次の方法で共有


クラスター ガバナンス ポリシーを実施する

この記事では、クラウド ガバナンス ポリシーへのコンプライアンスを適用する方法について説明します。 クラウド ガバナンスの適用とは、クラウドの使用をクラウド ガバナンス ポリシーに合わせて調整するために使用する制御と手順を指します。 クラウド ガバナンス チームは、クラウド リスクを評価し、それらのリスクを管理するためのクラウド ガバナンス ポリシーを作成します。 クラウド ガバナンス ポリシーに確実に準拠するには、クラウド ガバナンス チームが強制責任を委任する必要があります。 各チームまたは個人が責任の範囲内でクラウド ガバナンス ポリシーを適用できるようにする必要があります。 クラウド ガバナンス チームがすべてを実行することはできません。 自動化された強制制御を優先しますが、自動化できない場合は、コンプライアンスを手動で適用します。

クラウド ガバナンスを設定して維持するプロセスを示す図。この図は、クラウド ガバナンス チームの構築、クラウド ガバナンス ポリシーの文書化、クラウド ガバナンス ポリシーの適用、クラウド ガバナンスの監視という 5 つの一連の手順を示しています。1 回実行する最初の手順。クラウド ガバナンスを設定し、継続的にクラウド ガバナンスを維持するために、最後の 4 つの手順を 1 回実行します。

クラウド ガバナンス ポリシーを適用するためのアプローチを定義する

クラウド ガバナンス ポリシーへのコンプライアンスを適用するための体系的な戦略を確立します。 目標は、自動化されたツールと手動監視を使用して、コンプライアンスを効率的に適用することです。 強制アプローチを定義するには、次の推奨事項に従います。

  • ガバナンス責任を委任する。 個人とチームが責任の範囲内でガバナンスを実施できるようにする。 たとえば、プラットフォーム チームはワークロードが継承するポリシーを適用し、ワークロード チームはワークロードのガバナンスを適用する必要があります。 クラウド ガバナンス チームは、強制制御を適用する責任を負うべきではありません。

  • 継承モデルを採用します。 特定のワークロードがプラットフォームからガバナンス ポリシーを継承する階層型ガバナンス モデルを適用します。 このモデルは、クラウド サービスの購入要件など、組織の基準が適切な環境に適用されるようにするのに役立ちます。 Azure ランディング ゾーンとそのリソース組織の設計領域の設計原則に従って、適切な継承モデルを確立します。

  • 適用の詳細について説明します。 ガバナンス ポリシーを適用する場所と方法について説明します。 目標は、生産性を向上させるコンプライアンスを適用するコスト効率の高い方法を見つけることです。 話し合いがなければ、特定のチームの進捗状況を妨げているリスクがあります。 リスクを効果的に管理しながら、ビジネス目標をサポートするバランスを見つけることが重要です。

  • モニター優先の姿勢を持つ。 最初に理解していない限り、アクションをブロックしないでください。 優先順位の低いリスクの場合は、まず、クラウド ガバナンス ポリシーのコンプライアンスを監視します。 リスクを理解したら、より制限の厳しい適用制御に移行できます。 モニター優先のアプローチでは、ガバナンスのニーズについて話し合い、クラウド ガバナンス ポリシーと強制制御をそれらのニーズに再調整する機会を得られます。

  • ブロックリストを優先します。 許可リストよりもブロックリストを優先します。 ブロックリストを使用すると、特定のサービスがデプロイできなくなります。 使用できるサービスの長い一覧よりも、使用すべきではないサービスの一覧を小さくすることをお勧めします。 長いブロックリストを回避するために、既定ではブロックリストに新しいサービスを追加しないでください。

  • タグ付けと名前付け方法を定義します。 クラウド リソースの名前付けとタグ付けに関する体系的なガイドラインを確立します。 クラウド環境全体でリソースの分類、コスト管理、セキュリティ、コンプライアンスのための構造化されたフレームワークを提供します。 開発チームなどのチームが、独自のニーズに合わせて他のタグを追加できるようにします。

クラウド ガバナンス ポリシーを自動的に適用する

クラウド管理およびガバナンス ツールを使用して、ガバナンス ポリシーへのコンプライアンスを自動化します。 これらのツールは、ガードレールの設定、構成の監視、コンプライアンスの確保に役立ちます。 自動適用を設定するには、次の推奨事項に従います。

  • まず、少数の自動ポリシー セットから始めます。 少数の重要なクラウド ガバナンス ポリシーのセットでコンプライアンスを自動化します。 運用の中断を回避するために自動化を実装してテストします。 準備ができたら、自動適用コントロールの一覧を展開します。

  • クラウド ガバナンス ツールを使用する。 クラウド環境で使用できるツールを使用して、コンプライアンスを適用します。 Azure の主要なガバナンス ツールは Azure Policy ですMicrosoft Defender for Cloud (セキュリティ)、Microsoft Purview (データ)、Microsoft Entra ID ガバナンス (ID)、Azure Monitor (操作)、管理グループ (リソース管理)、コードとしてのインフラストラクチャ (IaC) (リソース管理)、および各 Azure サービス内の構成を使用して Azure Policy を補完します。

  • 適切なスコープでガバナンス ポリシーを適用します。 管理グループなどの上位レベルでポリシーが設定されている継承システムを使用します。 上位レベルのポリシーは、サブスクリプションやリソース グループなどの下位レベルに自動的に適用されます。 ポリシーは、クラウド環境内に変更がある場合でも適用され、管理オーバーヘッドが削減されます。

  • ポリシー適用ポイントを使用します。 クラウド環境内で、ガバナンス ルールを自動的に適用するポリシー適用ポイントを設定します。 デプロイ前チェック、ランタイム監視、自動修復アクションを検討してください。

  • ポリシーをコードとして使用します。 IaC ツールを使用して、 コードを通じてガバナンス ポリシーを適用します。 コードとしてのポリシーは、ガバナンス制御の自動化を強化し、さまざまな環境間の一貫性を確保します。 Enterprise Azure Policy as Code (EPAC) を使用して、推奨される Azure ランディング ゾーン ポリシーに合わせたポリシーを管理することを検討してください。

  • 必要に応じてカスタム ソリューションを開発します。 カスタム ガバナンス アクションの場合は、カスタム スクリプトまたはアプリケーションの開発を検討してください。 Azure サービス API を使用して、データを収集したり、リソースを直接管理したりします。

Azure ファシリテーション: クラウド ガバナンス ポリシーを自動的に適用する

次のガイダンスは、Azure のクラウド ガバナンス ポリシーへのコンプライアンスを自動化するための適切なツールを見つけるのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点を提供します。

規制コンプライアンス ガバナンスを自動化する

セキュリティ ガバナンスを自動化する

コスト ガバナンスを自動化する

  • デプロイの制限を自動化しますコスト のかかるリソースの使用を防ぐために、特定のクラウド リソースを禁止します。

  • カスタム制限を自動化します。 Azure を操作するための独自のルールを定義するカスタム ポリシーを作成します。

  • コストの割り当てを自動化します。 タグ付け要件を適用して、環境 (開発、テスト、運用)、部門、またはプロジェクト間で コストをグループ化して割り当てます 。 タグを使用して、コスト最適化作業の一部であるリソースを識別して追跡します。

運用ガバナンスを自動化する

  • 冗長性を自動化します。 組み込みの Azure ポリシーを使用して、ゾーン冗長インスタンスや geo 冗長インスタンスなど、指定されたレベルのインフラストラクチャ冗長性を要求します。

  • バックアップ ポリシーを適用しますバックアップ ポリシーを使用して、バックアップの頻度、保有期間、およびストレージの場所を管理します。 バックアップ ポリシーを、データ ガバナンス、規制コンプライアンス要件、目標復旧時間 (RTO)、目標復旧時点 (RPO) に合わせます。 Azure SQL Database などの個々の Azure サービスのバックアップ設定を使用して、必要な設定を構成します。

  • 目標のサービス レベル目標を達成します。 対象のサービス レベル目標を満たしていない特定のサービスおよびサービス レベル (SKU) のデプロイを制限します。 たとえば、Azure Policy で Not allowed resource types ポリシー定義を使用します。

データ ガバナンスを自動化する

  • データ ガバナンスを自動化する。 カタログ化、マッピング、安全な共有、ポリシーの適用などの データ ガバナンス タスクを自動化します。

  • データ ライフサイクル管理を自動化します。 データが効率的かつ準拠して格納されるように、 ストレージポリシーとストレージのライフサイクル管理 を実装します。

  • データセキュリティを自動化する。 データの分離、暗号化、冗長性などのデータ 保護戦略を確認して適用します。

リソース管理のガバナンスを自動化する

AI ガバナンスを自動化する

クラウド ガバナンス ポリシーを手動で適用する

ツールの制限やコストによって、自動化された適用が現実的でない場合があります。 適用を自動化できない場合は、クラウド ガバナンス ポリシーを手動で適用します。 クラウド ガバナンスを手動で適用するには、次の推奨事項に従います。

  • チェックリストを使用します。 ガバナンス チェックリストを使用して、チームがクラウド ガバナンス ポリシーに簡単に従えるようにします。 詳細については、 コンプライアンス チェックリストの例を参照してください。

  • 定期的なトレーニングを提供します。 関連するすべてのチーム メンバーに対して頻繁なトレーニング セッションを実施し、ガバナンス ポリシーを確実に認識できるようにします。

  • 定期的なレビューをスケジュールします。 ガバナンス ポリシーへの準拠を確保するために、クラウド リソースとプロセスの定期的なレビューと監査のスケジュールを実装します。 これらのレビューは、確立されたポリシーからの逸脱を特定し、是正措置を取る上で重要です。

  • 手動で監視します。 ガバナンス ポリシーに準拠するためにクラウド環境を監視する専用の担当者を割り当てます。 リソースの使用を追跡し、アクセス制御を管理し、ポリシーに合わせてデータ保護対策を実施することを検討してください。 たとえば、クラウド コストを管理するための 包括的なコスト管理アプローチ を定義します。

ポリシーの適用を確認する

コンプライアンスの適用メカニズムを定期的に確認して更新します。 目標は、クラウド ガバナンス ポリシーの適用を、開発者、アーキテクト、ワークロード、プラットフォーム、ビジネス要件など、現在のニーズに合わせて維持することです。 ポリシーの適用を確認するには、次の推奨事項に従います。

  • 利害関係者と連携します。 実施メカニズムの有効性について関係者と話し合う。 クラウド ガバナンスの適用がビジネス目標とコンプライアンス要件と一致していることを確認します。

  • Monitor の要件。 新しい要件または更新された要件に合わせて適用メカニズムを更新または削除します。 適用メカニズムの更新を必要とする規制と標準の変更を追跡します。 たとえば、Azure ランディング ゾーンで推奨されるポリシーは、時間の経過と同時に変化する可能性があります。 これらのポリシーの変更を 検出 するか、最新の Azure ランディング ゾーンカスタム ポリシーに 更新 するか、必要に応じて組み込みのポリシーに 移行 する必要があります。

クラウド ガバナンスコンプライアンスチェックリストの例

コンプライアンス チェックリストは、チームがそれらに適用されるガバナンス ポリシーを理解するのに役立ちます。 コンプライアンス チェックリストの例では、 クラウド ガバナンス ポリシーの例 のポリシー ステートメントを使用し、クロスリファレンス用のクラウド ガバナンス ポリシー ID が含まれています。

カテゴリ コンプライアンス要件
規制に対するコンプライアンス ☐ Microsoft Purview を使用して機密データ (RC01) を監視する必要があります。
☐ 毎日の機密データ コンプライアンス レポートは、Microsoft Purview (RC02) から生成する必要があります。
安全 ☐ すべてのユーザーに対して MFA を有効にする必要があります (SC01)。
☐ アクセス レビューは、ID ガバナンス (SC02) で毎月行う必要があります。
☐ 指定した GitHub 組織を使用して、すべてのアプリケーションとインフラストラクチャ コード (SC03) をホストします。
☐ パブリック ソースのライブラリを使用するチームは、検疫パターン (SC04) を採用する必要があります。
オペレーション ☐ 運用ワークロードには、リージョン間でアクティブ/パッシブ アーキテクチャが必要です (OP01)。
☐ すべてのミッション クリティカルなワークロードは、リージョンをまたがるアクティブ/アクティブ アーキテクチャ (OP02) を実装する必要があります。
費用 ☐ ワークロード チームは、リソース グループ レベル (CM01) で予算アラートを設定する必要があります。
☐ Azure Advisor のコストに関する推奨事項を確認する必要があります (CM02)。
データ ☐ 転送中と保存中の暗号化は、すべての機密データに適用する必要があります。 (DG01)
☐ すべての機密データ (DG02) に対してデータ ライフサイクル ポリシーを有効にする必要があります。
リソース管理 ☐ リソース (RM01) をデプロイするには、Bicep を使用する必要があります。
☐ Azure Policy (RM02) を使用して、すべてのクラウド リソースにタグを適用する必要があります。
人工知能 (AI) ☐ AI コンテンツ フィルタリング構成は、中以上 (AI01) に設定する必要があります。
☐ 顧客向けの AI システムは、毎月レッド チーミングが実施される必要があります (AI02)

次のステップ