【セッションレポート】3M: Architecting for innovation in regulated industries(COP315) #reinvent
本ブログでは AWS re:Invent 2022 のセッション 「3M: Architecting for innovation in regulated industries(COP315)」のレポートをしていきます。
ヘルスケア業界の厳しい規制を守りながら、クラウドのアジリティを 高めていく工夫が紹介された良いセッションでした。
セッション情報
In regulated industries, achieving balance between governance and agility can be challenging. In this session, learn how 3M’s Health Information Systems division created a consistent, controlled, and globally deployed AWS environment where application teams can create accounts for each internal application within minutes instead of weeks. 3M discusses how they have created an account provisioning and management strategy with AWS Cloud operations services that has helped them innovate faster while meeting all of their governance requirements.
オンデマンド動画
セッションレポート
イントロダクション
『"Regulation" と聞いて何を想像しますか?』 (といった問いかけから始まります)
「Regulation:規制」は様々あります (もちろん普段の生活にもあります)。 USではHIPAA(ヘルスケア領域のコンプライアンス)、 EUではGDPR(一般データ保護規則)などです。 それぞれの国ごとにヘルスケアやファイナンス、データ保護などのポリシーがあります。
なので、こういった『ルールや制約、コントロールの実装』のスケール・複雑さを 考慮することはとても大事です。
そして、Regulation は大事です。 不正アクセスのニュースを毎日見るようになっています。
『評判を上げるのに20年、台無しにするのに5分かかる。そのことを考えれば、やり方も違ってくるはずです。』
クラウドの3つのフェーズ
クラウドには 「Setup(導入)」、「Build and migrate(構築/移行)」、「Operate(運用)」と3つのフェーズがあります。 本日の話は Setup にフォーカスしています。
本日のセッションは3M社の話がメインです。 どうAWS環境をセットアップしたか、USだけでなく グローバルにもどうサービスを展開したかを紹介します。
また、ほか様々な規制のある業界でAWSが選ばれています。
ガバナンスをスケールする難しさ
Cloud Ops や Cloud Center of Excellence チーム、 もしくは Cloud Architect の方はどれほどいるでしょうか?
クラウドの統制には様々な側面があります。
- Security: 認証基盤, 最小権限, トレーサビリティ.etc
- Networking: ネットワークの境界, データがどこに保管されているか .etc
- Cost control: コストのモニタ, どのチームがどれだけ消費しているか .etc
- DevOps: CI/CDパイプライン, 手動操作の最小化 .etc
それがリージョン単位・アカウント単位・プロジェクト単位で 起きるとどうでしょう。 それを1つの Central Cloudチームでサポートするのは気が遠くなります。
大規模なクラウド統制が本日のディスカッションです。 本セッションにて、 以下3つのテーマで 3Mの事例が紹介されます。
- Data sovereignty (データ主権)
- Security boundaries (セキュリティ境界)
- Scaling and repeatability: Infrastructure as code (スケーリング, 再現性)
3M 事例
『一貫性のある・制御可能なグローバル環境』を構築するのに、どうAWSを使ったかを共有します。
3Mはヘルスケア企業です。そして 3M Health Information Systemsはソフトウェア・テクノロジーを提供する企業です。 20以上の異なる国々にお客様がいます。
2015年からクラウドジャーニーを始めています。 はじめは、いくつかのワークロードを移行しました。 また、機械学習やデータサイエンス領域についても クラウドの新サービスのメリットを教授できています。
2020年からクラウドをさらに拡大、そして即座に早く展開する必要性がでてきました。 以下3つのチャレンジがありました。
プロジェクトがスタートしたタイミングでは以下の状態でした。
- 管理された初期アカウントを新規作成するのに 4週間以上
- 新規VPCの作成〜稼働まで 4週間以上
- 1アーキテクチャの最小権限ロール・ポリシーを整備するのに 42日
- 利用できるのは USリージョンのみ
AWSにアドバイスをもらいながらプランを立てました。
グローバルアカウントモデルを作成しました。
その1つにリージョンロックのコンセプトがあります。 リージョン固有のネットワークを構築するためです。 全てのリージョンはグローバルレベルに相互接続可能ですが、 絶対に必要でない限りトラフィックは流れません。
私達の設計を可視化します。
まずはじめに Control Towerがあります。 Control Tower は運用の要であり、全てのAWSアカウントを横断して、 コンプライアンスやガードレールを可視化できます。
次に 3M特有のコンセプトである Global control plane があります。 ハブ・アンド・スポークの形式で、スポークは様々なリージョンです。 すべてのリージョンで利用するリソース・サービスを明示的に意図したものです。
そして各リージョンがあります。 各リージョン内の構成はスタンプ(複製)です。 コードベースで変更可能にしています。
次にアカウントプロビジョニング。
アカウントワークフローを深堀りします。 アプリケーションチームからのリクエストはJIRAからAPI Gatewayへ送信されます。 API Gatewayはリクエストをパースして、Step Functionsを起動します。 Step Functions でAccount Factory を使ったアカウントプロビジョニングを行います。 Control Tower のライフサイクルイベントで Lambdaを起動して、Service Catalog 製品をアカウントへ展開します。 アカウントのカスタマイズが完成したら JIRAへ通知を行います。
次に IAMです。 小規模なセキュリティチームが最小権限を実装するために、各アカウント・ワークロードで ロール、ポリシーを書くのは大変でした。
最小権限を維持のためにシフトレフトを実現したいです。 また開発者に責任を持ってもらい、ロール・ポリシーを自身で作成してほしいです。
IAMの Boundary(境界) はシフトレフトを実現します。 IAM Access Analyzer はポリシーがAWSの基準に準拠しているか確認できます。 また、Configを使って追加コントロールを作成しています。
セキュリティチームは Permissions Boundaries に責任を持ちます。 Service Catalog を使ってリリース、各アカウントへ展開します。
開発者はロール・ポリシーに責任を持ちます。 『Permissions Boundary を付与しているときに限り』 自身でIAMプロダクトを作成できます。
これらの取り組みによる Before and aftre は以下のとおり。
- Before
- 管理された初期アカウントを新規作成するのに 4週間以上
- 新規VPCの作成〜稼働まで 4週間以上
- 1アーキテクチャの最小権限ロール・ポリシーを整備するのに 42日
- 利用できるのは USリージョンのみ
- After
- 管理された初期アカウントを新規作成するのに 25分( ✕1,600)
- 新規VPCの作成〜稼働まで 4分( ✕10,000)
- 1アーキテクチャの最小権限ロール・ポリシーを整備するのに 1日( ✕42)
- リージョン制約が無くなり、完全に自動化されたグローバル環境に
おわりに(所感)
以上、3M: Architecting for innovation in regulated industries(COP315) のセッションレポートでした。 クラウド統制の課題にどう取り組んだのか、詳細に説明されていて参考になりました。AWSアカウントの申請〜利用可能まで仕組み化されていて素晴らしいです。
詳細が気になった方はぜひYouTubeのオンデマンド動画をご覧ください。