클라우드 거버넌스 정책 문서화
이 문서에서는 클라우드 거버넌스 정책을 정의하고 문서화하는 방법을 보여줍니다. 클라우드 거버넌스 정책은 클라우드에서 발생하거나 발생하지 않아야 하는 사항을 지정합니다. 클라우드 거버넌스 팀은 위험 평가에서 식별된 각 위험에 대해 하나 이상의 클라우드 거버넌스 정책을 만들어야 합니다. 클라우드 거버넌스 정책은 클라우드와 상호 작용하기 위한 가드레일을 정의합니다.
클라우드 거버넌스 정책을 문서화하는 방법 정의
클라우드 서비스 사용을 제어하는 규칙 및 지침을 만들고, 기본, 업데이트하는 방법을 설정합니다. 클라우드 거버넌스 정책은 특정 워크로드에 고유해서는 안 됩니다. 목표는 빈번한 업데이트가 필요하지 않고 클라우드 환경에서 클라우드 거버넌스 정책의 영향을 고려하는 클라우드 거버넌스 정책을 생성하는 것입니다. 정책 설명서 접근 방식을 정의하려면 다음 권장 사항을 따릅니다.
표준 거버넌스 언어를 정의합니다. 클라우드 거버넌스 정책을 문서화하기 위한 표준 구조 및 형식을 개발합니다. 정책은 이해 관계자에 대한 명확하고 신뢰할 수 있는 참조여야 합니다.
다양한 거버넌스 범위를 인식합니다. 조직 내의 고유한 역할에 맞게 조정된 특정 거버넌스 책임을 정의하고 할당합니다. 예를 들어 개발자는 애플리케이션 코드를 제어합니다. 워크로드 팀은 단일 워크로드를 담당하며 플랫폼 팀은 워크로드가 상속하는 거버넌스를 담당합니다.
클라우드 거버넌스의 광범위한 효과를 평가합니다. 클라우드 거버넌스는 마찰을 만듭니다. 마찰과 자유 사이의 균형을 찾습니다. 클라우드 거버넌스 정책을 개발할 때 거버넌스가 워크로드 아키텍처, 소프트웨어 개발 사례 및 기타 영역에 미치는 영향을 고려합니다. 예를 들어 허용하거나 허용하지 않는 항목은 워크로드 아키텍처를 결정하고 소프트웨어 개발 관행에 영향을 줍니다.
클라우드 거버넌스 정책 정의
위험을 완화하기 위해 클라우드를 사용하고 관리하는 방법을 간략하게 설명하는 클라우드 거버넌스 정책을 만듭니다. 빈번한 정책 업데이트의 필요성을 최소화합니다. 클라우드 거버넌스 정책을 정의하려면 다음 권장 사항을 따릅니다.
정책 ID를 사용합니다. 정책 범주 및 숫자를 사용하여 첫 번째 보안 거버넌스 정책에 대한 SC01과 같은 각 정책을 고유하게 식별합니다. 새 위험을 추가할 때 식별자를 순차적으로 증분합니다. 위험을 제거하는 경우 시퀀스에 간격을 두거나 사용 가능한 가장 낮은 숫자를 사용할 수 있습니다.
정책 문을 포함합니다. 식별된 위험을 해결하는 특정 정책 문을 작성합니다. 반드시, 반드시, 안 되며, 안 되는 것과 같은 확실한 언어를 사용하십시오. 위험 목록의 적용 컨트롤을 시작점으로 사용합니다. 구성 단계가 아닌 결과에 집중합니다. 규정 준수를 모니터링할 위치를 알 수 있도록 적용에 필요한 도구의 이름을 지정합니다.
위험 ID를 포함합니다. 정책의 위험을 나열합니다. 모든 클라우드 거버넌스 정책을 위험에 연결합니다.
정책 범주를 포함합니다. 보안, 규정 준수 또는 비용 관리와 같은 거버넌스 범주를 정책 분류에 포함합니다. 범주는 클라우드 거버넌스 정책을 정렬, 필터링 및 찾는 데 도움이 될 수 있습니다.
정책 목적을 포함합니다. 각 정책의 목적을 명시합니다. 정책이 충족하는 위험 또는 규정 준수 요구 사항을 시작점으로 사용합니다.
정책 범위를 정의합니다. 이 정책이 적용되는 대상 및 대상(예: 모든 클라우드 서비스, 지역, 환경 및 워크로드)을 정의합니다. 모호성이 없도록 예외를 지정합니다. 정책을 쉽게 정렬, 필터링 및 찾을 수 있도록 표준화된 언어를 사용합니다.
정책 수정 전략을 포함합니다. 클라우드 거버넌스 정책 위반에 대한 원하는 응답을 정의합니다. 비프로덕션 위반에 대한 토론 예약 및 프로덕션 위반에 대한 즉각적인 수정 노력과 같은 위험의 심각도에 대한 응답을 조정합니다.
자세한 내용은 클라우드 거버넌스 정책 예제를 참조하세요.
클라우드 거버넌스 정책 배포
클라우드 거버넌스 정책을 준수해야 하는 모든 사용자에게 액세스 권한을 부여합니다. 조직의 사용자가 클라우드 거버넌스 정책을 더 쉽게 준수할 수 있는 방법을 찾습니다. 클라우드 거버넌스 정책을 배포하려면 다음 권장 사항을 따릅니다.
중앙 집중식 정책 리포지토리를 사용합니다. 모든 거버넌스 설명서에 대해 쉽게 액세스할 수 있는 중앙 집중식 리포지토리를 사용합니다. 모든 이해 관계자, 팀 및 개인이 최신 버전의 정책 및 관련 문서에 액세스할 수 있는지 확인합니다.
규정 준수 검사 목록을 만듭니다. 정책에 대한 빠르고 실행 가능한 개요를 제공합니다. 팀이 광범위한 설명서를 탐색하지 않고도 더 쉽게 준수할 수 있도록 합니다. 자세한 내용은 규정 준수 검사 목록 예제를 참조하세요.
클라우드 거버넌스 정책 검토
클라우드 거버넌스 정책을 평가하고 업데이트하여 클라우드 환경 관리에서 관련성이 기본 효과적인지 확인합니다. 정기적인 검토를 통해 클라우드 거버넌스 정책이 변화하는 규제 요구 사항, 새로운 기술 및 진화하는 비즈니스 목표에 부합하는지 확인할 수 있습니다. 정책을 검토할 때 다음 권장 사항을 고려합니다.
피드백 메커니즘을 구현합니다. 클라우드 거버넌스 정책의 효과에 대한 피드백을 받는 방법을 설정합니다. 정책의 영향을 받는 개인의 입력을 수집하여 작업을 효율적으로 수행할 수 있도록 합니다. 거버넌스 정책을 업데이트하여 실질적인 과제와 요구 사항을 반영합니다.
이벤트 기반 검토를 설정합니다. 실패한 거버넌스 정책, 기술 변경 또는 규정 준수 변경과 같은 이벤트에 대한 응답으로 클라우드 거버넌스 정책을 검토하고 업데이트합니다.
정기 검토를 예약합니다. 거버넌스 정책을 정기적으로 검토하여 진화하는 조직의 요구 사항, 위험 및 클라우드 발전에 부합하는지 확인합니다. 예를 들어 관련자와의 정기 클라우드 거버넌스 회의에서 거버넌스 검토를 포함합니다.
변경 제어를 용이하게 할 수 있습니다. 정책 검토 및 업데이트 프로세스를 포함합니다. 클라우드 거버넌스 정책이 조직, 규제 및 기술 변화에 부합하는지 확인합니다. 정책을 편집, 제거 또는 추가하는 방법을 명확하게 설명합니다.
비효율성을 식별합니다. 거버넌스 정책을 검토하여 클라우드 아키텍처 및 운영에서 비효율성을 찾고 수정합니다. 예를 들어 각 워크로드가 자체 웹 애플리케이션 방화벽을 사용하도록 의무화하는 대신 중앙 집중식 방화벽을 사용하도록 정책을 업데이트합니다. 중복된 노력이 필요한 정책을 검토하고 작업을 중앙 집중화하는 방법이 있는지 확인합니다.
클라우드 거버넌스 정책 예제
다음 클라우드 거버넌스 정책은 참조의 예입니다. 이러한 정책은 예제 위험 목록의 예제를 기반으로 합니다.
| Policy ID | 정책 범주 | 위험 ID | 정책 문 | 목적 | 범위 | 수정 | 모니터링 |
|---|---|---|---|---|---|---|---|
| RC01 | 규정 준수 | R01 | 중요한 데이터를 모니터링하려면 Microsoft Purview를 사용해야 합니다. | 규정 준수 | 워크로드 팀, 플랫폼 팀 | 영향을 받는 팀의 즉각적인 조치, 규정 준수 교육 | Microsoft Purview |
| RC02 | 규정 준수 | R01 | Microsoft Purview에서 매일 중요한 데이터 준수 보고서를 생성해야 합니다. | 규정 준수 | 워크로드 팀, 플랫폼 팀 | 1일 이내에 해결, 확인 감사 | Microsoft Purview |
| SC01 | 보안 | R02 | 모든 사용자에 대해 MFA(다단계 인증)를 사용하도록 설정해야 합니다. | 데이터 위반 및 무단 액세스 완화 | Azure 사용자 | 사용자 액세스 취소 | Microsoft Entra ID 조건부 액세스 |
| SC02 | 보안 | R02 | 액세스 검토는 Microsoft Entra ID 거버넌스에서 매월 수행해야 합니다. | 데이터 및 서비스 무결성 보장 | Azure 사용자 | 비준수에 대한 즉각적인 액세스 해지 | ID 거버넌스 |
| SC03 | 보안 | R03 | Teams는 모든 소프트웨어 및 인프라 코드의 보안 호스팅을 위해 지정된 GitHub 조직을 사용해야 합니다. | 코드 리포지토리의 안전하고 중앙 집중식 관리 보장 | 개발 팀 | 지정된 GitHub 조직으로 무단 리포지토리 전송 및 비준수에 대한 잠재적 징계 조치 | GitHub 감사 로그 |
| SC04 | 보안 | R03 | 공용 원본의 라이브러리를 사용하는 팀은 격리 패턴을 채택해야 합니다. | 개발 프로세스에 통합하기 전에 라이브러리가 안전하고 규정을 준수하는지 확인 | 개발 팀 | 비규격 라이브러리 제거 및 영향을 받는 프로젝트에 대한 통합 사례 검토 | 수동 감사(매월) |
| CM01 | 원가 관리 | R04 | 워크로드 팀은 리소스 그룹 수준에서 예산 경고를 설정해야 합니다. | 초과 지출 방지 | 워크로드 팀, 플랫폼 팀 | 즉각적인 검토, 경고 조정 | Microsoft Cost Management |
| CM02 | 원가 관리 | R04 | Azure Advisor 비용 권장 사항을 검토해야 합니다. | 클라우드 사용 최적화 | 워크로드 팀, 플랫폼 팀 | 60일 후 필수 최적화 감사 | Advisor |
| OP01 | 작업 | R05 | 프로덕션 워크로드에는 지역 전체에서 활성-수동 아키텍처가 있어야 합니다. | 서비스 연속성 확인 | 워크로드 팀 | 아키텍처 평가, 격년 검토 | 수동 감사(프로덕션 릴리스당) |
| OP02 | 작업 | R05 | 모든 중요 업무용 워크로드는 지역 간 활성-활성 아키텍처를 구현해야 합니다. | 서비스 연속성 확인 | 중요 업무용 워크로드 팀 | 90일 이내에 업데이트 진행률 검토 | 수동 감사(프로덕션 릴리스당) |
| DG01 | 데이터 | R06 | 전송 중 및 미사용 데이터 암호화는 모든 중요한 데이터에 적용되어야 합니다. | 중요한 데이터와 | 워크로드 팀 | 즉각적인 암호화 적용 및 보안 교육 | Azure Policy |
| DG02 | 데이터 | R06 | 모든 중요한 데이터에 대해 Microsoft Purview에서 데이터 수명 주기 정책을 사용하도록 설정해야 합니다. | 데이터 수명 주기 관리 | 워크로드 팀 | 60일 이내에 구현, 분기별 감사 | Microsoft Purview |
| RM01 | 리소스 관리 | R07 | Bicep은 리소스를 배포하는 데 사용해야 합니다. | 리소스 프로비저닝 표준화 | 워크로드 팀, 플랫폼 팀 | 즉각적인 Bicep 전환 계획 | CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인 |
| RM02 | 리소스 관리 | R07 | Azure Policy를 사용하여 모든 클라우드 리소스에 태그를 적용해야 합니다. | 리소스 추적 용이성 | 모든 클라우드 리소스 | 30일 이내에 올바른 태그 지정 | Azure Policy |
| AI01 | AI | R08 | AI 콘텐츠 필터링 구성은 중간 이상으로 설정해야 합니다. | AI 유해한 출력 완화 | 워크로드 팀 | 즉각적인 시정 조치 | Azure OpenAI Service |
| AI02 | AI | R08 | 고객 관련 AI 시스템은 매월 레드 팀이어야 합니다. | AI 바이어스 식별 | AI 모델 팀 | 즉시 검토, 누락 시정 작업 | 수동 감사(매월) |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기