Azure におけるインフラから SAP アプリケーション レイヤーまでの IRAP Protected コンプライアンス

2019年8月22日 に投稿済み

Senior Cloud Solution Architect

今回の記事は、Cloud4C の Rohit Kumar Cherukuri、Pankaj Badaya、Vineet Bulbule と共同で執筆しました

オーストラリアの政府機関は、オーストラリア通信電子局 (ASD) によって策定されたオーストラリア政府情報セキュリティ モデル (ISM) の目標に準拠した AU-PROTECTED 政府機関データの処理、格納、転送に適した PaaS (サービスとしてのプラットフォーム) 環境のデプロイを提供できるクラウド管理サービス プロバイダーを探しています。

国家財政の改善と維持を担当しているオーストラリア最大の政府機関の 1 つが、機密情報を保護して、転送、格納、取得に関するセキュリティ制御を確保するために重要な Information Security Registered Assessors Program (IRAP) を実装しようとしていました。

Information Security Registered Assessors Program は、高品質の情報通信技術 (ICT) セキュリティ評価サービスを政府に提供するためのオーストラリア通信電子局のイニシアチブです。

オーストラリア通信電子局は、業界およびオーストラリア政府の幅広い情報と関連システムをセキュリティで保護することを目指したセキュリティ サービスを提供するために、適切な資格を備えた情報通信技術の専門家を支援しています。

Cloud4C がこの課題に取り組むことになり、この連邦政府クライアントにクラウド デリバリー プラットフォームを提供することになりました。Cloud4C では、Information Security Registered Assessors Program のガイドラインにある厳格なコンプライアンス要件を分析および評価しました。

社内基準に従って、Cloud4C では、評価全体を物理サービス、インフラストラクチャ サービス、マネージド サービスという 3 つのカテゴリに分割しました。Information Security Registered Assessors Program では、これら 3 つの分野で厳格なセキュリティ制御がなされています。

Cloud4C では、この課題を成功裏に遂行するために、パートナーと責任を共有して、実現不能に見えるものの、成功させる価値のある評価を達成していく必要があると考えました。2018 年 4 月、オーストラリア サイバー セキュリティ センター (ACSC) は、Azure と Office 365 が PROTECTED に分類されたとの認定を発表しました。Microsoft は、このレベルの認定を達成した最初で唯一のパブリック クラウド プロバイダーになりました。Cloud4C では、Microsoft とパートナーを組んで Azure に SAP アプリケーションと SAP HANA データベースをデプロイし、Information Security Registered Assessors Program に準拠したインフラストラクチャのすべての利点を活用して、Azure のネイティブや Marketplace のツールおよびテクノロジのシームレスな統合を可能にしました。

Cloud4C では、オーストラリア、オーストラリア中部、オーストラリア中部 2 で適切な Azure データ センターを特定し、物理的なセキュリティと情報通信設備の配置に関する非常に厳格な Information Security Registered Assessors Program の評価を適用しました。

インフラストラクチャとディザスター リカバリーに関して Azure が準拠したことで、Cloud4C ではマネージド サービス プロバイダーとして極めて幸先の良いスタートを切ることができ、もっぱらクラウド サービス プロバイダーを対象にした残りの制御の大多数に注力することができました。

Cloud4C に対する Information Security Registered Assessors Program 評価には、Azure のディザスター リカバリーで対応できる制御を除いて、22 の主要なカテゴリに及ぶ 412 件のハイ リスクと 19 件の最重要セキュリティの側面を満たすことが関係していました。

ソリューションの概要

エンゲージメントの範囲は、分類された情報の処理、格納、取得に関する Information Security Registered Assessors Program の Protected 分類標準を維持しながら、マネージド サービスを使用して Azure 上に SAP 基礎レイヤーまでの SAP ランドスケープを構成して管理することでした。エンゲージメント モデルは PaaS であるため、責任マトリックスは SAP 基礎レイヤーまでであり、アプリケーション マネージド サービスはこのエンゲージメントの範囲外でした。

単一のサービス レベル アグリーメントを持つサービスとしてのプラットフォームと Information Security Registered Assessors Program の Protected 分類

提案されたソリューションには、SAP ERP、SAP BW、SAP CRM、SAP GRC、SAP IDM、SAP Portal、SAP Solution Manager、Web Dispatcher、Cloud Connector などのさまざまな SAP ソリューションに、SAP HANA、SAP MaxDB、以前の Sybase などのデータベースを組み合わせたものが含まれていました。Information Security Registered Assessors Program の Protected に準拠した環境を構築するための物理的なディザスター リカバリー配置として、Azure オーストラリア中部がプライマリ ディザスター リカバリー、オーストラリア中部 2 がセカンダリ ディザスター リカバリー リージョンとして識別されました。提案されたアーキテクチャは、SAP ワークロード用の認定された仮想マシンの Stock Keeping Unit (SKU)、最適化されたストレージおよびディスク構成、十分な保護を伴う適切なネットワーク SKU、高可用性、ディザスター リカバリー、バックアップ、監視を実現するためのメカニズム、ネイティブおよび外部のセキュリティ ツールの適切な組み合わせ、そして最も重要なものとして、サービスの提供に関するプロセスとガイドラインを完全に網羅していました。

以下の Azure サービスが、提案されたアーキテクチャの一部と見なされました。

  • Azure 可用性セット
  • Azure Active Directory
  • Azure Privileged Identity Management
  • Multi-Factor Authentication の機能と特徴
  • Azure ExpressRoute ゲートウェイ
  • Azure アプリケーション ゲートウェイと Web アプリケーション ファイアウォール
  • Azure Load Balancer
  • Azure Monitor
  • Azure Resource Manager
  • Azure Security Center
  • Azure Storage と Disk Encryption
  • Azure DDoS Protection
  • Azure Virtual Machines (SAP アプリケーションおよび SAP HANA データベース用に認定された仮想マシン)
  • Azure Virtual Network
  • Azure Network Watcher
  • ネットワーク セキュリティ グループ

Information Security Registered Assessors Program のコンプライアンスと評価プロセス

Cloud4C は、Information Security Registered Assessors Program 査定機関の助けを得ながら認定フレームワークの適用を受けました。査定機関は、オーストラリア政府のセキュリティを理解して実装する面と、Azure の保護されたクラウド上で SAP アプリケーションと SAP HANA データベースを Information Security Registered Assessors Program の保護されたセットアップに移植することの技術的な実現可能性を構築する面で Cloud4C を支援しました。

Information Security Registered Assessors Program 査定機関では、システムのセキュリティ制御の実装、妥当性、有効性を評価しました。これは、オーストラリア政府の情報セキュリティ マニュアル (ISM) で指示されている 2 段階のセキュリティ評価を通して実施されました。

  • 段階 1:セキュリティ評価により、システムの所有者が修正または軽減するべきセキュリティ欠陥を識別する
  • 段階 2:セキュリティ評価により、残りのコンプライアンスを評価する

Cloud4C では、情報セキュリティ マニュアルでの該当するすべての制御について評価に合格し、Microsoft からのサポートを得てリスクがゼロの環境と重要な情報システムの保護を実現できました。

Microsoft チームは、Azure のネイティブ ツールを使用してコンプライアンスを達成する方法についてベスト プラクティスとなるガイダンスを提供しました。Microsoft のソリューション アーキテクトとエンジニアリング チームは、設計の話し合いに参加し、Azure のネイティブなセキュリティ ツール、サード パーティのセキュリティ ツールとの統合のシナリオ、アーキテクチャにおいて実施可能な最適化について既存の知識を提供しました。

評価の際、Cloud4C および Information Security Registered Assessors Program 査定機関は、以下のアクティビティを実施しました。

  • 通信全体に参加するすべてのコンポーネントと関係者を組み込んだシステム アーキテクチャを設計しました
  • オーストラリア政府のセキュリティ ポリシーに対するセキュリティのコンプライアンスをマップしました
  • Information Security Registered Assessors Program によって認定された物理施設、オーストラリア中部およびオーストラリア中部 2 の Azure データ センターを識別しました
  • 情報セキュリティ マニュアルのセキュリティ制御を実装しました
  • 準拠していない点に対して軽減策の戦略を定義しました
  • システムに対するリスクを識別し、軽減策の戦略を定義しました

プレースホルダー

オートメーションとプロセス改善を確認する手順

  • Azure Resource Manager (ARM) テンプレートとツールを組み合わせて使用したクイック デプロイ。これは、100 台を超える仮想マシンと 10 件を超える SAP ソリューションで構成される大規模なランドスケープを 1 か月未満でデプロイするのに役立ちました。
  • Robotic Process Automation (RPA) ツールを使用したプロセス オートメーション。これは、Information Security Registered Assessors Program 環境にデプロイした SAP エコシステム内でいつもの仕事の段階を識別するために役立ち、実際のビジネス プロセスの中断を最低限に抑えるプロセスを、インフラストラクチャ レベルでのアプリケーションの可用性確保を管理するオートメーションにまで拡張しました。

プロセス中に実装された学習とそれぞれのソリューション

  • Azure 中部リージョンと Azure 中部 2 リージョンを待ち時間が 1 ミリ秒未満のファイバー リンクで相互に接続し、SAP アプリケーションと SAP HANA データベースのレプリケーションを同期モードで実行して、復旧ポイント目標 (RPO) ゼロを達成しました。
  • Azure Active Directory Domain Services をオーストラリア中部リージョンでは利用できないため、Azure 南東部リージョンを利用してシームレスな配信を確保しました。
  • Azure Site Recovery を SAP Max DB データベースのレプリケーションに首尾よく使用できました。
  • Azure ExpressRoute 上を流れるトラフィックは既定では暗号化されないため、Microsoft セキュリティ パートナーからのネットワーク仮想アプライアンスを使用して暗号化しました。

Information Security Registered Assessors Program に準拠するには、オーストラリア通信電子局によって定義された資格を満たし、評価フェーズに合格する必要があります。Cloud4C により、以下の利点が提供されました。

  • 市場投入までの時間を短縮 - Cloud4C では、評価プロセスを 9 か月で完了しました。業界では大体 1 年から 2 年かかります。
  • Azure の顧客に複数のリージョンと業界固有のコンプライアンスを提供する面での Cloud4C の経験と知識は、Azure ネイティブ ツールと外部のセキュリティ ツールに適切な制御をマッピングするために役立ちました。

Microsoft とのパートナーシップは、Cloud4C が新たなマイルストーンに到達し、厳格な規制と地理的なコンプライアンスを満たすために Azure Hyperscale が提供しているすべてのセキュリティ機能を利用するのに役立ちました。

Cloud4C は、Azure ネイティブだけでなく、Azure Marketplace ですぐに利用可能なセキュリティ ソリューションの多くを使用して市場投入までの時間を短縮する面で経験を積んでいます。Cloud4C では、Azure ポートフォリオを最大限に活用して、顧客のインフラストラクチャをセキュリティで保護するとともに、Azure Expert マネージド サービス プロバイダー (MSP) として顧客をサポートする面でセキュアな文化を奨励してきました。Azure セキュリティのポートフォリオが成長してきたため、そのソリューション オファリングを Cloud4C が使用する機会も増えてきました。

Cloud4C と Microsoft では、このパートナーシップをさらに高めて、さまざまな地理や業界層で Marketplace の顧客に他に並ぶもののないクラウド エクスペリエンスを提供することを計画しています。

詳細情報