翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # へのリホスト移行中にファイアウォールリクエストの承認プロセスを作成する AWS *Amazon Web Services、Srikanth Rangavajhala* ## 概要 へのリホスト移行に [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)または [Cloud Migration Factory on AWS](https://aws.amazon.com/solutions/implementations/cloud-migration-factory-on-aws/) を使用する場合 AWS クラウド、前提条件の 1 つは TCP ポート 443 と 1500 を開いたままにしておくことです。通常、これらのファイアウォールポートを開くには、情報セキュリティ (InfoSec) チームによる承認が必要です。 このパターンは、 AWS クラウドへのリホスト移行中に InfoSec チームからファイアウォールリクエストの承認を得るプロセスの概要を示しています。このプロセスにより、コストと時間がかかる可能性のある InfoSec チームによるファイアウォールリクエストの拒否を回避できます。ファイアウォールリクエストプロセスには、 AWS 移行コンサルタントと、InfoSec とアプリケーションチームと協力してファイアウォールポートを開くリーダーの間で、2 つのレビューと承認のステップがあります。 このパターンは、組織の AWS コンサルタントまたは移行スペシャリストによるリホスト移行を計画していることを前提としています。このパターンは、組織にファイアウォール承認プロセスやファイアウォールリクエストの一括承認フォームがない場合に使用できます。詳細については、このパターンの「*制限事項*」セクションを参照してください。Application Migration Service のネットワーク要件の詳細については、「Application Migration Service のドキュメント」の「[ネットワークの要件](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html)」を参照してください。 ## 前提条件と制限事項 **前提条件** + 組織の AWS コンサルタントまたは移行スペシャリストによる計画的なリホスト移行 + スタックの移行に必要なポートと IP 情報 + 現在と未来の状態のアーキテクチャ図 + オンプレミスと宛先のインフラストラクチャ、ポート、ゾーン間のトラフィックフローに関するファイアウォール情報 + ファイアウォールリクエストのレビューチェックリスト (添付) + 組織の要件により構成されたファイアウォール申請書類 + 以下のロールを含むファイアウォールのレビュー担当者と承認者の連絡先リスト。 + **ファイアウォールリクエスト送信者** – AWS 移行スペシャリストまたはコンサルタント。ファイアウォールリクエスト送信者は、組織の移行スペシャリストでもかまいません。 + **ファイアウォールリクエストレビューワー** – 通常、これは 1 つの問い合わせ先 (SPOC) です AWS。 + **ファイアウォールリクエスト承認者** – InfoSec チームメンバー。 **制限事項** + このパターンは、一般的なファイアウォールリクエスト承認プロセスを表しています。要件は組織によって異なる場合があります。 + ファイアウォールリクエストのドキュメントの変更を必ず追跡してください。 次の表に、このパターンの使用例を示します。 | | | あなたの組織には既存のファイアウォール承認プロセスがありますか? | あなたの組織には既存のファイアウォール申請書がありますか?  | 推奨されるアクション | | --- |--- |--- | | はい | はい | AWS コンサルタントまたは移行スペシャリストと協力して、組織のプロセスを実装します。 | | いいえ | はい | このパターンのファイアウォール承認プロセスを使用します。組織の AWS コンサルタントまたは移行スペシャリストを使用して、ファイアウォールリクエスト一括承認フォームを送信します。 | | いいえ | いいえ | このパターンのファイアウォール承認プロセスを使用します。組織の AWS コンサルタントまたは移行スペシャリストを使用して、ファイアウォールリクエスト一括承認フォームを送信します。 | ## アーキテクチャ 次の表は、ファイアウォールリクエスト承認プロセスの手順を示しています。 ![AWS クラウドへのリホスト移行中に InfoSec チームからファイアウォールリクエストの承認を得るプロセス。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/cf9b58ad-ab6f-43d3-92da-968529c8d042/images/c672f7ce-6e9f-4dbc-bf2c-4272a6c4432b.png) ## ツール 「[Palo Alto Networks](https://www.paloaltonetworks.com/)」または「[SolarWinds](https://www.solarwinds.com/)」などのスキャナーツールを使用して、ファイアウォールと IP アドレスを分析し、検証できます。 ## エピック ### ファイアウォールリクエストを分析 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | ポートと IP アドレスを分析します。 | ファイアウォールリクエストの送信者は、必要なファイアウォールポートと IP アドレスを把握するための初期分析を行います。これが完了したら、InfoSec チームが必要なポートを開いて IP アドレスをマッピングするよう要求されます。 | AWS クラウドエンジニア、移行スペシャリスト | ### ファイアウォールリクエストを検証します。 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | ファイアウォール情報を検証します。 | AWS クラウド エンジニアは、InfoSec チームとの会議をスケジュールします。この会議中、エンジニアはファイアウォールリクエスト情報を調べて検証します。
通常、ファイアウォールリクエスト送信者は、ファイアウォールリクエスターと同じものです。この検証フェーズは、何か確認され、推奨された場合、承認者からのフィードバックに基づいて反復的に行うことができます。 | AWS クラウドエンジニア、移行スペシャリスト | | ファイアウォールリクエストのドキュメントを更新します。 | InfoSec チームがフィードバックを共有すると、ファイアウォールリクエストのドキュメントが編集、保存、再アップロードされます。この文書は繰り返しのたびに更新されます。
このドキュメントはバージョン管理下の保存フォルダに保存することをお勧めします。つまり、すべての変更が追跡され、正しく適用されます。 | AWS クラウドエンジニア、移行スペシャリスト | ### ファイアウォールリクエストを送信 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | ファイアウォールリクエストを送信します。 | ファイアウォールリクエスト承認者がファイアウォールの一括承認リクエストを承認すると、 AWS クラウド エンジニアはファイアウォールリクエストを送信します。このリクエストでは、解放が必要なポートと、 AWS アカウントへのマッピングと更新に必要な IP アドレスを指定します。
ファイアウォールリクエストが提出されたら、提案やフィードバックを行うことができます。このフィードバックプロセスを自動化し、定義済みのワークフローメカニズムを通じて編集内容を提出することをお勧めします。  | AWS クラウドエンジニア、移行スペシャリスト | ## アタッチメント このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「[attachment.zip](samples/p-attach/cf9b58ad-ab6f-43d3-92da-968529c8d042/attachments/attachment.zip)」