표준 엔터프라이즈 거버넌스 가이드

모범 사례 개요

이 거버넌스 가이드는 거버넌스 성숙도의 여러 단계를 거치면서 가상 회사의 경험을 따릅니다. 실제 고객 경험을 기반으로 합니다. 모범 사례는 가상으로 만든 회사의 제약 조건 및 요구를 기반으로 합니다.

빠른 시작 지점인, 이 개요에서는 모범 사례를 기반으로 거버넌스에 대한 MVP(최소 실행 가능 제품)를 정의합니다. 또한 새로운 비즈니스 또는 기술 위험이 발생할 때 모범 사례를 추가하는 거버넌스 개선 사항에 대한 링크도 제공합니다.

경고

이러한 MVP는 일련의 가정 세트를 기반으로 하는 기본 시작 지점입니다. 최소한의 이 모범 사례조차도 고유한 비즈니스 위험 및 위험 허용 범위로 구동되는 회사 정책을 기반으로 합니다. 이러한 가정이 적용 가능한지 확인하려면 이 문서에 나오는 긴 이야기를 참조하세요.

거버넌스 모범 사례

이러한 모범 사례는 구독에 거버넌스 보호책을 빠르고 일관성 있게 추가하는 데 사용하기 위한 조직의 토대 역할을 합니다.

리소스 조직

다음 다이어그램은 조직 리소스에 대한 거버넌스 MVP 계층 구조를 보여줍니다.

리소스 조직의 다이어그램

모든 애플리케이션은 관리 그룹, 구독 및 리소스 그룹 계층 구조의 적절한 영역에 배포되어야 합니다. 배포를 계획하는 동안 클라우드 거버넌스 팀은 클라우드 도입 팀의 역량을 강화하기 위해 계층 구조에 필요한 노드를 만들게 됩니다.

  1. 환경 유형별 하나의 관리 그룹입니다(예: 프로덕션, 개발 및 테스트).
  2. 프로덕션 워크로드와 비프로덕션 워크로드를 위한 두 개의 구독입니다.
  3. 그룹화 계층 구조의 각 수준에는 일관된 명명법이 적용되어야 합니다.
  4. 리소스 그룹은 해당 콘텐츠 수명 주기를 고려하는 방식으로 배포되어야 합니다. 즉, 함께 개발되고, 함께 관리되며, 함께 사용이 중지되어야 합니다. 리소스 그룹 모범 사례에 대한 자세한 내용은 리소스 일관성 관련 결정 가이드를 참조하세요.
  5. 지역 선택은 매우 중요하며, 장애 조치(failover)/장애 복구(failback)를 위한 네트워킹, 모니터링 및 감사를 사용할 수 있도록 고려되어야 하며, 필요한 SKU를 기본 지역에서 사용할 수 있는지 확인해야 합니다.

다음은 사용 중인 패턴의 예입니다.

미드마켓 회사 리소스의 조직 예

이러한 패턴은 계층 구조를 쓸데없이 복잡하게 만들지 않으면서 성장의 여지를 제공합니다.

참고

비즈니스 요구 사항 변경 시 Azure 관리 그룹을 통해 쉽게 관리 계층 구조 및 구독 그룹 할당을 재구성할 수 있습니다. 하지만 관리 그룹에 적용된 정책 및 역할 할당은 계층 구조에서 해당 그룹에 속하는 모든 구독이 상속받습니다. 관리 그룹 간에 구독을 다시 할당할 계획이 있다면 정책 및 역할 할당 변경 사항을 알아야 합니다. 자세한 내용은 Azure 관리 그룹 설명서를 참조하세요.

리소스 거버넌스

글로벌 정책 및 RBAC 역할 세트는 거버넌스 적용의 기준 수준을 제공합니다. 클라우드 거버넌스 팀의 정책 요구 사항을 충족하도록 거버넌스 MVP를 구현하려면 다음 작업을 완료해야 합니다.

  1. 비즈니스 요구 사항을 적용하는 데 필요한 사용자 지정 Azure Policy 정의를 식별합니다. 여기에는 기본 제공 정의의 사용과 새 사용자 지정 정의의 생성을 포함할 수 있습니다. 새로 릴리스된 기본 제공 정의의 속도를 유지하기 위해 RSS 피드에 사용할 수있는 기본 제공 정책에 대한 모든 커밋의 Atom 피드가 있습니다. 또는 AzAdvertizer를 확인할 수 있습니다.
  2. 거버넌스 MVP에 필요한 역할 할당과 이러한 기본 제공 및 사용자 지정 정책을 사용하여 청사진 정의를 만듭니다.
  3. 모든 구독에 청사진 정의를 할당하여 정책 및 구성을 전역적으로 적용합니다.

정책 정의 식별

Azure는 모든 관리 그룹, 구독 또는 리소스 그룹에 할당할 수 있는 여러 기본 제공 정책 및 역할 정의를 제공합니다. 많은 일반 거버넌스 요구 사항은 기본 제공 정의를 사용하여 처리할 수 있습니다. 그러나 특정 요구 사항을 처리하기 위해 사용자 지정 정책 정의도 생성해야 할 수 있습니다.

사용자 지정 정책 정의는 관리 그룹 또는 구독에 저장되고 관리 그룹 계층 구조를 통해 상속됩니다. 정책 정의의 저장 위치가 관리 그룹일 경우 해당 정책 정의를 원하는 그룹의 자식 관리 그룹 또는 구독에 할당할 수 있습니다.

거버넌스 MVP를 지원하는 데 필요한 정책은 모든 현재 구독에 적용하기 위한 것이므로 루트 관리 그룹에서 생성된 기본 제공 정의와 사용자 지정 정의를 조합하여 다음과 같은 비즈니스 요구 사항이 구현됩니다.

  1. 사용 가능한 역할 할당 목록을 클라우드 거버넌스 팀에서 권한을 부여한 기본 제공 Azure 역할 세트로 제한합니다. 이렇게 하려면 사용자 지정 정책 정의가 필요합니다.
  2. 모든 리소스에 다음 태그가 필요합니다. 부서/청구 단위, 지리, 데이터 분류, 중요성, SLA, 환경, 애플리케이션 원형, 애플리케이션애플리케이션 소유자 에 대한 가치가 그것입니다. 이 작업은 Require specified tag 기본 제공 정의를 사용하여 처리할 수 있습니다.
  3. 리소스의 Application 태그는 관련 리소스 그룹의 이름과 일치해야 합니다. 이 작업은 Require tag and its value 기본 제공 정의를 사용하여 처리할 수 있습니다.

사용자 지정 정책을 정의하는 방법에 대한 자세한 내용은 Azure Policy 설명서를 참조하세요. 사용자 지정 정책의 지침 및 예는 Azure Policy 샘플 사이트 및 관련 GitHub 리포지토리를 참조하세요.

Azure Blueprints를 사용하여 Azure Policy 및 RBAC 역할 할당

Azure Policy는 리소스 그룹, 구독 및 관리 그룹 수준에서 할당할 수 있으며 Azure Blueprints 정의에 포함될 수 있습니다. 이 거버넌스 MVP에 정의된 정책 요구 사항은 모든 현재 구독에 적용되지만 향후 배포에서 예외 또는 대체 정책이 필요한 가능성이 큽니다. 따라서 모든 자식 구독이 이러한 할당을 상속하는 관리 그룹을 사용하여 정책을 할당하는 방법이 이러한 시나리오를 지원할 정도로 충분히 유연하지 않을 수 있습니다.

Azure Blueprints는 정책 및 역할의 일관적인 할당, Resource Manager 템플릿 적용 및 여러 구독을 대상으로 한 리소스 그룹 배포를 지원합니다. 정책 정의와 마찬가지로, 청사진 정의는 관리 그룹 또는 구독에 저장됩니다. 정책 정의는 관리 그룹 계층 구조에 있는 모든 자식의 상속을 통해 사용할 수 있습니다.

클라우드 거버넌스 팀은 구독 전체에서 필요한 Azure Policy 및 RBAC 할당을 Azure Blueprints 및 관련 아티팩트를 통해 구현하도록 결정했습니다.

  1. 루트 관리 그룹에서 governance-baseline라는 청사진 정의를 만듭니다.
  2. 다음과 같은 청사진 아티팩트를 청사진 정의에 추가합니다.
    1. 관리 그룹 루트에 정의된 사용자 지정 Azure Policy 정의에 대한 정책 할당
    2. 거버넌스 MVP에서 만들거나 관리하는 구독에 필요한 모든 그룹에 대한 리소스 그룹 정의.
    3. 거버넌스 MVP에서 만들거나 관리하는 구독에 필요한 표준 역할 할당.
  3. 청사진 정의를 게시합니다.
  4. 모든 구독에 governance-baseline 청사진 정의를 할당합니다.

청사진 정의를 만들고 사용하는 방법에 대한 자세한 내용은 Azure Blueprints 설명서를 참조하세요.

보안 하이브리드 VNet

특정 구독에 온-프레미스 리소스에 대한 일정 수준의 액세스 권한이 필요한 경우가 많습니다. 이는 온-프레미스 데이터 센터 내에 종속 리소스가 있는 마이그레이션 시나리오 또는 개발 시나리오에서 일반적입니다.

클라우드 환경의 신뢰가 완전히 구축될 때가지 온-프레미스 환경과 클라우드 워크로드 간에 허용되는 모든 통신을 면밀히 제어 및 모니터링하고, 클라우드 기반 리소스의 잠재적 무단 액세스로부터 온-프레미스 네트워크를 보호하는 것이 중요합니다. 이러한 시나리오를 지원하기 위해 거버넌스 MVP는 다음의 모범 사례를 추가합니다.

  1. 클라우드 보안 하이브리드 VNet을 설정합니다.
    1. VPN 참조 아키텍처가 Azure에서 VPN Gateway 생성을 위한 패턴 및 배포 모델을 설정합니다.
    2. 온-프레미스 보안 및 트래픽 관리 메커니즘이 연결된 클라우드 네트워크를 신뢰할 수 없는 것으로 간주하는지 확인합니다. 클라우드에서 호스팅되는 리소스 및 서비스는 승인된 온-프레미스 서비스에만 액세스할 수 있어야 합니다.
    3. 온-프레미스 데이터 센터의 로컬 에지 디바이스가 Azure VPN Gateway 요구 사항과 호환되고, 공용 인터넷에 액세스하도록 구성되었는지 확인합니다.
    4. VPN 터널은 가장 단순한 워크로드를 제외하고는 운영 준비 회로로 간주되어서는 안 된다는 점에 유의하세요. 온-프레미스 연결이 필요한 몇 가지 간단한 워크로드 이외의 모든 워크로드에서는 Azure ExpressRoute를 사용해야 합니다.
  2. 루트 관리 그룹에서 secure-hybrid-vnet라는 두 번째 청사진 정의를 만듭니다.
    1. VPN Gateway용 Resource Manager 템플릿을 청사진 정의에 아티팩트로 추가합니다.
    2. 가상 네트워크용 Resource Manager 템플릿을 청사진 정의에 아티팩트로 추가합니다.
    3. 청사진 정의를 게시합니다.
  3. 온-프레미스에 연결해야 하는 모든 구독에 secure-hybrid-vnet 청사진 정의를 할당합니다. 이 정의는 governance-baseline 청사진 정의에 추가로 할당되어야 합니다.

IT 보안 및 기존 거버넌스 팀에서 제기하는 가장 큰 문제 중 하나는 초기 단계 클라우드 채택에서 기존 자산이 손상될 위험입니다. 클라우드 채택 팀은 위에서 설명한 방식을 통해 온-프레미스 자산에 대한 위험을 줄이면서 하이브리드 솔루션을 빌드하고 마이그레이션할 수 있습니다. 클라우드 환경에 대한 신뢰가 증가하면 향후 개선 버전에서 이러한 임시 솔루션이 제거될 수 있습니다.

참고

위의 내용은 기본 거버넌스 MVP를 빠르게 만들기 위해 시작할 수 있는 단계이며 거버넌스 경험의 시작 부분일 뿐입니다. 회사가 클라우드 채택을 계속 진행하면서 다음 분야에서 위험이 추가로 발생하면 해당 단계를 추가로 개선해야 합니다.

  • 중요 업무용 워크로드
  • 보호된 데이터
  • 비용 관리
  • 다중 클라우드 시나리오

또한 이 MVP의 특정 세부 정보는 아래의 문서에서 설명하는 가상 기업의 예제 경험을 기준으로 합니다. 그러므로 이 모범 사례를 구현하기 전에 이 시리즈에 포함된 다른 문서의 내용을 확인하는 것이 좋습니다.

반복적 거버넌스 개선

이 MVP가 배포된 후 추가적인 거버넌스 계층을 환경에 신속하게 통합할 수 있습니다. 특정 비즈니스 요구 사항에 맞게 MVP를 개선하는 몇 가지 방법은 다음과 같습니다.

이 지침은 어떤 기능을 제공하나요?

MVP에서는 회사 정책을 빠르게 적용할 수 있도록 배포 가속화 분야의 사례와 도구가 설정되어 있습니다. 특히, MVP는 가상의 회사에 대한 이야기에 정의된 대로 Azure Blueprints, Azure Policy 및 Azure 관리 그룹을 사용하여 몇 가지 기본적인 회사 정책을 적용합니다. 이러한 회사 정책은 ID와 보안에 대한 작은 기준을 설정하기 위해 Resource Manager 템플릿과 Azure 정책을 사용하여 적용됩니다.

증분 거버넌스 MVP의 예를 보여주는 다이어그램.

거버넌스 사례의 점진적 개선

시간이 지남에 따라 이 거버넌스 MVP는 거버넌스 사례를 개선하는 데 사용됩니다. 도입이 진행되면서 비즈니스 위험도 증가합니다. 이러한 위험을 관리하기 위해 클라우드 채택 프레임워크 거버넌스 모델 내에서 다양한 분야가 개선됩니다. 이 시리즈의 뒷부분에 나오는 문서에서는 가상의 회사에 영향을 주는 회사 정책의 점진적 개선에 대해 설명합니다. 이러한 개선은 세 가지 분야에서 진행됩니다.

  • 채택 규모의 확장에 따른 Cost Management 분야
  • 보호된 데이터가 배포됨에 따른 보안 기준 분야
  • IT 운영에서 중요 업무용 워크로드를 지원함에 따른 리소스 일관성 분야

거버넌스 관행에 대한 증분 개선의 예를 보여주는 다이어그램.

다음 단계

이제 거버넌스 MVP를 이해했고 따라야 할 거버넌스 개선에 대한 아이디어를 얻었으므로, 추가적인 컨텍스트를 뒷받침하는 이야기를 읽어보세요.