ワークロードを安全に運用する
ワークロードの安全な運用は、設計、ビルド、実行から継続的改善までワークロードのライフサイクル全体が対象です。クラウドで安全に運営する能力を改善する方法の 1 つは、ガバナンスに組織的アプローチを採用することです。ガバナンスとは、関与する担当者の適切な判断のみに依存することなく、意思決定が一貫して導かれるやり方です。ガバナンスモデルとプロセスは、「あるワークロードの管理目標が達成され、そのワークロードに適切であるということはどのように確認すればよいですか?」という質問への回答に当たります。 意思決定へのアプローチが一定していると、ワークロードのデプロイが加速され、組織内のセキュリティ機能の水準を向上させるのに役立ちます。
ワークロードを安全に運用するには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。組織レベルおよびワークロードレベルにおいて、「運用上の優秀性」で定義した要件とプロセスを抽出し、それらをすべての領域に適用します。AWS や業界のレコメンデーションおよび脅威インテリジェンスを最新に保つことで、脅威モデルと管理目標を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用の規模を拡大することができます。
オートメーションは、プロセスの一貫性と再現性を可能にします。人は多くのことに長けていますが、同じことをミスなく一貫して繰り返し行うことは、得意なことではありません。きちんとしたランブックを作成しても、繰り返し行われる作業を一貫して行うことができないというリスクはあります。特に、担当業務が多岐にわたり、不慣れなアラートに対応しなければならない場合は、その傾向が顕著になります。しかし、オートメーションは毎回同じように反応します。アプリケーションをデプロイする最良の方法は、オートメーションです。デプロイを実行するコードをテストして、それを使ってデプロイを実施することができます。これにより、変更プロセスに対する信頼性が高まり、変更に失敗するリスクが軽減されます。
設定が管理目標を満たしていることを確認するために、まず非運用環境でオートメーションとデプロイされたアプリケーションをテストします。こうすることで、オートメーションをテストして、すべてのステップを正しく実行したことを証明できます。また、開発とデプロイサイクルの早い段階でフィードバックが得られるため、再作業を減らすことができます。デプロイエラーの可能性を減らすため、設定変更は人ではなくコードで行うようにしましょう。アプリケーションを再デプロイする必要がある場合、オートメーションを使用すると、これが非常に簡単になります。追加の管理目標を定義すると、すべてのワークロードのオートメーションに簡単に追加することができます。
個々のワークロード所有者がワークロードに固有のセキュリティに投資する代わりに、共通の機能と共有コンポーネントを使用することで時間を節約することができます。複数のチームが利用できるサービスの例としては、AWS アカウントの作成プロセス、人の ID の一元化、ログの共通設定、AMI やコンテナのベースイメージ作成などがあります。このアプローチにより、ビルダーはワークロードサイクル時間を改善して、セキュリティ管理目標を一貫して達成することができます。チームの一貫性が高まれば、管理目標を検証し、管理態勢とリスクポジションを利害関係者に適切に報告できるようになります。
ベストプラクティス
