AWS へのリホスト移行中のファイアウォールリクエストの承認プロセスを作成

作成者：Srikanth Rangavajhala (AWS)

Rタイプ：リホスト	環境:本稼働	テクノロジー：移行
ソース:オンプレミス	ターゲット: AWS クラウド

[概要]

Amazon Web Services (AWS) クラウドへのリホスト移行に「AWS Application Migration Service」または AWS 上の「Cloud Migration Factory」を使用する場合、前提条件の 1 つとしては、TCP ポート 443 と 1500 を開いたままにしておく必要があることです。通常、これらのファイアウォールポートを開くには、情報セキュリティ (InfoSec) チームの承認が必要です。

このパターンは、AWS クラウドへのリホスト移行中に InfoSec チームにファイアウォールリクエストの承認を取得するプロセスの概要を示しています。このプロセスを使用して、 InfoSec チームによるファイアウォールリクエストの拒否を回避できます。これにより、コストがかかり、時間がかかります。ファイアウォールのリクエストプロセスには、AWS 移行コンサルタントと、 InfoSec およびアプリケーションチームと協力してファイアウォールポートを開くリーダーとの間で、2 つのレビューと承認のステップがあります。

このパターンは、組織の AWS コンサルタントまたは移行スペシャリストによるリホスト移行を計画していることを前提としています。このパターンは、組織にファイアウォール承認プロセスやファイアウォールリクエストの一括承認フォームがない場合に使用できます。詳細については、このパターンの [制限事項] セクションを参照してください。Application Migration Service のネットワーク要件の詳細については、「Application Migration Service のドキュメント」の「ネットワークの要件」を参照してください。

前提条件と制限

前提条件

組織の AWS コンサルタントまたは移行スペシャリストにより、計画されたリホスト移行
スタックの移行に必要なポートと IP 情報
現在と未来の状態のアーキテクチャ図
オンプレミスと送信先のインフラストラクチャ、ポート、 zone-to-zone トラフィックフローに関するファイアウォール情報
ファイアウォールリクエストのレビューチェックリスト (添付)
組織の要件により構成されたファイアウォール申請書類
以下のロールを含むファイアウォールのレビュー担当者と承認者の連絡先リスト。
- ファイアウォールリクエスト送信者 — AWS 移行スペシャリストまたはコンサルタント。ファイアウォールリクエスト送信者は、組織の移行スペシャリストでもかまいません。
- ファイアウォールリクエストレビュアー — 通常、これは AWS の一元窓口 (SPOC) です。
- ファイアウォールリクエスト承認者 – InfoSec チームメンバー。

制約事項

このパターンは、一般的なファイアウォールリクエスト承認プロセスを表しています。要件は組織によって異なる場合があります。
ファイアウォールリクエストのドキュメントの変更を必ず追跡してください。

次の表に、このパターンの使用例を示します。

あなたの組織には既存のファイアウォール承認プロセスがありますか?	あなたの組織には既存のファイアウォール申請書がありますか?	推奨されるアクション
はい	あり	AWS コンサルタントまたは移行スペシャリストと協力して、組織のプロセスを実装してください。
なし	あり	このパターンのファイアウォール承認プロセスを使用します。ファイアウォールリクエストの一括承認フォームを送信するには、AWS コンサルタントまたは組織の移行スペシャリストを使用します。
なし	なし	このパターンのファイアウォール承認プロセスを使用します。ファイアウォールリクエストの一括承認フォームを送信するには、AWS コンサルタントまたは組織の移行スペシャリストを使用します。

アーキテクチャ

次の表は、ファイアウォールリクエスト承認プロセスの手順を示しています。

AWS クラウドへのリホスト移行中に InfoSec チームにファイアウォールリクエストの承認を行うプロセス。

ツール

Palo Alto Networks やなどのスキャナーツールを使用してSolarWinds、ファイアウォールと IP アドレスを分析および検証できます。

エピック

タスク	説明	必要なスキル
ポートと IP アドレスを分析します。	ファイアウォールリクエストの送信者は、必要なファイアウォールポートと IP アドレスを把握するための初期分析を行います。これが完了すると、 InfoSec チームは必要なポートを開き、IP アドレスをマッピングするようにリクエストします。	AWS クラウドエンジニア、移行スペシャリスト

タスク	説明	必要なスキル
ファイアウォール情報を検証します。	AWS クラウドエンジニアは、 InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。	AWS クラウドエンジニア、移行スペシャリスト
ファイアウォールリクエストのドキュメントを更新します。	InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。	AWS クラウドエンジニア、移行スペシャリスト

タスク

説明

必要なスキル

ファイアウォール情報を検証します。

AWS クラウドエンジニアは、 InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。

通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。

AWS クラウドエンジニア、移行スペシャリスト

ファイアウォールリクエストのドキュメントを更新します。

InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。

このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。

AWS クラウドエンジニア、移行スペシャリスト

タスク	説明	必要なスキル
ファイアウォールリクエストを送信します。	ファイアウォールリクエストの承認者がファイアウォールの一括承認リクエストを承認すると、AWS クラウドエンジニアがファイアウォールリクエストを送信します。このリクエストでは、AWS アカウントのマッピングと更新に必要なポートと IP アドレスを指定します。ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。	AWS クラウドエンジニア、移行スペシャリスト

タスク

説明

必要なスキル

ファイアウォールリクエストを送信します。

ファイアウォールリクエストの承認者がファイアウォールの一括承認リクエストを承認すると、AWS クラウドエンジニアがファイアウォールリクエストを送信します。このリクエストでは、AWS アカウントのマッピングと更新に必要なポートと IP アドレスを指定します。

ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。

AWS クラウドエンジニア、移行スペシャリスト

添付ファイル

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

事前ワークロード取り込みアクティビティを自動化する

EC2 Windows インスタンスを AMS アカウントに取り込み