디자인 영역: Azure 거버넌스

Azure 거버넌스를 사용하여 클라우드 거버넌스, 규정 준수 감사 및 자동화된 가드레일을 지원하는 데 필요한 도구를 설정합니다.

디자인 영역 검토

역할 또는 함수: Azure 거버넌스는 클라우드 거버넌스에서 시작됩니다. 특정 기술 요구 사항을 정의하고 적용하려면 클라우드 플랫폼 또는 탁월한 클라우드 센터를 구현해야 할 수 있습니다. 거버넌스는 클라우드 보안, 중앙 IT 또는 클라우드 운영이 필요할 수 있는 운영 및 보안 요구 사항을 적용하는 데 중점을 둡니다.

범위: ID, 네트워크, 보안 및 관리 디자인 영역 검토의 결정을 고려합니다. 팀은 Azure 랜딩 존 가속기의 일부인 자동화된 거버넌스의 검토 결정을 비교할 수 있습니다. 검토 결정은 감사 또는 적용할 항목과 자동으로 배포할 정책을 결정하는 데 도움이 될 수 있습니다.

범위 외: Azure 거버넌스는 네트워킹의 기반을 구축합니다. 하지만 네트워킹 결정을 적용하기 위해 고급 네트워크 보안 또는 자동화된 가드레일과 같은 규정 준수 관련 구성 요소는 다루지 않습니다. 보안 및 거버넌스와 관련된 규정 준수 디자인 영역을 검토할 때 이러한 네트워킹 결정을 해결할 수 있습니다. 클라우드 플랫폼 팀은 더 복잡한 구성 요소를 해결하기 전에 초기 네트워킹 요구 사항을 해결해야 합니다.

새로운(그린필드) 클라우드 환경: 클라우드 경험을 시작하려면 작은 구독 집합을 만듭니다. Bicep 배포 템플릿을 사용하여 새 Azure 랜딩 존을 만들 수 있습니다. 자세한 내용은 Azure 랜딩 존 Bicep- 배포 흐름을 참조 하세요.

기존(브라운필드) 클라우드 환경: 검증된 Azure 거버넌스 원칙을 기존 Azure 환경에 적용하려면 다음 지침을 고려하세요.

• 하이브리드 또는 다중 클라우드 환경에 대한 관리 기준을 설정합니다.

• 비용 한도를 초과하지 않도록 청구 범위, 예산 및 경고와 같은 Microsoft Cost Management 기능을 구현합니다.

• Azure Policy를 사용하여 Azure 배포에 거버넌스 가드레일을 적용하고 수정 작업을 트리거하여 기존 Azure 리소스를 준수 상태로 전환합니다.

• Microsoft Entra 권한 관리 기능을 사용하여 Azure 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하는 것이 좋습니다.

• Azure Advisor 권장 사항을 사용하여 Microsoft Azure Well-Architected Framework의 핵심 원칙인 Azure의 비용 최적화 및 운영 우수성을 보장합니다.

Azure 랜딩 존 Bicep - 배포 흐름 리포지토리에는 그린필드 및 브라운필드 Azure 랜딩 존 배포를 가속화할 수 있는 Bicep 배포 템플릿이 포함되어 있습니다. 이러한 템플릿에는 Microsoft의 검증된 거버넌스 지침이 통합되어 있습니다.

Azure 랜딩 존 기본 정책 할당 Bicep 모듈을 사용하여 Azure 환경에 대한 규정 준수를 확인하는 데 중점을 두는 것이 좋습니다.

자세한 내용은 Brownfield 환경 고려 사항을 참조 하세요.

디자인 영역 개요

조직의 클라우드 채택 과정은 정부 환경에 대한 강력한 제어로 시작합니다.

거버넌스는 Azure에서 플랫폼, 애플리케이션 및 리소스에 대한 제어를 유지 관리하기 위한 메커니즘과 프로세스를 제공합니다.

랜딩 존을 계획할 때 정보에 입각한 결정을 내리려면 다음 고려 사항 및 권장 사항을 살펴보세요.

거버넌스 디자인 영역은 랜딩 존에 대한 설계 결정에 중점을 둡니다. 거버넌스 프로세스 및 도구에 대한 자세한 내용은 Azure용 클라우드 채택 프레임워크 거버넌스를 참조하세요.

Azure 거버넌스 고려 사항

Azure Policy는 엔터프라이즈 기술 자산에 대한 보안 및 규정 준수를 보장하는 데 도움이 됩니다. Azure Policy는 Azure 플랫폼 서비스 전반에 걸쳐 중요한 관리 및 보안 규칙을 적용할 수 있습니다. Azure Policy는 권한 있는 사용자에 대한 작업을 제어하는 Azure RBAC(역할 기반 액세스 제어)를 보완합니다. Cost Management는 Azure 또는 기타 다중 클라우드 환경에서 진행 중인 거버넌스 비용 및 지출을 지원하는 데도 도움이 될 수 있습니다.

배포 고려 사항

변경 자문 검토 위원회는 조직의 혁신 및 비즈니스 민첩성을 저해할 수 있습니다. Azure Policy는 이러한 검토를 자동화된 가드레일 및 준수 감사로 대체하여 워크로드 효율성을 개선합니다.

• 비즈니스 제어 또는 규정 준수 규정에 따라 필요한 Azure 정책을 결정합니다. Azure 랜딩 존 가속기에서 포함된 정책을 시작점으로 사용합니다.

• Azure 랜딩 존 참조 구현에 포함된 정책을 사용하여 비즈니스 요구 사항에 부합할 수 있는 다른 정책을 고려합니다.

• 자동화된 네트워킹, ID, 관리 및 보안 규칙을 적용합니다.

• 여러 상속된 할당 범위에서 다시 사용할 수 있는 정책 정의를 사용하여 정책 할당을 관리하고 만듭니다. 관리, 구독 및 리소스 그룹 범위에서 중앙 집중식 기준 정책 할당을 수행할 수 있습니다.

• 규정 준수 보고 및 감사를 통해 지속적인 규정 준수를 보장합니다.

• Azure Policy에는 특정 범위의 정의 제한과 같은 제한이 있음을 이해합니다. 자세한 내용은 정책 제한을 참조 하세요.

• 규정 준수 정책을 이해합니다. 정책에는 HIPAA, PCI-DSS 또는 SOC 2 신뢰 서비스 기준이 포함될 수 있습니다.

비용 관리 고려 사항

• 조직의 비용 및 재충전 모델의 구조를 고려합니다. 클라우드 서비스 지출을 정확하게 전달하는 주요 데이터 요소를 결정합니다.

• 비용 및 재충전 모델에 맞는 태그 구조를 선택하여 클라우드 지출을 추적할 수 있습니다.

• Azure 가격 계산기를 사용하여 Azure 제품 사용에 대한 예상 월별 비용을 예측합니다.

• 클라우드에서 워크로드를 실행하는 비용을 줄이는 데 도움이 되는 Azure 하이브리드 혜택 가져옵니다. Azure에서 온-프레미스 Software Assurance 사용 가능 Windows Server 및 SQL Server 라이선스를 사용할 수 있습니다. Red Hat 및 SUSE Linux 구독을 사용할 수도 있습니다.

• Azure 예약을 받고 여러 제품에 대한 1년 또는 3년 플랜을 커밋합니다. 예약 플랜은 리소스 할인을 제공하므로 종량제 가격에 비해 리소스 비용을 최대 72%까지 크게 줄일 수 있습니다.

• 종량제 가격에 비해 최대 65%까지 절약할 수 있는 컴퓨팅에 대한 Azure 절감 계획을 가져옵니다. 지역, 인스턴스 크기 또는 운영 체제에 관계없이 컴퓨팅 서비스에 적용되는 1년 또는 3년 약정을 선택합니다. 가상 머신, 전용 호스트, 컨테이너 인스턴스, Azure 프리미엄 함수 및 Azure App Services와 같은 컴퓨팅 구성 요소에 대한 계획을 선택합니다. Azure 저축 계획을 Azure 예약과 결합하여 컴퓨팅 비용 및 유연성을 최적화합니다.

• Azure 정책을 사용하여 특정 지역, 리소스 종류 및 리소스 SKU를 허용합니다.

• Azure Storage 수명 주기 관리의 규칙 기반 정책을 사용하여 Blob 데이터를 적절한 액세스 계층으로 이동하거나 데이터 수명 주기가 끝날 때 데이터를 만료합니다.

• Azure 개발/테스트 구독을 사용하여 비프로덕션 워크로드에 대한 Azure 서비스를 선택하기 위해 액세스에 대한 할인을 받습니다.

• 자동 크기 조정을 사용하여 성능 요구 사항에 맞게 리소스를 동적으로 할당 및 할당 취소하면 비용을 절감할 수 있습니다.

• Azure Spot Virtual Machines를 사용하여 사용되지 않는 컴퓨팅 용량을 저렴한 비용으로 활용합니다. Spot Virtual Machines는 일괄 처리 작업, 개발/테스트 환경 및 대용량 컴퓨팅 워크로드와 같이 중단을 처리할 수 있는 워크로드에 적합합니다.

• 비용을 절감할 수 있도록 적절한 Azure 서비스를 선택합니다. 일부 Azure 서비스는 12개월 동안 무료이며 일부는 항상 무료입니다.

• 비용 효율성을 개선하는 데 도움이 되도록 애플리케이션에 적합한 컴퓨팅 서비스를 선택합니다. Azure는 코드를 호스팅하는 다양한 방법을 제공합니다.

리소스 관리 고려 사항

• 환경의 리소스 그룹이 일관성을 제공하기 위해 필요한 구성, 일반적인 수명 주기 또는 일반적인 액세스 제약 조건(예: RBAC)을 공유할 수 있는지 확인합니다.

• 작업 요구 사항에 적합한 애플리케이션 또는 워크로드 구독 디자인을 선택합니다.

• 조직 내에서 표준 리소스 구성을 사용하여 일관된 기준 구성을 보장합니다.

보안 고려 사항

• 보안 기준의 일부로 환경 전체에 도구 및 가드레일을 적용합니다.
• 편차를 찾으면 적절한 사용자에게 알립니다.
• Azure Policy를 사용하여 microsoft 클라우드 보안 벤치마크와 같은 클라우드용 Microsoft Defender 또는 가드레일과 같은 도구를 적용하는 것이 좋습니다.

ID 관리 고려 사항

• ID 및 액세스 관리를 위해 감사 로그에 액세스할 수 있는 사용자를 결정합니다.

• 의심스러운 로그인 이벤트가 발생할 때 적절한 사용자에게 알립니다.

• Microsoft Entra 보고서를 사용하여 활동을 관리하는 것이 좋습니다.

• Microsoft Entra ID 로그를 플랫폼의 중앙 Azure Monitor 로그 작업 영역으로 보내는 것이 좋습니다.

• 액세스 검토 및 권한 관리와 같은 Microsoft Entra ID 거버넌스 기능을 살펴봅니다.

비 Microsoft 도구

• AzAdvertizer를 사용하여 Azure 거버넌스 업데이트를 가져옵니다. 예를 들어 Azure Policy 또는 Azure RBAC 역할 정의에서 정책 정의, 이니셔티브, 별칭, 보안 및 규정 준수 제어에 대한 인사이트를 찾을 수 있습니다. 리소스 공급자 작업, Microsoft Entra 역할 정의 및 역할 작업 및 자사 API 권한에 대한 인사이트를 얻을 수도 있습니다.

• Azure 거버넌스 시각화 도우미를 사용하여 기술 거버넌스 자산을 추적합니다. Azure 랜딩 존에 대한 정책 버전 검사er 기능을 사용하여 최신 Azure 랜딩 존 정책 릴리스 상태로 환경을 최신 상태로 유지할 수 있습니다.

Azure 거버넌스 권장 사항

배포 가속화 권장 사항

• 필요한 Azure 태그를 식별하고 추가 정책 모드를 사용하여 사용량을 적용합니다. 자세한 내용은 태그 지정 전략 정의를 참조 하세요.

• 규제 및 규정 준수 요구 사항을 Azure Policy 정의 및 Azure 역할 할당에 매핑합니다.

• 상속된 범위에서 할당될 수 있으므로 최상위 루트 관리 그룹에서 Azure Policy 정의를 설정합니다.

• 필요한 경우 최하위 수준에서 제외하고 가장 적절한 수준에서 정책 할당을 관리합니다.

• Azure Policy를 사용하여 구독 또는 관리 그룹 수준에서 리소스 공급자 등록을 제어합니다.

• 기본 제공 정책을 사용하여 운영 오버헤드를 최소화합니다.

• 애플리케이션 수준 거버넌스를 사용하도록 설정하려면 특정 범위에서 기본 제공 리소스 정책 기여자 역할을 할당합니다.

• 상속된 범위에서 제외를 관리하지 않도록 루트 관리 그룹 범위에서 Azure Policy 할당 수를 제한합니다.

비용 관리 권장 사항

• Cost Management를 사용하여 사용자 환경의 리소스에 대한 재무 감독을 구현합니다.
• 비용 센터 또는 프로젝트 이름과 같은 태그를 사용하여 리소스 메타데이터를 추가합니다. 이 방법을 사용하면 비용을 세분화하여 분석할 수 있습니다.

Azure 랜딩 존 가속기의 Azure 거버넌스

Azure 랜딩 존 가속기는 조직에 성숙한 거버넌스 제어를 제공합니다.

예를 들어 다음을 구현할 수 있습니다.

• 함수 또는 워크로드 유형별로 리소스를 그룹화한 관리 그룹 계층 구조입니다. 이 방법은 리소스 일관성을 장려합니다.
• 관리 그룹 수준에서 거버넌스 제어를 사용하도록 설정하는 다양한 Azure 정책 집합입니다. 이 방법은 모든 리소스가 범위에 있는지 확인하는 데 도움이 됩니다.