ワークロードを安全に運用する

ワークロードの安全な運用は、設計から、ビルド、実行、継続的改善まで、ワークロードのライフサイクル全体が対象になります。クラウドで安全に運営する能力を改善する方法の 1 つは、ガバナンスに組織的アプローチを取り入れることです。ガバナンスとは、関与する担当者の適切な判断のみに依存することなく、意思決定が一貫して導かれる方法です。ガバナンスモデルとプロセスとは、「特定のワークロードの管理目標が満たされ、そのワークロードに適切であることをどのように確認すればよいか?」という質問に答える方法です。意思決定へのアプローチが一貫していると、ワークロードのデプロイが加速し、組織内のセキュリティ機能の水準の向上に役立ちます。

ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。AWS や業界の推奨事項と脅威インテリジェンスを最新の状態に保つことで、脅威モデルを進化させ、目標を制御できます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用の規模を拡大することができます。

自動化は、プロセスの一貫性と再現性を可能にします。人は多くのことに長けていますが、同じことをミスなく一貫して繰り返し行うことは、人の得意なことではありません。きちんとしたランブックを作成しても、繰り返し行うべき作業を一貫して行うことができないというリスクがあります。特に、担当業務が多岐にわたり、不慣れなアラートに対応しなければならない場合は、その傾向が顕著になります。しかし、自動化は毎回同じように反応します。アプリケーションをデプロイする最良の方法は、自動化です。デプロイを実行するコードをテストし、それを使用してデプロイを実施します。これにより、変更プロセスに対する信頼性が高まり、変更に失敗するリスクが軽減されます。

設定が管理目標を満たしていることを確認するために、まず非本番環境で、自動化とデプロイされたアプリケーションをテストします。これにより、自動化をテストして、すべてのステップを正しく実行したことを証明できます。また、開発とデプロイサイクルの早期にフィードバックを得られるため、再作業を減らすことができます。デプロイエラーの可能性を減らすために、設定の変更は、人ではなくコードで行うようにしましょう。アプリケーションを再デプロイする必要がある場合は、自動化により、極めて簡単に行うことができます。追加の管理目標を定義すると、すべてのワークロードの自動化に簡単に追加することができます。

個々のワークロード所有者がワークロードに固有のセキュリティに投資する代わりに、共通の機能と共有コンポーネントを使用することで、時間を節約できます。複数のチームが利用できるサービスの例として、AWS アカウントの作成プロセス、人の ID の一元化、ロギングの共通設定、AMI やコンテナのベースイメージの作成などがあります。このアプローチにより、ビルダーはワークロードのサイクル時間を改善し、セキュリティ管理目標を一貫して達成することができます。チームの一貫性を高めることで、管理目標を検証し、管理態勢とリスクポジションを関係者に適切に報告できるようになります。