Azure Enterprise 스캐폴드: 규범적 구독 거버넌스Azure enterprise scaffold: Prescriptive subscription governance

참고

Azure enterprise 스 캐 폴딩은 Microsoft 클라우드 채택 프레임 워크에 통합 되었습니다.Azure enterprise scaffolding has been integrated into the Microsoft Cloud Adoption Framework. 이 문서의 내용은 이제 새 프레임 워크의 준비 섹션에 표시 되어 있습니다.The content in this article is now represented in the Ready section of the new framework. 이 문서는 2020 초기에 사용이 중단 될 예정입니다.This article will be deprecated some time in early 2020. 새 프로세스 사용을 시작 하려면 준비 개요, 첫 번째 방문 영역 만들기및/또는 방문 영역 고려 사항을 참조 하세요.To begin using the new process, see the Ready overview, creating your first landing zone, and/or landing zone considerations.

기업은 민첩성과 유연성을 위해 공용 클라우드 도입을 확대하고 있습니다.Enterprises are increasingly adopting the public cloud for its agility and flexibility. 클라우드의 장점을 활용 하 여 수익을 창출 하 고 비즈니스에 대 한 리소스 사용을 최적화 합니다.They rely on the cloud's strengths to generate revenue and optimize resource usage for the business. Microsoft Azure는 광범위한 워크로드 및 애플리케이션을 처리할 구성 요소와 같이 기업에서 조합할 수 있는 다양한 서비스와 기능을 제공합니다.Microsoft Azure provides a multitude of services and capabilities that enterprises assemble like building blocks to address a wide array of workloads and applications.

Microsoft Azure 사용 결정은 클라우드의 혜택을 얻기 위한 첫 번째 단계에 지나지 않습니다.Deciding to use Microsoft Azure is only the first step to achieving the benefit of the cloud. 두 번째 단계는 기업이 Azure를 효과적으로 사용하고 다음과 같이 질문에 답변하는 데 필요한 기본 기능을 파악하는 방법을 이해하는 것입니다.The second step is understanding how the enterprise can effectively use Azure and identify the baseline capabilities that need to be in place to address questions like:

  • “데이터 독립성에 관심이 있습니다. 데이터와 시스템이 규정 요구 사항을 충족하도록 하려면 어떻게 하나요?”"I'm concerned about data sovereignty; how can I ensure that my data and systems meet our regulatory requirements?"
  • "내역을 확인하고 정확하게 청구할 수 있도록 각 리소스가 지원하는 내용을 파악하려면 어떻게 할까요?""How do I know what each resource is supporting so I can account for it and bill it back accurately?"
  • “공용 클라우드에서 배포하는 기능 및 수행하는 모든 작업이 보안을 최우선적으로 고려하도록 하려고 합니다. 어떻게 하는 것이 도움이 되나요?”"I want to make sure that everything we deploy or do in the public cloud starts with the mindset of security first, how do I help facilitate that?"

Guardrails 없는 빈 구독의 잠재 고객은 매우 어려울 수 있습니다.The prospect of an empty subscription with no guardrails is daunting. 이 빈 공간은 Azure로의 전환에 방해가 될 수 있습니다.This blank space can hamper your move to Azure.

이 문서는 기술 전문가가 거버넌스 요구 사항을 해결하고 민첩성 요구 사항과 균형을 맞추기 위한 시작 지점을 제공합니다.This article provides a starting point for technical professionals to address the need for governance and balance it with the need for agility. 조직이 자신의 Azure 환경을 안전한 방식으로 구현 및 관리할 수 있도록 안내해 주는 엔터프라이즈 스캐폴드 개념을 소개합니다.It introduces the concept of an enterprise scaffold that guides organizations in implementing and managing their Azure environments in a secure way. 또한 효과적이고 효율적인 컨트롤을 개발하기 위한 프레임워크를 제공합니다.It provides the framework to develop effective and efficient controls.

관리 필요성Need for governance

Azure로 전환하는 경우 기업 내에서 클라우드를 성공적으로 사용하기 위해서는 먼저 관리 항목을 해결해야 합니다.When moving to Azure, you must address the topic of governance early to ensure the successful use of the cloud within the enterprise. 안타깝게도 포괄적인 관리 시스템을 만드는 데 시간과 절차가 따른다는 것은 일부 비즈니스 그룹이 엔터프라이즈 IT 적용 없이 공급업체로 직접 이동하는 것을 의미합니다.Unfortunately, the time and bureaucracy of creating a comprehensive governance system means some business groups go directly to providers without involving enterprise IT. 이 방법을 사용할 경우 리소스가 제대로 관리되지 않는다면 기업은 데이터 손상 위험에 노출될 수 있습니다.This approach can leave the enterprise open to compromise if the resources are not properly managed. 공용 클라우드—민첩성, 유연성 및 소비 기반 가격 책정—의 특징은 고객의 요구 (내부 및 외부 모두)를 신속 하 게 충족 해야 하는 비즈니스 그룹에 중요 합니다.The characteristics of the public cloud—agility, flexibility, and consumption-based pricing—are important to business groups that need to quickly meet the demands of customers (both internal and external). 그러나 엔터프라이즈 IT는 데이터와 시스템이 효과적으로 보호 되는지 확인 해야 합니다.But enterprise IT needs to ensure that data and systems are effectively protected.

건물을 세울 때 스캐폴딩은 구조의 기반을 만드는 데 사용됩니다.When creating a building, scaffolding is used to create the basis of a structure. 스캐폴드는 일반적인 개요를 제시하고 보다 영구적인 시스템을 탑재하기 위한 기준점을 제공합니다.The scaffold guides the general outline and provides anchor points for more permanent systems to be mounted. 엔터프라이즈 스캐폴드는 동일합니다. 환경에 구조를 제공하고 공용 클라우드에 기본 제공되는 서비스에 대한 앵커를 제공하는 Azure 기능과 유연한 컨트롤 집합입니다.An enterprise scaffold is the same: a set of flexible controls and Azure capabilities that provide structure to the environment, and anchors for services built on the public cloud. 이것은 작성자(IT 및 비즈니스 그룹)에게 제공 속도를 고려한 새로운 서비스를 만들고 연결하기 위한 기초를 제공합니다.It provides the builders (IT and business groups) a foundation to create and attach new services keeping speed of delivery in mind.

스캐폴드는 다양한 규모의 클라이언트와 수많은 협력을 통해 수집한 사례를 기반으로 합니다.The scaffold is based on practices we have gathered from many engagements with clients of various sizes. 이러한 클라이언트는 클라우드에서 솔루션을 개발 하는 소규모 조직부터 워크 로드를 마이그레이션하고 클라우드 네이티브 솔루션을 개발 하는 독립 소프트웨어 공급 업체에 이르기까지 광범위 합니다.Those clients range from small organizations developing solutions in the cloud to large multinational enterprises and independent software vendors who are migrating workloads and developing cloud-native solutions. 엔터프라이즈 스 캐 폴드은 Azure 플랫폼 기능을 기반으로 하는 SaaS (software as a service) 응용 프로그램을 만드는 개발자와 같이 기존의 IT 워크 로드와 agile 워크 로드를 유연 하 게 지원 하기 위해 "용도에 맞게" 설계 되었습니다.The enterprise scaffold is "purpose-built" to be flexible to support both traditional IT workloads and agile workloads, such as developers creating software as a service (SaaS) applications based on Azure platform capabilities.

엔터프라이즈 스캐폴드는 Azure 내에서 각각의 새로운 구독을 위한 기초로 고안된 것입니다.The enterprise scaffold is intended to be the foundation of each new subscription within Azure. 따라서 관리자는 비즈니스 그룹 및 개발자가 자신의 목표를 신속하게 충족하도록 하면서도 조직의 최소 관리 요구 사항을 충족하도록 할 수 있습니다.It enables administrators to ensure workloads meet the minimum governance requirements of an organization without preventing business groups and developers from quickly meeting their own goals. 경험에 따르면 이러한 스캐폴드는 공용 클라우드 성장을 지연시키기보다 획기적으로 가속화하고 있는 것으로 나타나고 있습니다.Our experience shows that this greatly speeds, rather than impedes, public cloud growth.

참고

Microsoft는 구독 및 관리 그룹에서 공통 이미지, 템플릿, 정책 및 스크립트를 패키지, 관리 및 배포할 수 있는 Azure Blueprints라는 새로운 기능을 미리 보기로 출시했습니다.Microsoft has released into preview a new capability called Azure Blueprints that will enable you to package, manage, and deploy common images, templates, policies, and scripts across subscriptions and management groups. 이 기능을 통해 스캐폴더를 참조 모델로 활용하여 조직에 배포할 수 있습니다.This capability is the bridge between the scaffold's purpose as reference model and deploying that model to your organization.

다음 이미지는 스캐폴드의 구성 요소를 보여 줍니다.The following image shows the components of the scaffold. 근본적으로 관리 계층 구조 및 구독에 대한 견고한 계획을 토대로 합니다.The foundation relies on a solid plan for the management hierarchy and subscriptions. 기본 요소는 Resource Manager 정책 및 강력한 이름 지정 표준으로 구성됩니다.The pillars consist of Resource Manager policies and strong naming standards. 스캐폴드의 나머지는 부분은 안전하고 관리하기 쉬운 환경을 지원하고 연결하는 핵심 Azure 성능 및 기능입니다.The rest of the scaffold are core Azure capabilities and features that enable and connect a secure and manageable environment.

엔터프라이즈 스캐폴드

계층 구조 정의Define your hierarchy

스캐폴드의 기반은 구독 및 리소스 그룹에 대한 Azure 기업 등록계약의 계층 및 관계입니다.The foundation of the scaffold is the hierarchy and relationship of the Azure Enterprise Enrollment through to subscriptions and resource groups. 기업 등록계약은 계약 관점에서 회사 내의 Azure 서비스 형태 및 사용을 정의합니다.The enterprise enrollment defines the shape and use of Azure services within your company from a contractual point of view. 기업계약 내에서 조직의 구조와 일치 하도록 환경을 부서, 계정, 구독 및 리소스 그룹으로 세분화할 수 있습니다.Within the Enterprise Agreement, you can further subdivide the environment into departments, accounts, subscriptions, and resource groups to match your organization's structure.

계층(hierarchy)

Azure 구독은 모든 리소스가 포함된 기본 단위입니다.An Azure subscription is the basic unit where all resources are contained. Azure 내에서 코어 수, 가상 네트워크 및 기타 리소스 등과 같은 한도도 정의합니다.It also defines several limits within Azure, such as number of cores, virtual networks and other resources. Azure 리소스 그룹은 구독 모델을 추가로 세분화하고, 보다 자연적인 리소스 그룹을 사용하도록 설정하는 데 사용됩니다.Azure Resource Groups are used to further refine the subscription model and enable a more natural grouping of resources.

모든 기업은 서로 다르며 위 이미지의 계층 구조를 통해 회사 내에서 Azure가 구성되는 방식에 상당한 유연성을 허용할 수 있습니다.Every enterprise is different and the hierarchy in the above image allows for significant flexibility in how Azure is organized within your company. 회사의 청구, 리소스 관리 및 리소스 액세스 요구를 반영 하도록 계층을 모델링 하는 것은 공용 클라우드에서 시작할 때 가장 중요 한 첫 번째 결정입니다.Modeling your hierarchy to reflect your company's billing, resource management, and resource access needs is the first and most important decision you make when starting in the public cloud.

부서 및 계정Departments and Accounts

Azure Enrollment에 대한 일반적인 세 가지 패턴은 다음과 같습니다.The three common patterns for Azure Enrollments are:

  • 기능 패턴:The functional pattern:

    기능 패턴

  • 비즈니스 단위 패턴:The business unit pattern:

    비즈니스 단위 패턴

  • 지리적 패턴:The geographic pattern:

    지리 패턴

이러한 각 패턴이 다양하게 활용되고 있지만 사업부 패턴은 유연하게 조직의 비용 모델을 모델링하고 제어 범위를 반영할 수 있으므로 점점 더 많이 채택되고 있습니다.Though each of these patterns has its place, the business unit pattern is increasingly being adopted for its flexibility in modeling an organization's cost model as well as reflecting span of control. Microsoft Core 엔지니어링 및 운영 그룹은 연방, 지역에서 모델링 된 비즈니스 단위 패턴의 효과적인 하위 집합을 만들었습니다.Microsoft Core Engineering and Operations group has created an effective subset of the business unit pattern modeled on Federal, State, and Local. 자세한 내용은 엔터프라이즈 내에서 구독 및 리소스 그룹 구성을 참조 하세요.For more information, see Organizing subscriptions and resource groups within the Enterprise.

Azure 관리 그룹Azure management groups

이제 Microsoft는 계층 구조를 모델링 하는 또 다른 방법을 제공 합니다. Azure 관리 그룹을 출시했습니다.Microsoft now provides another way to model your hierarchy: Azure management groups. 관리 그룹은 부서와 계정에 비해 훨씬 더 유연 하며, 최대 6 개 수준까지 중첩 될 수 있습니다.Management groups are much more flexible than departments and accounts, and they can be nested up to six levels. 관리 그룹을 사용 하면 리소스를 효율적으로 관리할 수 있도록 청구 계층과는 별도로 계층을 만들 수 있습니다.Management groups let you create a hierarchy that is separate from your billing hierarchy, solely for efficient management of resources. 관리 그룹은 청구 계층 구조를 미러링할 수 있으며, 기업은 이 방식으로 시작하는 경우가 많습니다.Management groups can mirror your billing hierarchy and often enterprises start that way. 그러나 관리 그룹은 이러한 기능을 사용 하 여 조직을 모델링 하 고, 청구 계층의 위치에 관계 없이 관련 구독을 그룹화 하 고, 공통 역할, 정책 및 이니셔티브를 할당 하는 데 사용 됩니다.However, the power of management groups is when you use them to model your organization, grouping together related subscriptions (regardless of their location in the billing hierarchy) and assigning common roles, policies, and initiatives. 일부 사례:Some examples include:

  • 프로덕션 및 비프로덕션.Production vs. nonproduction. 일부 기업은 프로덕션 및 비프로덕션 구독을 식별 하는 관리 그룹을 만듭니다.Some enterprises create management groups to identify their production and nonproduction subscriptions. 관리 그룹은 이러한 고객이 역할 및 정책을 보다 쉽게 관리할 수 있게 해줍니다.Management groups allow these customers to more easily manage roles and policies. 예를 들어 비프로덕션 구독은 개발자에 게 "참가자" 액세스를 허용할 수 있지만 프로덕션 환경에서는 "읽기 권한자" 액세스만 있습니다.For example, nonproduction subscription may allow developers "contributor" access, but in production, they have only "reader" access.
  • 내부 서비스 및 외부 서비스Internal services vs. external services. 기업에는 종종 내부 서비스와 고객 관련 서비스에 대 한 다양 한 요구 사항, 정책 및 역할이 있습니다.Enterprises often have different requirements, policies, and roles for internal services versus customer-facing services.

잘 디자인 된 관리 그룹은 Azure의 효율적인 관리의 백본 인 Azure Policy 및 이니셔티브와 함께 사용 됩니다.Well-designed management groups are, along with Azure Policy and Initiatives, the backbone of efficient governance of Azure.

구독Subscriptions

부서 및 계정(또는 관리 그룹)을 결정할 때는 주로 조직에 맞게 Azure 환경을 구분하는 방법을 고려하게 됩니다.When deciding on your Departments and Accounts (or management groups), you are primarily looking at how you're dividing up your Azure environment to match your organization. 그러나 구독은 실제 작업을 수행 하 고 여기에서 결정 한 사항은 보안, 확장성 및 청구에 영향을 줍니다.Subscriptions, however, are where the real work happens and your decisions here affect security, scalability, and billing. 많은 조직은 다음 패턴을 참조합니다.Many organizations look at the following patterns as their guides:

  • 응용 프로그램/서비스: 구독은 애플리케이션 또는 서비스(애플리케이션의 포트폴리오)를 나타냅니다.Application/service: Subscriptions represent an application or a service (portfolio of applications)
  • 주기 구독은 프로덕션 또는 개발과 같은 서비스 수명 주기를 나타냅니다.Lifecycle: Subscriptions represent a lifecycle of a service, such as Production or Development.
  • 부서: 구독은 조직의 부서를 나타냅니다.Department: Subscriptions represent departments in the organization.

처음 두 패턴이 가장 일반적으로 사용되며 둘 다 권장됩니다.The first two patterns are the most commonly used, and both are highly recommended. 수명 주기 접근 방법은 대부분의 조직에 적합합니다.The Lifecycle approach is appropriate for most organizations. 이 경우 일반 권장 사항은 두 개의 기본 구독을 사용하는 것입니다.In this case, the general recommendation is to use two base subscriptions. "Production" 및 "비프로덕션"를 선택한 후 리소스 그룹을 사용 하 여 환경을 자세히 나눕니다."Production" and "Nonproduction," and then use resource groups to break out the environments further.

리소스 그룹Resource groups

Azure Resource Manager를 사용하면 리소스를 관리, 청구 또는 자연 선호도를 위해 의미 있는 그룹으로 배치할 수 있습니다.Azure Resource Manager enables you to put resources into meaningful groups for management, billing, or natural affinity. 리소스 그룹은 공통 수명 주기를 포함하고 "모든 SQL Server" 또는 "애플리케이션 A"와 같은 특성을 공유하는 리소스 컨테이너입니다.Resource groups are containers of resources that have a common lifecycle or share an attribute such as "all SQL servers" or "Application A".

리소스 그룹은 중첩될 수 없으며 리소스는 하나의 리소스 그룹에만 속할 수 있습니다.Resource groups can't be nested, and resources can only belong to one resource group. 일부 작업은 리소스 그룹의 모든 리소스에 작용할 수 있습니다.Some actions can act on all resources in a resource group. 예를 들어 리소스 그룹을 삭제하면 해당 리소스 그룹 내의 모든 리소스가 제거됩니다.For example, deleting a resource group removes all resources within the resource group. 구독과 마찬가지로, 리소스 그룹을 만들 경우 공통 패턴이 있으며 “기존 IT” 워크로드부터 “기민한 IT” 워크로드까지 다양합니다.Like subscriptions, there are common patterns when creating resource groups and will vary from "Traditional IT" workloads to "Agile IT" workloads:

  • 가장 일반적으로 "기존 IT" 워크로드는 동일한 수명 주기(예: 애플리케이션) 내에서 항목별로 그룹화됩니다."Traditional IT" workloads are most commonly grouped by items within the same lifecycle, such as an application. 애플리케이션별 그룹화를 통해 개별 애플리케이션 관리가 가능합니다.Grouping by application allows for individual application management.
  • "기민한 IT" 워크로드는 클라우드 애플리케이션을 접하는 외부 고객에 초점을 둡니다."Agile IT" workloads tend to focus on external customer-facing cloud applications. 리소스 그룹은 종종 배포(예: 웹 계층 또는 앱 계층) 및 관리 레이어를 반영합니다.The resource groups often reflect the layers of deployment (such as a web tier or app tier) and management.

참고

워크로드를 이해하면 리소스 그룹 전략을 개발하는 데 도움이 됩니다.Understanding your workload helps you develop a resource group strategy. 이러한 패턴을 혼합하여 일치시킬 수 있습니다.These patterns can be mixed and matched. 예를 들어, “기민한” 리소스 그룹과 동일한 구독의 공유 서비스 리소스 그룹이 있습니다.For example, a shared services resource group in the same subscription as "Agile" resource groups.

이름 지정 표준Naming standards

스캐폴드의 첫 번째 기본 요소는 일관된 이름 지정 표준입니다.The first pillar of the scaffold is a consistent naming standard. 잘 설계된 이름 지정 표준을 통해 포털, 청구지 및 스크립트 내에서 리소스를 식별할 수 있습니다.Well-designed naming standards enable you to identify resources in the portal, on a bill, and within scripts. 온-프레미스 인프라의 이름 지정 표준이 이미 있을 수 있습니다.You likely already have existing naming standards for on-premises infrastructure. Azure를 환경에 추가할 경우 이러한 이름 지정 표준을 Azure 리소스에 확장해야 합니다.When adding Azure to your environment, you should extend those naming standards to your Azure resources.

명명 규칙:For naming conventions:

  • 가능하다면 패턴 및 작업 방식 지침을 검토하고 도입하세요.Review and adopt where possible the Patterns and Practices guidance. 이 설명서를 통해 의미 있는 이름 지정 표준을 결정할 수 있으며 포괄적인 예제도 확인할 수 있습니다.This guidance helps you decide on a meaningful naming standard and provides extensive examples.
  • 리소스 관리자 정책을 사용 하 여 이름 지정 표준을 적용 하는 데 도움이 됩니다.Using Resource Manager Policies to help enforce naming standards.

나중에는 이름을 변경하기가 어려우므로 지금 몇 분을 투자해서 나중에 문제 해결에 필요한 시간을 단축할 수 있습니다.Remember that it's difficult to change names later, so a few minutes now will save you trouble later.

일반적으로 사용되고 검색되는 리소스에 대한 이름 지정 표준을 집중적으로 살펴봅니다.Concentrate your naming standards on those resources that are more commonly used and searched for. 예를 들어, 모든 리소스 그룹은 명확성을 위해 강력한 표준을 준수해야 합니다.For example, all resource groups should follow a strong standard for clarity.

리소스 태그Resource Tags

리소스 태그는 이름 지정 표준과 긴밀하게 연결됩니다.Resource tags are tightly aligned with naming standards. 구독에 리소스를 추가할 경우, 청구, 관리 및 운영 목적으로 이러한 리소스를 논리적으로 분류하는 것이 점점 더 중요해지고 있습니다.As resources are added to subscriptions, it becomes increasingly important to logically categorize them for billing, management, and operational purposes. 자세한 내용은 태그를 사용하여 Azure 리소스 구성을 참조하세요.For more information, see Use tags to organize your Azure resources.

중요

태그는 개인 정보를 포함할 수 있으며 GDPR 규정이 적용될 수 있습니다.Tags can contain personal information and may fall under the regulations of GDPR. 태그 관리를 신중하게 계획하세요.Plan for management of your tags carefully. GDPR에 대 한 일반 정보를 찾고 있는 경우 서비스 신뢰 포털의 gdpr 섹션을 참조 하세요.If you're looking for general information about GDPR, see the GDPR section of the Service Trust Portal.

태그는 청구 및 관리 이외의 다양한 방식에서 사용됩니다.Tags are used in many ways beyond billing and management. 자동화의 일부로도 자주 사용됩니다(이후 섹션 참조).They are often used as part of automation (see later section). 미리 고려하지 않으면 충돌이 발생할 수 있습니다.This can cause conflicts if not considered up front. 엔터프라이즈 수준 (예: ApplicationOwner 및 CostCenter)에서 모든 공통 태그를 식별 하 고 자동화를 사용 하 여 리소스를 배포할 때 일관 되 게 적용 하는 것이 좋습니다.The recommended practice is to identify all the common tags at the enterprise level (such as ApplicationOwner and CostCenter) and apply them consistently when deploying resources using automation.

Azure 정책 및 이니셔티브Azure Policy and Initiatives

스 캐 폴드의 두 번째 기둥에는 구독에서 리소스 및 서비스에 대 한 규칙 (효과 포함)을 적용 하 여 위험을 관리 하기 위해 Azure Policy 및 이니셔티브 를 사용 하는 것이 포함 됩니다.The second pillar of the scaffold involves using Azure Policy and initiatives to manage risk by enforcing rules (with effects) over the resources and services in your subscriptions. Azure 이니셔티브는 단일 목표를 달성하도록 디자인된 정책 컬렉션입니다.Azure Initiatives are collections of policies that are designed to achieve a single goal. 그런 다음 정책 및 이니셔티브를 리소스 범위에 할당 하 여 해당 정책의 적용을 시작 합니다.Policies and initiatives are then assigned to a resource scope to begin enforcement of those policies.

정책 및 이니셔티브는 앞에서 언급 한 관리 그룹과 함께 사용 하는 경우 훨씬 더 강력 합니다.Policies and initiatives are even more powerful when used with the management groups mentioned earlier. 관리 그룹은 이니셔티브 또는 정책을 전체 구독 집합에 할당할 수 있도록 합니다.Management groups enable the assignment of an initiative or policy to an entire set of subscriptions.

Resource Manager 정책의 일반적인 사용Common uses of Resource Manager policies

정책 및 이니셔티브는 Azure 도구 키트의 강력한 도구입니다.Policies and initiatives are a powerful tool in the Azure toolkit. 회사는 정책을 통해 비즈니스 응용 프로그램에 필요한 안정성을 제공 하는 "기존 IT" 워크 로드에 대 한 컨트롤을 제공 하 여 "Agile" 워크 로드—(예: 고객 응용 프로그램 개발)도 가능 하 게 할 수 있습니다. 엔터프라이즈를 추가 위험에 노출 하지 않습니다.Policies allow companies to provide controls for "Traditional IT" workloads that enable the stability that is needed for line-of-business applications while also allowing "Agile" workloads—for example, developing customer applications without exposing the enterprise to additional risk. 정책에 대 한 가장 일반적인 패턴은 다음과 같습니다.The most common patterns for policies are:

  • 지역 규정 준수 및 데이터 주권.Geo compliance and data sovereignty. Azure의 전 세계적인 지역 목록은 점점 더 증가하고 있습니다.Azure has an ever-growing list of regions across the world. 기업은 규정 요구 사항을 해결 하기 위해 특정 범위의 리소스가 지리적 지역에 남아 있는지 확인 해야 하는 경우가 많습니다.Enterprises often need to ensure that resources in a specific scope remain in a geographic region to address regulatory requirements.
  • 서버를 공개적으로 노출 하지 마십시오.Avoid exposing servers publicly. Azure Policy 특정 리소스 종류의 배포를 금지할 수 있습니다.Azure Policy can prohibit the deployment of certain resource types. 특정 범위 내에서 공용 IP 만들기를 거부 하는 정책을 만들어 서버가 인터넷에 의도 하지 않게 노출 되는 것을 방지 하는 것이 일반적입니다.It's common to create a policy to deny the creation of a public IP within a specific scope, avoiding unintended exposure of a server to the internet.
  • 비용 관리 및 메타 데이터.Cost management and metadata. 리소스 태그는 CostCenter, Owner 등의 리소스 및 리소스 그룹에 중요 한 청구 데이터를 추가 하는 데 종종 사용 됩니다.Resource tags are often used to add important billing data to resources and resource groups such as CostCenter, Owner, and more. 이러한 태그는 리소스의 정확한 청구 및 관리에 매우 유용합니다.These tags are invaluable for accurate billing and management of resources. 정책은 배포된 모든 리소스에 리소스 태그를 적용하여 보다 쉽게 관리할 수 있도록 합니다.Policies can enforce the application of resources tags to all deployed resource, making it easier to manage.

이니셔티브의 일반적인 목적Common uses of initiatives

이니셔티브는 기업에 논리 정책을 그룹화 하 고 단일 엔터티로 추적 하는 기능을 제공 합니다.Initiatives provide enterprises the ability to group logical policies and track them as a single entity. 이니셔티브를 통해 엔터프라이즈는 민첩 하 고 일반적인 워크 로드의 요구 사항을 해결할 수 있습니다.Initiatives help the enterprise address the needs of both agile and traditional workloads. 이니셔티브의 일반적인 용도는 다음과 같습니다.Common uses of initiatives include:

  • Azure Security Center 모니터링을 사용 하도록 설정 합니다.Enable monitoring in Azure Security Center. 이는 Azure Policy의 기본 이니셔티브 이며, 이니셔티브의 뛰어난 예입니다.This is a default initiative in the Azure Policy and an excellent example of what initiatives are. 암호화 되지 않은 SQL 데이터베이스, VM (가상 컴퓨터) 취약성 및 보다 일반적인 보안 관련 요구 사항을 식별 하는 정책을 사용할 수 있습니다.It enables policies that identify unencrypted SQL databases, virtual machine (VM) vulnerabilities, and more common security-related needs.
  • 규정 관련 이니셔티브.Regulatory-specific initiative. 기업은 규제 요구 사항(예: HIPAA)에 해당하는 정책을 그룹화하여 컨트롤 및 해당 컨트롤에 대한 준수를 효율적으로 추적할 수 있도록 합니다.Enterprises often group policies common to a regulatory requirement (such as HIPAA) so that controls and compliancy to those controls are tracked efficiently.
  • 리소스 유형 및 Sku.Resource types and SKUs. 배포할 수 있는 리소스 유형 뿐만 아니라 배포할 수 있는 SKU를 제한하는 이니셔티브를 만들 경우 비용을 제어하는 데 도움이 되며, 조직에서 팀이 지원하기 위한 기술 집합 및 절차를 보유하는 리소스만 배포하도록 할 수 있습니다.Creating an initiative that restricts the types of resources that can be deployed as well as the SKUs that can be deployed can help to control costs and ensure your organization is only deploying resources that your team have the skillset and procedures to support.

정책 정의 대신, 항상 이니셔티브 정의를 사용하는 것이 좋습니다.We recommend you always use initiative definitions instead of policy definitions. 구독 또는 관리 그룹과 같은 범위에 이니셔티브를 할당하면 할당을 변경하지 않고도 이니셔티브에 다른 정책을 쉽게 추가할 수 있습니다.After assigning an initiative to a scope, such as subscription or management group, you can easily add another policy to the initiative without having to change any assignments. 이를 통해 적용되는 정책을 훨씬 더 쉽게 이해하고 규정 준수를 편리하게 추적할 수 있습니다.This makes understanding what is applied and tracking compliance far easier.

정책 및 이니셔티브 할당Policy and Initiative assignments

정책을 만들고 논리적 이니셔티브로 그룹화한 후에는 관리 그룹, 구독 또는 심지어 리소스 그룹에 해당하는 범위에 정책을 할당해야 합니다.After the creation of policies and grouping them into logical initiatives you must assign the policy to a scope, whether it is a management group, a subscription or even a resource group. 할당을 통해 정책 할당에서 하위 범위를 제외할 수도 있습니다.Assignments allow you to also exclude a subscope from the assignment of a policy. 예를 들어 구독 내에서 공용 IP의 생성을 거부하는 경우, 리소스 그룹에 대한 제외를 보호된 DMZ에 연결하여 할당을 만들 수 있습니다.For example, if you deny the creation of public IPs within a subscription, you could create an assignment with an exclusion for a resource group connected to your protected DMZ.

GitHub 리포지토리에서 Azure 내 다양한 리소스에 정책 및 이니셔티브를 적용할 수 있는 방법을 보여 주는 여러 가지 정책 예제를 확인할 수 있습니다.You will find several Policy examples that show how Policy and Initiatives can be applied to various resources within Azure on this GitHub repository.

ID 및 액세스 관리Identity and access management

공용 클라우드로 시작할 때 “누구에게 리소스 액세스 권한이 있어야 하는가”와One of the first, and most crucial, questions you ask yourself when starting with the public cloud is "who should have access to resources?" "이 액세스를 어떻게 제어할 수 있는가?"라는 의문이 들 수 있습니다.and "how do I control this access?" 포털에서 Azure Portal 및 리소스에 대 한 액세스를 제어 하는 것은 클라우드에서 자산의 장기적인 보안에 매우 중요 합니다.Controlling access to the Azure portal and resources in the portal is critical to the long-term safety of your assets in the cloud.

리소스에 대 한 액세스를 보호 하려면 먼저 id 공급자를 구성 하 고 역할 및 액세스를 구성 합니다.To secure access to your resources you will first configure your identity provider and then configure Roles and access. 온-프레미스 Active Directory에 연결되어 있는 Azure AD(Azure Active Directory)는 Azure ID의 기반이 됩니다.Azure Active Directory (Azure AD), connected to your on-premises Active Directory, is the foundation of Azure Identity. 즉, Azure AD는 온-프레미스 Active Directory와 동일 하지 않으며, azure ad 테 넌 트가 무엇 인지와 azure 등록에 어떤 관계가 있는지 이해 하는 것이 중요 합니다.That said, Azure AD is not the same as on-premises Active Directory, and it's important to understand what an Azure AD tenant is and how it relates to your Azure enrollment. Azure AD 및 온-프레미스 Active Directory의 견고한 기반을 얻기 위해 사용 가능한 정보 를 검토 합니다.Review the available information to gain a solid foundation on Azure AD and on-premises Active Directory. Active Directory를 Azure AD에 연결 하 고 동기화 하려면 온-프레미스 Azure AD Connect 도구 를 설치 하 고 구성 합니다.To connect and synchronize your Active Directory to Azure AD, install and configure the Azure AD Connect tool on-premises.

arch.png

Azure가 처음으로 릴리스되었을 때 구독에 대한 액세스 제어는 기본적인 관리자 또는 공동 관리자였습니다.When Azure was initially released, access controls to a subscription were basic: Administrator or Co-Administrator. 클래식 모델에서 구독에 대한 액세스에는 포털에 있는 모든 리소스에 대한 액세스를 포함합니다.Access to a subscription in the Classic model implied access to all the resources in the portal. 세분화된 제어가 부족하므로 Azure Enrollment에 합당한 액세스 제어 수준을 제공하기 위해 구독 수가 증가하는 단점이 있었습니다.This lack of fine-grained control led to the proliferation of subscriptions to provide a level of reasonable access control for an Azure Enrollment. 이제 더 이상 구독 수를 늘리지 않아도 됩니다.This proliferation of subscriptions is no longer needed. RBAC (역할 기반 액세스 제어)를 사용 하 여 "소유자", "참가자" 또는 "판독기"와 같은 일반적인 액세스를 제공 하는 표준 역할에 사용자를 할당 하거나 사용자 고유의 역할을 만들 수 있습니다.With role-based access control (RBAC), you can assign users to standard roles that provide common access such as "owner", "contributor" or "reader" or even create your own roles.

역할 기반 액세스를 구현할 때는 다음 작업이 강력히 권장됩니다.When implementing role-based access, the following are highly recommended:

  • 이러한 역할은 광범위한 사용 권한이 있으므로 구독의 관리자/공동 관리자를 제어합니다.Control the Administrator/Co-Administrator of a subscription as these roles have extensive permissions. Azure 클래식 배포를 관리해야 하는 경우 구독 소유자만 공동 관리자로 추가하면 됩니다.You only need to add the Subscription Owner as a Co-administrator if they need to managed Azure Classic deployments.
  • 관리 그룹을 사용하여 여러 구독에 역할을 할당하고, 구독 수준에서 관리 부담을 줄입니다.Use management groups to assign roles across multiple subscriptions and reduce the burden of managing them at the subscription level.
  • Active Directory에서 Azure 사용자를 그룹에 추가합니다(예를 들어, 애플리케이션 X 소유자).Add Azure users to a group (for example, Application X Owners) in Active Directory. 동기화된 그룹을 사용하여 애플리케이션이 포함된 리소스 그룹을 관리하는 데 필요한 권한을 그룹 구성원에 제공합니다.Use the synced group to provide group members the appropriate rights to manage the resource group containing the application.
  • 예상되는 작업을 수행하는 데 필요한 최소한의 권한을 부여하는 원리를 따릅니다.Follow the principle of granting the least privilege required to do the expected work.

중요

Azure AD Privileged Identity Management, Azure Multi-Factor Authentication조건부 액세스 기능을 사용하여 Azure 구독에 대한 관리 작업에 더 나은 보안과 가시성을 제공하는 것이 좋습니다.Consider using Azure AD Privileged Identity Management, Azure Multi-Factor Authentication and Conditional Access capabilities to provide better security and more visibility to administrative actions across your Azure subscriptions. 이러한 기능은 ID를 보다 안전하게 보호하고 관리하기 위해 유효한 Azure AD Premium 라이선스(기능에 따라)에서 제공됩니다.These capabilities come from a valid Azure AD Premium license (depending on the feature) to further secure and manage your identity. Azure AD PIM은 승인 워크플로와 관리자 활성화 및 활동의 전체 감사를 통해 “Just-in-Time” 관리 액세스를 허용합니다.Azure AD PIM enables "Just-in-Time" administrative access with approval workflow, as well as a full audit of administrator activations and activities. Azure Multi-factor Authentication은 또 다른 중요 한 기능으로, Azure Portal 로그인에 대 한 2 단계 인증을 사용 하도록 설정 합니다.Azure Multi-Factor Authentication is another critical capability and enables two-step verification for login to the Azure portal. 조건부 액세스 컨트롤과 함께 사용하면 보안 위험을 효과적으로 관리할 수 있습니다.When combined with Conditional Access Controls you can effectively manage your risk of compromise.

ID 및 액세스 컨트롤을 계획 및 준비하고, Azure ID 관리 모범 사례(링크)를 따르는 것이 사용할 수 있는 최적의 위험 완화 전략 중 하나이며 모든 배포에 필수적으로 고려해야 합니다.Planning and preparing for your identity and access controls and following Azure Identity Management best practice (link) is one of the best risk mitigation strategies that you can employ and should be considered mandatory for every deployment.

보안Security

기본적으로 클라우드를 도입하는 데 있어 가장 큰 장애물 중 하나는 보안과 관련된 문제일 것입니다.One of the biggest blockers to cloud adoption traditionally has been concerns over security. IT 위험 관리자 및 보안 부서는 기본적으로 Azure의 리소스가 보호되고 안전하다는 것을 보장해야 합니다.IT risk managers and security departments need to ensure that resources in Azure are protected and secure by default. Azure는 리소스를 검색 하 고 제거 하는 동안 리소스를 보호 하는 데 사용할 수 있는 기능을 제공 합니다.Azure provides capabilities you can use to protect resources while detecting and eliminating threats against those resources.

Azure Security CenterAzure Security Center

Azure Security Center에서는 고급 위협 보호 외에도 환경에서 사용되는 리소스 보안 상태를 통합된 보기로 제공합니다.The Azure Security Center provides a unified view of the security status of resources across your environment in addition to advanced threat protection. Azure Security Center는 Microsoft 파트너가 연결되는 소프트웨어를 만들고 기능을 강화할 수 있는 개방형 플랫폼입니다.Azure Security Center is an open platform that enables Microsoft partners to create software that plugs into and enhance its capabilities. Azure Security Center (무료 계층)의 기준 기능은 보안 상태를 향상 시키는 평가 및 권장 사항을 제공 합니다.The baseline capabilities of Azure Security Center (free tier) provide assessment and recommendations that will enhance your security posture. 유료 계층은 just-in-time 관리자 액세스 및 적응 응용 프로그램 컨트롤 (허용 목록)과 같은 중요 한 추가 기능을 사용할 수 있습니다.Its paid tiers enable additional and valuable capabilities such as just-in-time admin access and adaptive application controls (whitelisting).

Azure Security Center는 위협을 감지 하 고 엔터프라이즈를 보호 하는 데 사용할 수 있는 새로운 기능을 통해 정기적으로 개선 되는 강력한 도구입니다.Azure Security Center is a powerful tool that is regularly improved with new capabilities you can use to detect threats and protect your enterprise. 항상 Azure Security Center를 사용 하도록 설정 하는 것이 좋습니다.It is highly recommended to always enable Azure Security Center.

Azure 리소스 잠금Azure resource locks

조직에서 구독에 핵심 서비스를 추가 하면 비즈니스 중단을 방지 하는 데 점점 더 중요 하 게 됩니다.As your organization adds core services to subscriptions, it becomes increasingly important to avoid business disruption. 자주 확인되는 한 가지 중단 유형은 Azure 구독에서 사용되는 스크립트 및 도구의 의도치 않은 결과로, 리소스가 잘못 삭제되는 상황을 가져옵니다.One type of disruption that we often see is unintended consequences of scripts and tools working against an Azure subscription deleting resources mistakenly. 리소스 잠금을 통해 리소스를 삭제할 경우 상당한 영향을 미치는 높은 가치의 리소스에서 작업을 제한할 수 있습니다.Resource Locks enable you to restrict operations on high-value resources where modifying or deleting them would have a significant impact. 잠금은 구독, 리소스 그룹 또는 심지어 개별 리소스에도 적용됩니다.Locks are applied to a subscription, resource group, or even individual resources. 일반적인 사용 사례는 가상 네트워크, 게이트웨이, 네트워크 보안 그룹, 키 저장소 계정 등의 기본 리소스에 잠금을 적용 하는 것입니다.The common use case is to apply locks to foundational resources such as virtual networks, gateways, network security groups, and key storage accounts.

Secure DevOps ToolkitSecure DevOps Toolkit

AzSK (Secure DevOps Kit for Azure)는 Microsoft의 자체 IT 팀에서 원래 만들어졌으며 GitHub를 통해 오픈 소스로 출시된 스크립트, 도구, 확장 및 자동화 컬렉션입니다.The Secure DevOps Kit for Azure (AzSK) is a collection of scripts, tools, extensions, and automations originally created by Microsoft's own IT team and released as open source via GitHub. 광범위 한 자동화를 사용 하 고 보안을 기본 DevOps 워크플로로 원활 하 게 통합 하는 팀에 대 한 종단 간 Azure 구독 및 리소스 보안 요구를 AzSK 맞춘 하 여 다음과 같은 6 개의 주요 영역으로 보안 DevOps를 달성할 수 있습니다.AzSK caters to the end-to-end Azure subscription and resource security needs for teams using extensive automation and smoothly integrating security into native DevOps workflows helping accomplish secure DevOps with these six focus areas:

  • 구독 보안 유지Secure the subscription
  • 보안 개발 사용Enable secure development
  • CICD에 보안 통Integrate security into CICD
  • 지속적인 보증Continuous assurance
  • 경고 및 모니터링Alerting and monitoring
  • 클라우드 위험 관리Cloud risk governance

Azure DevOps Toolkit

AzSK는 다양 한 도구, 스크립트 및 정보 집합으로, 전체 Azure 거 버 넌 스 계획의 중요 한 부분이 며,이를 스 캐 폴드에 통합 하면 조직의 위험 관리 목표를 지원할 수 있습니다.The AzSK is a rich set of tools, scripts, and information that are an important part of a full Azure governance plan and incorporating this into your scaffold is crucial to supporting your organizations risk management goals.

Azure 업데이트 관리Azure Update Management

환경 안전을 유지하기 위해 수행할 수 있는 주요 태스크 중 하나는 최신 업데이트로 서버를 패치하는 것입니다.One of the key tasks you can do to keep your environment safe is ensure that your servers are patched with the latest updates. 이 작업을 수행하기 위한 많은 도구가 있지만 Azure는 중요한 OS 패치의 식별 및 롤아웃을 진행하는 Azure 업데이트 관리 솔루션을 제공합니다.While there are many tools to accomplish this, Azure provides the Azure Update Management solution to address the identification and rollout of critical OS patches. 이 솔루션은 본 가이드 후반부의 자동화 섹션에 나오는 Azure Automation을 사용합니다.It uses Azure Automation, covered in the Automate section later in this guide.

모니터 및 경고Monitor and alerts

응용 프로그램을 사전에 관리 하 고 Azure 구독에서 사용 하는 서비스의 가용성, 성능 메트릭, 상태 및 가용성에 대 한 시야를 제공 하는 원격 분석을 수집 하 고 분석 하는 것은 중요 합니다. 인프라 및는 모든 Azure 구독의 기본적인 요구입니다.Collecting and analyzing telemetry that provides line of sight into the activities, performance metrics, health, and availability of the services you are using across your Azure subscriptions is critical to proactively manage your applications and infrastructure and is a foundational need of every Azure subscription. 모든 Azure 서비스는 활동 로그, 메트릭 및 진단 로그 형식의 원격 분석을 내보냅니다.Every Azure service emits telemetry in the form of activity logs, metrics, and diagnostic logs.

  • 활동 로그 는 구독의 리소스에서 수행 되는 모든 작업을 설명 합니다.Activity logs describe all operations performed on resources in your subscriptions.
  • 메트릭은 리소스의 성능 및 상태를 설명 하는 리소스에서 내보내는 숫자 정보입니다.Metrics are numerical information emitted by a resource that describe the performance and health of a resource.
  • 진단 로그 는 Azure 서비스에서 내보내고 해당 서비스의 작업에 대 한 풍부 하 고 빈번한 데이터를 제공 합니다.Diagnostic logs are emitted by an Azure service and provide rich, frequent data about the operation of that service.

이 정보는 여러 수준에서 보고 작업할 수 있으며 지속적으로 개선 되 고 있습니다.This information can be viewed and acted on at multiple levels and are continually being improved. Azure는 아래 다이어그램에 설명 된 서비스를 통해 Azure 리소스의 공유, 코어심층 모니터링 기능을 제공 합니다.Azure provides shared, core, and deep monitoring capabilities of Azure resources through the services outlined in the diagram below.

모니터링

공유 기능Shared capabilities

  • 알립니다 Azure 리소스에서 모든 로그, 이벤트 및 메트릭을 수집할 수 있지만 중요 한 조건 및 작업에 대 한 통지를 받을 수 있는 기능 없이이 데이터는 기록 목적 및 법률에만 유용 합니다.Alerts: You can collect every log, event, and metric from Azure resources, but without the ability to be notified of critical conditions and act, this data is only useful for historic purposes and forensics. Azure 경고는 모든 애플리케이션 및 인프라에서 사용자가 정의하게 되는 상태를 미리 알립니다.Azure Alerts proactively notify you of conditions you define across all your applications and infrastructure. 작업 그룹을 사용 하 여 받는 사람 집합에 알리기 위해 로그, 이벤트 및 메트릭에 대 한 경고 규칙을 만듭니다.You create alert rules across logs, events, and metrics that use action groups to notify sets of recipients. 또한 작업 그룹은 웹후크와 같은 외부 작업을 사용하여 Azure Automation Runbook 및 Azure Functions를 실행함으로써 수정 작업을 자동화하는 기능도 제공합니다.Action groups also provide the ability to automate remediation using external actions such as webhooks to run Azure Automation runbooks and Azure Functions.

  • 대시보드 대시보드를 사용하면 모니터링 뷰를 집계하고 여러 리소스와 구독 간에 데이터를 조합하여 Azure 리소스의 원격 분석에 엔터프라이즈 차원의 보기를 제공할 수 있습니다.Dashboards: Dashboards enable you to aggregate monitoring views and combine data across resources and subscriptions to give you an enterprise-wide view into the telemetry of Azure resources. 자체 보기를 만들어 구성한 후 다른 사용자와 공유할 수 있습니다.You can create and configure your own views and share them with others. 예를 들어, DBA가 Azure SQL DB, Azure DB for PostgreSQL 및 Azure DB for MySQL을 포함하는 모든 Azure 데이터베이스 서비스에서 정보를 제공할 수 있도록 하기 위해 다양한 타일로 구성된 대시보드를 만들 수 있습니다.For example, you could create a dashboard consisting of various tiles for DBAs to provide information across all Azure database services, including Azure SQL DB, Azure DB for PostgreSQL and Azure DB for MySQL.

  • 메트릭 탐색기: 메트릭은 리소스의 작업 및 성능에 대 한 통찰력을 제공 하는 Azure 리소스 (예:% CPU 또는 디스크 i/o)에서 생성 되는 숫자 값입니다.Metrics Explorer: Metrics are numerical values generated by Azure resources (such as % CPU or Disk I/O) that provide insight into the operation and performance of your resources. 메트릭 탐색기를 사용 하 여 집계 및 분석을 위해 Log Analytics 관심이 있는 메트릭을 정의 하 고 보낼 수 있습니다.Using Metrics Explorer, you can define and send the metrics that interest you to Log Analytics for aggregation and analysis.

핵심 모니터링Core monitoring

  • Azure Monitor: Azure Monitor는 Azure 리소스를 모니터링하는 단일 원본이 되는 핵심 플랫폼 서비스입니다.Azure Monitor: Azure Monitor is the core platform service that provides a single source for monitoring Azure resources. Azure Monitor의 Azure Portal 인터페이스는 Application Insights, Log Analytics, 네트워크 모니터링, 관리 솔루션 등의 심층 모니터링 기능을 포함 하 여 Azure에서 모든 모니터링 기능에 대 한 중앙 집중 된 점프를 제공 합니다. 서비스 맵.The Azure portal interface of Azure Monitor provides a centralized jump off point for all the monitoring features across Azure including the deep monitoring capabilities of Application Insights, Log Analytics, Network Monitoring, Management Solutions and Service Maps. Azure Monitor를 사용 하 여 전체 클라우드 공간 전체의 Azure 리소스에서 제공 되는 메트릭 및 로그에 대해 시각화, 쿼리, 라우팅, 보관 및 조치를 수행할 수 있습니다.With Azure Monitor you can visualize, query, route, archive, and act on the metrics and logs coming from Azure resources across your entire cloud estate. 포털 외에도 Monitor PowerShell Cmdlet, 플랫폼 간 CLI 또는 Azure Monitor REST Api를 통해 데이터를 검색할 수 있습니다.In addition to the portal you can retrieve data through the Monitor PowerShell Cmdlets, Cross Platform CLI, or the Azure Monitor REST APIs.

  • Azure Advisor: Azure Advisor은 구독과 환경에서 원격 분석을 지속적으로 모니터링 하 고 비용을 절감 하 고 리소스의 성능, 보안 및 가용성을 향상 시키기 위해 Azure 리소스를 최적화 하는 방법에 대 한 모범 사례에 대 한 권장 사항을 제공 합니다 응용 프로그램을 구성 합니다.Azure Advisor: Azure Advisor constantly monitors telemetry across your subscriptions and environments and provides recommendations on best practices on how to optimize your Azure resources to save money and improve performance, security, and availability of the resources that make up your applications.

  • Service Health: Azure Service Health는 응용 프로그램에 영향을 줄 수 있는 Azure 서비스의 문제를 식별 하 고 예약 된 유지 관리 기간에 대 한 계획을 지원 합니다.Service Health: Azure Service Health identifies any issues with Azure Services that may affect your applications as well as assists you in planning for scheduled maintenance windows.

  • 활동 로그: 활동 로그는 구독에 있는 리소스에 대 한 모든 작업을 설명 합니다.Activity log: The activity log describes all operations on resources in your subscriptions. 이 로그는 리소스에 대한 만들기, 업데이트, 삭제 작업의 ‘대상’, ‘주체’ 및 ‘시기’를 파악할 수 있는 감사 추적을 제공합니다.It provides an audit trail to determine the 'what', 'who', and 'when' of any create, update, delete operation on resources. 활동 로그 이벤트는 플랫폼에 저장 되며 90 일 동안 쿼리할 수 있습니다.Activity log events are stored in the platform and are available to query for 90 days. 더 긴 보존 기간에 대 한 Log Analytics에 활동 로그를 수집 하 고 여러 리소스에서 더 많은 쿼리 및 분석을 수행할 수 있습니다.You can ingest activity logs into Log Analytics for longer retention periods and deeper querying and analysis across multiple resources.

심층 애플리케이션 모니터링Deep application monitoring

  • Application Insights: Application Insights를 사용 하면 응용 프로그램 관련 원격 분석을 수집 하 고 클라우드 또는 온-프레미스에서 응용 프로그램의 성능, 가용성 및 사용량을 모니터링할 수 있습니다.Application Insights: Application Insights enables you to collect application-specific telemetry and monitor the performance, availability, and usage of applications in the cloud or on-premises. .NET, JavaScript, JAVA, node.js, Ruby, Python 등의 여러 언어에 대해 지원 되는 Sdk를 사용 하 여 응용 프로그램을 계측 합니다.By instrumenting your application with supported SDKs for multiple languages including .NET, JavaScript, JAVA, Node.js, Ruby, and Python. Application Insights 이벤트는 인프라 및 보안 모니터링을 지원하는 동일한 Log Analytics 데이터 저장소에 수집되므로 풍부한 쿼리 언어를 통해 이벤트 간 상관 관계를 파악하고 시간에 따라 이벤트를 집계할 수 있습니다.Application Insights events are ingested into the same Log Analytics data store that supports infrastructure and security monitoring to enable you to correlate and aggregate events over time through a rich query language.

심층 인프라 모니터링Deep infrastructure monitoring

  • Log Analytics: Log Analytics는 다양한 원본에서 원격 분석 및 기타 데이터를 수집하고 애플리케이션 및 리소스의 작업에 대한 인사이트를 제공하는 쿼리 언어 및 분석 엔진을 제공하여 Azure 모니터링에서 중심적인 역할을 수행합니다.Log Analytics: Log Analytics plays a central role in Azure monitoring by collecting telemetry and other data from a variety of sources and providing a query language and analytics engine that gives you insights into the operation of your applications and resources. 고성능 로그 검색 및 보기를 통해 Log Analytics 데이터와 직접 상호 작용하거나 Application Insights 또는 Azure Security Center 같은 Log Analytics에 데이터를 저장하는 다른 Azure 서비스에서 분석 도구를 사용할 수도 있습니다.You can either interact directly with Log Analytics data through highly performant log searches and views, or you may use analysis tools in other Azure services that store their data in Log Analytics such as Application Insights or Azure Security Center.

  • 네트워크 모니터링: Azure의 네트워크 모니터링 서비스를 사용 하면 네트워크 트래픽 흐름, 성능, 보안, 연결 및 병목 상태에 대 한 통찰력을 얻을 수 있습니다.Network monitoring: Azure's network monitoring services enable you to gain insight into network traffic flow, performance, security, connectivity, and bottlenecks. 잘 계획된 네트워크 디자인에는 Network Watcher 및 ExpressRoute Monitor와 같은 Azure 네트워크 모니터링 서비스의 구성 작업이 포함되어야 합니다.A well-planned network design should include configuring Azure network monitoring services such as Network Watcher and ExpressRoute Monitor.

  • 관리 솔루션: 관리 솔루션은 응용 프로그램 또는 서비스에 대 한 논리, 통찰력 및 미리 정의 된 Log Analytics 쿼리 집합입니다.Management solutions: Management solutions are packaged sets of logic, insights, and predefined Log Analytics queries for an application or service. 이러한 솔루션은 이벤트 데이터를 저장하고 분석하기 위한 토대로 Log Analytics를 활용합니다.They rely on Log Analytics as the foundation to store and analyze event data. 샘플 관리 솔루션에는 모니터링 컨테이너 및 Azure SQL Database 분석이 포함됩니다.Sample management solutions include monitoring containers and Azure SQL Database analytics.

  • 서비스 맵: 서비스 맵는 인프라 구성 요소, 해당 프로세스 및 다른 컴퓨터와 외부 프로세스의 상호 의존성에 대 한 그래픽 보기를 제공 합니다.Service Map: Service Map provides a graphical view into your infrastructure components, their processes, and interdependencies on other computers and external processes. Log Analytics에서 이벤트, 성능 데이터 및 관리 솔루션을 통합합니다.It integrates events, performance data, and management solutions in Log Analytics.

개별 경고를 만들기 전에 Azure 경고에서 사용할 수 있는 공유 작업 그룹 집합을 만들고 유지 관리합니다.Before creating individual alerts, create and maintain a set of shared Action Groups that can be used across Azure Alerts. 이렇게 하면 수신자 목록, 알림 제공 방법(메일, SMS 전화 번호) 및 외부 작업에 대한 웹후크(Azure Automation Runbook, Azure Functions/Logic Apps, ITSM) 수명 주기를 중앙에서 유지 관리할 수 있습니다.This will enable you to centrally maintain the lifecycle of your recipient lists, notification delivery methods (email, SMS phone numbers) and webhooks to external actions (Azure Automation runbooks, Azure Functions / Logic Apps, ITSM).

비용 관리Cost management

온-프레미스 클라우드에서 공용 클라우드로 전환할 때 직면하게 되는 주요 변경 중 하나는 자본 지출(하드웨어 구매 )에서 운영 지출(사용한 서비스 비용)로 전환된다는 것입니다.One of the major changes that you will face when you move from on-premises cloud to the public cloud is the switch from capital expenditure (buying hardware) to operating expenditure (paying for service as you use it). 또한이 스위치를 사용 하려면 비용을 더욱 신중 하 게 관리 해야 합니다.This switch also requires more careful management of your costs. 클라우드의 혜택은 필요 하지 않을 때 종료 하거나 크기를 조정 하 여 사용 하는 서비스 비용에 근본적으로 영향을 줄 수 있다는 것입니다.The benefit of the cloud is that you can fundamentally and positively affect the cost of a service you use by merely shutting down or resizing it when it's not needed. 분별있는 고객이라면 클라우드의 비용을 신중히 관리하는 것이 필요합니다.Deliberately managing your costs in the cloud is a recommended practice and one that mature customers do daily.

Microsoft에서는 비용을 시각화, 추적 및 관리할 수 있는 여러 가지 도구를 제공 합니다.Microsoft provides several tools for you to be able to visualize, track, and manage your costs. 또한 비용 관리를 사용자 지정하고 사용자 고유의 도구 및 대시보드에 통합하는 API 풀세트도 제공합니다.We also provide a full set of APIs to enable you to customize and integrate cost management into your own tools and dashboards. 이러한 도구는 Azure Portal 기능과 외부 기능으로 느슨하게 그룹화 되어 있습니다.These tools are loosely grouped into Azure portal capabilities and external capabilities.

Azure Portal 기능Azure portal capabilities

작업을 수행 하는 기능 뿐만 아니라 비용에 대 한 즉각적인 정보를 제공 하는 도구입니다.These are tools to provide you instant information on cost as well as the ability to take actions.

  • 구독 리소스 비용: 포털에 있는 Azure 비용 분석 보기에서는 리소스 또는 리소스 그룹별 일별 지출에 대 한 비용과 정보를 빠르게 확인할 있습니다.Subscription resource cost: Located in the portal, the Azure Cost Analysis view provides a quick look at your costs and information on daily spend by resource or resource group.
  • Azure Cost Management: 이 제품은 Microsoft에서 Cloudyn를 구매한 결과 이며, Azure 지출 뿐만 아니라 다른 공용 클라우드 공급자에 대해 지출 하는 것을 관리 하 고 분석할 수 있습니다.Azure Cost Management: This product is the result of the purchase of Cloudyn by Microsoft and allows you to manage and analyze your Azure spending as well as what you spend on other public cloud providers. 개요에서 제공된 것과 같은 다양한 기능을 포함하는 무료 및 유료 계층이 제공됩니다.There are both free and paid tiers, with a great wealth of capabilities as seen in the overview.
  • Azure 예산 및 작업 그룹: 최근에 수동 실습을 수행할 때까지 비용을 파악 하 고이에 대 한 작업을 수행 합니다.Azure budgets and action groups: Knowing what something costs and doing something about it until recently has been more of a manual exercise. Azure 예산 및 해당 Api가 도입 됨에 따라 비용이 임계값에 도달 하는 경우 이 예제와 같이 작업을 만들 수 있습니다.With the introduction of Azure Budgets and its APIs, it's now possible to create actions (as seen in this example) when costs hit a threshold. 예를 들어, 해당 예산의 100% 또는 [다른 예제]에 도달하면 “테스트” 리소스 그룹을 종료합니다.For example, shutting down a "test" resource group when it hits 100% of its budget, or [another example].
  • Azure Advisor 어떤 항목에 얼마의 비용이 드는지를 아는 것은 전투의 절반에 지나지 않습니다. 나머지 절반은 이러한 정보로 무엇을 할 것인지입니다.Azure Advisor Knowing what something costs is only half the battle; the other half is knowing what to do with that information. Azure Advisor는 돈을 절약하거나, 안정성을 향상시키거나, 보안을 강화하기 위한 권장 작업을 제공합니다.Azure Advisor provides you recommendations on actions to take to save money, improve reliability or even increase security.

외부 비용 관리 도구External cost management tools

  • Power BI Azure Consumption Insights: 조직의 정보를 자체적인 방식으로 시각화하고 싶나요?Power BI Azure Consumption Insights: Do you want to create your own visualizations for your organization? 이 경우 Power BI에 대 한 Azure Consumption Insights 콘텐츠 팩은 선택할 수 있는 도구입니다.If so, then the Azure Consumption Insights content pack for Power BI is your tool of choice. 이 콘텐츠 팩과 Power BI를 사용 하 여 사용자 지정 시각화를 만들어 조직을 나타낼 수 있으며, 비용에 대 한 심층 분석을 수행 하 고 다른 데이터 원본에 추가 보강 수 있습니다.Using this content pack and Power BI you can create custom visualizations to represent your organization, do deeper analysis on costs and add in other data sources for further enrichment.

  • 소비 API: 소비 api 는 예산, 예약 된 인스턴스 및 마켓플레이스 요금에 대 한 정보 외에도 비용 및 사용 현황 데이터에 대 한 프로그래밍 방식의 액세스를 제공 합니다.Consumption API: The consumption APIs give you programmatic access to cost and usage data in addition to information on budgets, reserved instances, and marketplace charges. 이러한 API는 기업등록 및 일부 웹 직접 구독에서만 액세스할 수 있지만 사용자 고유의 도구 및 데이터 웨어하우스에 비용 데이터를 통합하는 기능을 제공합니다.These APIs are accessible only for Enterprise Enrollments and some Web Direct subscriptions however they give you the ability to integrate your cost data into your own tools and data warehouses. Azure CLI를 통해 이러한 api에 액세스할수도 있습니다.You can also access these APIs via the Azure CLI.

장기적이 고 완성 된 클라우드 사용자 인 고객은 다음과 같은 매우 권장 되는 방법을 따릅니다.Customers who are long-term and mature cloud users follow some highly recommended practices:

  • 적극적으로 비용을 모니터링 합니다.Actively monitor costs. 완성된 경지에 오른 Azure 사용자 조직은 비용을 지속적으로 모니터링하고 필요할 때 조치를 취합니다.Organizations that are mature Azure users constantly monitor costs and take actions when needed. 일부 조직은 전담 직원이 분석을 수행하고, 사용 변경을 제안하도록 하며, 이러한 직원들은 수개월 동안 실행되었으나 사용되지 않은 HDInsight 클러스터를 처음 찾게 될 때 기대 이상의 성과를 거두게 됩니다.Some organizations even dedicate people to do analysis and suggest changes to usage, and these people more than pay for themselves the first time they find an unused HDInsight cluster that's been running for months.
  • 예약 된 VM 인스턴스를 사용 합니다.Use Reserved VM Instances. 클라우드의 비용을 관리하기 위한 또 다른 주요 원칙은 작업에 적합한 도구를 사용하는 것입니다.Another key tenet for managing costs in the cloud is to use the right tool for the job. 연중 무휴 지속적으로 유지 해야 하는 IaaS VM이 있는 경우 예약 된 VM 인스턴스를 사용 하면 상당한 비용을 절감할 수 있습니다.If you have an IaaS VM that must stay on 24x7, then using a Reserved VM Instance will save you significant money. Vm의 종료를 자동화 하 고 예약 된 VM 인스턴스를 사용 하는 것 사이에 적절 한 균형을 찾으면 경험과 분석을 수행 합니다.Finding the right balance between automating the shutdown of VMs and using Reserved VM Instances takes experience and analysis.
  • 자동화를 효과적으로 사용 합니다.Use automation effectively. 대부분의 워크 로드는 매일 실행할 필요가 없습니다.Many workloads don't need to run every day. 매일 4 시간 동안 VM을 끄면 비용의 15%를 절약할 수 있습니다.Turning off a VM for a four-hour period every day can save you 15% of your cost. Automation은 투자 비용을 단기간에 회수할 수 있습니다.Automation will pay for itself quickly.
  • 표시 유형으로 리소스 태그를 사용 합니다.Use resource tags for visibility. 이 문서의 다른 위치에서 언급된 것처럼, 리소스 태그를 사용하여 비용을 더 잘 분석할 수 있습니다.As mentioned elsewhere in this document, using resource tags will allow for better analysis of costs.

비용 관리는 공용 클라우드의 효과적이면서 효율적인 실행에 핵심적인 규정입니다.Cost management is a discipline that is core to the effective and efficient running of a public cloud. 성공을 달성 하는 기업은 비용을 제어 하 고 수요를 과도 하 게 구입 하는 것이 아니라 실제 수요와 일치 시킬 수 있습니다.Enterprises that achieve success can control their costs and match them to their actual demand, rather than overbuying and hoping demand comes.

자동화Automate

클라우드 공급자를 사용하는 조직의 성공을 가르는 여러 기능 중 하나는 통합한 자동화 수준입니다.One of the many capabilities that differentiates the maturity of organizations using cloud providers is the level of automation that they have incorporated. 자동화는 절대 끝나지 않는 프로세스로, 조직이 클라우드로 전환할 때 구축을 위해 리소스와 시간을 투자해야 하는 영역입니다.Automation is a never-ending process and as your organization moves to the cloud it is any area that you need to invest resources and time in building. Automation은 문제 해결을 위해 다른 핵심 스 캐 폴드 개념, 템플릿 및 DevOps와 직접 연결 되는 리소스의 일관적인 출시를 비롯 하 여 다양 한 용도로 사용 됩니다.Automation serves many purposes including consistent rollout of resources (where it ties directly to another core scaffold concept, templates and DevOps) to the remediation of issues. 자동화는 Azure 스캐폴드의 “연결 조직”으로, 각 영역을 함께 연결해줍니다.Automation is the "connective tissue" of the Azure scaffold and links each area together.

몇 가지 도구를 통해 Azure Automation, Event Grid 및 Azure CLI 같은 자사 도구에서 Terraform, Jenkins, Chef 및 퍼핏와 같은 광범위 한 타사 도구에 이르기까지이 기능을 빌드할 수 있습니다.Several tools can help you build out this capability, from first-party tools such as Azure Automation, Event Grid, and the Azure CLI, to an extensive number of third-party tools such as Terraform, Jenkins, Chef, and Puppet. 핵심 자동화 도구에는 Azure Automation, Event Grid 및 Azure Cloud Shell 포함 됩니다.Core automation tools include Azure Automation, Event Grid, and the Azure Cloud Shell.

  • Azure Automation 는 PowerShell 또는 Python에서 runbook을 작성 하 고, 프로세스를 자동화 하 고, 리소스를 구성 하 고, 패치를 적용 하는 데 사용할 수 있는 클라우드 기반 기능입니다.Azure Automation Is a cloud-based capability that allows you to author runbooks (in either PowerShell or Python) and allows you automate processes, configure resources, and even apply patches. Azure Automation에는 배포에 중요한 광범위한 플랫폼 간 기능이 포함되어 있지만 너무 광범위하므로 여기서는 다루지 않습니다.Azure Automation has an extensive set of cross platform capabilities that are integral to your deployment but are too extensive to be covered in depth here.
  • Event Grid 는 Azure 환경 내에서 이벤트에 대응할 수 있도록 하는 완전히 관리 되는 이벤트 라우팅 시스템입니다.Event Grid is a fully managed event routing system that allows you to react to events within your Azure environment. Azure Automation는 완성 된 클라우드 조직의 연결 tissue Event Grid 좋은 자동화의 연결 tissue입니다.Just as Azure Automation is the connective tissue of mature cloud organizations, Event Grid is the connective tissue of good automation. Event Grid를 사용 하 여 새 리소스를 만들 때마다 관리자에 게 전자 메일을 보내는 간단한 서버를 사용 하지 않는 작업을 만들어 해당 리소스를 데이터베이스에 기록할 수 있습니다.Using Event Grid, you can create a simple serverless action to send an email to an administrator whenever a new resource is created and log that resource to a database. 동일한 Event Grid는 리소스가 삭제될 때 알림을 제공하고, 데이터베이스에서 해당 항목을 제거할 수 있습니다.That same Event Grid can notify when a resource is deleted and remove the item from the database.
  • Azure Cloud Shell 은 Azure에서 리소스를 관리 하기 위한 대화형 브라우저 기반 입니다.Azure Cloud Shell is an interactive, browser-based shell for managing resources in Azure. 스크립트를 실행할 일관된 환경을 유지하도록 필요할 때 시작(및 사용자를 위해 유지 관리)되는 완전한 PowerShell 또는 Bash용 환경을 제공합니다.It provides a complete environment for either PowerShell or Bash that is launched as needed (and maintained for you) so that you have a consistent environment from which to run your scripts. Azure Cloud Shell는 추가 키 도구에 대 한 액세스를 제공 합니다. (이미 설치 됨) Azure CLI, terraform 및 컨테이너, 데이터베이스 (sqlcmd)를 관리 하는 추가 도구 목록을 포함 하 여 환경을 자동화 합니다. 개.The Azure Cloud Shell provides access to additional key tools -already installed-- to automate your environment including Azure CLI, Terraform and a growing list of additional tools to manage containers, databases (sqlcmd), and more.

Automation은 전체 시간 작업 이며 클라우드 팀 내에서 가장 중요 한 운영 작업 중 하나가 됩니다.Automation is a full-time job, and it will rapidly become one of the most important operational tasks within your cloud team. “우선 자동화” 접근 방식을 따르는 조직은 다음과 같은 측면에서 Azure를 성공적으로 사용하게 됩니다.Organizations that take the approach of "automate first" have greater success in using Azure:

  • 비용 관리: 리소스 크기를 조정 하 고, 확장 또는 축소 하 고, 사용 하지 않는 리소스를 해제 하기 위해 기회를 적극적으로 찾고 automation을 만듭니다.Managing costs: Actively seeking opportunities and creating automation to resize resources, scale up or down, and turn off unused resources.
  • 운영 유연성: 자동화 (템플릿 및 DevOps와 함께)를 사용 하 여 가용성을 높이고 보안을 강화 하 고 팀이 비즈니스 문제 해결에 집중할 수 있는 반복성 수준을 얻을 수 있습니다.Operational flexibility: With automation (along with templates and DevOps), you gain a level of repeatability that increases availability, increases security, and enables your team to focus on solving business problems.

템플릿 및 DevOpsTemplates and DevOps

자동화 섹션에서 강조한 것처럼, 조직의 목표는 원본 제어 템플릿 및 스크립트를 통해 리소스를 프로비전하고 환경의 대화식 구성을 최소화하는 것일 것입니다.As highlighted in the Automate section, your goal as an organization should be to provision resources through source-controlled templates and scripts and to minimize interactive configuration of your environments. 이러한 “Infrastructure as Code” 접근 방식과 지속적인 배포를 위한 규정된 DevOps 프로세스는 일관성을 보장하고 환경 전반의 드리프트를 줄일 수 있습니다.This approach of "infrastructure as code" along with a disciplined DevOps process for continuous deployment can ensure consistency and reduce drift across your environments. 거의 모든 Azure 리소스는 PowerShell 또는 Azure의 플랫폼 간 CLI와 Hashicorp의 Terraform(최고 수준의 지원을 제공하며 Azure Cloud Shell에 통합됨)과 같은 도구와 함께 Azure Resource Manager JSON 템플릿을 통해 배포할 수 있습니다.Almost every Azure resource is deployable through Azure Resource Manager JSON templates in conjunction with PowerShell or the Azure cross platform CLI and tools such as Terraform from Hashicorp (which has first class support and integrated into the Azure Cloud Shell).

Azure Resource Manager 템플릿 사용에 대 한 모범 사례 에 대 한 자세한 내용은 Azure devops 도구 체인를 사용 하 여 Azure Resource Manager 템플릿에 devops 방법을 적용 하기 위해 얻은 모범 사례 및 교훈을 참조 하십시오. .Article such as Best practices for using Azure Resource Manager templates provide an excellent discussion of best practices and lessons learned for applying a DevOps approach to Azure Resource Manager templates with the Azure DevOps toolchain. 조직의 요구 사항에 맞는 핵심 템플릿 집합을 개발 하 고, 특히 Azure DevOps, Jenkins, Bamboo, TeamCity 및 Concourse와 같은 DevOps 도구 체인을 사용 하 여 연속 배달 파이프라인을 개발 하는 데 시간과 노력을 기울여야 합니다. 프로덕션 및 QA 환경.Take the time and effort to develop a core set of templates specific to your organization's requirements, and to develop continuous delivery pipelines with DevOps toolchains (such as Azure DevOps, Jenkins, Bamboo, TeamCity, and Concourse), especially for your production and QA environments. GitHub에는 템플릿의 시작 지점으로 사용할 수 있는 Azure 빠른 시작 템플릿 라이브러리의 규모가 크고, Azure devops를 사용 하 여 클라우드 기반 배달 파이프라인을 빠르게 만들 수 있습니다.There is a large library of Azure Quickstart templates on GitHub that you can use as a starting point for templates, and you can quickly create cloud-based delivery pipelines with Azure DevOps.

프로덕션 구독 또는 리소스 그룹에 대 한 모범 사례로, 기본적으로 대화형 사용자를 허용 하 고 서비스 주체에 따라 자동화 된 연속 배달 파이프라인을 사용 하 여 모든 리소스를 프로 비전 하는 것이 목표입니다. 모든 응용 프로그램 코드를 제공 합니다.As a best practice for production subscriptions or resource groups, your goal should be using RBAC security to disallow interactive users by default and using automated continuous delivery pipelines based on service principals to provision all resources and deliver all application code. 관리자 또는 개발자가 Azure Portal를 터치 하 여 리소스를 대화형으로 구성할 필요가 없습니다.No admin or developer should touch the Azure portal to interactively configure resources. 이 수준의 DevOps는 율 작업을 수행 하 고 Azure 스 캐 폴드의 모든 개념을 사용 하 여 조직의 규모 요구를 충족 하는 일관적이 고 안전한 환경을 제공 합니다.This level of DevOps takes a concerted effort and uses all the concepts of the Azure scaffold, providing a consistent and more secure environment that will meet your organization's need to scale.

복잡한 Azure Resource Manager 템플릿을 디자인하고 개발할 때 연결된 템플릿을 사용하여 모놀리식 JSON 파일에서 복잡한 리소스 관계를 구성하고 리팩터링합니다.When designing and developing complex Azure Resource Manager templates, use linked templates to organize and refactor complex resource relationships from monolithic JSON files. 이렇게 하면 리소스를 개별적으로 관리 하 고 템플릿을 읽고, 테스트 가능 하 고, 다시 사용할 수 있습니다.This will enable you to manage resources individually and make your templates more readable, testable, and reusable.

Azure는 대규모 클라우드 공급자입니다.Azure is a hyperscale cloud provider. 온-프레미스 서버에서 클라우드로 조직을 이동할 때 클라우드 공급자와 SaaS 응용 프로그램에서 사용 하는 것과 동일한 개념을 사용 하면 조직에서 비즈니스 요구 사항에 훨씬 더 효율적으로 대응할 수 있습니다.As you move your organization from on-premises servers to the cloud, relying on the same concepts that cloud providers and SaaS applications use will help your organization react to the needs of the business much more efficiently.

핵심 네트워크Core network

Azure 스캐폴드 참조 모델의 최종 구성 요소는 조직이 안전한 방식으로 Azure에 액세스하는 데 있어서 핵심적입니다.The final component of the Azure scaffold reference model is core to how your organization accesses Azure, in a secure manner. 리소스에 대한 액세스는 내부(기업 네트워크 내부) 또는 외부(인터넷을 통함)일 수 있습니다.Access to resources can be either internal (within the corporation's network) or external (through the internet). 조직의 사용자가 실수로 리소스를 잘못된 위치에 배치하여 잠재적으로 악의적인 액세스에 노출되기 쉽습니다.It is easy for users in your organization to inadvertently put resources in the wrong spot, and potentially open them to malicious access. 온-프레미스 디바이스에서 기업은 적절한 제어를 추가하여 Azure 사용자가 합리적인 의사 결정을 내릴 수 있도록 해야 합니다.As with on-premises devices, enterprises must add appropriate controls to ensure that Azure users make the right decisions. 구독 관리를 위해 기본적인 액세스 제어를 제공하는 핵심 리소스를 식별합니다.For subscription governance, we identify core resources that provide basic control of access. 코어 리소스는 다음으로 구성됩니다.The core resources consist of:

  • 가상 네트워크는 서브넷에 대한 컨테이너 개체입니다.Virtual networks are container objects for subnets. 반드시 필요한 것은 아니지만 애플리케이션을 내부 기업 리소스에 연결할 때 주로 사용됩니다.Though not strictly necessary, it is often used when connecting applications to internal corporate resources.
  • 사용자 정의 경로 를 사용 하면 서브넷 내에서 경로 테이블을 조작 하 여 네트워크 가상 어플라이언스 또는 피어 링 가상 네트워크의 원격 게이트웨이를 통해 트래픽을 보낼 수 있습니다.User-defined routes allow you to manipulate the route table within a subnet enabling you to send traffic through a network virtual appliance or to a remote gateway on a peered virtual network.
  • 가상 네트워크 피어 링 을 사용 하면 둘 이상의 Azure Virtual network를 원활 하 게 연결 하 여 더 복잡 한 허브 및 스포크 설계 나 공유 서비스 네트워크를 만들 수 있습니다.Virtual network peering enables you to seamlessly connect two or more Azure virtual networks, creating more complex hub and spoke designs or shared services networks.
  • 서비스 끝점.Service endpoints. 이전에는 PaaS 서비스가 가상 네트워크에서의 해당 리소스 액세스를 보호하기 위해 다른 방법에 의존했습니다.In the past, PaaS services relied on different methods to secure access to those resources from your virtual networks. 서비스 끝점을 사용 하면 연결 된 끝점 에서만 사용 되는 PaaS 서비스에 대 한 액세스를 보호 하 여 전반적인 보안을 향상 시킬 수 있습니다.Service endpoints allow you to secure access to enabled PaaS services from only connected endpoints, increasing overall security.
  • 보안 그룹 은 Azure 리소스에 대 한 인바운드 및 아웃 바운드 트래픽을 허용 하거나 거부 하는 기능을 제공 하는 광범위 한 규칙 집합입니다.Security groups are an extensive set of rules that provide the ability to allow or deny inbound and outbound traffic to/from Azure resources. 보안 그룹서비스 태그로 확장 될 수 있는 보안 규칙 (Azure Key Vault 또는 Azure SQL Database와 같은 일반적인 Azure 서비스 정의) 및 응용 프로그램 보안 그룹 (및 응용 프로그램 정의)으로 구성 됩니다. 구조 (예: 웹 서버 또는 앱 서버).Security groups consist of security rules that can be augmented with service tags (which define common Azure services such as Azure Key Vault or Azure SQL Database) and application security groups (which define and application structure, such as web servers or app servers).

네트워크 보안 그룹의 서비스 태그 및 응용 프로그램 보안 그룹을 사용 하 여 영향——을 이해 하는 데 중요 하 고 내에서 효과적인 마이크로 분할을 사용 하도록 설정 하는 데 중요 한 규칙의 가독성을 향상할 수 있습니다. 확산 줄어들고 유연성이 증가 하는 더 큰 서브넷Use service tags and application security groups in your network security groups to not only enhance the readability of your rules—which is crucial to understanding impact—but also to enable effective microsegmentation within a larger subnet, reducing sprawl and increasing flexibility.

Azure Virtual DatacenterAzure Virtual Datacenter

Azure는 효과적인 보안 태세를 유지할 수 있도록 하는 내부 기능 및 광범위한 파트너 네트워크의 타사 기능을 제공합니다.Azure provides you both internal capabilities and third-party capabilities from our extensive partner network that enable you to have an effective security stance. 더 중요 한 점은 Microsoft에서는 VDC (Azure Virtual Datacenter)의 형태로 모범 사례 및 지침을 제공 합니다.More importantly, Microsoft provides best practices and guidance in the form of the Azure Virtual Datacenter (VDC). 단일 워크 로드에서 하이브리드 기능을 사용 하는 여러 작업으로 전환 하는 경우 VDC 지침은 Azure의 워크 로드가 증가 함에 따라 증가 하는 유연한 네트워크를 제공 하는 "요리법"을 제공 합니다.As you move from a single workload to multiple workloads that use hybrid capabilities, the VDC guidance will provide you with "recipes" to enable a flexible, network that will grow as your workloads in Azure grow.

다음 단계Next steps

Azure의 성공을 위해서는 관리가 중요합니다.Governance is crucial to the success of Azure. 이 문서는 엔터프라이즈 스캐폴드의 기술적 구현을 대상으로 하지만 구성 요소 간 광범위한 프로세스 및 관계만 언급합니다.This article targets the technical implementation of an enterprise scaffold but only touches on the broader process and relationships between the components. 정책 관리는 위에서 아래로 흐르고 비즈니스가 달성하려는 내용에 따라 결정됩니다.Policy governance flows from the top down and is determined by what the business wants to achieve. 기본적으로 Azure에 대한 관리 모델 생성에는 IT의 역할이 포함되지만 무엇보다도 비즈니스 그룹 리더, 보안 및 위험 관리 역할이 더욱 중요합니다.Naturally, the creation of a governance model for Azure includes representatives from IT, but more importantly it should have strong representation from business group leaders, and security and risk management. 결과적으로 엔터프라이즈 스캐폴드는 비즈니스 위험을 완화하여 조직의 임무와 목표를 용이하게 하는 데 있습니다.In the end, an enterprise scaffold is about mitigating business risk to facilitate an organization's mission and objectives.

이제 구독 관리에 대해 살펴보았으며 실제 권장 사항에 대해 알아보겠습니다.Now that you have learned about subscription governance, it's time to see these recommendations in practice. Azure 구독 관리 구현 예제를 참조하세요.See Examples of implementing Azure subscription governance.