인벤토리 및 가시성 고려 사항

  • 아티클

조직에서 클라우드 환경을 디자인하고 구현할 때, 플랫폼 관리 및 플랫폼 서비스 모니터링의 기초는 주요 고려 사항 중 하나입니다. 성공적인 클라우드 채택을 보장하려면 환경이 확장됨에 따라 이러한 서비스가 조직의 요구 사항을 충족하도록 구성해야 합니다.

초기 계획 단계에 내리는 클라우드 운영 모델 관련 의사 결정은 관리 운영이 랜딩 존의 일부로 전달되는 방식에 직접적인 영향을 줍니다. 플랫폼에 대한 관리가 중앙 집중화되는 정도는 중요한 예시 중 하나입니다.

이 문서의 지침을 활용하여 클라우드 환경에서 인벤토리 및 가시성에 접근하는 방법을 고려하세요.

기본 인벤토리 고려 사항

  • Azure Monitor Log Analytics 작업 영역과 같은 도구를 관리 경계로 사용하는 것이 좋습니다.
  • 플랫폼에서 시스템 생성 로그를 사용해야 하는 팀과 로그에 액세스해야 하는 팀을 결정합니다.

데이터 로깅과 관련된 다음 항목을 고려하여 정렬 및 사용하고자 하는 데이터의 형식을 파악합니다.

Scope 컨텍스트
애플리케이션 중심 플랫폼 모니터링
메트릭 및 로그에 대한 핫 및 콜드 원격 분석 경로를 각각 포함합니다.
성능 카운터 및 사용자 지정 메트릭과 같은 운영 체제 메트릭
다음과 같은 운영 체제 로그:
  • 인터넷 정보 서비스
  • Windows 및 syslogs용 이벤트 추적
  • Resource Health 이벤트
보안 감사 로깅 조직의 전체 Azure 자산에서 수평 보안 렌즈를 구현하는 것을 목표로 합니다.
  • ArcSight 또는 Onapsis 보안 플랫폼과 같은 온-프레미스 SIEM(보안 정보 및 이벤트 관리) 시스템과의 잠재적 통합
  • ServiceNow와 같은 SaaS(Software as a Service) 제품과의 잠재적 통합
  • Azure 활동 로그
  • Microsoft Entra 감사 보고서
  • Azure 진단 서비스, 로그 및 메트릭, Azure Key Vault 감사 이벤트, NSG(네트워크 보안 그룹) 흐름 로그 및 이벤트 로그
  • Azure Monitor, Azure Network Watcher, 클라우드용 Microsoft Defender 및 Microsoft Sentinel
Azure 데이터 보존 임계값 및 보관 요구 사항
  • Azure Monitor 로그의 기본 보존 기간은 30일이며, 최대 분석 보존 기간은 2년, 보관 기간은 7년입니다.
  • Microsoft Entra 보고서(프리미엄)의 기본 보존 기간은 30일입니다.
  • Azure 활동 로그 및 Application Insights 로그의 기본 보존 기간은 90일입니다.
운영 요구 사항
  • Azure Monitor 로그 또는 타사 도구와 같은 네이티브 도구를 사용하는 운영 대시보드
  • 중앙 집중식 역할을 사용하여 권한 있는 활동 제어
  • Azure 서비스 액세스를 위한 Azure 리소스의 관리 ID(/azure/active-directory/managed-identities-azure-resources/overview)
  • 리소스 편집 및 삭제를 방지하기 위한 리소스 잠금

가시성 고려 사항

  • 경고 알림이 필요한 팀은 어디인가요?
  • 여러 팀에게 알려야 하는 서비스 그룹이 있나요?
  • 경고를 보내야 하는 기존 서비스 관리 도구가 있나요?
  • 비즈니스에 중요한 것으로 간주되고 우선 순위가 높은 알림이 필요한 서비스는 무엇인가요?

인벤토리 및 가시성 권장 사항

  • Azure RBAC(Azure 역할 기반 액세스 제어), 데이터 주권 요구 사항 및 데이터 보존 정책에 따라 별도의 작업 영역을 반드시 사용해야 하는 경우를 제외하고는 단일 모니터 로그 작업 영역을 사용하여 플랫폼을 중앙에서 관리합니다. 중앙 집중식 로깅은 운영 관리 팀에서 요구하는 가시성에 있어 매우 중요하며 변경 관리, 서비스 상태, 구성, 그리고 기타 IT 운영 측면에 대한 보고서를 구동합니다. 중앙 집중식 작업 영역 모델에 집중하면 관리 작업과 가시성 공백이 생길 가능성이 줄어듭니다.
  • 로그 보존 요구 사항이 7년을 초과하는 경우 Azure Storage로 로그를 내보냅니다. 한 번 쓰기, 여러 번 읽기 정책이 적용된 변경이 불가능한 스토리지를 사용하여 사용자가 지정한 간격 동안 데이터를 삭제 및 수정할 수 없도록 합니다.
  • 액세스 제어 및 규정 준수 보고에 Azure Policy를 사용합니다. Azure Policy를 사용하면 일관된 정책 준수 및 빠른 위반 탐지를 보장하기 위해 조직 전체 설정을 적용할 수 있습니다. 자세한 내용은 Azure Policy 효과 이해를 참조하세요.
  • Network Watcher를 사용하여 Network Watcher NSG 흐름 로그 v2를 통해 트래픽 흐름을 사전에 모니터링합니다. 트래픽 분석은 NSG 흐름 로그를 분석하여 가상 네트워크 내의 IP 트래픽에 대한 심층적인 인사이트를 수집합니다. 또한 다음과 같은 효과적인 관리 및 모니터링에 필요한 중요한 정보를 제공합니다.
    • 대부분의 통신 호스트 및 애플리케이션 프로토콜
    • 대부분의 대화하는 호스트 쌍
    • 허용 또는 차단된 트래픽
    • 인바운드 및 아웃바운드 트래픽
    • 인터넷 포트 열기
    • 대부분의 차단 규칙
    • Azure 데이터 센터당 트래픽 분포
    • 가상 네트워크
    • 서브넷
    • Rogue 네트워크
  • 리소스 잠금을 사용하여 중요한 공유 서비스가 실수로 삭제되지 않도록 합니다.
  • 거부 정책을 사용하여 Azure 역할 할당을 보완합니다. 거부 정책은 요청이 리소스 공급자에게 전송되는 것을 차단하여 정의된 표준을 충족하지 않는 리소스 배포 및 구성을 방지하는 데 도움을 줍니다. 거부 정책과 Azure 역할 할당을 조합하면 리소스를 배포 및 구성할 수 있는 사용자와 배포 및 구성할 수 있는 리소스를 제어하기 위한 적절한 보호책이 마련됩니다.
  • 전반적인 플랫폼 모니터링 솔루션의 일부로 서비스리소스 상태 이벤트를 포함하세요. 플랫폼 관점에서 추적 서비스 및 리소스 상태는 Azure에서 리소스 관리의 중요한 구성 요소입니다.
  • 원시 로그 항목을 온-프레미스 모니터링 시스템으로 다시 보내지 마세요. 대신 Azure에서 생성된 데이터는 Azure에 유지된다는 원칙을 채택하세요. 온-프레미스 SIEM 통합이 필요한 경우 로그 대신 중요한 경고를 보내세요.

Azure 랜딩 존 가속기 및 관리

Azure 랜딩 존 가속기에는 조직이 신속하게 확장하고 성숙도를 높이는 데 도움이 되는 주요 Azure 관리 기능을 배포하기 위한 독자적인 구성이 포함되어 있습니다.

Azure 랜딩 존 가속기 배포에는 다음과 같은 키 관리 및 모니터링 도구가 포함됩니다.

  • Log Analytics 작업 영역 및 Automation 계정
  • 클라우드용 Microsoft Defender 모니터링
  • Log Analytics로 전송된 활동 로그, 가상 머신 및 PaaS(Platform as a Service) 리소스에 대한 진단 설정

Azure 랜딩 존 가속기에서 중앙 집중식 로깅

Azure 랜딩 존 가속기의 컨텍스트에서 중앙 집중식 로깅은 주로 플랫폼 운영과 관련이 있습니다.

이러한 중앙 집중식 방식에서도 VM 기반 애플리케이션 로깅에 동일한 작업 영역을 사용할 수 있습니다. 리소스 중심 액세스 제어 모드로 구성된 작업 영역 안에서는 애플리케이션 팀이 해당 리소스의 로그에만 액세스할 수 있도록 보장하는 세분화된 Azure RBAC가 적용됩니다.

이 모델에서 애플리케이션 팀은 기존 플랫폼 인프라를 사용하여 관리 오버헤드를 줄이는 이점을 누릴 수 있습니다.

웹앱 또는 Azure Cosmos DB 데이터베이스와 같은 비컴퓨팅 리소스의 경우 애플리케이션 팀은 자체 Log Analytics 작업 영역을 사용할 수 있습니다. 그런 다음 진단 및 메트릭을 해당 작업 영역으로 라우팅할 수 있습니다.

다음 단계

Azure 플랫폼 랜딩 존 구성 요소 모니터링