브라운필드 랜딩 존 고려 사항

  • 아티클

브라운필드 배포는 Azure 랜딩 존 대상 아키텍처 및 모범 사례에 맞게 수정해야 하는 기존 환경입니다. 브라운필드 배포 시나리오를 해결해야 하는 경우 기존 Microsoft Azure 환경을 시작할 위치로 고려합니다. 이 문서에서는 클라우드 채택 프레임워크 준비 설명서의 다른 위치에서 찾은 지침을 요약합니다. 자세한 내용은 클라우드 채택 프레임워크 Ready 방법론 소개를 참조하세요.

리소스 조직

브라운필드 환경에서는 이미 Azure 환경을 설정했습니다. 그러나 검증된 리소스 조직 원칙 을 지금 적용하고 앞으로 나아가는 데는 너무 늦은 적이 없습니다. 다음 제안 중에서 구현하는 것이 좋습니다.

  • 현재 환경에서 관리 그룹을 사용하지 않는 경우 고려해 보세요. 관리 그룹은 대규모 구독에서 정책, 액세스 및 규정 준수를 관리하는 데 중요한 역할을 합니다. 관리 그룹은 구현을 안내하는 데 도움이 됩니다.
  • 현재 환경에서 관리 그룹을 사용하는 경우 구현을 평가할 때 관리 그룹의 지침을 고려합니다.
  • 현재 환경에 기존 구독이 있는 경우 구독의 지침을 고려하여 구독을 효과적으로 사용하고 있는지 확인합니다. 구독은 정책 및 관리 경계 역할을 하며 배율 단위입니다.
  • 현재 환경에 기존 리소스가 있는 경우 명명 및 태그 지정의 지침을 사용하여 향후 태그 지정 및 명명 규칙에 영향을 미치는 것이 좋습니다.
  • Azure Policy 는 분류 태그에 대한 일관성을 설정하고 적용하는 데 유용합니다.

보안

인증, 권한 부여 및 회계와 관련된 기존 Azure 환경의 보안 태세 를 구체화하는 것은 지속적이고 반복적인 프로세스입니다. 다음 권장 사항을 구현하는 것이 좋습니다.

  • Microsoft의 상위 10개 Azure 보안 모범 사례를 활용합니다. 이 지침에는 Microsoft CSA(클라우드 솔루션 설계자) 및 Microsoft 파트너의 현장 검증 지침이 요약되어 있습니다.
  • Microsoft Entra 커넥트 클라우드 동기화를 배포하여 로컬 AD DS(Active Directory 도메인 Services) 사용자에게 안전한 SSO(Single Sign-On)를 Microsoft Entra ID 지원 애플리케이션에 제공합니다. 하이브리드 ID를 구성하는 또 다른 이점은 Microsoft Entra MFA(다단계 인증)Microsoft Entra Password Protection을 적용하여 이러한 ID를 추가로 보호할 수 있다는 것입니다.
  • 클라우드 앱 및 Azure 리소스에 대한 보안 인증을 제공하려면 Microsoft Entra 조건부 액세스를 고려하세요.
  • Microsoft Entra Privileged Identity Management를 구현하여 전체 Azure 환경에서 최소 권한 액세스 및 심층 보고를 보장합니다. Teams는 올바른 사용자 및 서비스 원칙이 현재 및 올바른 권한 부여 수준을 갖도록 반복적인 액세스 검토를 시작해야 합니다. 또한 클라우드 채택 프레임워크 액세스 제어 지침을 연구합니다.
  • 클라우드용 Microsoft Defender의 권장 사항, 경고 및 수정 기능을 활용합니다. 또한 보안 팀은 보다 강력하고 중앙에서 관리되는 하이브리드 및 다중 클라우드 SIEM(보안 정보 이벤트 관리)/SOAR(보안 오케스트레이션 및 응답) 솔루션이 필요한 경우 클라우드용 Microsoft Defender를 Microsoft Sentinel에 통합할 수 있습니다.

거버넌스

Azure 보안 과 마찬가지로 Azure 거버넌스 는 "완료된" 제안이 아닙니다. 대신, 표준화 및 규정 준수 적용의 끊임없이 진화하는 프로세스입니다. 다음 컨트롤을 구현하는 것이 좋습니다.

  • 하이브리드 또는 다중 클라우드 환경에 대한 관리 기준을 설정하기 위한 지침을 검토합니다.
  • 청구 범위, 예산 및 경고와 같은 Azure Cost Management + Billing 기능을 구현하여 Azure 지출이 규정된 범위 내에서 유지되도록 합니다.
  • Azure Policy를 사용하여 Azure 배포에 거버넌스 가드 레일을 적용하고 수정 작업을 트리거하여 기존 Azure 리소스를 규격 상태로 전환합니다.
  • Azure 요청, 액세스 할당, 검토 및 만료를 자동화하려면 Microsoft Entra 권한 관리를 고려하세요.
  • Azure Advisor 권장 사항을 적용하여 Azure에서 비용 최적화 및 운영 우수성을 보장합니다. 둘 다 Microsoft Azure Well-Architected Framework핵심 원칙입니다.

네트워킹

이미 설정된 Azure VNet(가상 네트워크) 인프라를 리팩터링하는 것은 많은 비즈니스에 큰 부담이 될 수 있습니다. 즉, 다음 지침을 네트워크 설계, 구현 및 유지 관리 노력에 통합하는 것이 좋습니다.

  • Azure VNet 허브 및 스포크 토폴로지 계획, 배포 및 유지 관리에 대한 모범 사례를 검토합니다.
  • Azure Virtual Network Manager(미리 보기)를 고려하여 여러 VNet에서 NSG(네트워크 보안 그룹) 보안 규칙을 중앙 집중화합니다.
  • Azure Virtual WAN 은 네트워킹, 보안 및 라우팅을 통합하여 기업이 하이브리드 클라우드 아키텍처를 더 안전하고 빠르게 빌드할 수 있도록 지원합니다.
  • Azure Private Link를 사용하여 Azure 데이터 서비스에 비공개로 액세스합니다. Private Link 서비스는 사용자와 애플리케이션이 공용 인터넷 대신 Azure 백본 네트워크 및 개인 IP 주소를 사용하여 주요 Azure 서비스와 통신하도록 합니다.

다음 단계

이제 Azure 브라운필드 환경 고려 사항에 대한 개요를 확인했으므로 검토할 몇 가지 관련 리소스는 다음과 같습니다.