ユースケース

Red Hat Ansible Automation Platform で Policy as Code を自動化

コンプライアンスを自動化に組み込み、IT インフラストラクチャと AIOps の信頼性を高めましょう。 

デモを試す トライアルを開始する ドキュメントを読む
Jump to section

概要

IT チームが、イノベーション、高度化するセキュリティ、コンプライアンス順守へのプレッシャーに対応する中、運用における信頼性の構築に貢献できるのが Policy as Code (PaC) です。特に昨今では AI が優先事項となっており、企業がこれらのニーズを満たすためには、手動でのポリシー施行ではスピードも効率も不十分です。また、ダウンタイム、人為的ミス、セキュリティ脅威、コンプライアンス違反などのリスクを最小限に抑えるために、一貫した方法で運用の整合性を維持する必要があります。自動化の実行時にポリシーを施行することで、適切なアクションが適切な人によって適切なタイミングで実行されるようになります。

自動化された Policy as Code に対する Red Hat のビジョンは、コンプライアンスと制御によって自動化を補完し、拡張します。これらの機能が Red Hat® Ansible® Automation Platform に完全に実装されると、社内外の要件、セキュリティニーズ、きめ細かな権限を自動化プロセスに組み込むことができるため、運用全体でポリシーを一貫して施行し、信頼性を向上させることができます。

Ansible Automation Platform が自動化アクションと社内のセキュリティ、コンプライアンス、運用ルールとの一貫性を維持する上でどう役立つのかご覧ください。(動画の再生時間:1:20)

ポリシーを適用して AI をコントロール

AIOps の導入は、自動化された IT アクションに AI 推論を組み込むことを意味します。エンタープライズ環境では、AI 駆動型の自動化が社内および社外のポリシーの境界内で機能するよう制御することが必要です。Ansible Automation Platform を使用すると、自動化の実行時にポリシーを適用して、すべての AIOps アクションを意図した結果と整合させることができます。 

詳細はこちら

自動化された Policy as Code に対する Red Hat のビジョン

Ansible Automation Platform の PaC 機能が完全に実装されると、コンプライアンスとガ��ナンスを単一のプラットフォームから自動化できるようになり、次のことが可能になります。  

作成

自動化コードの作成時にポリシーを施行

開発の生産性を低下させたり、新しい自動化コンテンツの作成に遅れを生じさせたりすることなく、GRC (ガバナンス、リスク、コンプライアンス) ポリシーを適用します。最初から一貫してポリシーを施行できるようにします。 

管理

自動化の実行前または実行中にポリシー施行を統合

Day 0、Day 1、Day 2 のプロセスを含め、運用ライフサイクル全体にポリシーを適用します。実行する前に、自動化をポリシーに照らして確認します。クラウドインスタンスのサイズを制限するなど、コストのかかるインフラストラクチャ・アクションを制御します。

スケーリング

レポート作成を単純化し、ポリシーから逸脱している領域を簡単に特定

監査とレポート作成を効率的に完了して、チームの生産性を向上させます。ポリシーから逸脱しているテクノロジーを自動的に特定し、迅速に調整します。

新機能:ポリシー施行によって実行時の自動化を管理

Policy as Code 機能の最初の実装では、Red Hat は上記のビジョンの管理面に重点を置いています。Ansible Automation Platform には、自動化の実行時にジョブテンプレート、Ansible 構成、およびインベントリーのレベルに関連付けられた、外部に保存されているポリシーと照らし合わせて自動化をチェックするポリシー施行機能が新たに追加されており、自動化がコンプライアンスに準拠していることを自動化の実行前に確認できます。 

設計したポリシーは、Open Policy Agent (OPA) サーバーに保存されます。これらのポリシーには、チェックまたは適用する内容を記述します。自動化ジョブが実行される前に、Ansible Automation Platform は指定されたポリシーに照らしてジョブを検証します。ポリシー検証に合格すると、自動化の実行が許可されます。ポリシー検証に合格しなかった場合、自動化は実行されず、ユーザーにフィードバックが送信されます。

自動化された Policy as Code の図

ポリシー施行の例

Red Hat では、自動化の導入に対して「小さく始めて、大きく考える」アプローチをお勧めしており、ポリシー施行機能も例外ではありません。以下は、ポリシー施行の自動化を始めるのに適したユースケースであり、これらのユースケースから、さまざまなユースケースへと拡張することができます。以下の各ユースケースで、開始にあたって使用できるサンプルポリシーを用意しました。  

ポリシーの適用範囲を制御

ジョブテンプレート、Ansible 構成、またはインベントリーのレベルで、ポリシーを適用する範囲を設定します。定義したポリシーをこれらのレベルのいずれかに関連付けることで、不要なアクションを防止できます。  

誰がどのインベントリーを自動化するかを管理

特定のユーザーが運用の一部を自動化できないようにするポリシーを作成します。たとえば、あるスーパーユーザーがジョブテンプレート、Ansible 構成、またはインベントリーのレベルで自動化を実行できないようにするポリシーを設定できます。 

自動化を実行するタイミングを管理

ポリシー施行を使用して、ポリシーで設計したタイミングで自動化が実行されるようにします。たとえば、予定されているメンテナンス中にのみ自動化が実行されるようにしたり、運用のピーク時間帯には自動化が実行されないようにしたりすることができます。 

自動化でどの変数を使用するかを制御

Ansible Automation Platform は、追加の変数とその値を送信することで、柔軟な自動化を実現します。ポリシー施行により、ポリシーでの定義に基づいて、自動化で特定の変数とその値を使用することを許可したり、禁止したりすることができます。 

認証情報とインベントリーの不一致を防止

自動化の使用における不一致 (開発インベントリー用のジョブテンプレートを実稼働インベントリーで実行しようとするなど) を防止します。これにより、セキュリティリスク、人為的ミス、実稼働環境での混乱を最小限に抑えることができます。 

命名規則の適用

ポリシーに含まれる基準に基づいて命名規則を適用します。たとえば、プラットフォーム・コンポーネントの名前に dev_、test_、または prod_ を必ず含むようにします。これにより、ジョブ、インベントリー、プロジェクト、認証情報の命名基準を一致させ、適切なターゲットでのみ自動化を実行できるようになります。

開始するためのより技術的なガイドを読む

仕組みを見る

Ansible Automation Platform によってポリシー施行が自動化される仕組みをご覧ください。

デモを試す
Ansible の自動化された Policy as Code デモの gif

実行時のポリシー施行の適用

Ansible Automation Platform は、IT 運用のさまざまな領域内および領域間で自動化を実現できる、非常に柔軟なプラットフォームです。上記のユースケースを運用に適用することから始めることもできますが、以下の 3 つの領域では、ポリシー施行を自動化することですぐにメリットを享受できます。 

ポリシー駆動型 AIOps の有効化

AIOps アクションのベストプラクティスとして、自動化実行時にポリシーを施行することが推奨されます。自動化ジョブ、インベントリー、イベント駆動型の自動化に境界を設定し、ポリシーに適合する自動化のみを AI が実行するようにします。

セキュリティとコンプライアンスの管理

セキュリティとコンプライアンスのプロセスのさまざまな側面にポリシーを適用します。特定のアクションを自動化できるユーザーまたはユーザータイプを制御します。また、インシデント調査期間中などの一定期間は自動化が実行されないようにします。 

CloudOps の制御

ポリシー施行を使用して CloudOps を最適化し、関連コストを抑制します。たとえば、新しいクラウドリソースのプロビジョニングを、特定のユーザーが、または特定の動的なインベントリーグループ内で、実行できないようにするポリシーを設定できます。 

FAQ

Ansible Automation Platform サブスクリプションを利用しています。新しいポリシー施行機能にアクセスするにはどうすればよいですか。

Ansible Automation Platform をご利用のお客様は、Ansible Automation Platform 2.5.5 をダウンロードすることで新しいポリシー施行機能にアクセスできます。ポリシー施行は、施行するポリシーが格納されている外部の Open Policy Agent (OPA) サーバーと連携します。ジョブテンプレート、インベントリー、Ansible 構成のメニューで、確認したいポリシーにリンクできます。

新しいポリシー施行機能には Open Policy Agent サーバーが必要ですか。

はい、現在はそれが要件となっています。ポリシーはこのサーバーに保存されます。Ansible Automation Platform のメニューで施行するポリシーへのパスを指定します。Red Hat では、お客様が利用したいポリシーサーバー・テクノロジーについて、お客様からのフィードバックをお待ちしております。フィードバックは担当の営業チームにお伝えいただくか、こちらからお送りください。

ポリシー施行機能の詳細についてはどこで確認できますか。

ポリシー施行機能の一般公開にあたってドキュメントが更新されます。そちらを参照してください。また、ポリシー施行のサンプルリポジトリも、お客様独自のポリシーチェックのアイデアを創出する上で役立つ優れたリソースです。 

パートナー向け:自動化された Policy as Code のエコシステムに参加

パートナーは Red Hat と協力して、次の 2 つの方法で自動化された Policy as Code を開発できます。

  • システムインテグレーターとリセラーは、自動化された Policy as Code をサービスオファリングの一部 (自動化プラクティスや GRC (ガバナンス、リスク、コンプライアンス) プラクティスなどの一部) として組み込むことで、顧客が自動化への取り組みを推進できるよう支援することができます。
  • テクノロジーパートナーは Ansible Content Collections を作成することで、共同顧客が自動化された Policy as Code を使用してベストプラクティスを実装できるよう支援することができます。これにより、貴社のソリューションによって最大限の成功を収めるために顧客が従うべきベストプラクティスを体系化することができます。

Ansible Automation Platform エコシステムへの参加をご希望の場合は、Red Hat パートナーチームにお問い合わせください。

Red Hat、インフラストラクチャ自動化プラットフォームにおいてリーダーに選出される

Forrester Research は、The Forrester WaveTM: Infrastructure Automation Platforms (2024 年 Q4) で Red Hat Ansible Automation Platform をリーダーに選出し、戦略カテゴリにおいて最高スコアを付けました。

レポートを読む

関連情報

チェックリスト

コンプライアンスを向上させるために Policy as Code を自動化する 6 つの理由

GRC プラクティスに自動化された Policy as Code (PaC) を使用する 6 つの主なメリットをご覧ください。

動画

自動化された Policy as Code の概要

自動化された Policy as Code、それが今なぜ重要なのか、そして Ansible Automation Platform がどう役立つのかについての対話をご覧ください。 

チェックリスト

自動化された Policy as Code の準備をするための 4 つの方法

開発チームと運用チームが自動化された PaC の準備を整えるために、今すぐ実行すべき手順をご確認ください。

Red Hat Ansible Automation Platform を使い始める

試す 購入する

Red Hat へのお問い合わせ