Rathsted

適している場面

すべてのチームに必要なものではありません。背景にあるのが法域の問題であることもあれば、組織上の責任分担であることもあります。多くはその両方です。

どれかに当てはまるなら、Rathsted Foundations は検討に値する出発点です。

できること

• ベースラインのルールが最初から有効です。 新しいデプロイを動かす前に、ポリシーチェックと受け入れルールが整っています。
• 変更には明確なレビュー経路があります。 Git ベースの更新はバージョン管理され、再現でき、どの判断に基づくものか追いやすくなります。
• 何を出荷したかを示せます。 署名付きリリース記録とソフトウェア在庫 により、何が動いていて、どこから来たのかを説明しやすくなります。
• 口頭説明だけで済ませずにすみます。 レビュアーは、スクリーンショットや曖昧な説明ではなく、確認できる記録を見られます。

なぜ統制が重要なのか

顧客から、ワークロードはどこで動いているのか、データはどこに保存または処理されているのか、直近のデプロイやポリシー変更を誰が承認したのか、侵害時にはどう対応するのかを問われたとき、チームは明確に答えられるでしょうか。これは想定上の話ではありません。セキュリティレビュー、調達審査、監査の場で実際に問われます。Rathsted Foundations は、そうした答えをレビューのたびに寄せ集めるのではなく、稼働中のインフラの一部として持てるようにします。

Rathsted Foundations がしないこと

• 運用を丸ごと引き受けるものではありません。 環境運用を代行したり、インフラ判断をすべて不要にしたりするものではありません。
• 自動でコンプライアンスが満たされるわけではありません。 統制、記録、検証結果の整備は助けますが、監査、法務レビュー、調達、内部ガバナンスの判断に代わるものではありません。
• これだけで十分というわけではありません。 そのままでクラウド事業者やホスティング事業者が統制、ガバナンス、法域要件を満たすことにはなりません。
• スタック全体を一度に解決するものではありません。 シークレット、監視、バックアップなどの周辺領域は、環境に合わせて引き続き判断が必要です。

公開を前提に

• ソースはすべて公開です。 ベースライン全体は Apache 2.0 で提供しており、すべて読み、fork し、そのまま実行できます。
• コンプライアンス対応表を公開しています。 ベースライン統制は CIS Kubernetes Benchmark、NIST 800-53、SOC 2 に対応付けられており、その内容は 公開リポジトリ で確認できます。
• 検証出力のサンプルも公開しています。 実際の検証済み実行の出力を サイト上 とリポジトリで確認できます。
• カナダを拠点としています。 運用責任の所在を重視するチームを前提にしています。