複雑な企業向けのガバナンス ガイド

このガバナンス ガイドは、ある架空の会社のガバナンスが成熟するさまざまな段階での経験に沿ったものです。 このガイドは実際のお客様の体験に基づいており、推奨されるベスト プラクティスは架空の会社の制約とニーズに基づいています。

ベスト プラクティスの概要

すぐに始められるように、この概要では、ベスト プラクティスに基づくガバナンスのための実用最小限の製品 (MVP) が定義されています。 また、新しいビジネスや技術的リスクが登場したときにベスト プラクティスをさらに追加するいくつかのガバナンス改善へのリンクも提供されています。

重要

この MVP は、一連の想定に基づくベースラインの始点です。 この最小限の一連のベスト プラクティスも、独自のビジネス リスクとリスク許容範囲によってもたらされる企業のポリシーに基づいています。 この一連の想定がご自身の状況に当てはまるかどうかを確認するには、この記事に続く長文の物語をお読みください。

ガバナンスのベスト プラクティス

これらのベスト プラクティスは、組織が複数の Azure サブスクリプションに対して迅速かつ一貫してガバナンス ガードレールを追加するための基盤として機能します。

リソースの編成

クラウド環境の設計に関連する詳細なガイダンスについては、管理グループとサブスクリプションの編成とガバナンスに関するクラウド導入フレームワークのドキュメントを参照してください。 このシナリオで使用されるガバナンス MVP には、上記のドキュメントに記載されている推奨事項が組み込まれており、「Azure ランディング ゾーンの概念アーキテクチャ」に記載されている設計パターンに従っています。

次の図では、リソースを編成するためのガバナンス MVP 階層を示します。

その他の推奨事項

• すべてのアプリケーションを管理グループ、サブスクリプション、リソース グループ階層の該当する領域にデプロイします。 展開プランの間に、クラウド ガバナンス チームは、クラウド導入チームを支援するために、必要なノードを階層に作成する必要があります。

• このグループ階層の各レベルで、一貫性のある用語体系を適用します。

• リソース グループをデプロイする際には、コンテンツのライフサイクルを考慮してください。つまり、一緒に開発されたものはすべて、一緒に管理し、一緒に廃止します。 リソース グループのベスト プラクティスの詳細については、「リソースの整合性の意思決定ガイド」を参照してください。

• ネットワーク、モニター、監査をフェールオーバー/フェールバック用に配置できるようにリージョンの選択を考慮し、必要な SKU を優先リージョンで使用できることを確認してください。

Azure ランディング ゾーンの概念アーキテクチャのパターンは、階層を不必要に複雑にすることなく、拡張の余地を備えています。

注意

ビジネス要件が変化した場合は、Azure 管理グループにより、管理階層とサブスクリプション グループの割り当てを簡単に再編成できます。 ただし、管理グループに適用されるポリシーとロールの割り当ては、階層内のそのグループの下にあるすべてのサブスクリプションで継承されることに注意してください。 管理グループ間でサブスクリプションを再割り当てする場合は、ポリシーとロールの割り当てが変化する可能性があることを認識してください。 詳細については、Azure 管理グループのドキュメントに関するページを参照してください。

リソースのガバナンス

一連のグローバル ポリシーと RBAC ロールにより、ガバナンスを実施するベースライン レベルが提供されます。 クラウド ガバナンス チームのポリシー要件を満たすには、ガバナンス MVP の実装で次のタスクを完了する必要があります。

1. ビジネス要件の適用に必要な Azure Policy 定義を識別します。 これには、組み込みの定義の使用と新しいカスタムの定義の作成が含まれる場合があります。 新しくリリースされる組み込み定義のペースについていくために、組み込みポリシーに対するすべてのコミットのAtom フィードがあり、これはRSS フィードで使用できます。 あるいは、次のことも確認できますAzAdvertizer。
2. これらの組み込みのカスタム ポリシーと、ガバナンス MVP で必要なロール割り当てを使用して、ブルー プリント定義を作成します。
3. このブルー プリント定義をすべてのサブスクリプションに割り当てて、ポリシーと構成をグローバルに適用します。

ポリシー定義を識別する

Azure が提供するいくつかの組み込みのポリシーとロール定義は、どの管理グループ、サブスクリプション、またはリソース グループにも割り当てることができます。 多くの一般的なガバナンス要件は、組み込みの定義を使用して処理できます。 しかし、特定の要件を処理するために、カスタム ポリシーの定義を作成する必要もある可能性が高いです。

カスタム ポリシー定義は、管理グループまたはサブスクリプションのいずれかに保存され、管理グループ階層を通じて継承されます。 ポリシー定義の保存場所が管理グループの場合は、ポリシー定義をそのグループの子管理グループまたはサブスクリプションのいずれかに割り当てることができます。

ガバナンス MVP のサポートに必要なポリシーは、現在のすべてのサブスクリプションに適用されることになっているため、次のビジネス要件は、組み込みの定義とルート管理グループで作成されたカスタム定義を組み合わせて使用し、実装されます。

1. 使用可能なロール割り当てのリストを、クラウド ガバナンス チームが許可した一連の組み込み Azure ロールに制限します。 これには、カスタム ポリシーの定義が必要です。
2. すべてのリソースで次のタグを必須にします。Department/Billing Unit、Geography、Data Classification、Criticality、SLA、Environment、Application Archetype、Application、および Application Owner。 これは、Require specified tag 組み込み定義を使用して処理することができます。
3. リソースの Application タグを、関連するリソース グループの名前と一致させる必要があります。 これは、Require tag and its value 組み込み定義を使用して処理することができます。

カスタム ポリシーの定義については、Azure Policy のドキュメントをご覧ください。 カスタム ポリシーのガイダンスおよび例については、Azure Policy のサンプル サイトに関するページ、および関連するGitHub リポジトリに関するページをご覧ください。

Azure Blueprints を使用して Azure Policy および RBAC ロールを割り当てる

Azure ポリシーは、リソース グループ、サブスクリプション、管理グループのレベルに割り当てることができ、Azure Blueprints の定義に含めることができます。 このガバナンス MVP で定義されたポリシー要件は、現在のすべてのサブスクリプションに適用されますが、将来のデプロイでは、例外や代替のポリシーが高い確率で必要になります。 その結果、管理グループを使用してポリシーを割り当て、すべての子サブスクリプションがこれらの割り当てを継承した場合は、柔軟性が足りないために、これらのシナリオをサポートできない可能性があります。

Azure Blueprints を使用すると、複数のサブスクリプション全体で、ポリシーとロールを一貫した方法で割り当て、Resource Manager テンプレートを適用し、リソース グループをデプロイできます。 ポリシー定義と同様に、ブループリント定義は管理グループまたはサブスクリプションに保存されます。 ポリシー定義は、管理グループ階層内の任意の子が、継承を通じて利用できます。

クラウド ガバナンス チームは、サブスクリプション全体に対する必要な Azure Policy と RBAC の割り当てを Azure Blueprints および関連するアーティファクトを通じて実装することを決定しました。

1. ルート管理グループ内で、governance-baseline という名前のブループリント定義を作成します。
2. ブループリント定義に次のブループリント アーティファクトを追加します。
   1. 管理グループ ルートで定義されたカスタム Azure Policy 定義のポリシー割り当て。
   2. ガバナンス MVP で作成または管理されるサブスクリプション内で必要なすべてのグループのリソース グループ定義。
   3. ガバナンス MVP で作成または管理されるサブスクリプション内で必要な標準ロール割り当て。
3. ブループリント定義を公開します。
4. governance-baseline ブループリント定義をすべてのサブスクリプションに割り当てます。

ブループリント定義の作成および使用の詳細については、Azure Blueprints ドキュメントをご覧ください。

ハイブリッド VNet をセキュリティで保護する

特定のサブスクリプションでオンプレミス リソースに対する一定レベルのアクセス権が必要になることがよくあります。 この状況が多く見られるのは、依存型リソースがオンプレミス データセンター内に存在する移行シナリオや開発シナリオです。

クラウド環境内で信頼が十分に確立されるまでは、オンプレミス環境とクラウド ワークロード間の許可された通信を厳重に制御および監視すること、およびクラウドベース リソースからの不正アクセスに対してオンプレミス ネットワークをセキュリティ保護することが重要です。 これらのシナリオをサポートするため、ガバナンス MVP では、次のベスト プラクティスが追加されています。

1. クラウドのセキュリティで保護されたハイブリッド VNet を確立します。
   1. VPN 参照アーキテクチャで、Azure 内に VPN Gateway を作成するためのパターンとデプロイ モデルを確立します。
   2. オンプレミスのセキュリティとトラフィック管理メカニズムで、接続されているクラウド ネットワークが信頼できないものとして扱われることを検証します。 クラウドでホストされるリソースとサービスでは、許可されたオンプレミス サービスにのみアクセスできる必要があります。
   3. オンプレミス データセンター内のローカル エッジ デバイスが Azure VPN Gateway の要件と互換性があり、パブリック インターネットにアクセスするように構成されていることを確認します。
   4. 最も単純なワークロードの場合を除き、VPN トンネルは運用に対応する回線と見なすべきではないことに注意してください。 オンプレミス接続を必要とする少数の単純なワークロードを超える場合は、Azure ExpressRoute を使用してください。
2. ルート管理グループ内で、secure-hybrid-vnet という名前のブループリント定義をもう 1 つ作成します。
   1. VPN Gateway の Resource Manager テンプレートをブループリント定義にアーティファクトとして追加します。
   2. 仮想ネットワークの Resource Manager テンプレートをブループリント定義にアーティファクトとして追加します。
   3. ブループリント定義を公開します。
3. オンプレミス接続が必要なすべてのサブスクリプションに secure-hybrid-vnet ブループリント定義を割り当てます。 この定義は、governance-baseline ブルー プリント定義に加えて割り当てる必要があります。

IT セキュリティ チームと従来のガバナンス チームから提起される最大の懸念の 1 つは、初期段階のクラウド導入が既存の資産を危険にさらすリスクです。 クラウド導入チームは上記のアプローチを利用することで、オンプレミスの資産に対するリスクを軽減しながら、ハイブリッド ソリューションを構築および移行できます。 クラウド環境での信頼が向上しているため、今後の発展に伴い、この一時的なソリューションは削除される可能性があります。

注意

上記の内容は、ベースラインのガバナンス MVP を迅速に作成するための出発点です。 これはガバナンス体験の始まりに過ぎません。 会社がクラウドの導入を継続し、以下の領域でより多くのリスクを負うようになると、さらなる進化が必要になります。

• ミッションクリティカルなワークロード
• 保護されたデータ
• コスト管理
• マルチクラウド シナリオ

さらに、この MVP の具体的な詳細は、架空の会社の体験例に基づいて、以降の記事で説明されます。 このベスト プラクティスを実装する前に、このシリーズの他の記事を理解しておくことを強くお勧めします。

段階的なガバナンスの改善

MVP をデプロイし終えると、追加のガバナンスのレイヤーを環境にすばやく組み込むことができます。 特定のビジネス ニーズに合わせて MVP を改善できる方法をいくつか次に示します。

• 保護されたデータのセキュリティ ベースライン
• ミッション クリティカルなアプリケーションのリソース構成
• コスト管理のコントロール
• マルチクラウドの段階的な改善のためのコントロール

このガイダンスで提供される内容

MVP では、企業ポリシーを迅速に適用するために、デプロイ高速化規範のプラクティスとツールが確立されます。 この MVP では、Azure Blueprints、Azure Policy、Azure 管理グループを使用して、私たちの架空の会社の物語で定義されているいくつかの基本的な企業ポリシーが適用されます。 Azure Resource Manager テンプレートと Azure ポリシーを使用して、これらの企業ポリシーを適用できます。 ID とセキュリティのための小さなベースラインを確立します。

ガバナンス プラクティスの段階的な改善

このガバナンス MVP は、時間をかけたガバナンス プラクティスの改善に使用できます。 導入が進むと、ビジネス上のリスクが増大します。 それらのリスクを管理するため、クラウド導入フレームワーク ガバナンス モデル内のさまざまな規範が変化し続けます。 このシリーズの以降の記事では、企業ポリシーに対する段階的な改善がどのように架空の企業に影響を与えるかについて説明します。 これらの改善は、次の 4 つの規範で行われます。

• ID ベースライン規範: 物語で移行の依存関係が変化するとき。
• Cost Management 規範: 導入をスケーリングするとき。
• セキュリティ ベースライン規範: 保護されたデータをデプロイするとき。
• リソースの整合性規範: IT 運用でミッション クリティカルなワークロードのサポートが始まるとき。

次のステップ

ガバナンス MVP および今後予想されるガバナンスの変化について確認できたので、コンテキストについてさらに理解するのに役立つ物語を読んでください。

理解に役立つ物語を読む