マルチクラウドの世界におけるクラウドコンプライアンス戦略

複数のクラウド コンピューティング プロバイダーのクラウド コンピューティング サービスを使用する場合でも、企業のクラウド コンピューティング コンプライアンスに矛盾があってはならないため、企業はコンプライアンス目標を達成する必要があります。

[[274722]]

コンプライアンスは決して容易ではなく、クラウドを導入すると、一部のアプリケーション、データ、プロセスがパートナーのインフラストラクチャ内に残ってしまう可能性が高くなります。特に、マルチクラウド モデルはコンプライアンスの課題に新たな側面をもたらし、これに対処しないと組織の計画全体が危険にさらされる可能性があります。

クラウド コンプライアンス リスクは、情報セキュリティ、ネットワーク セキュリティ、規制コンプライアンスの 3 つのカテゴリに分類されます。企業は、これらの問題に対処することは、修復からの逸脱を正当化する条件を考慮する必要がある複雑なプロセスであることを理解する必要があります。

規制遵守が複雑であることは間違いありません。そのため、この困難なタスクの負担を軽減する戦略とツールを検討する価値はあります。さらに、IT セキュリティをサポートする多くのフレームワークに精通している必要があります。

クラウドコンプライアンスの使用

マルチクラウド コンプライアンスの出発点は、現在のコンプライアンス モデルとツールです。ここでの最初のルールは、アプローチを特定の目標セットに整理し、会社の現在の実践を各目標に明示的に関連付けることです。これにより、ビジネスが現在のすべてのコンテンツをカバーし、可能な限り多くの現在のコンプライアンス慣行を維持することが保証されます。セキュリティとコンプライアンスは常に目標ですが、多くのユーザーは、マルチクラウドのビジネスケースを確実に保護するために、コスト削減と管理パフォーマンスの目標を達成したいと考えています。

マルチクラウドは、クラウド プラットフォームとデータ センターごとに 1 つずつ、複数の自律ホスティング ドメインが存在する点で異なります。マルチクラウド コンプライアンス計画の目標は、各ドメインのコンプライアンス ツールを活用して共通のタスクを達成することです。これは、企業が何が起こっているかを把握し (クラウド監視など)、発生した問題を解決するための措置を講じることを意味します。これらは、クラウド コンピューティングのコンプライアンス プロセスにおける条件と逸脱です。

さらに、マルチクラウド環境における各パブリック クラウド プロバイダーの性質と場所は、クラウド コンピューティングの規制コンプライアンスの問題に影響を与えることにも注意する必要があります。データを特定の国に保存することは、通常、その国の管轄権に準拠することを意味します。そのため、より多くのクラウド コンピューティング プロバイダーを採用するにつれて、より多くの規制に準拠する準備が必要になります。

監視は、マルチクラウド コンプライアンス実装の重要な側面です。 Bitnami Stacksmith、New Relic、Stackify Retrace、Ulia などのマルチクラウド監視ツールがすぐに利用できます。これらは情報収集に役立ちます。監視製品の中には、ログ分析を行うもの、システム プローブを使用するもの、アプリケーション プローブを使用するものがあります。

企業はこれらの製品を使用して、独自のデータセンター ホスティング環境を監視することもできます。これにより、ほとんどのコンプライアンス チームが望む統一されたコンプライアンス戦略が企業に提供されます。アプリケーション固有の監視は、アプリケーションの種類によって情報の種類が決まり、それがほとんどの情報セキュリティとコンプライアンスの問題の基礎となるため、特に役立ちます。

プロバイダーと提携する

企業が監視データとプログラム目標を使用して監査と修復を推進する方法は、クラウド サービス プロバイダーとの関係によって異なります。

企業が自問すべき重要な質問は次のとおりです。

• 企業のクラウド ドメインはどの程度自律的でしょうか?
• 企業は、ホストされているすべてのドメイン、あるいはその一部だけを、独立した並列環境として扱っていますか?それとも、企業はそれらをリソース プールとして扱っていますか?
• 基本的な IaaS スタイルのホスティングを使用していますか、それとも何らかの管理されたクラウド サービスを使用していますか?

自律ホスティング ドメインでマネージド クラウド サービスを使用する場合は、サービス契約内のクラウド コンプライアンス保証を調整して、それぞれが同じになるようにする必要があります。次に、契約関連の監視をコンプライアンス コンソールという 1 か所に集中させます。これは、マルチクラウドのコンプライアンスを処理するためのはるかにシンプルで優れた方法であり、関連する技術的な手順を簡素化することが目標です。

企業が一貫した一連の契約を監視することによってマルチクラウドのコンプライアンス プロセスを調整できない場合は、すべての管理対象ドメインの上に構築された監視または管理レイヤーを通じて調整する必要があります。このアプローチは、コンテナ サービスをパブリック クラウド (通常はホストされた Kubernetes) で管理するか、クラウド内の仮想マシンにデプロイするかによって異なります。

アプリケーションの展開にコンテナ アプローチを採用すると、テクノロジ レイヤーをオーケストレーションすることで、マルチクラウド コンプライアンスの実現が容易になります。 Kubernetes は、データ センター、サービスとしてのインフラストラクチャ、管理されたコンテナーまたは Kubernetes サービスとして使用できます。コンテナに移行できない場合や、コンテナを VM と混在させることができない場合でも、同じ原則が適用されますが、Chef、Puppet、Ansible などの DevOps ツールを Kubernetes オーケストレーションに置き換える必要があります。

各クラウド プラットフォームは個別の管理対象ドメインであり、それぞれ独自のポリシーを持ちます。ここでは、前述のコンプライアンス ポリシー契約によって調整された同じツールに基づく統合監視戦略が機能します。クラウド ドメインが自律的であり、企業がクラウド プロバイダー間またはクラウドとデータ センター間での拡張やフェイルオーバーを想定していない場合は、この共通の監視アプローチで十分です。企業は、これを前述のマルチクラウド監視戦略と組み合わせて実行する必要があります。

組織が複数のクラウドをリソース プールとして使用することを計画している場合は、アプリケーションとデータの移動方法を説明する企業全体のポリシー セットの作成を検討する必要があります。これは Kubernetes ドメインのフェデレーションと呼ばれることもあり、Google の新しい Anthos サービスのほか、Cloudify、Netapp、Platform9、Rancher、Terraform でもサポートされています。フェデレーションは、ドメイン ポリシーの上にグローバル ポリシーを重ねることによって作成されます。

ポリシー制御のドメイン フェデレーションにより、すべてのドメインにわたるコンプライアンス プロセスが統合され、マルチクラウド環境が統合されます。企業が契約またはフェデレーションによる調整のコンプライアンスを採用すると、マルチクラウドのコンプライアンスに関して対処すべきもう 1 つの問題が残ります。それは管理対象ドメイン外のものですが、同様に重要な問題、つまりネットワークです。

資産を安全に公開

各クラウド コンピューティング プロバイダーは、内部要素をプライベート IP アドレスに割り当て、外部からアクセス可能なコンポーネントの API をパブリック アドレス空間 (企業 VPN やインターネットなど) にマップするためのゲートウェイ メカニズムを提供します。アプリケーション資産への不正な接続によって情報セキュリティが確実に侵害される可能性があるため、これらの資産がどのように公開されるかはコンプライアンスの重要な問題です。

企業がネットワークを正しく設定するために従わなければならない簡単なルールがいくつかあります。

• ホスティングドメインの外部からアクセスされない API は絶対に公開しないでください。露出していないものは特別な保護を必要としません。
• API を公開する場合、特にマルチクラウドの別の部分にあるコンポーネントとの接続を許可するために公開する場合は、API プロキシまたは同様のツールを通じてアクセス セキュリティを提供します。
• 公開されているすべての API を明示的に監視するようにしてください。これにより、ログ記録に使用でき、不正使用を検出できます。明示的な接続制御を備えた SD-WAN 製品は、ネットワーク計画の重要な要素となる可能性があるため、選択した製品がクラウド ホスティングをサポートし、明示的な接続許可と優先順位付けポリシーをサポートできることを確認するために、オプションを慎重に検討する必要があります。

クラウド コンプライアンスに関するこの議論の最後の注意点として、マルチクラウド戦略を採用する理由はビジネス上および技術上のものであることを覚えておいてください。これらの利点とマルチクラウド展開の複雑さを比較検討し、マルチクラウド アプリケーションがアプリケーション展開モデルに対して保護されていることを確認することが重要です。これらのメリットを得ることも、マルチクラウド コンプライアンスの目標です。