View a markdown version of this page

테넌트 3. 이를 지원하기 위한 명확한 전략과 거버넌스 확보 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

테넌트 3. 이를 지원하기 위한 명확한 전략과 거버넌스 확보

멀티클라우드 전략을 추구하기로 결정하는 것만으로는 충분하지 않습니다. 워크로드의 위치와 이유에 대한 명확한 거버넌스를 포함하여 목표를 달성하기 위한 전략을 수립해야 합니다. 평가 기준을 사용하여 워크로드와 해당 종속성을 최적화해야 합니다. 평가가 개인에게 달려 있는 경우 CSPs 간에 조정되지 않은 스프롤링은 멀티클라우드 전략의 가치를 약화시킬 가능성이 높습니다. CSP 워크로드 성능을 정기적으로 평가하고 평가를 CSP 선택, 기준 및 향후 사용에 대한 주요 입력으로 사용하는 것이 좋습니다.

효과적인 거버넌스 전략을 위해서는 기업 전체에서 사용되는 총 서비스, 애플리케이션 및 구성 요소 수에 대한 가시성이 필요합니다. 여기에는 CSPs를 포괄하고 배포된 모든 리소스에 대한 명확한 소유권, 사용 및 환경(예: 개발, QA, 스테이징 및 프로덕션)을 설정하는 강력한 태그 지정 전략이 통합되어 있습니다. 모든 항목에 태그를 지정해야 합니다. 태그가 지정되지 않았거나 소유자를 식별할 수 없는 경우 제거해야 합니다. 당사는 태그가 지정되지 않은 리소스를 자동으로 찾아 제거하는 주요 금융 서비스 조직과 긴밀히 협력하며, 개발 팀에 발생하는 불편에 관계없이 이를 모범 사례로 간주합니다. 이 태그 지정 접근 방식은 진행 블록을 생성하는 대신 거버넌스 규칙을 코드화하고 적용을 자동화합니다(즉, 게이트가 아닌 가드레일을 구현합니다). 비용, 운영 및 보안은 CSPs 간에 동일한 깊이의 데이터와 투명성으로 동일한 방식으로 추적, 모니터링 및 조치를 취해야 합니다.

멀티클라우드 전략을 구현할 때 운영 제어 및 보안을 유지하려면 클라우드 공급자 간에 명확하고 일관된 계정 구조를 설정하는 것이 중요합니다. 다양한 사업부에 AWS 계정 대해 별도로 생성하는 hub-and-spoke 모델을 채택하는 것이 좋습니다. 이러한 계정은 통합 규정 준수 및 보안 모니터링을 위한 보안/감사 계정과 상호 연결을 관리하기 위한 중앙 네트워킹 계정이라는 두 가지 중요한 중앙 계정을 기반으로 합니다. (이 접근 방식은의 설계에 체계화되어 있습니다AWS Control Tower. 그러나 최소 권한 및 업무 분리 원칙은 다른 클라우드에도 동일하게 적용됩니다. AWS Well-Architected 프레임워크는 이러한 개념에 대해 자세히 설명하며 기술 대상에게 적극 권장됩니다.) 거버넌스 및 운영의 일관성을 유지하려면 클라우드 공급자 간에 이러한 기본 접근 방식을 반영해야 합니다. 워크로드 계정은 환경(개발, 스테이징, 프로덕션) 또는 함수별로 구성해야 하며 계정 생성 및 삭제를 위한 명확한 프로세스를 설정해야 합니다.

지침:

  • 포괄적인 태그 지정 전략을 구현하여 모든 클라우드 리소스에서 명확한 소유권 및 사용 패턴을 유지합니다. 일관된 태그 지정 정책을 통해 환경, 비용 센터, 애플리케이션 및 사업부를 추적합니다. 거버넌스 표준을 적용하고 환경 명확성을 유지하기 위해 적절한 태그가 없는 리소스를 제거합니다.

  • 멀티클라우드 환경 전반의 규제 요구 사항을 매핑하는 통합 규정 준수 프레임워크를 설정합니다. 각 클라우드 공급자의 제어 및 인증이 규정 준수 의무를 지원하는 방법을 명확하게 문서화합니다.

  • 수동 승인 프로세스를 사용하는 대신 자동화를 통해 거버넌스 적용을 자동화합니다. 정책 위반이 발생하기 전에 이를 방지하는 자동화된 시스템으로 거버넌스 규칙을 코딩합니다. 이렇게 하면 개발 속도를 유지하면서 인적 오류가 제거됩니다.

  • 중앙 집중식 보안 및 네트워킹 제어를 사용하여 hub-and-spoke 모델에서 계정을 구성합니다. 보안 감사 및 네트워크 관리를 위한 전용 계정을 생성하여 중요한 기능을 중앙 집중화합니다. 이 기반을 통해 조직 전체에서 일관된 보안 정책과 네트워크 연결이 가능합니다.

  • 운영 경계를 유지하려면 다양한 환경 및 함수에 대해 별도의 계정, 구독 또는 프로젝트(CSP의 명명법에 따라 다름)를 생성합니다. 개발, 스테이징 및 프로덕션 환경별로 워크로드를 분할합니다. 이렇게 분리하면 보안 인시던트가 분산되는 것을 방지하고 명확한 운영 도메인을 유지할 수 있습니다.

  • 환경 전반의 일관된 지표를 통해 비용, 운영 및 보안을 모니터링합니다. 리소스 사용률, 보안 이벤트 및 지출 패턴에 대한 통합 모니터링을 구현합니다. 이 데이터를 사용하여 워크로드 배치 및 리소스 할당 결정을 최적화합니다.

  • 조직 정책 및 자동 제어를 통해 무단 클라우드 사용을 방지합니다. 계정 생성 및 리소스 프로비저닝을 위한 명확한 프로세스를 정의합니다. 서비스 제어 정책(SCPs 구현하여 모든 계정에서 조직 표준 준수를 적용합니다.

  • 무단 공급자 계정을 통해 섀도 IT가 발생하지 않도록 탐지 및 예방 제어를 설정합니다. 비용 보고서 및 네트워크 트래픽을 통해 승인되지 않은 클라우드 사용량을 모니터링합니다. 혁신을 위해 승인된 경로를 유지하면서 승인되지 않은 공급자 액세스를 차단합니다.