[ 고지 사항 (Disclaimer) ]
본 컨텐츠는 고객의 편의를 위하여 AWS 서비스 설명을 위해 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우 AWS 사이트 (AWS.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
본 문서는 AWS Governance at Scale 내용에 기반하여 작성 되었습니다.
이 문서는 정보 제공의 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 오퍼링 및 실행방법 등을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이 “있는 그대로” 제공됩니다. 본 문서는 AWS, 그 자회사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증, 표현, 계약 약속, 조건 또는 보장을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 의무는 AWS 계약에 의해 관리되며 본 문서는 AWS와 고객 사이의 어떠한 계약에도 속하지 않으며 계약을 변경하지도 않습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
개요
고객은 AWS 계정 수가 증가함에 따라 거버넌스를 구성하여 성장 및 확장해야 합니다. AWS는 이러한 과제를 해결하기 위한 새로운 접근 방식을 제안합니다. Governance at Scale은 자동화를 통해 AWS 계정 관리, 비용 관리 및 보안 및 규정 준수를 해결합니다. 중앙 집중식 관리 도구 세트로 구성됩니다. Governance at Scale은 직관적인 인터페이스를 통해 완벽한 관리를 위해 조직 계층을 AWS 다중 계정 구조에 맞춥니다.
규모에 따라 거버넌스에 초점을 맞추는 세 가지 영역이 있으며 일반적인 조직 계층을 위한 도구 세트를 사용하여 이를 해결하는 기술이 있습니다. 이 백서에는 거버넌스를 대규모로 인스턴스화하기위한 도구 세트를 개발하거나 조달하기 위한 사용 사례, 평가 및 선택 기준의 예가 포함되어 있습니다.
소개
회사 전체의 공통 주제인 AWS에서 운영 공간이 확장됨에 따라 클라우드 리소스 사용, 가시성 및 정책 시행에 대한 제어를 유지해야 합니다. 인스턴스를 신속하게 프로비저닝 할 수 있는 기능은 초과 지출 및 잘못된 구성의 잠재적 위험을 초래합니다. 강력한 관리 및 시행이 이루어지지 않으면 보안 문제가 발생할 수 있습니다. 회사는 감독 당면 과제를 해결해야 위험이 알려져 있고 최소화 될 수 있습니다.
확인된 이해 관계자는 회사 전체의 예산 조정, 거버넌스, 컴플라이언스, 비즈니스 목표 및 기술적 방향에 대한 책임이 있습니다. 이러한 요구를 충족시키기 위해 AWS는 모범 사례를 식별하고 인스턴스화하는 데 도움이 되는 대규모 지침으로 이 거버넌스를 개발했습니다.
규모의 거버넌스는 기업이 클라우드 리소스, 클라우드 구현에 대한 감독 및 회사의 클라우드 상태 대시 보드에 대한 중앙 관리 예산을 설정하는 데 도움이 될 수 있습니다. 클라우드 상태는 거버넌스 정책 및 시행 메커니즘에 대한 거의 실시간 준수를 기반으로 합니다. 이를 가능하게 하기 위해 정책과 메커니즘은 규모 중심에서 세 가지 거버넌스로 분리됩니다.
- 계정 관리 — 수백 명의 사용자와 사업부가 클라우드 기반 리소스를 요청할 때 계정 프로비저닝을 자동화하고 우수한 보안을 유지 하십시오.
- 예산 및 비용 관리 — 많은 계정, 워크로드 및 사용자에 대한 예산을 집행하고 모니터링 합니다.
- 보안 및 규정 준수 자동화 — 규모, 속도에 따라 보안, 위험 및 규정 준수를 관리하여 조직의 규정 준수를 유지하면서 비즈니스에 미치는 영향을 최소화 하십시오.
규모를 관리하는 전통적인 접근 방식
회사는 3 가지 기본 접근 방식을 사용하여 AWS에서 대규모 작업을 관리하고, 여러 AWS 계정을 프로비저닝하고, 예산을 제어하고, 보안, 위험 및 규정 준수를 해결합니다. 이러한 각 접근 방식에는 다음과 같은 제한이 있습니다.
- 전통적인 IT 관리 프로세스 : 중앙 그룹은 승인 체인과 계정 및 리소스에 대한 수동 또는 부분 자동화 된 설정 프로세스를 통한 액세스를 제어합니다. 이 방법은 헬프 데스크 티켓을 위한 자동화 된 워크 플로우가 없는 사람과 프로세스 및 다른 역할을 가진 직원간의 핸드 오프에 의존하기 때문에 확장이 어렵습니다.
- 여러 개의 분리 된 계정에서 AWS에 대한 무제한 분산 액세스. 이러한 접근 방식으로 인해 리더십이 볼 수 없는 자원이 확산 될 수 있습니다. 사용량은 확장 될 수 있지만 가시성과 책임은 희생됩니다. 셀프 서비스 클라우드 모델에 가시성이 없으면 대부분의 회사가 감당할 수 없는 규정 준수 및 재무 위험이 발생합니다.
- 클라우드 브로커를 사용하면 가시성과 책임이 가능하지만 개발자와 애플리케이션이 사용할 수 있는 AWS 서비스를 제한하거나 AWS 서비스에 대한 기본 액세스가 필요한 조직을 위해 추가 기술 확대가 필요할 수 있습니다.
대규모 클라우드를 채택한 기업은 기술 조합을 사용하여 민첩성과 거버넌스 목표를 해결함으로써 이러한 한계를 극복하려고 합니다. 회사는 보안 및 규정 준수를 위해 특정 계정 관리 응용 프로그램, 특정 비용 적용 시스템 또는 여러 도구 세트를 사용할 수 있습니다. 이러한 별도의 기술은 추가적인 계층의 복잡성과 상호 운용성 문제를 야기합니다.
규모에서의 거버넌스
AWS Governance at Scale을 사용하면 AWS에서 대기업 운영과 관련된 비용, 계정 및 규정 준수 표준을 모니터링하고 제어 할 수 있습니다. 이 지침은 AWS의 모범 사례와 대규모로 성공적으로 운영 한 고객을 바탕으로 합니다. 이 구성 요소는 기술 사용자와 프로젝트 팀 모두 AWS에서 자체 서비스를 제공 할 수 있도록 유연하게 설계되었으며, 리더십은 지출 결정 및 자동화 된 정책 시행에 대한 제어를 유지합니다. 기업은 자체 솔루션을 개발하거나 프레임 워크에 맞는 상용 솔루션에 투자하거나 사용자 지정 옵션을 위해 AWS Professional Services에 참여함으로써 대규모 관행에 거버넌스를 구현할 수 있습니다. 거버넌스에 맞춰 조정되는 메커니즘은 모든 이해 관계자 팀의 예산, 보안 및 규정 준수에 대한 제어 및 보고, AWS 액세스 강화에 중점을 둡니다. 핵심 요소는 AWS API, AWS Management Console 및 AWS SDK / CLI에 대한 기본 액세스를 유지하면서 계층 구조를 제공하는 중앙 집중식 인터페이스입니다.
대규모 거버넌스 달성을 위한 AWS 지침은 회사의 기존 구조 및 비즈니스 프로세스를 준수하도록 설계되었습니다. 다음 다이어그램은 일반적인 정부 또는 기업 회사를 보여줍니다. 각 계층에는 서로 다른 기술, 재무, 보고 및 보안 요구 사항이 있을 수 있습니다. 부서와 팀마다 성공 기준, 목표 및 기술 수준이 다를 수 있습니다.
규모 기준의 거버넌스를 충족하는 인터페이스 및 하위 시스템을 통해 리더는 자금을 할당하고 예산을 할당하며 거의 실시간 리소스 소비를 모니터링 할 수 있습니다.
회사 내의 각 수준은 미션 우선 순위 및 사용 패턴에 따라 정책을 수립하거나 회사 및 프로젝트 예산을 조정할 수 있습니다. 회사는 이러한 정책을 조직 전체에 전파 할 수 있습니다. 이 인터페이스는 권한이 있는 직원이 새 프로젝트를 생성하고, 새로운 AWS 계정을 요청하고, 기존 계정에 대한 액세스를 요청하고, AWS 리소스에 대한 액세스를 제한하고, 프로젝트 예산 소비에 대한 거의 실시간 메트릭을 얻는 메커니즘을 제공합니다.
보안 자동화와 결합 된 이 계층은 각 수준의 리더십 및 직원에 대해 거의 실시간에 가까운 신뢰할 수 있는 보고 기능을 제공합니다. 워크 플로우 및 데이터의 세분화되고 투명한 특성은 구현 된 거버넌스 정책에 따라 전사적 클라우드 운영이 가시적이고 제한적이라는 리더십을 보장합니다.
규모 중심의 거버넌스
규모의 거버넌스는 세 가지 초점을 구현합니다. 계정 관리, 예산 및 비용 관리, 보안 및 규정 준수 자동화
계정 관리
대규모 관리를 위한 AWS 지침은 계정 유지 관리 작업의 중앙 집중화, 표준화 및 자동화를 통해 회사 내의 여러 AWS 계정 및 워크로드에서 계정 관리를 간소화합니다. 이는 정책 자동화, 자격 증명 연동 및 계정 자동화를 통해 수행됩니다. 예를 들어, 중앙 그룹이 회사의 마스터 결제 계정을 수동으로 관리하도록 요구하는 대신 워크 플로 자동화가 포함 된 셀프 서비스 모델이 사용됩니다. 권한 있는 직원이 여러 계정을 하나 이상의 마스터 청구 계정에 연결하고 적절한 자동 시행 관리 정책을 첨부 할 수 있습니다.
정책 자동화
대규모 거버넌스 달성을 위한 AWS 지침은 회사 정책의 적용을 자동화하고 표준 사양의 계정을 배포하여 AWS 계정과 리소스의 일관성을 보장합니다. 정책 엔진은 AWS Identity and Access Management (IAM), AWS CloudFormation 또는 사용자 지정 스크립트와 같은 다양한 유형의 보안 정책을 수용하고 적용 할 수 있는 유연성을 제공합니다.
자격 증명 연합
AWS 거버넌스 솔루션은 OpenID 또는 Active Directory와 같은 외부 인증 공급자와의 페더레이션 자격 증명 통합을 통해 AWS Single Sign-On (SSO)을 사용하여 AWS 계정 관리를 중앙 집중화하고 AWS 계정에 대한 사용자 액세스를 단순화합니다. SSO를 AWS CloudTrail과 함께 사용하면 여러 AWS 계정에서 사용자 활동을 추적 할 수 있습니다.
계정 자동화
AWS Organizations, AWS CloudFormation 및 AWS Service Catalog와 같은 서비스는 AWS 계정 프로비저닝 및 네트워크 아키텍처 기준을 자동화합니다. 이러한 서비스는 수동 프로세스를 대체하고 사전 정의 된 표준화 된 시스템 배포 템플릿의 사용을 용이하게 합니다.
사용자는 셀프 서비스를 통해 프로젝트에 대한 새 AWS 계정을 생성하고 프로비저닝 전문가의 도움없이 AWS Management Console 및 API를 활용할 수 있습니다. 회사 내의 프로젝트 또는 AWS 계정 소유자는 중앙 집중식 인터페이스를 사용하여 할당 된 영역 내의 리소스에 대한 액세스를 관리하고 AWS 리소스에 대한 교차 계정 액세스를 구성합니다.
계정 관리 자동화는 계정 프로비저닝 프로세스에서 티켓팅 및 추가 대역 외 수동 프로세스와 같은 장애를 제거합니다. 이를 통해 개발자는 필요한 AWS 리소스에 빠르게 액세스 할 수 있습니다.
예산 및 비용 관리
자동화 된 방법은 재정 정책을 정의하고 시행하여 규모에 따라 거버넌스를 달성합니다. 예산 계획 및 시행 관행을 통해 리더와 직원은 여러 AWS 계정에 대한 예산을 할당 및 관리하고 집행 조치를 정의 할 수 있습니다.
자동화를 통해 거의 실시간으로 지출을 적극적으로 모니터링하고 제어 할 수 있습니다. 이러한 메커니즘을 통해 리더는 예산 제어 및 회사 전체의 할당에 대해 사전에 잘 알고 올바른 의사 결정을 내릴 수 있습니다. 예산이 프로젝트 및 AWS 계정과 연계되면 자동화를 통해 예산이 실시간으로 유지되고 계정이 승인 된 예산을 초과 할 수 없습니다. 회사는 미국 정부 기관에 대한 연방 반 결핍 법 (Federal Antideficiency Act)과 같은 재정 요건을 충족 할 수 있습니다. 공유 서비스 제공 업체 또는 AWS 리셀러는 규모에 따라 거버넌스를 구현하여 다양한 회사에 지불 거절 기능을 제공 할 수 있습니다.
예산 계획
회사의 예산 관리 프로세스를 자동화 된 워크 플로우에 맞추는 것이 중요합니다. 회사 전체에 자금이 할당 될 때 투자, 세출 및 계약 품목 (CLIN)과 같은 다양한 유형의 자금 조달 소스가 관리 될 수 있도록 워크 플로우는 유연해야 합니다. 재무 소유자는 자금 출처의 기간을 정의하고 예산 한도를 초과하는 경우 집행 조치를 설정하고 시간에 따른 활용도를 추적해야 합니다. 예를 들어, AWS가 고객에게 10,000 달러의 크레딧을 제공하는 경우 재무 소유자는 회사 전체에서 자금을 세분화 할 수 있습니다. 자동화는 각 할당을 개별적으로 관리하면서 자금 조달 소스의 수명 동안 의사 결정자에게 인식 및 실시간 재무 대시 보드를 제공합니다.
예산 집행
예산 제약의 시행은 규모에 따른 지배 구조의 핵심 요소입니다. 회사의 각 계층은 계정 및 프로젝트 내에서 지출 한도를 정의하고 거의 실시간으로 계정 지출을 모니터링하며 경고 알림 또는 시행 조치를 트리거합니다. 자동화 된 조치에는 다음이 포함됩니다.
- 지정된 가격보다 저렴한 리소스로 AWS 리소스 사용을 제한합니다.
- 새로운 리소스 프로비저닝을 조절합니다.
- 나중에 사용할 수 있도록 구성 및 데이터를 보관 한 후 AWS 리소스를 종료, 종료 또는 프로비저닝 해제합니다.
다음 다이어그램은 이것이 어떻게 작동하는지 보여줍니다. 빨간색 숫자는 현재 또는 예상 AWS 지출 비율이 프로젝트에 할당 된 예산을 초과 함을 나타냅니다. 녹색 숫자는 현재 AWS 지출 비율이 예산 범위 내에 있음을 나타냅니다. 거버넌스 대시 보드에서 볼 때 의사 결정자는 회사 전체의 사용량 및 지출에 대해 거의 실시간으로 인식합니다.
보안 및 규정 준수 자동화
규모에 따른 거버넌스 보안 및 규정 준수 관행은 자동화를 통해 보안 요구 사항을 시행하고 회사의 AWS 계정에서 활동을 간소화합니다. 이러한 관행은 다음 항목으로 구성됩니다.
신원 및 액세스 자동화
대규모 거버넌스 달성을 위한 AWS 지침은 중앙 포털을 통해 AWS Identity & Access Management (IAM) 기능을 제공하는 것입니다. 사용자는 Microsoft Active Directory 또는 경량 디렉토리 액세스 프로토콜과 같은 승인 된 인증 체계를 사용하여 포털에 액세스 할 수 있습니다. 시스템은 회사가 정의한 역할에 따라 액세스 권한을 부여합니다. 권한이 부여되면 시스템은 해당 기관이 승인 한 자원에 대한 액세스를 제공하여 엄격한 “최소 권한 정책”을 시행합니다. 포털을 통해 사용자와 워크로드 소유자는 모든 수준에서 적용된 회사 정의 IAM 정책을 관리하여 프로젝트, AWS 계정 및 중앙 집중식 리소스에 대한 액세스를 요청하고 승인 할 수 있습니다. 예를 들어 CISO (Chief Information Security Officer)가 회사에서 이전에 허용되지 않은 새로운 AWS 서비스에 액세스하도록 허용하려는 경우 개발자는 루트 OU 수준에서 IAM 정책을 편집 할 수 있으며 시스템은 모든 변경 사항을 구현합니다. 클라우드 계정.
보안 자동화
대규모로 운영 할 때 안전한 상태를 유지하려면 보안 작업 및 규정 준수 평가 자동화가 필요합니다. 수동 또는 반 수동 프로세스는 비즈니스 성장에 따라 쉽게 확장 할 수 없습니다. 자동화를 통해 표준화 된 AWS 구성 또는 AWS CloudFormation 템플릿을 사용하여 AWS 서비스 또는 Amazon Virtual Private Cloud (Amazon VPC) 기준 구성을 프로비저닝 할 수 있습니다. 이 템플릿은 회사의 보안 및 규정 준수 요구 사항과 일치하며 회사의 위험 결정권자에 의해 평가 및 승인되었습니다. 프로비저닝 프로세스는 회사의 GRC (Governance, Risk and Compliance) 도구 또는 기록 시스템과 연결됩니다. 이 템플릿은 새로 프로비저닝 된 기본 아키텍처에 대한 보안 문서 및 구현 세부 정보를 생성하고 시스템 또는 프로젝트를 평가하고 운영에 승인하는 데 필요한 전체 시간을 단축합니다.
잘 구현 된 보안 자동화는 보안 사고에 대응합니다. 여기에는 IAM 사용자 액세스를 취소하거나, 새로운 리소스 할당을 막거나, 리소스를 종료하거나, 법의학 분석을 위해 기존 클라우드 리소스를 격리함으로써 정책 위반에 대응하는 프로세스가 포함됩니다. AWS 로깅 데이터를 수집하여 중앙 집중식 데이터 레이크에 저장하고 분석을 수행하거나 다른 분석 도구의 출력에 대한 응답을 기반으로 자동화를 수행 할 수 있습니다.
정책 시행
대규모 거버넌스 달성을 위한 AWS 지침은 AWS 리전, AWS 서비스 및 리소스 구성에 대한 정책 시행을 달성하는 데 도움이 됩니다. 시행은 이해 관계자의 역할과 책임을 기반으로 하며 준수 규정 (예 : HIPAA, FedRAMP, PCI / DSS)에 따릅니다. 계층의 각 수준에서 회사는 부서, 사용자 또는 프로젝트별로 사용하도록 승인 된 AWS 서비스, 기능 및 리소스를 지정할 수 있습니다. 그러면 다음 다이어그램과 같이 셀프 서비스 요청이 승인되지 않은 항목을 프로비저닝 할 수 없습니다.
솔루션 결정
대규모 거버넌스를 달성 할 수있는 시스템을 설계하면 계정 관리, 비용 집행, 보안 및 규정 준수와 관련된 회사의 주요 문제가 해결됩니다.
기업은 대규모 솔루션으로 거버넌스를 구축하거나 AWS Professional Services 또는 AWS 파트너와 파트너십으로 구축 할 수 있습니다.
결정 요소 1, 필요 결정
회사의 AWS footprint가 수동 프로세스를 사용하여 관리 할 수 있는 AWS 계정 및 리소스 수를 초과합니까? 예를 들어, 계정 결제 세부 정보를 검토하거나, 스프레드 시트를 사용하여 추적하거나, AWS Management Console을 사용하여 모든 계정을 만들고 관리합니까? 최상위 질문에 대한 대답이 예이면 규모 솔루션의 거버넌스가 필요합니다.
의사 결정 요인 2, 구축과 구매가 가능한가?
맞춤형 솔루션을 구축하기 위해 회사는 다음 질문에 예라고 대답 할 수 있어야 합니다.
- 귀사의 예산 관리 및 집행을위한 강력한 AWS 리소스 태깅 또는 계정 관리 방법이 있습니까?
- 귀사에는 자동화 할 수 있는 비즈니스 프로세스가 있는 기존 거버넌스 모델이 있습니까?
- 회사는 회사 전체에 걸쳐 거버넌스를 관리하기 위한 엔터프라이즈 소프트웨어 솔루션을 구축하고 유지 관리 할 리소스가 있습니까? 여기에는 AWS 클라우드, API, 보안 기능 및 서비스에 대한 고급 지식을 갖춘 엔지니어와 개발자, 그리고 시간이 지남에 따라 엔터프라이즈 솔루션을 유지하기에 충분한 직원이 있습니까?
의사 결정 요인 3, 상용 솔루션 구매를 위한 기준 선택
상업용 솔루션은 하나 이상의 제품 및 / 또는 전문 서비스 지원, 통합 및 구축 주요 구성 요소를 포함 할 수 있습니다.
규모의 거버넌스 솔루션은 조직 이해 관계자에게 어떤 모양입니까?
다음 다이어그램은 회사의 비용 및 컴플라이언스 지표를 오버레이하는 스케일 구현 대시 보드의 최종 거버넌스를 보여줍니다.
계층 구조의 각 계층에 있는 의사 결정자에게는 회사 역할 및 사업부에 맞는 실시간 데이터 및 메트릭이 제공됩니다.
- 경영진 — 경영진은 회사의 모든 부문에 예산 및 보안 정책을 할당 할 수 있습니다. 모든 세그먼트에서 데이터가 수집되고 전체 컴플라이언스 상태 및 재무 상태를 포함하는 요약 보기로 제공됩니다.
- 선임 리더 — 선임 리더는 하위 조직 내에서 각자의 재무 상태를 볼 수 있습니다. 이들은 각 직원에게 예산을 할당하고 필요에 따라 추가 보안 정책을 적용 할 책임이 있습니다.
- 관리자 — 관리는 예산을 모니터링하고 직원에게 프로젝트에 대한 액세스 권한을 부여하며 집중된 보안 정책을 할당합니다. 이는 특정 예산 및 보안 정책을 응용 프로그램을 담당하는 사업부 및 팀에 할당함으로써 달성됩니다.
- 직원 — 직원은 클라우드 계정과 직접 상호 작용하고 현재 지출과 할당 된 예산에 대한 운영 인식을 갖습니다. 그들은 다른 프로젝트에 대한 액세스를 요청하고 보안 및 재무 정책에 대한 예외를 적절히 요청할 수 있습니다.
결론
Governance at Scale은 클라우드 관리를 자동화하기위한 새로운 개념으로, 회사가 계정 관리, 예산 집행 및 보안 및 규정 준수에서 수동 프로세스를 폐기 할 수 있도록 도와줍니다. 이러한 일반적인 과제를 자동화함으로써 회사는 민첩성, 속도 및 혁신을 방해하지 않으면 서 확장 할 수 있으며 의사 결정자에게 중요한 데이터 및 시스템을 보호하는 데 필요한 가시성, 제어 및 거버넌스를 제공 할 수 있습니다.
회사에 어떤 솔루션을 선택했는지 신중하게 고려하십시오. 솔루션 구축 또는 구매 결정은 AWS 마이그레이션 전략에 중요한 영향을 미칠 수 있습니다. AWS Solution Architect 및 / 또는 Professional Services 컨설턴트와의 잠재적 영향에 대해 논의하십시오. 솔루션이 특정 요구 사항을 충족하도록 보장 할 수 있습니다.
Governance at Scale 프레임 워크는 인적 기반 거버넌스 프로세스를 모든 이해 관계자에게 친숙하고 사용하기 쉬운 자동화로 대체함으로써 기업이 자신 있게 확장 할 수 있는 솔루션을 구축하거나 구매할 수 있도록 나침반과 맵을 제공합니다.
AWS는 IT 인프라 비용을 절감하고 기업의 핵심가치에 더욱 집중할 수 있도록 합니다.
AWS에 대한 자세한 문의사항은 여기를 눌러 주세요.
빌드업웍스는 AWS 컨설팅 파트너로 고객 비즈니스를 최우선으로 하며 고객의 클라우드의 성공적인 시작과 운영을 지원합니다.
