랜딩 존을 사용하여 보안 인프라 배포
Azure 랜딩 존은 8개의 디자인 영역에서 주요 디자인 원칙을 따르는 환경입니다. 이러한 디자인 원칙은 모든 애플리케이션 포트폴리오를 수용하고 대규모로 애플리케이션 마이그레이션, 현대화 및 혁신을 가능하게 합니다. Azure 랜딩 존은 구독을 사용하여 애플리케이션 리소스와 플랫폼 리소스를 격리하고 크기 조정합니다. 애플리케이션 리소스에 대한 구독을 애플리케이션 랜딩 존이라고 하며, 플랫폼 리소스에 대한 구독을 플랫폼 랜딩 존이라고 합니다.
Azure 랜딩 존 아키텍처는 다양한 배포 요구 사항을 충족하기 위해 확장 가능하고 모듈식입니다. 반복 가능한 인프라를 사용하면 모든 구독에 구성 및 컨트롤을 일관되게 적용할 수 있습니다. 모듈을 사용하면 요구 사항이 진화함에 따라 특정 Azure 랜딩 존 아키텍처 구성 요소를 쉽게 배포하고 수정할 수 있습니다.
플랫폼 랜딩 존 대 애플리케이션 랜딩 존
Azure 랜딩 존은 플랫폼 랜딩 존 및 애플리케이션 랜딩 존으로 구성됩니다. 이 두 가지의 기능은 더 자세히 설명할 가치가 있습니다.
플랫폼 랜딩 존: 플랫폼 랜딩 존은 애플리케이션 랜딩 존의 애플리케이션에 공유 서비스(ID, 연결, 관리)를 제공하는 구독입니다. 이러한 공유 서비스를 통합하면 운영 효율성이 향상되는 경우가 많습니다. 하나 이상의 중앙 팀이 플랫폼 랜딩 존을 관리합니다.
애플리케이션 랜딩 존: 애플리케이션 랜딩 존은 애플리케이션을 호스팅하기 위한 구독입니다. 코드를 통해 애플리케이션 랜딩 존을 미리 프로비전하고 관리 그룹을 사용하여 정책 컨트롤을 할당합니다.
애플리케이션 랜딩 존을 관리하는 데는 세 가지 주요 방식이 있습니다. 필요에 따라 (1)중앙 팀, (2)애플리케이션 팀, (3)공유 팀 가운데 선택하여 사용해야 합니다(표 참조).
| 애플리케이션 랜딩 존 관리 방식 | 설명 |
|---|---|
| 중앙 팀 관리 | 중앙 IT 팀이 완전히 랜딩 존을 운영합니다. 팀이 플랫폼 및 애플리케이션 랜딩 존에 대한 컨트롤 및 플랫폼 도구를 적용합니다. |
| 애플리케이션 팀 관리 | 플랫폼 관리 팀이 전체 애플리케이션 랜딩 존을 애플리케이션 팀에 위임합니다. 애플리케이션 팀이 환경을 관리하고 지원합니다. 관리 그룹 정책을 통해 플랫폼 팀이 계속 애플리케이션 랜딩 존을 제어하도록 합니다. 구독 범위에서 다른 정책을 추가하고 애플리케이션 랜딩 존을 배포, 보안 또는 모니터링하기 위한 대체 도구를 사용할 수 있습니다. |
| 공유 관리 | 중앙 IT 팀은 AKS 또는 AVS와 같은 기술 플랫폼을 사용하여 기본 서비스를 관리합니다. 애플리케이션 팀은 기술 플랫폼 위에서 실행되는 애플리케이션을 담당합니다. 이 모델에는 다른 컨트롤 또는 다른 액세스 권한을 사용해야 합니다. 이러한 컨트롤 및 액세스 권한은 애플리케이션 랜딩 존을 중앙에서 관리할 때 사용하는 컨트롤 및 권한과 다릅니다. |
Azure 랜딩 존 가속기
가속기는 Azure 랜딩 존을 올바르게 배포하는 데 도움이 되는 코드로서의 인프라 구현입니다. 플랫폼 랜딩 존 가속기 및 배포할 수 있는 여러 애플리케이션 랜딩 존 가속기가 있습니다.
플랫폼 랜딩 존 가속기
Azure 랜딩 존 포털 가속기라는 즉시 배포 환경이 있습니다. Azure 랜딩 존 포털 가속기는 개념 아키텍처를 배포하고(그림 1 참조) 관리 그룹 및 정책과 같은 주요 구성 요소에 미리 결정된 구성을 적용합니다. 이는 개념적 아키텍처가 계획된 운영 모델 및 리소스 구조와 일치하는 조직에 적합합니다.
Azure Portal을 사용하여 환경을 관리하려는 경우 Azure 랜딩 존 포털 가속기를 사용해야 합니다.
확장 가능한 모듈식 Azure 랜딩 존 빌드
Microsoft는 보안 방법론을 포함하여 클라우드 경험에 검증된 시작점을 고객에게 제공하는 클라우드 채택 프레임워크를 제공합니다.
준비 방법론에서 클라우드 채택 프레임워크의 또 다른 중요한 구성 요소는 Azure 랜딩 존으로, 보안 구성 요소를 비롯한 전체 아키텍처/운영 환경에 대해 자동화된 구현 기능을 제공하여 클라우드 채택을 가속화합니다. 보안 모범 사례는 Azure 랜딩 존에 통합됩니다. 랜딩 존을 사용하면 통합된 보안 및 거버넌스 모범 사례로 첫 번째 워크로드를 빠르고 안전하게 마이그레이션할 수 있습니다.
조직의 랜딩 존을 디자인하고 구현하는 동안 아래의 참조 아키텍처를 대상 종료 상태로 사용합니다. 성숙하고 스케일 아웃된 환경 디자인 고려 사항을 캡처합니다.
클라우드 채택 계획에서 가능하면 Azure 랜딩 존을 사용하는 것이 좋습니다. 랜딩 존은 아키텍처 시작점을 제공합니다. Azure 랜딩 존은 새 워크로드를 배포하든, 기존 워크로드를 마이그레이션하든, 이미 배포된 워크로드를 개선하든 상관없이 보안 및 기타 모범 사례를 따르는 데 도움이 됩니다. 랜딩 존을 사용하면 모든 랜딩 존을 한 번에 구현하든, 증분 방식으로 구현하든 관계없이 모범 사례를 따르는 데 도움이 됩니다.
참고 항목
조직은 고유한 비즈니스 요구 사항을 충족하도록 Azure 랜딩 존 아키텍처를 사용자 지정할 수 있습니다.
Azure 랜딩 존에는 조직의 IT/보안 팀이 더 쉽게 사용할 수 있는 코드가 포함되어 있습니다. 랜딩 존에서는 템플릿화된 구현을 적용하는 반복 가능하고 예측 가능한 방법을 제공합니다. 이 구현에는 배포 접근 방식과 디자인 원칙, 디자인 영역이 포함됩니다. 랜딩 존은 플랫폼 자동화와 DevOps뿐만 아니라 보안, 관리 및 거버넌스 프로세스를 지원합니다.
제로 트러스트 원칙 사용
조직은 대상 아키텍처에 포함된 ASB(Azure Security Benchmark) 모범 사례 및 ZT(제로 트러스트) 원칙에 따라 Azure 랜딩 존을 조정할 수 있습니다. 모범 사례에 맞는 대상 아키텍처로 이동하여 조직의 보안/거버넌스 MVP를 증분 방식으로 빌드하고 개선하는 다른 보안 고려 사항 및 제로 트러스트 원칙을 구현합니다.
신뢰하지 않고 항상 확인하는 제로 트러스트 아키텍처 접근 방식을 확장합니다. ID, 엔드포인트, 네트워크, 데이터, 애플리케이션, 인프라를 포함하는 디지털 상태 전반에 걸쳐 엔드투엔드 전략을 통합합니다.
Azure Security Benchmark 보안 권장 사항 따르기
조직은 Azure Security Benchmark의 강력한 보안 권장 사항을 따르는 것이 좋습니다. Azure 랜딩 존 및 클라우드 채택 프레임워크 자체에 대한 참고 자료도 있습니다. 모든 관련 설명서 및 서비스별 기준을 검토하여 아키텍처 전략의 일부로 ASB 권장 사항을 포함합니다.
팁
Azure 랜딩 존은 기본적으로 ASB 정책을 해당 계층 구조의 맨 위에 할당합니다. 이 접근 방식을 사용하면 랜딩 존의 모든 구독과 워크로드가 ASB 규정을 준수하는지 모니터링됩니다.