AWS Control Tower 개념
이번 장에서는 AWS의 Control Tower의 개념에 대해서 알아본다.
AWS Control Tower
- AWS Control Tower는 다중 계정 AWS 환경을 설정하고 관리하는 가장 쉬운 방법을 제공하여, 안전하고 이상적으로 설계된 다중 계정 AWS 환경인 기준 환경인 “랜딩 존”의 설정을 자동화한다.
- “랜딩 존”은 보안, 운영 및 규정 준수 규칙을 통해 AWS 워크로드를 더 쉽게 관리하게 해주는 안전한 환경을 조성하기 위해 수많은 엔터프라이즈 고객이 구축한 모범 사례를 바탕으로 구성할 수 있다.
- 2021년 서울 리전에 출시되었으며, 이전에 사용되던 솔루션인 “AWS Landing Zone”은 계속 사용할 수는 있지만 추가 기능은 개발되지 않는다.
주요 기능
Account Factory(계정 팩토리)
- 빌트인 Account Factory는 표준화된 계정 프로비저닝에 대한 템플릿을 제공한다.
- 계정 팩토리는 사내에서 사용할 새로운 AWS 계정 생성을 자동화한다.
- 사전 승인된 네트워크 구성, 리전 선택 및 AWS Service Catalog를 사용하여 새 계정을 구성하고 프로비저닝할 수 있도록 셀프 서비스를 활성화할 수 있다.
- 계정 베이스라인과 가드레일을 자동으로 적용한다.
Landing Zone(랜딩 존)
- 랜딩 존은 보안 및 규정 준수 모범 사례를 기반으로 하는 잘 설계된 다중 계정 기반 AWS 서비스 환경이다.
- 자격 증명, 연동 액세스 및 계정 구조에 모범 사례를 설계도(blue print)로 만들어서 랜딩 존 설정을 자동화할 수 있도록 해준다.
- 랜딩 존에서 자동으로 구현되는 설계도(blue print)에는 아래와 같은 사례가 있다.
- AWS Organizations를 사용하여 다중 계정 환경 생성.
- AWS Single Sign-On(SSO) 기본 디렉토리를 사용하여 자격 증명 관리 제공.
- AWS SSO를 사용하여 계정에 대한 연동 액세스 제공
- AWS CloudTrail 및 Amazon S3에 저장된 AWS Config의 로깅 중앙 집중화
- AWS IAM 및 AWS SSO를 사용한 보안 감사(audit)
- AWS Control Tower에서 설정한 랜딩 존은 고객이 스스로 콘솔을 통해 선택한 필수 및 강력 권장 “가드 레일 세트”를 사용하여 관리하며, 이를 통해 여러 계정 및 구성이 정책을 준수하는지 확인할 수 있다.
Guard Rail(가드레일)
- 가드레일은 보안, 운영 및 규정 준수를 위한 사전 패키지 된 거버넌스 규칙이다.
- 가드레일은 AWS Organizations 조직 단위(OU) 내에서 활성화 할 수 있는 AWS 환경에 대한 특정 거버넌스 정책이다.
- 방지 가드레일: 의도를 설정하고 정책을 준수하지 않는 리소스 배포 방지(예) 모든 계정에서 AWS CloudTrail 활성화)
- 감지 가드레일: 배포된 리소스의 부적합을 지속적으로 모니터링(예) S3 버킷에 대한 퍼블릭 읽기 액세스를 허용하지 않음)
- Control Tower는 아래의 목록을 통해 가드레일을 세분화 된 AWS 정책으로 자동 변환한다.
- AWS CloudFormation을 사용하여 구성 기준 설정
- 서비스 제어 정책(SCP)을 사용하여 기본 구성 변경 방지(방지 가드레일)
- AWS Config 규칙을 통해 지속적으로 구성 변경 감지(감지 가드레일)
- 대시 보드에서 가드레일 상태 업데이트
- AWS Control Tower는 AWS 모범 사례와 거버넌스에 대한 공통 고객 정책을 기반으로 선별된 추천 가드레일 세트를 제공한다.
- 랜딩 존 설정 중에 이러한 필수 가드레일을 자동으로 활용할 수 있다.
대시 보드
- Control Tower 대시 보드는 AWS 환경에 대한 지속적인 가시성을 제공한다.
- 프로비저닝 된 OU 및 계정의 수, 활성화 된 가드 레일의 수를 보고 해당 가드 레일에 대해 OU 및 계정의 상태를 확인할 수 있다.
- 활성화 된 가드 레일과 관련하여 비준수 리소스 목록을 볼 수도 있다.
AWS Control Tower Architecture
- AWS Organizations를 사용하여 다중 계정을 관리한다.
- AWS CloudFormation StackSets를 활용하여 멤버 계정들에 Landing Zone을 설정한다.
- AWS SSO를 사용한 신원 인증 및 Federated Access를 관리한다.
- AWS CloudTrail과 AWS Config를 사용한 중앙 집중식 로그를 보관한다.
- AWS SSO와 AWS IAM을 사용하여 계정 간 감사(audit)를 액세스한다.
- AWS Service Catalog를 통해 최종 사용자의 계정을 프로비저닝 한다.
- Amazon CloudWatch와 Amazon SNS를 사용한 중앙 집중식 모니터링 및 알림을 사용한다.
중앙 집중화된 신원 인증 및 액세스
- AWS SSO는 신원 인증을 위한 기본적인 디렉토리를 제공한다.
- AWS SSO는 Organization 내 모든 계정들에 대한 federated access management를 지원한다.
- 사전 구성된 그룹(AWS Control Tower administrators, auditors 등)을 제공한다.
- 사전 구성된 권한 그룹(admin, read-only 등)을 제공한다.
수명 주기 이벤트
다중 계정 환경
계정 생성 시 고려되어야 할 기반 사항
- 네트워크: VPC, IP 할당, Subnet Masking, Transit Gateway, VPC Peering
- ID 관리: IAM, SSO, IdP
- 보안 도구: Guard Duty, Security Hub, IAM Access Analyzer, 써드파티 도구
- 로깅 전략: 어떤 로그를 어디에 저장할 것인지, 로그 수집기(log aggregators) 통합 방식
- 지원 수준: Enterprise, Business
- 추가 가드레일: BYOG(Bring Your Own Guardrail)
- 운영 절차에 통합: ITSM/ITIL (ServiceNow, Jira Service Desk), 자산 관리, CMDB 등
- 기본 리소스: 계정에서 필요한 다른 AWS Services, 아키텍처 패턴에 대한 결재 파이프라인 등 고려
설계를 위한 계정 및 OU 구조 고려 사항
- 계정 분리 고려 사항
- 보안 제어
- 격리
- 다중 팀
- 데이터 격리
- 비즈니스 프로세스
- 빌링
- 리소스 쿼터 할당
- OU 분리 고려 사항
- 회사 조직 구조
- 정책 변경 테스트
- 거버넌스 및 제어
- 프로덕션 및 스테이징 영역
- 서비스 제어 정책(SCP)
참조용 네트워크 아키텍처
다중 계정 사례
참고 자료
'Infrastructure > Cloud Computing' 카테고리의 다른 글
[AWS] Landing Zone Accelerator (0) | 2022.12.16 |
---|---|
[AWS] Landing Zone 배포 자동화 (0) | 2022.12.16 |
[AWS] Landing Zone 개념 (0) | 2022.12.16 |
[AWS] AWS Organizations 관련 서비스 (0) | 2022.12.16 |
[AWS] AWS Organizations (0) | 2022.12.08 |