회사 정책

  • 20분

잘못된 거버넌스 정책은 불필요한 제약 조건을 만들고 회사를 보호하지 못할 수 있습니다. 이 단원에서는 적절한 실행 가능한 회사 정책을 만드는 방법을 평가합니다.

Tailwind Traders의 부적절한 회사 정책

고객 설명에서 Tailwind Traders의 기존 정책의 잘못된 것은 무엇인가요?

Tailwind 정책: 고객 및 재무 데이터는 기존 데이터 센터의 특정 네트워크 세그먼트(보호된 자산이라고 함)에서만 호스트될 수 있습니다.

회사 정책은 조직에서 허용 가능한 것으로 간주하지 않는 실제적인 위험을 해결하는 가장 좋은 방법을 팀에 지시하도록 설계됩니다. 회사 정책은 특정 기술 구현을 요구하도록 설계되지 않습니다.

기존 회사 정책 평가

클라우드 또는 다른 신기술에 적용하기 위해 기존 정책을 평가하는 경우 다음 질문에 답변할 수 있어야 합니다.

  • 이 정책은 어떤 위험을 완화하려고 하나요?
  • 해당 위험이 조직 위험 허용 범위 내에 없는 이유는 무엇인가요?
  • 위험이 허용 가능하지 않다는 것을 누가 결정했나요?
  • 이 정책을 언제 적용해야 하나요(워크로드 분류, 상황별 등)? 언제 예외를 검토해야 하나요?
  • 이 프로세스는 어떻게 적용되나요? 정책을 적용할 수 있는지 얼마나 자주 검토해야 하나요?
  • 기술 중심 프로세스의 경우, 이 정책은 특정 기술 솔루션 또는 기술 공급업체에 대한 종속성을 만드는 방식으로 위험을 추가하나요?

다음 단원에서 확인할 수 있는 것처럼 보호된 데이터에 관한 Tailwind Traders 정책은 관련 질문에 답변하지 못합니다. 이러한 질문 중 일부는 정책 핸드북 등의 다른 자료를 통해 해결할 수 있지만, 최종 기술 중심 질문은 명백히 누락되었습니다. 위험을 완화하는 대신 실제로 단일 솔루션에서 잠금을 통해 장기적 위험을 도입했습니다.

기업 정책 정의

회사 정책을 정의하려면 조직에서 사용하는 클라우드 플랫폼에 관계없이 비즈니스 위험을 식별하고 완화하는 데 집중해야 합니다. 양호한 클라우드 거버넌스 전략은 견고한 기업 정책에서 출발합니다. 다음 3단계 프로세스는 적절한 회사 정책의 반복 개발을 이끕니다.

   

Business risk icon.
비즈니스 위험: 현재 클라우드 채택 계획 및 데이터 분류를 조사하여 비즈니스에 대한 위험을 식별합니다. 비즈니스와의 협력을 통해 위험 허용 범위와 완화 비용 간의 균형을 맞춥니다.

Policy and compliance icon.
정책 및 규정 준수: 위험 허용 범위를 평가하여 클라우드 채택 및 위험을 관리하는 정책을 알립니다. 일부 업종에서는 제3자 규정 준수가 최초 정책 작성에 영향을 미칠 수 있습니다.

Process enforcement icon.
프로세스: 채택 및 혁신 활동의 과정에서 자연스럽게 정책 위반이 발생합니다. 관련 프로세스를 실행하면 정책 준수를 모니터링하고 엄격하게 집행하는 데 도움이 됩니다.

비즈니스 위험

클라우드를 채택하는 동안 다양한 위험이 발생합니다. 채택 작업의 여러 시점에서 발전할 수 있는 위험의 몇 가지 예는 다음과 같습니다.

  • 초기 실험 중에는 관련 데이터가 거의 없거나 전혀 없는 소수의 자산이 배포됩니다. 위험이 작습니다.
  • 첫 번째 워크로드가 배포되면 위험이 약간 커집니다. 해당 위험은 소규모 사용자 기반으로 본질적으로 위험 수준이 낮은 애플리케이션을 선택하여 쉽게 수정할 수 있습니다.
  • 더 많은 워크로드가 온라인 상태가 됨에 따라 각 릴리스마다 위험이 변합니다. 새 애플리케이션이 라이브로 전환되고 위험이 변합니다.
  • 회사가 처음 10개 또는 20개의 애플리케이션을 온라인으로 전환하는 경우 위험 프로필은 1000번째 애플리케이션이 클라우드에서 프로덕션으로 전환되는 경우와 크게 다릅니다.

위험은 상대적입니다. 오프라인 건물에 소수의 IT 자산이 있는 소규모 기업은 위험이 거의 없습니다. 관련 자산에 대한 액세스 권한이 있는 사용자 및 인터넷 연결을 추가하면 위험이 증가합니다. 소규모 회사가 Fortune지 선정 500대 회사로 성장하면 위험이 기하급수적으로 커집니다. 수익, 비즈니스 프로세스, 직원 수 및 IT 자산이 누적됨에 따라 위험이 커지고 융합됩니다. 수익을 창출하는 데 도움이 되는 IT 자산은 정전이 발생할 경우 해당 수익 흐름이 중지될 실제적인 위험이 있습니다. 가동 중지의 모든 순간은 손실에 해당합니다. 마찬가지로 데이터가 누적됨에 따라 고객에게 피해를 입힐 위험은 증가합니다.

Tailwind Traders 고객 설명 단원의 개요에 따르면 Tailwind CIO가 가장 걱정하는 위험은 다음과 같습니다.

  • 클라우드에 초과 지출
  • 조직이 보안 또는 규정 준수 요구 사항을 충족하지 않음
  • 자산 구성에서 운영 관리 문제 또는 실수가 발생합니다.
  • 무단 액세스로 인해 시스템 또는 데이터가 손상됨
  • 완성도가 낮은 프로세스 및 팀의 기술 부족으로 인한 일관되지 않은 거버넌스

문제는 Tailwind의 현재 정책에 명시된 대로 “기존 데이터 센터의 특정 네트워크 세그먼트”와 전혀 관련이 없다는 점에 유의해야 합니다. 건전한 거버넌스 정책을 클라우드로 확장하여 만들려면 좀 더 깊이 파고들어야 합니다. 현재 정책과 현재 상태 솔루션에서 포착되는 실재하는 위험을 살펴 보겠습니다.

관련자 관심사와 클라우드 채택 계획을 좀 더 면밀히 조사하면 조직이 허용할 수 없는 추가적인 위험이 드러날 수 있을 것입니다. 그러나 지금은 실제적인 위험을 해결하는 거버넌스 정책의 형태를 만들기 시작하는 것으로 충분합니다.

정책 및 규정 준수

회사 정책은 IT 직원과 자동화된 시스템이 지원해야 하는 요구 사항, 표준 및 목표를 설정합니다. 개별 정책 설명은 위험 평가 프로세스 중에 식별되는 특정 위험을 해결하기 위한 지침입니다. 퍼블릭 및 프라이빗 클라우드 배포에서 채택을 안내하여 공급업체 종속을 방지하는 적절한 회사 정책의 몇 가지 예제는 다음과 같습니다.

  • 초과 지출 방지: 클라우드 배포에는 특히 셀프 서비스 배포에 대한 초과 지출 위험이 있습니다. 모든 배포는 승인된 예산과 예산 제한 적용 메커니즘에 따라 청구 단위에 할당해야 합니다.

    설계 고려 사항: Azure에서 예산은 Microsoft Cost Management를 사용하여 제어할 수 있습니다. 한편 Azure Advisor는 자산당 지출을 줄이기 위해 최적화 권장 사항을 제공할 수 있습니다.

  • 중요한 데이터 보호: 중요한 데이터와 상호 작용하는 자산이 충분히 보호되지 못해 잠재적인 데이터 누출 또는 비즈니스 중단이 발생할 수 있습니다. 보안 팀은 중요한 데이터와 상호 작용하는 모든 자산을 파악하고 검토하여 적절한 수준의 보호가 이루어지도록 보장해야 합니다.

    설계 고려 사항: Azure에서 배포된 모든 자산은 적절한 데이터 분류 수준으로 태그가 지정되어야 합니다. 클라우드 거버넌스 팀과 애플리케이션 소유자는 클라우드에 배포하기 전에 분류를 검토해야 합니다.

프로세스

클라우드는 구현 구성에 따라 유효성 검사 트리거를 제공하여 반복 프로세스의 인적 오버헤드를 줄일 수 있는 보호책을 제공합니다. 다음 표에서는 Tailwind Traders CIO에게 우려를 일으키는 위험을 해결할 수 있는 몇 가지 트리거와 작업을 간략하게 설명합니다.

위험 샘플 트리거 샘플 조치
클라우드에 초과 지출 월간 클라우드 지출이 예상보다 20% 더 높습니다. 청구 부서 리더에게 알려 리소스 사용량 검토를 시작하도록 합니다.
클라우드에 초과 지출 배포된 자산이 할당된 CPU 또는 메모리를 사용하지 않습니다. 청구 단위 리더에게 알리고 가능한 경우 실제 사용량에 맞게 자동으로 크기를 조정합니다.
조직이 보안 또는 규정 준수 요구 사항을 충족하지 않음 정의된 보안 또는 규정 준수의 위반을 탐지합니다. IT 보안 팀에 알리고 가능한 경우 수정을 자동화합니다.
자산 구성에서 운영 관리 문제 또는 실수가 발생함 워크로드의 CPU 사용률이 90%를 초과합니다. IT 운영 팀에 알려 부하 처리할 수 있는 추가 리소스를 스케일 아웃하도록 합니다.
자산 구성에서 운영 관리 문제 또는 실수가 발생함 패치 또는 비즈니스 연속성 및 재해 요구 사항을 충족하지 못한 자산이 운영 준수 경고를 트리거합니다. IT 보안 팀에 알리고 가능한 경우 자동으로 위반을 해결합니다.
무단 액세스로 인해 시스템 또는 데이터가 손상됨 트래픽 패턴이 승인된 네트워크 토폴로지를 위반합니다. IT 보안 팀에 알리고 가능한 경우 자동으로 공격 벡터를 닫습니다.
무단 액세스로 인해 시스템 또는 데이터가 손상됨 자산이 적절한 역할 할당 또는 상승된 권한 없이 구성됩니다. IT 보안 팀에 알리고 가능한 경우 자동으로 위반을 해결합니다.
완성도가 낮은 프로세스 및 팀의 기술 부족으로 인한 일관되지 않은 거버넌스 필요한 거버넌스 프로세스에 포함되지 않은 자산이 식별되었습니다. IT 거버넌스 팀에 알리고 가능한 경우 자동으로 위반을 해결합니다.

Azure 거버넌스 도구를 사용하여 이러한 각 트리거 및 작업을 자동화할 수 있습니다. 다른 클라우드 공급자는 추가적인 수동 접근 방식이 필요할 수 있지만 정의된 정책을 계속 적용할 수 있습니다. 나중에 이 프로세스를 반복할 필요가 없도록 하려면 특정 공급업체에 종속되도록 하는 정책을 정의하지 않도록 주의하세요.

클라우드 정책 설명을 작성하고 디자인 가이드 초안을 작성한 후에는 클라우드 배포가 정책 요구 사항을 계속 준수하도록 하는 전략을 작성해야 합니다. 이 전략은 클라우드 거버넌스 팀의 지속적인 검토와 커뮤니케이션 프로세스를 포함해야 합니다. 이 전략은 클라우드 거버넌스 팀의 지속적인 검토와 커뮤니케이션 프로세스를 포함하고 정책 위반에 조치가 필요한 경우에 대한 기준을 마련해야 합니다. 또한 위반을 감지하고 수정 조치를 트리거하는 자동화된 모니터링 및 규정 준수 시스템에 대한 요구 사항을 정의해야 합니다.

다음 단원에서는 관련 유형의 위험을 실행 가능한 클라우드 분야로 그룹화합니다.