クラウドアーキテクチャとは?

クラウドアーキテクチャは、コンポーネントとサブコンポーネントを論理的、効率的、かつ効果的な構造に編成し、連携して強みを最大化し、弱みを最小限に抑えることで、目標達成を可能にします。

クラウドアーキテクチャ

クラウドアーキテクチャは、クラウド内にあるコンポーネントとサブコンポーネントで構成されます。これは非常に一般的な説明ですが、クラウドアーキテクチャは単なるテクノロジーにとどまりません。NIST SP 500-292は、クラウドコンシューマ、プロバイダ、監査人など、関与する関係者に焦点を当てています。これらの関係者なしにこのテクノロジーを利用することはできません。

クラウドアーキテクチャは、役割、活動、コンポーネント、およびサブコンポーネントの4つのレベルに分類できます。クラウドアーキテクチャについて議論する際は、誰が何を、どのように、どのようなツールで何をしているのかを明確にする必要があります。

適切に設計されたフレームワーク

適切に設計されたフレームワーク

適切に設計されたフレームワークには多くの作業が必要です。このプロセスでは多くのことを検討する必要があります。まず、以下のような多くの質問に答える必要があります。

  • 社内外の顧客のビジネス優先事項は何ですか?
  • クラウドおよびコアビジネスの構造に影響を与える脅威の状況はどのように判断しますか?
  • データ、特に機密データはどこにありますか?またそれはどこに流れていますか?
  • クラウドへのシステムの展開が正しく行われることをどのように確認しますか?
  • クラウドへのこの移行に関して、ソフトウェア開発者、ITスタッフ、および従業員にはどのような追加のトレーニングが必要ですか?
  • すべてのシステムが正しく設定されていることを保証するためにどのような仕組みを使用しますか?
  • セキュリティレベルを維持するために、すべてのクラウドシステムの更新とパッチを管理するために、どのようなツールを使用しますか?

このリストは続きます。そのため、アーキテクチャをスキルを持って適切に実行することが重要です。これにより、クラウドを実装した際に、ビジネスにもたらされる利益よりも大きな損害が生じることを防げます。

活動

クラウドアーキテクチャ内の活動により、SaaS、PaaS、およびIaaSへのアクセスと利用方法が決まります。これには、オーケストレーション、監査、およびセキュリティも含まれます。

  • オーケストレーション – クラウド環境の調整された管理により、クラウド環境を使用するビジネスの目標を達成します。
  • 監査 – クラウドプロバイダのセキュリティ、パフォーマンス、およびコンプライアンスの分析。これは外部の第三者によって実行されます。
  • セキュリティには、機密性、完全性、可用性を含め、常に対処する必要があります。
    • 機密性 – 機密データを秘匿すること。許可されたユーザのみがアクセスできるようにします。
    • 完全性 – データまたはシステムが変更されておらず、データまたはシステムが信頼できるという確信を与えます。
    • 可用性 – 必要なときにデータおよびシステムにアクセスでき、利用できることを保証します。

コンポーネント

目的を満たすクラウドアーキテクチャのコンポーネントを選択します。この目的を達成するために完了する必要のある具体的なアクション、手順、タスク、およびプロセスは何ですか?クラウドを検討する際には、まず、パブリッククラウドとプライベートクラウドのどちらがビジネスにとって最適か、またはそれらの組み合わせが最適かを判断します。ハイブリッドクラウドは、たとえばプライベートクラウドをパブリッククラウドに接続します。より新しい用語であるマルチクラウドは、それらの間を接続せずにパブリックおよびプライベートであると定義されます。

コンポーネントを選択する際に対処すべきもう1つのトピックは、相互運用性と移植性の問題です。

  • 相互運用性とは、2つの異なるシステムが特定の状況下で通信し、データを送受信する能力のことです。
  • 移植性とは、データを手動で再作成または再入力することなく、1つのクラウドから別のクラウドへと移動する能力のことです。

この2つの課題をビジネスの目的の観点から慎重に考慮することは、クラウドの設計と導入の初期段階から重要です。これらを最初から考慮しないリスクは、組織が不適切または不十分なアーキテクチャから抜け出せなくなる可能性があることです。

サブコンポーネント

サブコンポーネントにより、組織はサービスレベルアグリーメント(SLA)管理、迅速なプロビジョニング、およびリソース変更に関する質問に対処できます。

  • SLA管理 – 組織は指標を社内で監視し、サービスが約束されたサービスレベルを満たしていることを確認しますか?サービスブローカーの監視など、サードパーティを利用すべきですか?サービスブローカーは、元の契約の交渉を支援し、サービスの継続的な管理を提供し、指標やその他のサービスを監視します。
  • 迅速なプロビジョニング – クラウドは、従来の変更管理方法の多くに適合しない独自の環境です。クラウドインフラストラクチャの変更を管理するのに役立つ自動化ツールを実装するのは理にかなっていますか?
  • リソースの変更 – 設定の更新や、修理用に一部の機器を取り外すことが必要になります。

クラウドセキュリティのアーキテクチャ

クラウドセキュリティアーキテクチャでは、セキュリティ要素がクラウドアーキテクチャに追加されます。クラウドセキュリティには、クラウドプロバイダとクラウドコンシューマの間の責任が常に含まれます。責任の分担は、使用しているクラウド構造の種類によって異なります。IaaS、PaaS、SaaSのいずれのタイプのクラウド構造が使用されているかによって異なります。国際標準化機構(ISO)、NIST、およびクラウドセキュリティアライアンス(CSA)によって提唱されている責任の分担があります。ただし、結局のところ、クラウドプロバイダと顧客によって決定され、契約に明記されます。

クラウドの顧客として、あらゆる形態のクラウドを使用することの結果を確実に理解するために、リスク評価を行うことが重要です。自社のデータセンターで独自のクラウドを構築していない場合は、契約に、クラウドプロバイダが何をすべきか、または少なくとも何をすべきかの責任が誰にあるかが記載されている必要があります。

セキュリティのベストプラクティス

クラウドソリューションの設計または使用時に検討すべきいくつかのセキュリティコントロールを以下に示します。

  • 多要素認証(MFA) – すべてのアカウントにMFAを使用することが強く推奨されます。
  • データ分類 – 今日では、クラウド内のデータとその機密性を理解することが不可欠です。データストレージに含まれる個人を特定できる情報などを調べるためのツールがあります。ツールまたはより手動のプロセスを使用しますが、いずれにしても実行する必要があります。
  • 識別と認証 – クラウドを使用しているかクラウド内に存在するすべての主体からのアクセスを制御することが重要です。これにはユーザや管理者だけでなく、他のソフトウェアやデータにアクセスするソフトウェア、API、機能も含まれます。
  • 管理者向けの専用の制御されたアカウントの作成 – ビジネス用の主要アカウントは管理者が使用するアカウントであってはなりません。そのアカウントが侵害されると、すべてが失われる可能性があります。
  • ログ – 可能な限りすべてをログに記録し、疑わしい状況や危険な状況について管理者に警告するように指標を設定します。

クラウドアーキテクチャ

関連記事