정책 준수 프로세스 설정Establish policy adherence processes

클라우드 정책 설명을 작성하고 디자인 가이드 초안을 작성한 후에는 클라우드 배포가 정책 요구 사항을 계속 준수할 수 있도록 하는 전략을 작성해야 합니다.After establishing your cloud policy statements and drafting a design guide, you'll need to create a strategy for ensuring your cloud deployment stays in compliance with your policy requirements. 이 전략은 클라우드 거버넌스 팀의 지속적인 검토 및 통신 프로세스를 포함하고, 정책 위반에 조치가 필요한 경우의 조건을 설정하고, 위반을 탐지하고 수정 작업을 트리거하는 자동화된 모니터링 및 규정 준수 시스템의 요구 사항을 정의해야 합니다This strategy will need to encompass your cloud governance team's ongoing review and communication processes, establish criteria for when policy violations require action, and defining the requirements for automated monitoring and compliance systems that will detect violations and trigger remediation actions.

정책 준수 프로세스를 클라우드 거 버 넌 스 계획에 맞추는 방법에 대 한 예제는 조치 가능한 거 버 넌 스 가이드 의 회사 정책 섹션을 참조 하세요.See the corporate policy sections of the actionable governance guides for examples of how policy adherence process fit into a cloud governance plan.

정책 준수 프로세스 우선 순위 지정Prioritize policy adherence processes

정책 목표를 지원하는 데 필요한 프로세스 개발에 투자할 비용을 결정합니다.How much investment in developing processes is required to support your policy goals? 클라우드 배포의 크기와 완성도에 따라 규정 준수를 지원하는 프로세스를 설정하는 데 필요한 작업 및 이 작업과 연관된 비용은 크게 달라질 수 있습니다.Depending on the size and maturity of your cloud deployment, the effort required to establish processes that support compliance, and the costs associated with this effort, can vary widely.

개발 및 테스트 리소스로 구성된 소규모 배포의 경우에는 정책 요구 사항이 단순하여 요구 사항을 충족하기 위한 전용 리소스가 거의 필요하지 않을 수도 있습니다.For small deployments consisting of development and test resources, policy requirements may be simple and require few dedicated resources to address. 반면 완성도가 높으며 보안 및 성능 우선 순위도 높은 중요 업무용 클라우드 배포의 경우 정책 목표를 지원하려면 담당자 팀, 광범위한 내부 프로세스 및 사용자 지정 모니터링 도구가 필요할 수도 있습니다.On the other hand, a mature mission-critical cloud deployment with high-priority security and performance needs may require a team of staff, extensive internal processes, and custom monitoring tooling to support your policy goals.

정책 준수 전략을 정의하는 첫 단계에서는 아래에서 설명하는 프로세스가 정책 요구 사항을 지원할 수 있는 방식을 평가합니다.As a first step in defining your policy adherence strategy, evaluate how the processes discussed below can support your policy requirements. 그리고 이러한 프로세스에 투자할 수 있는 작업량을 결정한 후 이 정보를 토대로 해당 요구를 충족할 수 있는 현실적인 예산 및 인력 배치 계획을 수립합니다.Determine how much effort is worth investing in these processes, and then use this information to establish realistic budget and staffing plans to meet these needs.

클라우드 거 버 넌 스 팀 프로세스 설정Establish cloud governance team processes

정책 준수 재구성에 대 한 트리거를 정의 하기 전에 팀에서 사용할 전체 프로세스와 IT 직원과 클라우드 거 버 넌 스 팀 간에 정보를 공유 하 고 에스컬레이션 하는 방법을 설정 해야 합니다.Before defining triggers for policy compliance remediation, you need establish the overall processes that your team will use and how information will be shared and escalated between IT staff and the cloud governance team.

클라우드 거 버 넌 스 팀 구성원 할당Assign cloud governance team members

클라우드 거 버 넌 스 팀은 정책 규정 준수에 대 한 지속적인 지침을 제공 하 고 클라우드 자산을 배포 하 고 작동할 때 발생 하는 정책 관련 문제를 처리 합니다.Your cloud governance team will provide ongoing guidance on policy compliance and handle policy-related issues that emerge when deploying and operating your cloud assets. 이 팀을 구축할 때 정의 된 정책 문 및 식별 된 위험에 포함 된 영역에 대 한 전문 지식이 있는 직원 구성원을 초대 합니다.When building this team, invite staff members that have expertise in areas covered by your defined policy statements and identified risks.

초기 테스트 배포의 경우이는 관리의 기본 사항에 대 한 기본 설정을 담당 하는 소수의 시스템 관리자로 제한 될 수 있습니다.For initial test deployments, this can be limited to a few system administrators responsible for establishing the basics of governance. 거 버 넌 스를 처리 하면서 클라우드 지침 팀의 멤버 자격을 정기적으로 검토 하 여 새로운 잠재적인 위험 및 정책 요구 사항을 적절히 해결할 수 있는지 확인 합니다.As your governance processes mature, review the cloud guidance team's membership regularly to ensure that you can properly address new potential risks and policy requirements. 특정 한 거 버 넌 스 영역에서 IT 및 비즈니스 직원의 구성원을 확인 하 고 필요에 따라 영구 또는 임시 방식으로 팀에 포함 합니다.Identify members of your IT and business staff with relevant experience or interest in specific areas of governance and include them in your teams on a permanent or temporary basis as needed.

검토 및 정책 반복Reviews and policy iteration

추가 리소스 및 작업을 배포할 때 클라우드 거 버 넌 스 팀은 새로운 작업 또는 자산이 정책 요구 사항을 준수 하는지 확인 해야 합니다.As additional resources and workloads are deployed, the cloud governance team will need to ensure that new workloads or assets comply with policy requirements. 워크 로드 개발 팀의 새 요구 사항을 평가 하 여 계획 된 배포가 디자인 가이드와 일치 하는지 확인 하 고, 해당 하는 경우 이러한 요구 사항을 지원 하도록 정책을 업데이트 합니다.Evaluate new requirements from workload development teams to ensure their planned deployments will align with your design guides, and update your policies to support these requirements when appropriate.

새 잠재적인 위험을 평가 하 고 필요에 따라 정책 문과 디자인 가이드를 업데이트할 계획입니다.Plan to evaluate new potential risks and update policy statements and design guides as needed. IT 직원과 워크 로드 팀과 협력 하 여 새로운 Azure 기능 및 서비스를 지속적으로 평가 하세요.Work with IT staff and workload teams to evaluate new Azure features and services on an ongoing basis. 또한 일반적으로 5 개의 거 버 넌 스를 예약 하 여 정책이 최신 상태이 고 규정을 준수 하는지 확인 합니다.Also schedule regular review cycles each of the five governance disciplines to ensure policy is current and in compliance.

EducationEducation

정책을 준수하려면 IT 담당자와 개발자가 담당 분야에 영향을 주는 정책 요구 사항을 파악해야 합니다.Policy compliance requires IT staff and developers to understand the policy requirements that affect their areas of responsibility. 결정 사항 및 요구 사항 문서 작성을 전담하는 리소스를 배정하고, 모든 관련 팀을 대상으로 정책 요구 사항을 지원하는 디자인 가이드 관련 교육을 진행합니다.Plan to devote resources to document decisions and requirements, and educate all relevant teams on the design guides that support your policy requirements.

정책이 변경되면 설명서 및 학습 자료를 정기적으로 업데이트하고, 교육 과정에서 관련 IT 담당자에게 업데이트된 요구 사항과 지침을 전달합니다.As policy changes, regularly update documentation and training materials, and ensure education efforts communicate updated requirements and guidance to relevant IT staff.

클라우드 경험의 다양 한 단계에서 파트너와 전문 교육 프로그램을 사용 하 여 기술적으로 팀의 교육을 강화 하 고 procedurally 하는 것이 좋습니다.At various stages of your cloud journey, you may find it best to consult with partners and professional training programs to enhance the education of your team, both technically, and procedurally. 또한 대부분의 공식적인 인증을 교육 포트폴리오에 추가 하는 것이 중요 합니다.Additionally, many find that formal certifications are a valuable addition to your education portfolio and should be considered.

에스컬레이션 경로 설정Establish escalation paths

리소스가 규정을 준수하지 않는 상태가 되면 알림을 받을 사람을 지정합니다.If a resource goes out of compliance, who gets notified? 즉, IT 담당자가 규정 준수 관련 문제를 검색하는 경우에 연락할 사람을 결정합니다.If IT staff detect a policy compliance issue, who do they contact? 클라우드 거 버 넌 스 팀에 대 한 에스컬레이션 프로세스를 명확 하 게 정의 해야 합니다.Make sure the escalation process to the cloud governance team is clearly defined. 그리고 담당자 및 조직 변경 내용을 반영하도록 이러한 통신 채널을 지속적으로 업데이트해야 합니다.Ensure these communication channels are kept updated to reflect staff and organization changes.

위반 트리거 및 관련 조치Violation triggers and actions

클라우드 거 버 넌 스 팀 및 해당 프로세스를 정의한 후에는 작업을 트리거하는 규정 준수 위반 및 해당 작업을 수행 해야 하는 작업을 명시적으로 정의 해야 합니다.After defining your cloud governance team and its processes, you need to explicitly define what qualifies as compliance violations that will triggers actions, and what those actions should be.

트리거 정의Define triggers

각 정책 설명에 대해 요구 사항을 검토하여 정책 위반에 해당되는 사항을 결정합니다.For each of your policy statements, review requirements to determine what constitutes a policy violation. 그리고 정책 정의 프로세스의 일환으로 이미 결정한 정보를 사용해 트리거를 생성합니다.Generate your triggers using the information you've already established as part of the policy definition process.

  • 위험 허용 오차: 위험 허용 오차 분석의 일부로 설정한 메트릭 및 위험 표시기에 따라 위반 트리거를 만듭니다.Risk tolerance: Create violation triggers based on the metrics and risk indicators you established as part of your risk tolerance analysis.
  • 정의 된 정책 요구 사항: 정책 문은 SLA (서비스 수준 계약), BCDR (비즈니스 연속성 및 재해 복구) 또는 준수 트리거의 기반으로 사용 해야 하는 성능 요구 사항을 제공할 수 있습니다.Defined policy requirements: Policy statements may provide service-level agreement (SLA), business continuity and disaster recovery (BCDR), or performance requirements that should be used as the basis for compliance triggers.

조치 정의Define actions

각 위반 트리거에는 해당하는 조치가 있어야 합니다.Each violation trigger should have a corresponding action. 트리거된 동작은 위반이 발생 하는 경우 항상 적절 한 IT 직원 또는 클라우드 거 버 넌 스 팀 멤버에 게 알려야 합니다.Triggered actions should always notify an appropriate IT staff or cloud governance team member when a violation occurs. 이 알림은 검색 된 위반의 유형 및 심각도에 따라 규정 준수 문제를 수동으로 검토 하거나 미리 정의 된 업데이트 관리 프로세스를 수행할 수 있습니다.This notification can lead to a manual review of the compliance issue or kickoff a predefined remediation process depending on the type and severity of the detected violation.

위반 트리거 및 관련 조치의 몇 가지 예는 다음과 같습니다.Some examples of violation triggers and actions:

거 버 넌 스 분야Governance discipline 샘플 트리거Sample trigger 샘플 조치Sample action
Cost ManagementCost Management 월별 클라우드 지출이 예상보다 20% 이상 더 많습니다.Monthly cloud spending is more than 20% higher than expected. 리소스 사용에 대 한 검토를 시작 하는 청구 단위 리더에 게 알립니다.Notify the billing unit leader who will begin a review of resource usage.
보안 기준Security Baseline 의심 스러운 사용자 활동을 검색 합니다.Detect suspicious user activity. IT 보안 팀에 게 알리고 주의 대상 사용자 계정을 사용 하지 않도록 설정 합니다.Notify the IT security team and disable the suspect user account.
리소스 일관성Resource Consistency 워크 로드에 대 한 CPU 사용률이 90%를 초과 합니다.CPU utilization for a workload is greater than 90%. IT 운영 팀에 알리고 부하를 처리하도록 추가 리소스를 스케일 아웃합니다.Notify the IT operations team and scale out additional resources to handle the load.

모니터링 및 규정 준수 자동화Automation of monitoring and compliance

규정 준수 위반 트리거와 조치를 정의한 후에는 모니터링 및 정책 준수 전략을 자동화하기 위해 클라우드 플랫폼의 로깅/보고 도구와 기타 기능을 가장 효율적으로 사용하는 방법을 계획할 수 있습니다.After you've defined your compliance violation triggers and actions, you can start planning how best to use the logging and reporting tools and other features of the cloud platform to help automate your monitoring and policy compliance strategy.

배포에 가장 적합 한 모니터링 패턴을 선택 하는 데 도움이 필요 하면 로깅 및 보고 의사 결정 가이드를 참조 하세요.For help choosing the best monitoring pattern for your deployment, see the logging and reporting decision guide.

다음 단계Next steps

클라우드의 규정 준수에 대해 자세히 알아보세요.Learn more about regulatory compliance in the cloud.