View a markdown version of this page

운영 및 보안 - AWS 권장 가이드
런북 및 새 프로세스지원 및 티켓팅 시스템보안

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

운영 및 보안

Amazon OpenSearch Service로 마이그레이션하면 운영 활동이 변경됩니다. 더 이상 사용자는 노드 프로비저닝, 스토리지 추가, 운영 체제 설치 및 패치 적용, 고가용성 구성 및 유지 관리, 규모 조정 및 기타 하위 수준 활동을 책임지지 않아도 됩니다. 대신 사용 사례와 새로운 사용자 경험을 구축하는 데 집중할 수 있습니다.

Amazon OpenSearch Service는 운영 프로세스를 최적화하기 위해 숙지해야 하는 로깅, 모니터링 및 문제 해결 기능을 제공합니다.

런북 및 새 프로세스

계획 단계에서 수정하거나 제거해야 하는 기존 프로세스를 식별합니다. 그런 다음 과거에 대역폭이 없었을 수 있는 새로운 운영 프로세스를 추가할 수 있습니다.

Amazon OpenSearch Service는 차별화되지 않은 과중한 부담을 없애지만, 여전히 사용자가 최상의 성능을 제공하도록 애플리케이션을 설계하고 모니터링하도록 보장해야 합니다. 내부 또는 외부 요인으로 인한 상태 문제를 완전히 인식하려면 도메인에 대한 모니터링 및 알림을 구성해야 합니다. 최신 버전으로 업그레이드를 예약하고 시작해야 합니다.

이러한 모든 운영 활동에서는 런북을 생성하고 기존 런북을 수정해야 합니다. 인프라를 모니터링하고 Amazon OpenSearch Service의 운영 지표를 분석하기 위해 런북을 유지 관리하는 것이 중요합니다. 런북은 규정 준수 및 규제 요구 사항에 따라 일관된 방식으로 운영하도록 보장합니다. 런북을 사용하지 않았다면 지금 런북 사용을 고려해 보는 것이 좋습니다. 사전 계획된 단계를 주기적으로 실행하는 프로세스를 생성하여 애플리케이션 충돌 및 예상치 못한 장애 복구와 같은 문제 해결 프로세스가 완전히 자동화되도록 합니다.

지원 및 티켓팅 시스템

배포와 관련된 인시던트를 캡처하려면 티켓팅 시스템을 계획하고 운영하는 것이 좋습니다(이미 그렇게 하고 있을 수도 있음). AWS Support에서 지원 티켓을 생성하는 방법에 대해 지원 담당 직원을 교육해야 할 수 있습니다. 티켓 분류 중에 에스컬레이션 프로세스를 간소화하는 것이 좋습니다.

이 가이드의 후반에 나오는 운영 우수성 섹션에서는 런북 및 빌드 프로세스에서 고려해야 할 수 있는 영역 및 여러 모범 사례에 대한 링크를 제공합니다.

보안

AWS에서 최고 우선순위는 보안입니다. Amazon OpenSearch Service는 다중 계층 보안을 제공합니다. 이 서비스는 모든 보안 패치를 처리하고 VPC, 세분화된 액세스 제어 및 다중 테넌트 지원을 통해 네트워크 격리를 제공합니다. 데이터는 AWS Key Management Service(AWS KMS)를 통해 생성하고 제어하는 키를 사용하여 저장 시 암호화됩니다. 노드 간 암호화 기능은 도메인의 인스턴스 간 모든 통신에 Transport Layer Security(TLS)를 제공합니다. 또한 Amazon OpenSearch Service는 HIPAA에 적격하며 PCI DSS, SOC, ISO 및 FedRAMP 표준을 준수하므로 산업별 또는 규제 요구 사항을 충족하는 데 도움이 됩니다.

계획 단계에서 도메인과 상호 작용하는 사람과 프로세스를 식별하고, 네트워크 토폴로지를 선택하며, 각 위탁자에 대한 인증 및 권한 부여를 계획합니다. 조직 보안 및 규정 준수 요구 사항에 따라 여러 보안 기능을 사용하여 비즈니스 요구 사항을 충족하는 환경을 조성할 수 있습니다. 또한 다음 요소도 고려합니다.

  • VPC - AWS의 Virtual Private Cloud(VPC) 내에서 Amazon OpenSearch Service를 구성할 수 있습니다. 이는 권장되는 구성입니다. 퍼블릭 엔드포인트가 있는 도메인은 생성하지 않는 것이 좋습니다. 클라이언트 애플리케이션과 사용자가 대상 환경에 액세스할 수 있도록 지원하는 데 필요한 네트워크 아키텍처를 생성할 계획입니다.

  • 인증 - Amazon OpenSearch Service는 사용자 또는 소프트웨어 클라이언트를 인증하는 여러 방법을 지원합니다. OpenSearch Dashboards에 액세스하기 위해 기존 ID 제공업체와의 SAML 인증 또는 Amazon Cognito를 지원합니다. 또한 IAM ID와의 통합과 내부 사용자 데이터베이스를 사용한 기본 HTTP 인증을 제공합니다. 적절한 인증 옵션을 구성하고 테스트하도록 계획해야 합니다. 자세한 내용은 OpenSearch Service security 설명서를 참조하세요.

  • 권한 부여 - 서비스에 대한 액세스를 구성할 때 최소 권한 원칙을 따르는 것이 좋습니다. Amazon OpenSearch Service는 문서, 행 및 열 수준에서 액세스를 구성하는 데 도움이 되는 세분화된 액세스 제어를 제공합니다.

보안 기능을 숙지하고 PoC 단계에서 테스트합니다.