Azure 엔터프라이즈 스캐폴드: 규범적 구독 거버넌스
참고 항목
Azure 엔터프라이즈 스캐폴딩은 Microsoft 클라우드 채택 프레임워크에 통합되었습니다. 이 문서의 콘텐츠는 이제 프레임워크의 준비 방법론에 나와 있습니다. 이 문서는 2020년 초에 더 이상 사용되지 않습니다. 새 프로세스 사용을 시작하려면 준비 방법론 개요, Azure 랜딩 존 및 랜딩 존 고려 사항을 참조하세요.
기업은 민첩성과 유연성을 위해 퍼블릭 클라우드를 점점 더 채택하고 있습니다. 클라우드의 장점을 활용하여 수익을 창출하고 비즈니스에 맞게 리소스 사용을 최적화합니다. Microsoft Azure는 광범위한 워크로드 및 애플리케이션을 처리할 구성 요소와 같이 기업에서 조합할 수 있는 다양한 서비스와 기능을 제공합니다.
Microsoft Azure를 사용하기로 결정하는 것은 클라우드의 이점을 달성하기 위한 첫 번째 단계일 뿐입니다. 두 번째 단계는 엔터프라이즈가 Azure를 효과적으로 사용하고 다음과 같은 질문을 해결하기 위해 필요한 기준 기능을 식별하는 방법을 이해하는 것입니다.
- “데이터 독립성에 관심이 있습니다. 데이터와 시스템이 규정 요구 사항을 충족하도록 하려면 어떻게 하나요?”
- "내역을 확인하고 정확하게 청구할 수 있도록 각 리소스가 지원하는 내용을 파악하려면 어떻게 할까요?"
- “퍼블릭 클라우드에서 배포하는 기능 및 수행하는 모든 작업이 보안을 최우선적으로 고려하도록 하려고 합니다. 어떻게 하는 것이 도움이 되나요?”
가드 레일이 없는 비어 있는 구독을 전망하는 것은 어렵습니다. 이 빈 공간은 Azure로의 이동을 방해할 수 있습니다.
이 문서에서는 기술 전문가가 거버넌스의 필요성을 해결하고 민첩성의 필요성과 균형을 맞추기 위한 시작점을 제공합니다. 조직에서 안전한 방식으로 Azure 환경을 구현하고 관리하는 데 안내하는 엔터프라이즈 스캐폴드의 개념을 소개합니다. 또한 효과적이고 효율적인 컨트롤을 개발하기 위한 프레임워크를 제공합니다.
거버넌스 필요
Azure로 이동할 때 엔터프라이즈 내에서 클라우드를 성공적으로 사용할 수 있도록 거버넌스의 주제를 조기에 해결해야 합니다. 아쉽게도 포괄적인 거버넌스 시스템을 만드는 시간과 관료주의는 일부 비즈니스 그룹이 엔터프라이즈 IT를 포함하지 않고 공급자로 직접 이동한다는 것을 의미합니다. 이 방법은 리소스가 제대로 관리되지 않는 경우 엔터프라이즈를 손상시킬 수 있도록 열어 둘 수 있습니다. 민첩성, 유연성 및 사용량 기반 가격 책정과 같은 퍼블릭 클라우드의 특성은 고객(내부 및 외부 모두)의 요구 사항을 빠르게 충족해야 하는 비즈니스 그룹에 중요합니다. 그러나 엔터프라이즈 IT는 데이터와 시스템이 효과적으로 보호되도록 해야 합니다.
건물을 만들 때 스캐폴딩을 사용하여 구조체의 기초를 만듭니다. 스캐폴드는 일반적인 개요를 안내하고 더 영구적인 시스템을 탑재할 수 있는 앵커 지점을 제공합니다. 엔터프라이즈 스캐폴드는 동일합니다. 환경에 구조를 제공하고 퍼블릭 클라우드에 기본 제공되는 서비스에 대한 앵커를 제공하는 Azure 기능과 유연한 컨트롤 집합입니다. 작성기(IT 및 비즈니스 그룹)는 배달 속도를 염두에 두고 새로운 서비스를 만들고 연결할 수 있는 기반을 제공합니다.
스캐폴드는 다양한 규모의 고객과의 많은 계약에서 수집한 사례를 기반으로 합니다. 이러한 클라이언트는 클라우드에서 솔루션을 개발하는 소규모 조직에서 워크로드를 마이그레이션하고 클라우드 네이티브 솔루션을 개발하는 대규모 다국적 기업 및 독립 소프트웨어 공급업체에 이르기까지 다양합니다. 엔터프라이즈 스캐폴드는 Azure 플랫폼 기능을 기반으로 하여 SaaS(Software-as-a-Service) 애플리케이션을 만드는 개발자와 같이 기존 IT 워크로드와 민첩한 워크로드를 모두 유연하게 지원하도록 "특별히 만들어졌습니다".
엔터프라이즈 스캐폴드는 Azure 내에서 각각의 새 구독에 대한 기초 역할을 할 수 있습니다. 이를 통해 관리자는 비즈니스 그룹과 개발자가 자신의 목표를 신속하게 충족할 수 없도록 워크로드가 조직의 최소 거버넌스 요구 사항을 충족하도록 할 수 있습니다. 경험상 이는 퍼블릭 클라우드 성장을 방해하는 것이 아니라 크게 가속화하고 있습니다.
참고 항목
Microsoft는 구독 및 관리 그룹에서 일반적인 이미지, 템플릿, 정책 및 스크립트를 패키지, 관리 및 배포할 수 있는 Azure Blueprints라는 새로운 기능을 미리 보기로 릴리스했습니다. 이 기능은 스캐폴드의 참조 모델 목적과 해당 모델을 조직에 배포하는 것 사이의 브리지입니다.
다음 이미지는 스캐폴드의 구성 요소를 보여 줍니다. 이 재단은 관리 계층 및 구독에 대한 견고한 계획을 사용합니다. 기본 요소는 Resource Manager 정책 및 강력한 이름 지정 표준으로 구성됩니다. 나머지 스캐폴드는 안전하고 관리하기 쉬운 환경을 활성화하고 연결하는 핵심 Azure 기능 및 기능입니다.
계층 구조 정의
스캐폴드의 기반은 구독 및 리소스 그룹에 대한 EA(기업계약) 등록의 계층 구조 및 관계입니다. 등록은 계약 관점에서 회사 내의 Azure 서비스 형태 및 사용을 정의합니다. 기업계약 내에서 환경을 조직의 구조에 맞게 부서, 계정, 구독 및 리소스 그룹으로 더 세분화할 수 있습니다.
Azure 구독은 모든 리소스가 포함된 기본 단위입니다. 또한 코어 수, 가상 네트워크 및 기타 리소스와 같은 Azure 내에서 몇 가지 제한을 정의합니다. 리소스 그룹은 구독 모델을 더 구체화하고 리소스를 더 자연스럽게 그룹화하도록 설정하는 데 사용됩니다.
모든 엔터프라이즈는 다르며 위 이미지의 계층 구조를 통해 회사 내에서 Azure를 구성하는 방법에 상당한 유연성을 제공합니다. 회사의 청구, 리소스 관리 및 리소스 액세스 요구 사항을 반영하도록 계층 구조를 모델링하는 것은 퍼블릭 클라우드에서 시작할 때 수행하는 가장 중요한 첫 번째 결정입니다.
부서 및 계정
EA 등록에 대한 일반적인 세 가지 패턴은 다음과 같습니다.
기능 패턴:
사업부 패턴:
지리적 패턴:
이러한 패턴이 자리를 잡고 있지만, 사업부 패턴은 유연하게 조직의 비용 모델을 모델링하고 제어 범위를 반영할 수 있으므로 점점 더 많이 채택되고 있습니다. Microsoft의 핵심 엔지니어링 및 운영 그룹은 연방, 주 및 지역에서 모델링되는 사업부 패턴의 효과적인 하위 집합을 만들었습니다. 자세한 내용은 구독 및 리소스 그룹 구성을 참조하세요.
Azure 관리 그룹
Microsoft는 이제 계층 구조를 모델링하는 또 다른 방법인 Azure 관리 그룹을 제공합니다. 관리 그룹은 부서 및 계정보다 훨씬 더 유연하며 최대 6개 수준까지 중첩할 수 있습니다. 관리 그룹을 사용하면 리소스의 효율적인 관리를 위해서만 청구 계층 구조와 분리된 계층 구조를 만들 수 있습니다. 관리 그룹은 청구 계층 구조를 미러 수 있으며 종종 엔터프라이즈는 이러한 방식으로 시작합니다. 그러나 관리 그룹의 기능은 이러한 그룹을 사용하여 조직을 모델링하고 관련 구독을 그룹화하고(청구 계층 구조에서의 위치에 관계없이) 공통 역할, 정책 및 이니셔티브를 할당하는 것입니다. 예는 다음과 같습니다.
- 프로덕션 및 비 프로덕션. 일부 기업은 해당 프로덕션 및 비 프로덕션 구독을 식별하기 위해 관리 그룹을 만듭니다. 관리 그룹은 이러한 고객이 역할 및 정책을 보다 쉽게 관리할 수 있게 해줍니다. 예를 들어 비 프로덕션 구독은 개발자에게 "기여자" 액세스를 허용할 수 있지만, 프로덕션에서는 "읽기 권한자" 액세스 권한만 있습니다.
- 내부 서비스 및 외부 서비스. 기업에는 내부 서비스와 고객 관련 서비스에 대한 요구 사항, 정책 및 역할이 서로 다른 경우가 많습니다.
잘 설계된 관리 그룹은 Azure Policy 및 이니셔티브와 함께 Azure의 효율적인 거버넌스에 대한 백본입니다.
Abunələr
부서 및 계정(또는 관리 그룹)을 결정하는 경우 주로 조직에 맞게 Azure 환경을 정렬하는 방법을 평가합니다. 그러나 구독은 실제 작업이 수행되는 위치이며, 여기서의 결정은 보안, 확장성 및 청구에 영향을 줍니다. 많은 조직에서 지침으로 사용하는 패턴은 다음과 같습니다.
- 애플리케이션/서비스: 구독은 애플리케이션 또는 서비스(애플리케이션 포트폴리오)를 나타냅니다.
- 수명 주기: 구독은
Production또는Development와 같은 서비스의 수명 주기를 나타냅니다. - 부서: 구독은 조직의 부서를 나타냅니다.
처음 두 패턴이 가장 일반적으로 사용되며 둘 다 권장됩니다. 수명 주기 방식은 대부분의 조직에 적합합니다. 이 경우 일반적으로 두 개의 기본 구독(Production 및 Nonproduction)을 사용한 다음, 리소스 그룹을 사용하여 환경을 추가로 구분하는 것이 좋습니다.
리소스 그룹
Azure Resource Manager를 사용하면 관리, 청구 또는 자연 선호도를 위해 리소스를 의미 있는 그룹으로 구성할 수 있습니다. 리소스 그룹은 공통 수명 주기를 포함하거나 All SQL servers 또는 Application A와 같은 특성을 공유하는 리소스의 컨테이너입니다.
리소스 그룹을 중첩할 수 없으며 리소스는 하나의 리소스 그룹에만 속할 수 있습니다. 일부 작업은 리소스 그룹의 모든 리소스에 대해 작동할 수 있습니다. 예를 들어 리소스 그룹을 삭제하면 리소스 그룹 내의 모든 리소스가 제거됩니다. 구독과 마찬가지로 리소스 그룹을 만드는 경우 일반적인 패턴이 있으며, 이는 기존 IT 워크로드에서 민첩한 IT 워크로드까지 다양합니다.
- 기존 IT 워크로드는 일반적으로 애플리케이션과 같이 동일한 수명 주기 내에서 항목별로 그룹화됩니다. 애플리케이션별로 그룹화하면 개별 애플리케이션 관리를 사용할 수 있습니다.
- 민첩한 IT 워크로드는 외부 고객 관련 클라우드 애플리케이션에 집중하는 경향이 있습니다. 리소스 그룹에서 배포 계층(예: 웹 계층 또는 애플리케이션 계층) 및 관리 계층을 반영하는 경우가 많습니다.
참고 항목
워크로드를 이해하면 리소스 그룹 전략을 개발하는 데 도움이 됩니다. 이러한 패턴은 혼합 및 일치시킬 수 있습니다. 예를 들어 공유 서비스 리소스 그룹은 민첩한 워크로드 리소스 그룹과 동일한 구독에 있을 수 있습니다.
이름 지정 표준
스캐폴드의 첫 번째 기둥은 일관된 명명 표준입니다. 잘 설계된 명명 표준을 사용하면 포털, 청구서 및 스크립트 내에서 리소스를 식별할 수 있습니다. 온-프레미스 인프라에 대한 기존 명명 표준이 이미 있을 수 있습니다. Azure를 환경에 추가할 경우 이러한 이름 지정 표준을 Azure 리소스에 확장해야 합니다.
팁
명명 규칙의 경우:
- 가능한 경우 클라우드 채택 프레임워크 명명 및 태그 지정 지침을 검토하고 채택합니다. 이 지침은 의미 있는 명명 표준을 결정하는 데 도움이 되며 광범위한 예제를 제공합니다.
- Resource Manager 정책을 사용하여 명명 표준을 적용합니다.
나중에 이름을 변경하는 것은 어렵기 때문에 이제 몇 분 후에 문제를 줄일 수 있습니다.
더 일반적으로 사용되고 검색되는 리소스에 명명 표준을 집중합니다. 예를 들어 모든 리소스 그룹은 명확성을 위해 강력한 표준을 따라야 합니다.
리소스 태그
리소스 태그는 명명 표준과 긴밀하게 정렬됩니다. 리소스가 구독에 추가됨에 따라 청구, 관리 및 운영 목적으로 논리적으로 분류하는 것이 점점 더 중요해지고 있습니다. 자세한 내용은 태그를 사용하여 Azure 리소스 구성을 참조하세요.
Important
태그는 개인 정보를 포함할 수 있으며 GDPR 규정에 해당할 수 있습니다. 태그 관리를 신중하게 계획합니다. GDPR에 대한 일반 정보를 찾는 경우 Microsoft Service Trust Portal의 GDPR 섹션을 참조하세요.
태그는 청구 및 관리 이외의 여러 가지 방법으로 사용됩니다. 자동화의 일부로 자주 사용됩니다(이후 섹션 참조). 앞에서 고려하지 않으면 충돌이 발생할 수 있습니다. 모범 사례는 엔터프라이즈 수준에서 모든 공통 태그(예: ApplicationOwner 및 CostCenter)를 식별하고, 자동화를 사용하여 리소스를 배포할 때 일관되게 적용하는 것입니다.
Azure Policy 및 이니셔티브
스캐폴드의 두 번째 기본 요소는 Azure Policy 및 이니셔티브를 사용하여 구독의 리소스 및 서비스에 대해 규칙을 적용하여 위험을 관리하는 것과 관련이 있습니다. Azure Policy 이니셔티브는 단일 목표를 달성하도록 설계된 정책의 컬렉션입니다. 그러면 정책 및 이니셔티브가 리소스 범위에 할당되어 특정 정책의 적용을 시작합니다.
정책 및 이니셔티브는 이전에 언급한 관리 그룹과 함께 사용할 때 훨씬 더 강력합니다. 관리 그룹은 이니셔티브 또는 정책을 전체 구독 집합에 할당할 수 있도록 합니다.
Resource Manager 정책의 일반적인 사용
정책 및 이니셔티브는 강력한 Azure 도구입니다. 정책을 사용하면 기업에서 안정성을 LOB(기간 업무) 애플리케이션에 제공하는 기존 IT 워크로드에 대한 제어를 제공하는 동시에 기업을 추가 위험에 노출시키지 않으면서 고객 애플리케이션 개발과 같은 더 민첩한 워크로드 개발을 허용할 수 있습니다. 정책에 대한 가장 일반적인 패턴은 다음과 같습니다.
- 지리적 규정 준수 및 데이터 주권. Azure의 전 세계적인 지역 목록은 점점 더 증가하고 있습니다. 기업에서 규정 요구 사항을 처리하기 위해 특정 범위의 리소스가 지리적 지역에 남아 있는지 확인해야 하는 경우가 많습니다.
- 서버를 공개적으로 노출하지 않습니다. Azure Policy는 특정 리소스 종류의 배포를 금지할 수 있습니다. 특정 범위 내에서 공용 IP를 만들지 못하도록 거부하는 정책을 만드는 것이 일반적이며, 서버가 인터넷에 의도치 않게 노출되지 않도록 방지합니다.
- 비용 관리 및 메타데이터. 리소스 태그는 중요한 청구 데이터를 리소스 및 리소스 그룹(예:
CostCenter및Owner)에 추가하는 데 자주 사용됩니다. 이러한 태그는 리소스의 정확한 청구 및 관리에 매우 유용합니다. 정책은 배포된 모든 리소스에 리소스 태그의 애플리케이션을 적용하여 보다 쉽게 관리할 수 있습니다.
이니셔티브의 일반적인 사용
이니셔티브는 논리적 정책을 그룹화하고 단일 엔터티로 추적할 수 있는 기능을 기업에 제공합니다. 이니셔티브는 기업에서 민첩한 워크로드 및 기존 워크로드의 요구 사항을 처리하는 데 도움이 됩니다. 이니셔티브의 일반적인 용도는 다음과 같습니다.
- 클라우드용 Microsoft Defender에서 모니터링 사용. 이는 Azure Policy의 기본 이니셔티브이며, 이니셔티브가 무엇인지에 대한 훌륭한 예입니다. 암호화되지 않은 SQL 데이터베이스, VM(가상 머신) 취약성 및 더 일반적인 보안 관련 요구 사항을 식별하는 정책을 사용하도록 설정합니다.
- 규정 관련 이니셔티브. 기업은 규제 요구 사항(예: HIPAA)에 해당하는 정책을 그룹화하여 컨트롤 및 해당 컨트롤에 대한 준수를 효율적으로 추적할 수 있도록 합니다.
- 리소스 종류 및 SKU. 배포할 수 있는 리소스 종류와 배포할 수 있는 SKU를 제한하는 이니셔티브를 만들면 비용을 제어하는 데 도움이 되며, 팀에서 지원할 기술과 절차를 갖추고 있는 리소스만 조직에서 리소스만 배포하도록 할 수 있습니다.
팁
정책 정의 대신 항상 이니셔티브 정의를 사용하는 것이 좋습니다. 구독 또는 관리 그룹과 같은 범위에 이니셔티브를 할당하면 할당을 변경하지 않고도 이니셔티브에 다른 정책을 쉽게 추가할 수 있습니다. 이렇게 하면 적용되는 내용을 이해하고 규정 준수를 훨씬 쉽게 추적할 수 있습니다.
정책 및 이니셔티브 할당
정책이 만들어지고 논리적 이니셔티브로 그룹화되면 해당 정책을 관리 그룹, 구독 또는 리소스 그룹과 같은 범위에 할당해야 합니다. 할당을 사용하면 정책 할당에서 하위 범위를 제외할 수도 있습니다. 예를 들어 구독 내에서 공용 IP 만들기를 거부하는 경우 보호된 DMZ에 연결된 리소스 그룹에 대한 제외를 사용하여 할당을 만들 수 있습니다.
정책 및 이니셔티브를 Azure의 리소스에 적용하는 방법을 보여 주는 예는 azure-policyGitHub 리포지토리에서 사용할 수 있습니다.
ID 및 액세스 관리
퍼블릭 클라우드를 도입할 때 묻는 주요 질문은 "누가 리소스에 액세스해야 하나요?" 및 "이 액세스를 제어하려면 어떻게 할까요?"입니다. Azure Portal 및 리소스에 대한 액세스를 제어하는 것은 클라우드에 있는 자산의 장기적인 안전에 매우 중요합니다.
리소스에 대한 액세스를 보호하려면 먼저 ID 공급자를 구성한 다음, 역할 및 액세스를 구성합니다. 온-프레미스 Active Directory 연결된 Microsoft Entra ID는 Azure에서 ID의 기초입니다. 그러나 Microsoft Entra ID는 온-프레미스 Active Directory 동일하지 않으며 Microsoft Entra 테넌트가 무엇이며 등록과 어떤 관련이 있는지 이해하는 것이 중요합니다. Azure에서 리소스 액세스 관리를 검토하여 Microsoft Entra ID 및 온-프레미스 Active Directory 대한 확실한 이해를 얻습니다. 온-프레미스 디렉터리를 Microsoft Entra ID에 연결하고 동기화하려면 온-프레미스에서 Microsoft Entra 커넥트 도구를 설치하고 구성합니다.
Azure가 원래 릴리스되었을 때 구독에 대한 액세스 제어는 기본이었습니다. 즉, 사용자에게 관리자 또는 공동 관리자 역할이 할당될 수 있었습니다. 이 클래식 모델에서 구독에 대한 액세스는 포털의 모든 리소스에 대한 액세스를 의미했습니다. 이러한 세분화된 제어가 부족하여 등록에 대한 적절한 액세스 제어 수준을 제공하기 위해 구독이 확산되었습니다. 이러한 구독 확산은 더 이상 필요하지 않습니다. Azure RBAC(역할 기반 액세스 제어)를 사용하면 공통 권한을 제공하는 표준 역할(예: 소유자, 기여자 또는 읽기 권한자)에 사용자를 할당하거나 사용자 고유의 역할을 만들 수도 있습니다.
Azure 역할 기반 액세스 제어를 구현하는 경우 다음 사례를 사용하는 것이 좋습니다.
- 이러한 역할에는 광범위한 권한이 있으므로 구독의 관리자 및 공동 관리자 역할을 제어합니다. Azure 클래식 배포를 관리해야 하는 경우 구독 소유자만 공동 관리자로 추가하면 됩니다.
- 관리 그룹을 사용하여 여러 구독에 역할을 할당하고 구독 수준에서 관리하는 부담을 줄입니다.
- Active Directory에서 Azure 사용자를 그룹(예:
Application X Owners)에 추가합니다. 동기화된 그룹을 사용하여 애플리케이션이 포함된 리소스 그룹을 관리할 수 있는 적절한 권한을 그룹 멤버에 제공합니다. - 예상된 작업을 수행하는 데 필요한 최소 권한을 부여하는 원칙을 따릅니다.
Important
Microsoft Entra Privileged Identity Management, Azure 다단계 인증 및 Microsoft Entra 조건부 액세스 기능을 사용하여 Azure 구독의 관리 작업에 대한 보안 및 가시성을 높이는 것이 좋습니다. 이러한 기능은 ID를 더욱 안전하게 보호하고 관리하기 위해 유효한 Microsoft Entra ID P1 또는 P2 라이선스(기능에 따라 다름)에서 제공됩니다. Microsoft Entra PIM을 사용하면 승인 워크플로를 통해 Just-In-Time 관리 액세스와 관리자 활성화 및 활동에 대한 전체 감사를 수행할 수 있습니다. Azure 다단계 인증은 또 다른 중요한 기능이며 Azure Portal에 로그인하기 위한 2단계 인증을 사용하도록 설정합니다. Microsoft Entra 조건부 액세스 컨트롤과 결합하면 손상 위험을 효과적으로 관리할 수 있습니다.
ID 및 액세스 제어를 계획 및 준비하고 Azure ID 관리 모범 사례를 따르는 것은 사용할 수 있고 모든 배포에 필수적으로 고려해야 하는 최상의 위험 완화 전략 중 하나입니다.
보안
클라우드 채택의 가장 큰 방해 요소 중 하나는 전통적으로 보안에 대한 우려였습니다. IT 위험 관리자 및 보안 부서는 Azure의 리소스가 기본적으로 보호되고 안전한지 확인해야 합니다. Azure는 리소스를 보호하는 동시에 해당 리소스에 대한 위협을 탐지하고 제거하는 데 사용할 수 있는 기능을 제공합니다.
Microsoft Defender for Cloud
클라우드용 Microsoft Defender는 지능적 위협 방지 외에도 환경 전체의 리소스 보안 상태를 통합 보기를 제공합니다. 클라우드용 Defender는 Microsoft 파트너가 기능을 연결하고 향상시키는 소프트웨어를 만들 수 있는 개방형 플랫폼입니다. 클라우드용 Defender 무료 계층의 기준 기능은 보안 태세를 향상시키는 평가 및 권장 사항을 제공합니다. 유료 계층을 사용하면 Just-In-Time 권한 있는 액세스 및 적응형 애플리케이션 제어(허용 목록)와 같은 추가적이고 중요한 기능을 사용할 수 있습니다.
팁
클라우드용 Defender는 위협을 탐지하고 기업을 보호하는 데 사용할 수 있는 새로운 기능으로 정기적으로 향상되는 강력한 도구입니다. 항상 클라우드용 Defender를 사용하도록 설정하는 것이 좋습니다.
Azure 리소스에 대한 잠금
조직에서 핵심 서비스를 구독에 추가함에 따라 비즈니스 중단을 방지하는 것이 점점 더 중요해지고 있습니다. 한 가지 일반적인 중단은 Azure 구독에서 실행되는 스크립트 또는 도구가 의도치 않게 리소스를 삭제할 때 발생합니다. 잠금은 수정 또는 삭제하면 상당한 영향을 주는 고가치 리소스에 대한 작업을 제한합니다. 잠금은 구독, 리소스 그룹 또는 개별 리소스에 적용할 수 있습니다. 잠금을 가상 네트워크, 게이트웨이, 네트워크 보안 그룹 및 키 스토리지 계정과 같은 기본 리소스에 적용합니다.
Azure용 보안 DevOps 키트
AzSK(Secure DevOps Kit for Azure)는 원래 Microsoft의 자체 IT 팀에서 만들고 GitHub를 통해 오픈 소스로 릴리스한 스크립트, 도구, 확장 및 자동화 기능의 컬렉션입니다. AzSK는 광범위한 자동화를 사용하고 보안을 네이티브 DevOps 워크플로에 원활하게 통합하여 팀의 엔드투엔드 Azure 구독 및 리소스 보안 요구 사항을 충족함으로써 다음과 같은 6가지 영역에서 보안 DevOps를 달성하는 데 도움을 줍니다.
- 구독 보안
- 보안 개발 사용
- CI/CD에 보안 통합
- 지속적인 보증
- 경고 및 모니터링
- 클라우드 위험 거버넌스
AzSK는 전체 Azure 거버넌스 계획의 중요한 부분인 풍부한 도구, 스크립트 및 정보 집합이며, 이를 스캐폴드에 통합하는 것은 조직의 위험 관리 목표를 지원하는 데 중요합니다.
Azure 업데이트 관리
환경을 안전하게 유지하기 위해 수행할 수 있는 주요 작업 중 하나는 서버가 최신 업데이트로 패치되었는지 확인하는 것입니다. 이 작업을 수행하는 데는 많은 도구가 있지만 Azure는 중요한 OS 패치의 식별 및 롤아웃을 해결하기 위한 Azure 업데이트 관리 솔루션을 제공합니다. 이 가이드의 뒷부분에 있는 자동화 섹션에서 다루는 Azure Automation 을 사용합니다.
모니터링 및 경고
Azure 구독 전체에서 사용하는 서비스의 활동, 성능 메트릭, 상태 및 가용성을 보여 주는 원격 분석을 수집하고 분석하는 작업은 애플리케이션 및 인프라를 사전에 관리하는 데 매우 중요하며 모든 Azure 구독의 기본 요구 사항입니다. 모든 Azure 서비스는 원격 분석을 활동 로그, 메트릭 및 진단 로그의 형태로 제공합니다.
- 활동 로그는 구독에서 리소스에 대해 수행한 모든 작업을 설명합니다.
- 메트릭은 리소스에서 내보내는 숫자 정보이며 리소스의 성능 및 상태를 설명합니다.
- 진단 로그는 Azure 서비스에서 내보내며, 해당 서비스의 작업에 대한 풍부하고 빈번한 데이터를 제공합니다.
이 정보는 여러 수준에서 보고 관련 작업을 수행할 수 있으며 지속적으로 개선되고 있습니다. Azure는 아래 다이어그램에 설명된 서비스를 통해 Azure 리소스의 공유, 핵심 및 심층 모니터링 기능을 제공합니다.
공유 기능
경고: Azure 리소스에서 모든 로그, 이벤트 및 메트릭을 수집할 수 있지만, 중요한 조건 및 작업에 대한 알림을 받을 수 있는 기능이 없으면 이 데이터는 기록 용도 및 법정 분석에만 유용합니다. Azure 경고는 모든 애플리케이션 및 인프라에서 정의한 조건을 사전에 알려줍니다. 작업 그룹을 사용하여 수신자 집합에 알리는 로그, 이벤트 및 메트릭에 대한 경고 규칙을 만듭니다. 또한 작업 그룹은 웹후크와 같은 외부 작업을 사용하여 Azure Automation Runbook 및 Azure Functions를 실행하여 수정을 자동화하는 기능을 제공합니다.
대시보드: 대시보드를 사용하면 모니터링 보기를 집계하고 여러 리소스와 구독 간에 데이터를 결합하여 Azure 리소스의 원격 분석에 대한 엔터프라이즈 수준의 보기를 제공할 수 있습니다. 사용자 고유의 보기를 만들고 구성하고 다른 사용자와 공유할 수 있습니다. 예를 들어 데이터베이스 관리자가 Azure SQL Database, Azure Database for PostgreSQL 및 Azure Database for MySQL을 포함한 모든 Azure 데이터베이스 서비스에 대한 정보를 제공할 수 있도록 다양한 타일로 구성된 대시보드를 만들 수 있습니다.
메트릭 탐색기: 메트릭은 리소스의 작업 및 성능에 대해 인사이트를 제공하는 Azure 리소스에서 생성하는 숫자 값(CPU 비율 또는 디스크 I/O 메트릭)입니다. 메트릭 탐색기를 사용하면 관심 있는 메트릭을 정의하고 집계 및 분석을 위해 Log Analytics에 보낼 수 있습니다.
핵심 모니터링
Azure Monitor: Azure Monitor는 Azure 리소스를 모니터링하기 위한 단일 원본을 제공하는 핵심 플랫폼 서비스입니다. Azure Monitor의 Azure Portal 인터페이스는 Application Insights, Log Analytics, 네트워크 모니터링, 관리 솔루션 및 서비스 맵의 심층 모니터링 기능을 포함하여 Azure 전반의 모든 모니터링 기능에 대한 중앙의 시작 지점을 제공합니다. Azure Monitor를 사용하면 전체 클라우드 자산에 걸쳐 Azure 리소스에서 제공하는 메트릭과 로그를 시각화, 쿼리, 라우팅, 보관 및 작업을 수행할 수 있습니다. 포털 외에도 Azure Monitor PowerShell cmdlet, 플랫폼 간 CLI 또는 Azure Monitor REST API를 통해 데이터를 검색할 수 있습니다.
Azure Advisor: Azure Advisor는 구독 및 환경 전체에서 원격 분석을 지속적으로 모니터링합니다. 또한 Azure 리소스를 비용 최적화하고 애플리케이션 리소스의 성능, 보안 및 가용성을 향상시키는 모범 사례를 권장합니다.
Azure Service Health: Azure Service Health는 애플리케이션에 영향을 줄 수 있는 Azure 서비스의 문제를 식별하고 예약된 유지 관리 기간 계획 수립을 지원합니다.
활동 로그: 활동 로그는 구독의 리소스에 대한 모든 작업을 설명합니다. 리소스에 대한 CRUD(만들기, 업데이트, 삭제) 작업의 대상, 주체 및 시기를 파악할 수 있는 감사 내역을 제공합니다. 활동 로그 이벤트는 플랫폼에 저장되며 90일 동안 쿼리할 수 있습니다. 더 오랜 기간 동안 보존하고 여러 리소스에 대해 심층적인 쿼리 및 분석을 수행할 수 있도록 활동 로그를 Log Analytics에 수집할 수 있습니다.
심층 애플리케이션 모니터링
- Application Insights: Application Insights를 사용하면 클라우드 또는 온-프레미스에서 애플리케이션별 원격 분석을 수집하고 애플리케이션의 성능, 가용성, 사용량을 모니터링할 수 있습니다. .NET, JavaScript, Java, Node.js, Ruby 및 Python을 포함한 여러 언어로 지원되는 SDK를 사용하여 애플리케이션을 계측합니다. Application Insights 이벤트는 인프라 및 보안 모니터링을 지원하는 동일한 Log Analytics 데이터 저장소에 수집되어 풍부한 쿼리 언어를 통해 시간이 지남에 따라 이벤트를 상호 연결하고 집계할 수 있습니다.
심층 인프라 모니터링
Log Analytics: Log Analytics는 다양한 원본에서 원격 분석 및 기타 데이터를 수집하고 애플리케이션 및 리소스의 작업에 대한 인사이트를 제공하는 쿼리 언어 및 분석 엔진을 제공하여 Azure 모니터링에서 중심적인 역할을 수행합니다. 빠른 로그 검색 및 보기를 통해 Log Analytics 데이터와 직접 상호 작용하거나 데이터를 Application Insights 또는 클라우드용 Microsoft Defender와 같은 Log Analytics에 저장하는 다른 Azure 서비스의 분석 도구를 사용할 수 있습니다.
네트워크 모니터링: Azure의 네트워크 모니터링 서비스를 사용하면 네트워크 트래픽 흐름, 성능, 보안, 연결 및 병목 상태에 대한 인사이트를 얻을 수 있습니다. 잘 계획된 네트워크 디자인에는 Network Watcher 및 ExpressRoute Monitor와 같은 Azure 네트워크 모니터링 서비스 구성이 포함되어야 합니다.
관리 솔루션: 관리 솔루션은 애플리케이션 또는 서비스에 대한 논리, 인사이트 및 미리 정의된 Log Analytics 쿼리를 패키지한 세트입니다. 이러한 솔루션은 이벤트 데이터를 저장하고 분석하기 위한 토대로 Log Analytics를 활용합니다. 샘플 관리 솔루션에는 모니터링 컨테이너 및 Azure SQL Database 분석이 포함됩니다.
서비스 맵: 서비스 맵은 인프라 구성 요소, 해당 프로세스 및 다른 컴퓨터와 외부 프로세스에 대한 상호 종속성에 대한 그래픽 보기를 제공합니다. Log Analytics에서 이벤트, 성능 데이터 및 관리 솔루션을 통합합니다.
팁
개별 경고를 만들기 전에 Azure 경고에서 사용할 수 있는 공유 작업 그룹 세트를 만들고 유지 관리합니다. 이렇게 하면 수신자 목록, 알림 전달 방법(이메일, SMS 전화 번호) 및 외부 작업에 대한 웹후크(Azure Automation Runbook, Azure Functions 및 Logic Apps, ITSM)의 수명 주기를 중앙에서 유지 관리할 수 있습니다.
원가 관리
온-프레미스 클라우드에서 퍼블릭 클라우드로 전환할 때 직면하게 되는 주요 변경 중 하나는 자본 지출(하드웨어 구매 )에서 운영 지출(사용한 서비스 비용)로 전환된다는 것입니다. 이 경우 비용도 더 신중하게 관리해야 합니다. 클라우드의 이점은 필요하지 않을 때 단순히 종료하거나 크기를 조정하여 사용하는 서비스의 비용에 근본적이고 긍정적인 영향을 줄 수 있다는 것입니다. 클라우드에서 비용을 신중하게 관리하는 것이 모범 사례이며 현명한 고객이 매일 수행하는 작업입니다.
Microsoft는 비용을 시각화, 추적 및 관리하는 데 도움이 되는 몇 가지 도구를 제공합니다. 또한 비용 관리를 사용자 지정하고 고유한 도구 및 대시보드에 통합할 수 있도록 전체 API 집합을 제공합니다. 이러한 도구는 Azure Portal 기능 및 외부 기능으로 느슨하게 그룹화됩니다.
Azure Portal 기능
작업을 수행하는 기능 외에도 비용에 대한 즉각적인 정보를 제공하는 도구입니다.
- 구독 리소스 비용: 포털에 있는 Azure Cost Management + Billing 보기는 리소스 또는 리소스 그룹별 일별 지출에 대한 비용 및 정보를 빠르게 보여 줍니다.
- Azure Cost Management + Billing: 이를 통해 Azure 지출과 다른 퍼블릭 클라우드 공급자에 지출하는 금액을 관리하고 분석할 수 있습니다. 다양한 기능을 갖춘 무료 및 유료 계층이 있습니다.
- Azure 예산 및 작업 그룹: 최근까지 어떤 항목에 대한 비용과 관련 작업을 파악하는 것은 대부분 수동으로 진행되었습니다. Azure 예산 및 해당 API가 도입되면서 이제 비용이 임계값에 도달할 때 실행되는 작업을 만들 수 있습니다. 예를 들어 사용량이 예산의 100%에 도달하면
test리소스 그룹을 종료할 수 있습니다. - Azure Advisor: 어떤 항목에 대한 비용을 파악하는 것은 전투의 절반에 지나지 않습니다. 나머지 절반은 이러한 정보를 사용하여 수행할 작업을 파악하는 것입니다. Azure Advisor는 돈을 절약하거나, 안정성을 향상시키거나, 보안을 강화하기 위한 권장 작업을 제공합니다.
외부 비용 관리 도구
Power BI Azure Consumption Insights: 조직에 대한 사용자 고유의 시각화를 만들고 싶은가요? 그렇다면 Power BI용 Azure Consumption Insights 콘텐츠 팩이 원하는 도구입니다. 이 콘텐츠 팩과 Power BI를 사용하면 조직을 나타내는 사용자 지정 시각화를 만들고, 비용에 대한 심층 분석을 수행하며, 추가 보강을 위해 다른 데이터 원본을 추가할 수 있습니다.
Azure Consumption API:Consumption API를 사용하면 예산, 예약 인스턴스 및 마켓플레이스 요금에 대한 정보 외에도 비용 및 사용량 데이터에 프로그래밍 방식으로 액세스할 수 있습니다. 이러한 API는 EA 등록 및 일부 Web Direct 구독에서만 액세스할 수 있지만, 비용 데이터를 자체 도구 및 데이터 웨어하우스에 통합할 수 있는 기능을 제공합니다. 이러한 API는 Azure CLI를 통해 액세스할 수도 있습니다.
장기적이고 현명한 클라우드 사용자는 다음과 같은 특정 모범 사례를 따릅니다.
- 비용을 적극적으로 모니터링합니다. 완성된 경지에 오른 Azure 사용자 조직은 비용을 지속적으로 모니터링하고 필요할 때 조치를 취합니다. 일부 조직에서는 분석을 수행하고 사용량 변경을 제안하기 위해 사람들을 바치고 있으며, 이러한 사람들은 몇 달 동안 실행되고 있는 사용되지 않는 HDInsight 클러스터를 처음 찾을 때 비용을 지불하는 것보다 더 많은 비용을 지불합니다.
- Azure Reserved VM Instances를 사용합니다. 클라우드에서 비용을 관리하기 위한 또 다른 핵심 요소는 작업에 적합한 도구를 사용하는 것입니다. 연중무휴로 유지해야 하는 IaaS VM이 있는 경우 예약 인스턴스를 사용하면 비용을 크게 절감할 수 있습니다. VM 종료 자동화와 예약 인스턴스 사용 간에 적절한 균형을 찾으려면 경험과 분석이 필요합니다.
- 자동화를 효과적으로 사용합니다. 많은 워크로드를 매일 실행할 필요가 없습니다. 매일 4시간 동안 VM을 끄면 비용의 15%를 절감할 수 있습니다. 자동화는 신속하게 비용을 지불합니다.
- 가시성을 위해 리소스 태그를 사용합니다. 이 문서의 다른 위치에서 멘션 리소스 태그를 사용하면 비용을 더 잘 분석할 수 있습니다.
비용 관리는 퍼블릭 클라우드의 효과적이고 효율적인 실행의 핵심인 분야입니다. 성공을 달성하는 기업은 과도하게 구입하고 수요 증가를 기대하는 대신 비용을 제어하고 실제 수요에 맞출 수 있습니다.
자동화
클라우드 공급자를 사용하는 조직의 완성도를 구분하는 많은 기능 중 하나는 통합된 자동화 수준입니다. 자동화는 끝이 없는 프로세스입니다. 조직이 클라우드로 이동함에 따라 이는 리소스와 시간을 구축하는 데 투자해야 하는 영역입니다. 자동화는 문제 해결을 위한 리소스의 일관된 롤아웃(다른 핵심 스캐폴드 개념, 템플릿 및 DevOps에 직접 연결됨)을 포함하여 다양한 용도로 사용됩니다. 자동화는 Azure 스캐폴드의 각 영역을 모두 연결합니다.
이 기능은 자사 도구(예: Azure Automation, Event Grid 및 Azure CLI)에서 광범위한 타사 도구(예: Terraform, Jenkins, Chef 및 Puppet)에 이르기까지 여러 도구를 사용하여 구축할 수 있습니다. 핵심 자동화 도구에는 Azure Automation, Event Grid 및 Azure Cloud Shell이 포함됩니다.
- Azure Automation을 사용하면 프로세스를 자동화하고, 리소스를 구성하고, 패치를 적용하는 Runbook을 PowerShell 또는 Python으로 작성할 수 있습니다. Azure Automation 에는 배포에 필수적인 광범위한 플랫폼 간 기능 집합이 있지만 여기서 자세히 다루기에는 너무 광범위합니다.
- Event Grid는 Azure 환경 내에서 이벤트에 대응할 수 있는 완전 관리형 이벤트 라우팅 시스템입니다. Azure Automation이 성숙한 클라우드 조직의 연결 조직인 것처럼 Event Grid도 적절한 자동화의 연결 조직입니다. Event Grid를 사용하면 새 리소스가 만들어질 때마다 관리자에게 이메일을 보내고 해당 리소스를 데이터베이스에 기록하는 간단한 서버리스 작업을 만들 수 있습니다. 동일한 Event Grid는 리소스가 삭제될 때 알리고 데이터베이스에서 항목을 제거할 수 있습니다.
- Azure Cloud Shell은 Azure에서 리소스를 관리하기 위한 브라우저 기반 대화형 셸입니다. 스크립트를 실행할 수 있는 일관된 환경을 갖출 수 있도록 필요에 따라 시작되고 기본 지원되는 PowerShell 또는 Bash에 대한 완벽한 환경을 제공합니다. Azure Cloud Shell은 Azure CLI, Terraform 및 컨테이너, 데이터베이스(sqlcmd) 등을 관리하기 위한 추가 도구 확장 목록을 포함하여 환경을 자동화하기 위해 미리 설치된 추가 주요 도구에 액세스할 수 있습니다.
자동화는 하루 종일 수행되는 작업이며, 클라우드 팀 내에서 가장 중요한 운영 작업 중 하나가 빠르게 될 것입니다. "먼저 자동화"의 접근 방식을 취하는 조직은 Azure를 사용하는 데 더 큰 성공을 거두었습니다.
- 비용 관리: 적극적으로 기회를 찾고, 리소스 크기를 조정하고 스케일 업/스케일 다운하고 사용하지 않는 리소스를 해제하는 자동화를 만듭니다.
- 운영 유연성: 템플릿 및 DevOps와 함께 자동화를 사용하면 가용성을 높이고, 보안을 강화하고, 팀에서 비즈니스 문제 해결에 집중할 수 있는 반복성 수준을 얻을 수 있습니다.
템플릿 및 DevOps
이전에 강조한 대로 조직의 목표는 원본 제어 템플릿 및 스크립트를 통해 리소스를 프로비전하고 환경의 대화형 구성을 최소화하는 것입니다. 연속 배포를 위한 훈련된 DevOps 프로세스와 함께 "코드로서의 인프라"의 이러한 접근 방식은 일관성을 보장하고 환경 전체에서 드리프트를 줄일 수 있습니다. 거의 모든 Azure 리소스는 PowerShell 또는 Azure 플랫폼 간 CLI 및 HashiCorp의 Terraform(최고 수준의 지원 및 Azure Cloud Shell과의 통합 제공)과 같은 도구와 함께 Azure Resource Manager JSON 템플릿을 통해 배포할 수 있습니다.
Azure Resource Manager 템플릿 사용 모범 사례와 같은 문서에서는 Azure DevOps 도구 체인을 사용하여 DevOps 접근 방식을 Azure Resource Manager 템플릿에 적용하기 위해 학습된 모범 사례와 교훈에 대해 훌륭하게 설명합니다. 조직의 요구 사항과 관련된 핵심 템플릿 세트를 개발하고, 특히 프로덕션 및 QA 환경에 대한 DevOps 도구 체인(예: Azure DevOps, Jenkins, Bamboo, TeamCity 및 Concourse)을 사용하여 지속적인 업데이트 파이프라인을 개발하는 데 시간과 노력을 기울입니다. GitHub에는 템플릿의 시작점으로 사용할 수 있는 Azure 빠른 시작 템플릿의 큰 라이브러리가 있으며, Azure DevOps를 사용하여 클라우드 기반 배달 파이프라인을 빠르게 만들 수 있습니다.
프로덕션 구독 또는 리소스 그룹에 대한 모범 사례로서 기본적으로 대화형 사용자를 허용하지 않는 Azure RBAC 보안을 사용하고, 서비스 주체를 기반으로 하는 자동화된 지속적인 업데이트 파이프라인을 사용하여 모든 리소스를 프로비전하고 모든 애플리케이션 코드를 전달해야 합니다. 관리자 또는 개발자는 리소스를 대화형으로 구성하기 위해 Azure Portal을 활용하지 않아야 합니다. 이 수준의 DevOps는 공동으로 작업을 수행하고 Azure 스캐폴드의 모든 개념을 사용하여 조직의 크기 조정 요구 사항을 충족하는 일관되고 더 안전한 환경을 제공합니다.
팁
복잡한 Azure Resource Manager 템플릿을 디자인하고 개발할 때 연결된 템플릿을 사용하여 모놀리식 JSON 파일에서 복잡한 리소스 관계를 구성하고 리팩터링합니다. 이렇게 하면 리소스를 개별적으로 관리하고, 템플릿을 더 쉽게 읽고, 테스트하고, 다시 사용할 수 있습니다.
Azure는 하이퍼스케일 클라우드 공급자입니다. 조직을 온-프레미스 서버에서 클라우드로 이동할 때 클라우드 공급자 및 SaaS 애플리케이션에서 사용하는 것과 동일한 개념을 적용하면 조직에서 비즈니스 요구 사항에 훨씬 더 효율적으로 대응하는 데 도움이 됩니다.
핵심 네트워크
Azure 스캐폴드 참조 모델의 최종 구성 요소는 조직이 안전한 방식으로 Azure에 액세스하는 방법의 핵심입니다. 리소스에 대한 액세스는 내부(기업 네트워크 내부) 또는 외부(인터넷을 통함)일 수 있습니다. 조직의 사용자가 실수로 리소스를 잘못된 위치에 배치하고 악의적인 액세스로 열 수 있습니다. 온-프레미스 디바이스와 마찬가지로 엔터프라이즈는 Azure 사용자가 올바른 결정을 내릴 수 있도록 적절한 컨트롤을 추가해야 합니다. 구독 거버넌스의 경우 액세스의 기본 제어를 제공하는 핵심 리소스를 식별합니다. 핵심 리소스는 다음으로 구성됩니다.
- 가상 네트워크는 서브넷에 대한 컨테이너 개체입니다. 반드시 필요한 것은 아니지만 애플리케이션을 내부 기업 리소스에 연결할 때 자주 사용됩니다.
- 사용자 정의 경로를 사용하면 네트워크 가상 어플라이언스를 통해 또는 피어링된 가상 네트워크의 원격 게이트웨이에 트래픽을 보낼 수 있도록 서브넷 내의 경로 테이블을 조작할 수 있습니다.
- 가상 네트워크 피어링을 사용하면 Azure에서 둘 이상의 가상 네트워크를 원활하게 연결하여 더 복잡한 허브 및 스포크 디자인 또는 공유 서비스 네트워크를 만들 수 있습니다.
- 서비스 엔드포인트. 이전에는 PaaS 서비스가 가상 네트워크에서의 해당 리소스 액세스를 보호하기 위해 다른 방법에 의존했습니다. 서비스 엔드포인트를 사용하면 연결된 엔드포인트에서만 사용하도록 설정된 PaaS 서비스에 액세스하도록 보호하여 전체 보안을 향상시킬 수 있습니다.
- 보안 그룹은 Azure 리소스에 대한 인바운드 및 아웃바운드 트래픽을 허용하거나 거부하는 기능을 제공하는 광범위한 규칙 세트입니다. 보안 그룹은 서비스 태그(Azure Key Vault 또는 Azure SQL Database와 같은 일반적인 Azure 서비스를 정의함) 및 애플리케이션 보안 그룹(웹 또는 애플리케이션 서버와 같은 애플리케이션 구조를 정의함)을 사용하여 보강할 수 있는 보안 규칙으로 구성됩니다.
팁
네트워크 보안 그룹의 서비스 태그 및 애플리케이션 보안 그룹을 사용하여 다음을 수행합니다.
- 영향을 이해하는 데 중요한 규칙의 가독성을 향상시킵니다.
- 더 큰 서브넷 내에서 효과적인 마이크로 구분을 사용하도록 설정하여 확산을 줄이고 유연성을 높입니다.
Azure Virtual Datacenter
Azure는 효과적인 보안 태세를 제공하는 광범위한 파트너 네트워크의 내부 및 타사 기능을 모두 제공합니다. 더 중요한 것은 Microsoft에서 Azure VDC(가상 데이터 센터) 형식의 모범 사례와 지침을 제공한다는 것입니다. 단일 워크로드에서 하이브리드 기능을 사용하는 여러 워크로드로 이동하면서 VDC 지침에서는 Azure의 워크로드가 증가함에 따라 확장되는 유연한 네트워크를 사용하도록 설정하는 "레시피"를 제공합니다.
다음 단계
거버넌스는 Azure의 성공에 매우 중요합니다. 이 문서는 엔터프라이즈 스캐폴드의 기술적 구현을 대상으로 하지만 구성 요소 간 광범위한 프로세스 및 관계만 언급합니다. 정책 거버넌스는 위에서 아래로 흐르며 비즈니스가 달성하고자 하는 사항에 따라 결정됩니다. 당연히 Azure에 대한 거버넌스 모델 생성에는 IT 담당자가 포함되지만, 더 중요한 것은 비즈니스 그룹 리더의 강력한 표현과 보안 및 위험 관리가 있어야 한다는 것입니다. 결국 엔터프라이즈 스캐폴드는 조직의 사명과 목표를 용이하게 하기 위해 비즈니스 위험을 완화하는 것입니다.
이제 구독 거버넌스에 대해 알아보았으므로 Azure 준비 모범 사례를 검토하여 이러한 권장 사항을 실제로 확인합니다.