클라우드 거버넌스 정책 적용

아티클
04/06/2024

이 문서에서는 클라우드 거버넌스 정책 준수를 적용하는 방법을 보여줍니다. 클라우드 거버넌스 적용은 클라우드 사용을 클라우드 거버넌스 정책에 맞추는 데 사용하는 제어 및 절차를 나타냅니다. 클라우드 거버넌스 팀은 클라우드 위험을 평가하고 클라우드 거버넌스 정책을 만들어 이러한 위험을 관리합니다. 클라우드 거버넌스 정책을 준수하려면 클라우드 거버넌스 팀에서 적용 책임을 위임해야 합니다. 각 팀 또는 개인이 책임 영역 내에서 클라우드 거버넌스 정책을 적용할 수 있도록 권한을 부여해야 합니다. 클라우드 거버넌스 팀은 모든 작업을 수행할 수 없습니다. 자동화된 적용 제어를 선호하지만 자동화할 수 없는 경우 수동으로 규정 준수를 적용합니다.

클라우드 거버넌스 정책을 적용하기 위한 접근 방식 정의

클라우드 거버넌스 정책 준수를 적용하는 체계적인 전략을 수립합니다. 목표는 자동화된 도구와 수동 감독을 사용하여 규정 준수를 효율적으로 적용하는 것입니다. 적용 방법을 정의하려면 다음 권장 사항을 따릅니다.

거버넌스 책임을 위임합니다. 개인과 팀이 책임 범위 내에서 거버넌스를 적용할 수 있도록 합니다. 예를 들어 플랫폼 팀은 워크로드가 상속하는 정책을 적용하고 워크로드 팀은 워크로드에 대한 거버넌스를 적용해야 합니다. 클라우드 거버넌스 팀은 적용 제어를 적용할 책임이 없어야 합니다.
상속 모델을 채택합니다. 특정 워크로드가 플랫폼에서 거버넌스 정책을 상속하는 계층적 거버넌스 모델을 적용합니다. 이 모델은 클라우드 서비스에 대한 구매 요구 사항과 같은 올바른 환경에 조직 표준이 적용되는지 확인하는 데 도움이 됩니다. Azure 랜딩 존 및 해당 리소스 조직 디자인 영역의 디자인 원칙에 따라 적절한 상속 모델을 설정합니다.
적용 세부 사항에 대해 설명합니다. 거버넌스 정책을 적용하는 위치와 방법을 설명합니다. 목표는 생산성을 가속화하는 규정 준수를 적용하는 비용 효율적인 방법을 찾는 것입니다. 토론이 없으면 특정 팀의 진행 상황을 차단할 위험이 있습니다. 위험을 효과적으로 관리하면서 비즈니스 목표를 지원하는 균형을 찾는 것이 중요합니다.
모니터 우선 자세를 갖습니다. 작업을 먼저 이해하지 않는 한 작업을 차단하지 마세요. 우선 순위가 낮은 위험을 위해 먼저 클라우드 거버넌스 정책 준수를 모니터링합니다. 위험을 이해한 후에는 더 제한적인 적용 제어로 이동할 수 있습니다. 모니터 우선 접근 방식을 사용하면 거버넌스 요구 사항을 논의하고 클라우드 거버넌스 정책 및 적용 제어를 해당 요구 사항에 맞게 다시 구성할 수 있습니다.
차단 목록을 선호합니다. 허용 목록보다 차단 목록을 선호합니다. 차단 목록은 특정 서비스의 배포를 방지합니다. 사용할 수 있는 긴 서비스 목록보다 사용하지 않아야 하는 서비스의 작은 목록을 사용하는 것이 좋습니다. 긴 차단 목록을 방지하려면 기본적으로 차단 목록에 새 서비스를 추가하지 마세요.
태그 지정 및 명명 전략을 정의합니다. 클라우드 리소스의 명명 및 태그 지정에 대한 체계적인 지침을 수립합니다. 클라우드 환경에서 리소스 분류, 비용 관리, 보안 및 규정 준수를 위한 구조화된 프레임워크를 제공합니다. 개발 팀과 같은 팀이 고유한 요구 사항에 맞게 다른 태그를 추가할 수 있도록 허용합니다.

클라우드 거버넌스 정책 자동 적용

클라우드 관리 및 거버넌스 도구를 사용하여 거버넌스 정책 준수를 자동화합니다. 이러한 도구는 가드레일을 설정하고, 구성을 모니터링하고, 규정 준수를 보장하는 데 도움이 될 수 있습니다. 자동화된 적용을 설정하려면 다음 권장 사항을 따릅니다.

작은 자동화된 정책 집합으로 시작합니다. 작은 필수 클라우드 거버넌스 정책 집합에 대한 규정 준수를 자동화합니다. 운영 중단을 방지하기 위해 자동화를 구현하고 테스트합니다. 준비가 되면 자동화된 적용 컨트롤 목록을 확장합니다.
클라우드 거버넌스 도구를 사용합니다. 클라우드 환경에서 사용할 수 있는 도구를 사용하여 규정 준수를 적용합니다. Azure의 기본 거버넌스 도구는 Azure Policy입니다. 클라우드용 Microsoft Defender(보안), Microsoft Purview (데이터), Microsoft Entra ID 거버넌스(ID), Azure Monitor(작업), 관리 그룹(리소스 관리), IaC(인프라)(리소스 관리) 및 각 Azure 서비스 내의 구성을 사용하여 Azure Policy를 보완합니다.
올바른 범위에서 거버넌스 정책을 적용합니다. 관리 그룹과 같이 정책이 더 높은 수준으로 설정되는 상속 시스템을 사용합니다. 상위 수준의 정책은 구독 및 리소스 그룹과 같은 하위 수준에 자동으로 적용됩니다. 정책은 클라우드 환경 내에서 변경된 경우에도 적용되어 관리 오버헤드를 낮춥니다.
정책 적용 지점을 사용합니다. 거버넌스 규칙을 자동으로 적용하는 클라우드 환경 내에서 정책 적용 지점을 설정합니다. 사전 배포 검사, 런타임 모니터링 및 자동화된 수정 작업을 고려합니다.
정책을 코드로 사용합니다. IaC 도구를 사용하여 코드를 통해 거버넌스 정책을 적용합니다. 코드로서의 정책은 거버넌스 컨트롤의 자동화를 향상시키고 다양한 환경에서 일관성을 보장합니다. EPAC(Enterprise Azure Policy as Code)를 사용하여 권장되는 Azure 랜딩 존 정책에 맞는 정책을 관리하는 것이 좋습니다.
필요에 따라 사용자 지정 솔루션을 개발합니다. 사용자 지정 거버넌스 작업의 경우 사용자 지정 스크립트 또는 애플리케이션을 개발하는 것이 좋습니다. Azure 서비스 API를 사용하여 데이터를 수집하거나 리소스를 직접 관리합니다.

Azure 촉진: 클라우드 거버넌스 정책 자동 적용

다음 지침은 Azure에서 클라우드 거버넌스 정책 준수를 자동화하는 데 적합한 도구를 찾는 데 도움이 될 수 있습니다. 클라우드 거버넌스의 주요 범주에 대한 샘플 시작점을 제공합니다.

규정 준수 거버넌스 자동화

규정 준수 정책을 적용합니다. HITRUST/HIPAA, ISO 27001, CMMC, FedRamp 및 PCI DSSv4와 같은 규정 준수 표준에 부합하는 기본 제공 규정 준수 정책을 사용합니다.
사용자 지정 제한을 자동화합니다. 사용자 지정 정책을 만들어 Azure 작업에 대한 고유한 규칙을 정의합니다.

보안 거버넌스 자동화

보안 정책을 적용합니다. 기본 제공 보안 정책 및 자동화된 보안 규정 준수를 사용하여 일반적인 보안 표준에 맞춥니다. NIST 800 SP 시리즈, 인터넷 보안 센터 벤치마크 및 Microsoft 클라우드 보안 벤치마크에 대한 기본 제공 정책이 있습니다. 기본 제공 정책을 사용하여 특정 Azure 서비스의 보안 구성 을 자동화합니다. 사용자 지정 정책을 만들어 Azure 작업에 대한 고유한 규칙을 정의합니다.
ID 거버넌스를 적용합니다. Microsoft Entra MFA(다단계 인증) 및 셀프 서비스 암호 재설정을 사용하도록 설정합니다 . 약한 암호를 제거합니다. 액세스 요청 워크플로, 액세스 검토 및 ID 수명 주기 관리와 같은 ID 거버넌스의 다른 측면을 자동화합니다. Just-In-Time 액세스를 사용하도록 설정하여 중요한 리소스에 대한 액세스를 제한합니다. 조건부 액세스 정책을 사용하여 클라우드 서비스에 대한 사용자 및 디바이스 ID 액세스를 부여하거나 차단합니다.
액세스 제어를 적용합니다. Azure RBAC(역할 기반 액세스 제어) 및 ABAC(특성 기반 액세스 제어)를 사용하여 특정 리소스에 대한 액세스를 제어합니다. 사용자 및 그룹에 권한을 부여하고 거부합니다. 적절한 범위 (관리 그룹, 구독, 리소스 그룹 또는 리소스)에서 사용 권한을 적용하여 필요한 권한만 제공하고 관리 오버헤드를 제한합니다.

비용 거버넌스 자동화

배포 제한을 자동화합니다. 비용 집약적인 리소스 사용을 방지하기 위해 특정 클라우드 리소스를 허용하지 않습니다.
사용자 지정 제한을 자동화합니다. 사용자 지정 정책을 만들어 Azure 작업에 대한 고유한 규칙을 정의합니다.
비용 할당을 자동화합니다. 환경(개발, 테스트, 프로덕션), 부서 또는 프로젝트 간에 비용을 그룹화하고 할당하기 위해 태그 지정 요구 사항을 적용합니다. 태그를 사용하여 비용 최적화 작업의 일부인 리소스를 식별하고 추적합니다.

운영 거버넌스 자동화

중복성을 자동화합니다. 기본 제공 Azure 정책을 사용하여 영역 중복 및 지역 중복 인스턴스와 같은 지정된 수준의 인프라 중복을 요구합니다.
백업 정책을 적용합니다. 백업 정책을 사용하여 백업 빈도, 보존 기간 및 스토리지 위치를 제어합니다. 데이터 거버넌스, 규정 준수 요구 사항, RTO(복구 시간 목표) 및 RPO(복구 지점 목표)에 백업 정책을 정렬합니다. Azure SQL Database와 같은 개별 Azure 서비스의 백업 설정을 사용하여 필요한 설정을 구성합니다.
대상 서비스 수준 목표를 충족합니다. 대상 서비스 수준 목표를 충족하지 않는 특정 서비스 및 SKU(서비스 계층)의 배포를 제한합니다. 예를 들어 Azure Policy에서 Not allowed resource types 정책 정의를 사용합니다.

데이터 거버넌스 자동화

데이터 거버넌스를 자동화합니다. 카탈로그, 매핑, 안전하게 공유 및 정책 적용과 같은 데이터 거버넌스 작업을 자동화합니다.
데이터 수명 주기 관리를 자동화합니다. 스토리지에 대한 스토리지 정책 및 수명 주기 관리를 구현하여 데이터가 효율적이고 규정을 준수하도록 합니다.
데이터 보안을 자동화합니다. 데이터 분리, 암호화 및 중복성과 같은 데이터 보호 전략을 검토하고 적용합니다.

리소스 관리 거버넌스 자동화

리소스 관리 계층 구조를 만듭니다. 관리 그룹을 사용하여 정책, 액세스 및 지출을 효율적으로 관리할 수 있도록 구독을 구성합니다. Azure 랜딩 존 리소스 조직 모범 사례를 따릅니다.
태그 지정 전략을 적용합니다. 관리 효율성, 비용 추적 및 규정 준수를 개선하기 위해 모든 Azure 리소스에 일관되게 태그가 지정되어 있는지 확인합니다. 태그 지정 전략을 정의하고 태그 거버넌스를 관리합니다.
배포할 수 있는 리소스를 제한합니다. 불필요한 위험을 추가하는 서비스의 배포를 제한하기 위해 리소스 유형을 허용하지 않습니다.
배포를 특정 지역으로 제한합니다. 규정 요구 사항을 준수하고, 비용을 관리하고, 대기 시간을 줄이기 위해 리소스가 배포되는 위치를 제어합니다. 예를 들어 Azure Policy에서 Allowed locations 정책 정의를 사용합니다. 또한 배포 파이프라인에서 지역 제한을 적용합니다 .
IaC(Infrastructure as code)를 사용합니다. Bicep, Terraform 또는 ARM 템플릿(Azure Resource Manager 템플릿)을 사용하여 인프라 배포를 자동화합니다. IaC 구성을 소스 제어 시스템(GitHub 또는 Azure Repos)에 저장하여 변경 내용을 추적하고 공동 작업합니다. Azure 랜딩 존 가속기를 사용하여 플랫폼 및 애플리케이션 리소스의 배포를 제어하고 시간이 지남에 따라 구성 드리프트를 방지합니다.
하이브리드 및 다중 클라우드 환경을 관리합니다. 하이브리드 및 다중 클라우드 리소스를 관리합니다. 관리 및 정책 적용에서 일관성을 유지합니다.

AI 거버넌스 자동화

RAG(검색 보강 생성) 패턴을 사용합니다. RAG는 언어 모델이 응답을 생성하는 데 사용하는 접지 데이터를 제어하기 위해 정보 검색 시스템을 추가합니다. 예를 들어 사용자 고유의 데이터 기능에서 Azure OpenAI 서비스를 사용하거나 Azure AI Search를 사용하여 RAG를 설정하여 생성 AI를 콘텐츠로 제한할 수 있습니다.
AI 개발 도구를 사용합니다. AI를 사용하는 애플리케이션을 개발할 때 AI 오케스트레이션을 용이하게 하고 표준화하는 의미 체계 커널과 같은 AI 도구를 사용합니다.
출력 생성을 제어합니다. 남용 및 유해한 콘텐츠 생성을 방지합니다. AI 콘텐츠 필터링 및 AI 남용 모니터링을 사용합니다.
데이터 손실 방지를 구성합니다. Azure AI 서비스에 대한 데이터 손실 방지를 구성 합니다. AI 서비스 리소스에 액세스할 수 있는 아웃바운드 URL 목록을 구성합니다.
시스템 메시지를 사용합니다. 시스템 메시지를 사용하여 AI 시스템의 동작을 안내하고 출력을 조정합니다.
AI 보안 기준을 적용합니다. Azure AI 보안 기준을 사용하여 AI 시스템의 보안을 제어합니다.

클라우드 거버넌스 정책을 수동으로 적용

경우에 따라 도구 제한 또는 비용이 자동화된 적용을 실용적이지 않게 만듭니다. 적용을 자동화할 수 없는 경우 클라우드 거버넌스 정책을 수동으로 적용합니다. 클라우드 거버넌스를 수동으로 적용하려면 다음 권장 사항을 따릅니다.

검사 목록을 사용합니다. 거버넌스 검사 목록을 사용하여 팀이 클라우드 거버넌스 정책을 쉽게 따를 수 있도록 합니다. 자세한 내용은 규정 준수 검사 목록 예제를 참조하세요.
정기적인 교육을 제공합니다. 모든 관련 팀 구성원이 거버넌스 정책을 인식할 수 있도록 자주 교육 세션을 수행합니다.
정기 검토를 예약합니다. 거버넌스 정책 준수를 보장하기 위해 클라우드 리소스 및 프로세스에 대한 정기적인 검토 및 감사 일정을 구현합니다. 이러한 검토는 설정된 정책의 편차를 식별하고 수정 작업을 수행하는 데 중요합니다.
수동으로 모니터링합니다. 거버넌스 정책 준수를 위해 클라우드 환경을 모니터링하는 전용 담당자를 할당합니다. 리소스 사용을 추적하고, 액세스 제어를 관리하고, 정책에 맞게 데이터 보호 조치를 마련하는 것이 좋습니다. 예를 들어 클라우드 비용을 제어하는 포괄적인 비용 관리 접근 방식을 정의합니다.

정책 적용 검토

규정 준수 적용 메커니즘을 정기적으로 검토하고 업데이트합니다. 목표는 클라우드 거버넌스 정책 적용을 개발자, 설계자, 워크로드, 플랫폼 및 비즈니스 요구 사항을 비롯한 현재 요구 사항에 맞게 유지하는 것입니다. 정책 적용을 검토하려면 다음 권장 사항을 따릅니다.

이해 관계자와 소통합니다. 관련자와 적용 메커니즘의 효율성을 논의합니다. 클라우드 거버넌스 적용이 비즈니스 목표 및 규정 준수 요구 사항에 부합하는지 확인합니다.
요구 사항을 모니터링합니다. 새 요구 사항 또는 업데이트된 요구 사항에 맞게 적용 메커니즘을 업데이트하거나 제거합니다. 적용 메커니즘을 업데이트해야 하는 규정 및 표준의 변경 내용을 추적합니다. 예를 들어 Azure 랜딩 존 권장 정책은 시간이 지남에 따라 변경 될 수 있습니다. 이러한 정책 변경을 감지하거나, 최신 Azure 랜딩 존 사용자 지정 정책으로 업데이트하거나, 필요에 따라 기본 제공 정책으로 마이그레이션해야 합니다.

클라우드 거버넌스 규정 준수 검사 목록 예제

규정 준수 검사 목록은 팀이 해당 목록에 적용되는 거버넌스 정책을 이해하는 데 도움이 됩니다. 규정 준수 검사 목록은 예제 클라우드 거버넌스 정책의 정책 문을 사용하고 상호 참조를 위한 클라우드 거버넌스 정책 ID를 포함합니다.

범주	규정 준수 요구 사항
규정 준수	☐ 중요한 데이터 (RC01)를 모니터링하려면 Microsoft Purview를 사용해야 합니다. ☐ RC02(Microsoft Purview )에서 매일 중요한 데이터 준수 보고서를 생성해야 합니다.
보안	☐ 모든 사용자 (SC01)에 대해 MFA를 사용하도록 설정해야 합니다. ☐ 액세스 검토는 SC02(ID 거버넌스 )에서 매월 수행해야 합니다. ☐ 지정된 GitHub 조직을 사용하여 모든 애플리케이션 및 인프라 코드 (SC03)를 호스트합니다. ☐ 공용 원본의 라이브러리를 사용하는 팀은 SC04(격리 패턴 )를 채택해야 합니다.
작업	☐ 프로덕션 워크로드에는 OP01(지역 간) 활성-수동 아키텍처가 있어야 합니다. ☐ 모든 중요 업무용 워크로드는 OP02(지역 간 활성-활성 아키텍처 )를 구현해야 합니다.
비용	☐ 워크로드 팀은 CM01(리소스 그룹 수준 )에서 예산 경고를 설정해야 합니다. ☐ Azure Advisor 비용 권장 사항을 검토 해야 합니다(CM02).
데이터	☐ 전송 중 및 미사용 데이터 암호화는 모든 중요한 데이터에 적용되어야 합니다. (DG01) ☐ 모든 중요한 데이터(DG02)에 대해 데이터 수명 주기 정책을 사용하도록 설정해야 합니다.
리소스 관리	☐ Bicep은 리소스 (RM01)를 배포하는 데 사용해야 합니다. ☐ Azure Policy (RM02)를 사용하여 모든 클라우드 리소스에 태그를 적용해야 합니다.
AI	☐ AI 콘텐츠 필터링 구성은 중간 이상 (AI01)으로 설정해야 합니다. ☐ 고객용 AI 시스템은 매월 AI02(레드 팀)여야 합니다.

다음 단계

클라우드 거버넌스 모니터링