニーズの変化に応じて AWS クラウドでのプレゼンスを拡大するために、定義された機能を使用して独自のツールを使用して独自のアプローチを構築できます。
結論は
AWS 上にクラウド基盤を構築することで、企業はこれまでにない柔軟性と効率性を獲得できます。 AWS の幅広いサービスを活用することで、企業は市場の変化に迅速に対応し、リソースの使用を最適化し、運用効率を向上させることができます。スタートアップ企業から大企業まで、AWS のクラウドソリューションはあらゆる規模の組織がビジネスの成長と革新を実現し、将来の成功のための強固な基盤を築くのに役立ちます。
