ガバナンスについて
ガバナンスは、必要に応じて作成、監視および修正する、適切に計画された一連のルールおよびプロセスです。これにより、組織はコストを管理し、効率性を高め、セキュリティ・リスクを排除できます。
組織がクラウドに移行し、マルチクラウド環境をサポートしている間、ネットワークは境界ではなくなりました。組織には、保護コントロールや検出コントロールなど、セキュリティ制御をオンボーディングして実装するための包括的な計画が必要です。ガバナンス・モデルは、クラウド・セキュリティを設計および改善し、コンプライアンスを確保し、コストを削減するための構造を提供します。
このソリューション・プレイブックでは、組織の目標に固有のガバナンス・モデルを設計するために、基本的な概念、思考プロセス、および意思決定を始める際に役立ちます。ガバナンス・モデルの設定方法については、特定の例を使用しています。組織の目標は、ガバナンス・モデルの設計を推進します。
ガバナンス・モデル
ガバナンス・モデルを使用すると、組織は組織の要件に基づいてミラー化、変更または変更できる、セキュリティおよびコンプライアンスを強化するための構造化プロセスを定義できます。
効果的なガバナンス・モデルの作成には、クラウド・リソースのプロビジョニング、管理、スチュワードシップおよびオフボーディングに関する意思決定が含まれます。手動プロセスを使用してワークフローを構成できます。ガバナンス・モデルの成熟に伴い、自動化されたワークフローおよびInfrastructure-as-Code Terraformスタックを構成して、ガバナンス・モデルをデプロイできます。
図oci-governance-model.pngの説明
ガバナンス・モデルを実装するプロセスは、周期的で反復的です。まず、リソースの編成から始めて、アイデンティティ、アクセスおよびコスト・ガバナンスを含むガバナンスを実装します。最後に、セキュリティ制御を監視およびモニターするためのプロセスを設定します。モデルの問題を検出したら、データをモデルに戻して改善します。
編成
効果的なガバナンス・モデルの基盤を設定するために、リソースとワークロードを編成します。
ガバナンス
だれがどのリソースにアクセスできるかを管理することで、リソースおよびワークロードを制御します。アイデンティティおよびアクセス・プロビジョニング・システムを使用して、リソースへのアクセスを管理できます。
観察とモニター
リソースを継続的に観察および監視して、ガバナンス・モデルが組織目標を達成するために機能していることを確認します。修正が必要な問題を監視および検出するには、クラウド・ガードやOCIロギングおよび監査サービスなどの特定の重要なサービスが必要です。
ガバナンス・モデルを確立すると、組織に開始点が提供され、必要な改善点の特定に役立ちます。また、モデルに関連する結果およびリスクの特定にも役立ちます。ガバナンス・モデルは、Oracle Cloud Infrastructure (OCI)ガバナンス実装の様々なステージで適用します。
クラウド・ガバナンスを強化するには、セキュリティ・アーキテクトは次のことを実行する必要があります。
- コンパートメントなどのリソースへのアクセスを定義して適用します
- OCI Identity and Access Management (IAM)ポリシーおよびタグ付けの定義
- クラウド・ガード、OCIロギング、Log Analyticsなどのサービスを使用した問題の確認、監視および検出
- サービス制限、予算、使用状況割当てを定義することで、コストを管理
- パフォーマンスを監視してコストを管理し、コストを予算超過を防止します
- Auditサービスを使用して定義済のガバナンス・ポリシーへのコンプライアンスを確保
ガバナンス・モデル値
効果的なガバナンス・モデルの中心的な価値および利点をご紹介します。これらの値をベスト・プラクティスとして適用し、パフォーマンス監視、可視性、コスト予測、セキュリティ、コンプライアンスなどのOCIリソースの使用を最適化して、組織が時間とコストを節約できるようにします。
優れた管理
チームと自分が所有するリソースとの間に個別の境界を設定します。一元化されたガバナンス・モデルを使用した既存のモデルでは、クラウド・コンピューティングの目標に対する俊敏性が低下しました。リソース組織とアクセス制御を組み合せて、ガバナンスによって俊敏性と柔軟の両方を実現できます。
クラウドの可視性
予防制御を検証し、考えられる障害に対処するには、まずそれらを検出する必要があります。クラウドの可視性により、クラウド上のアクティビティを監視し、プロアクティブに対処できます。つまり、クラウド上のセキュリティの脅威、非効率的なリソース使用率、悪意のあるアクティビティを特定できます。クラウド表示の利点は次のとおりです。
-
パフォーマンス・トラッキング
自動スケーリングを有効にして、リソース使用率を動的にスケーリングします。リソースのパフォーマンスを追跡して、十分に利用されていないリソースや自動スケーリングの失敗など、検出された問題を事前に特定し、対応します。
-
セキュリティ
即時のセキュリティ・ラップを特定し、是正措置を積極的に講じます。
-
コストの管理
未使用の容量に気付かないと、組織が時間の経過とともに多額のコストがかかる場合があります。十分に利用されていないリソースを見つけてクラウド・デプロイメント内の人質を減らし、組織がコストを削減できるようにします。リソースを調整して組織の効率を改善し、ニーズが生じた場合にのみ容量を拡大します。
予測可能なコスト
支出を計画して、オンプレミスおよびクラウドの両方のデプロイメントで確実に成功するようにします。計画に対する実際の使用状況を追跡するように予算を設定することで、見積や計画を通じてコストを管理します。予算を作成して、コストが使用目標に達したときに通知を受け取り、コストが承認済予算を超えないようにしてください。次に、予算制約を実施するために一般的に使用されるいくつかのパターンを示します。
- 予算を組織ユニットに関連付けて、使用が承認予算に近づいたときに、自動原価および使用状況レポートの通知を受け取ります。
- ダッシュボードへの支出を監視しながら、予測および予算計画を実行します。
セキュリティの向上
クラウド・セキュリティでクラウド・ユーザーを教育することは、セキュリティ侵害の数を削減する重要なステップです。すべてのクラウド侵害の95%は、ヒューマン・エラーをトレースできます。クラウド・セキュリティを確保するための人間への依存を減らすことで、クラウド・ガバナンスは、オンラインの脅威に対するセキュリティ対策を大幅に改善します。
新たに出現するサイバー攻撃者は、クラウド・セキュリティ、データ保護、消費者プライバシ保護、ユーザー認証へのアプローチを再考する必要があります。アクセスを認証またはモニタリングするためのクラウド・ガバナンス・ポリシーは、セキュリティ・プロトコルを構成および管理し、それらをビジネス・ニーズにあわせて調整できます。
コンプライアンス実装
クラウド・ガバナンスは、地域コンプライアンス要件の施行において重要な役割を果たします。適切に設計されたサードパーティ・クラウド・ガバナンス・ソリューションは、機密性の高い企業データをすべてプライベートに保ち、HIPAAやFedRAMPなどの地域コンプライアンス法に準拠できます。また、カリフォルニア州のCCPAや、ビジネスに厳しい顧客データ・プライバシとセキュリティ・コンプライアンス要件を課すEUなどの国際市場におけるGDPRなどのデータ保護法もサポートします。