はじめに
前回はSMBコンピテンシーの概要をお伝えしました。
第1回となる今回は、SMB Practice Requirements(SMBプラクティス要件) への対応方法を解説します。
SMB Practice Requirementsとは
パートナー組織としてのSMB向けサービス提供体制を問う要件です。
「実際にやっているか」ではなく、「組織として仕組み・プロセスを持っているか」が問われます。
対象となる要件
| カテゴリ | ID | 要件名 |
|---|---|---|
| Business | SIBUS-001 | SMB Offer(サービスカタログ) |
| SIBUS-002 | Proven SMB Selling Experience(販売実績) | |
| People and Organization | PEO-001 | Personnel Onboarding(人材オンボーディング) |
| Governance | GOV-001 | Data Ownership and Customer Offboarding(データオーナーシップ) |
| GOV-002 | Customer Business Benefits(顧客ビジネス価値) | |
| IT Operations | ITOPS-001 | Backup and Restore(バックアップ・リストア) |
| ITOPS-002 | Operational Readiness(運用準備) | |
| ITOPS-003 | Patch Management(パッチ管理) | |
| Security | SEC-001 | Shared Responsibility Model(共有責任モデル) |
| SEC-002 | Prevention of Public Access(パブリックアクセス防止) |
上記のうち、私が担当したのは以下2カテゴリーでしたので、以下に絞って解説します。
・IT Operations
・Security
IT Operations/Security
ITOPS-001: Backup and Restore(バックアップ・リストア)
要件
Backup and Restore
AWS Partner implements automated backups for all customer workloads and performs data recovery to verify the integrity of backups and processes. Recovery tests are evaluated against each workload’s predefined recovery time objective (RTO) and recovery point objective (RPO).Please provide the following as evidence:
- Example backup jobs and record of recovery tests performed during the implementation time for all AWS services used in the solution.
確認ポイント
- 顧客ワークロードに対して自動バックアップを実装していること
- リカバリテストを実施し、RTO/RPOに基づいて評価していること
提示したエビデンス
- バックアップジョブの例
- リカバリテスト実施記録
- RTO/RPO定義書
ITOPS-002: Operational Readiness(運用準備)
要件
Operational Readiness
AWS Partner evaluates the operational readiness of processes, procedures, and personnel to support customer workloads before deploying to production. Partner uses a consistent process (including manual or automated checklists) to determine when customer workloads are ready to go live.Please provide the following as evidence:
- Documented processes including checklists to determine operational readiness.
確認ポイント
- 本番デプロイ前に、プロセス・手順・人員の運用準備を評価する仕組みがあること
提示したエビデンス
- 運用準備チェックリスト
一般的な本番デプロイチェックリストに近いかと思いますが、追加して以下のような運用チームへの引継ぎが行われているかのチェックを含んでいます。- 事前準備
- トレーニング資料の準備
- 運用ドキュメントの最終化
- 対象AWSアカウントへのアクセス権付与
- ナレッジ転移
- システムアーキテクチャの説明
- 既知の課題(開発中にクローズしなかった課題)
- 運用手順のウォークスルー
- 監視ツールのトレーニング
- CloudWatchダッシュボードの見方
- 事前準備
ITOPS-003: Patch Management(パッチ管理)
要件
Patch Management
AWS Partner has a patch management process in place to ensure that applications and infrastructures updates are deployed and reported in a timely and effective manner.Please provide the following as evidence:
- A technology demonstration of the patch automation tooling and status reporting.
確認ポイント
- アプリケーション・インフラのパッチ管理プロセスがあること
提示したエビデンス
- パッチ自動化ツールのデモ
- ステータスレポートの例
※審査当日にパッチ当てを実演しました。
SEC-001: Shared Responsibility Model(共有責任モデル)
要件
Shared Responsibility Model
AWS Partner defines security requirements, responsibilities, and expectations for customers related to the AWS environments managed by the Partner.Please provide the following as evidence:
- Onboarding documentation provided to partner’s customers.
確認ポイント
- パートナーが管理するAWS環境について、顧客とのセキュリティ要件・責任・期待値を定義すること
提示したエビデンス
- 共有責任モデルの顧客向け説明資料
弊社が新規顧客とプロジェクトを行う際には、AWSが出している共有責任モデルについて説明することになっています。
その説明資料を提示しました。
SEC-002: Prevention of Public Access(パブリックアクセス防止)
要件
Prevention of Public Access of Cloud Resources
AWS Partner has tooling and processes implemented to prevent and/or detect configurations that make customer resources unintentionally or unnecessarily publicly accessible. This should cover at minimum the following resources if used:
- Amazon S3 buckets
- Amazon RDS instances
- Amazon EC2 instances
- Security groups with unrestricted access to sensitive ports
- Amazon EBS snapshots
- Amazon RDS snapshots
- Amazon Machine Images (AMIs)
Please provide the following as evidence:
- A documented procedure of the above provided to customers.
確認ポイント
- 顧客リソースが意図せずパブリックアクセス可能になることを防止・検出するツール・プロセスがあること
提示したエビデンス
- プロセス文書
以下リソースがパブリックアクセス可能にならないようにするための設定を示しています。- Amazon S3 buckets
- Amazon RDS instances
- Amazon EC2 instances
- Security groups with unrestricted access to sensitive ports
- Amazon EBS snapshots
- Amazon RDS snapshots
- Amazon Machine Images (AMIs)
弊社ではAWS Configを設定しているため、上記リソースのパブリックアクセスが有効になっている場合、管理者にメール通知されます。
まとめ
SMB Practice Requirementsのポイント:
- 組織としての仕組みを問われている
- SOPやテンプレートの整備が必要
次回はCommon Practice Requirementsについて解説します。
シリーズ一覧
- イントロダクション: プロジェクト概要と進め方
- 第2回: SMB Practice Requirements(本記事)
- 第2回: Common Practice Requirements
- 第3回: Common Cust Example Reqs