[AWS] AWS Control Tower 개념

AWS Control Tower 개념

이번 장에서는 AWS의 Control Tower의 개념에 대해서 알아본다.

---

AWS Control Tower

• AWS Control Tower는 다중 계정 AWS 환경을 설정하고 관리하는 가장 쉬운 방법을 제공하여, 안전하고 이상적으로 설계된 다중 계정 AWS 환경인 기준 환경인 “랜딩 존”의 설정을 자동화한다.
• “랜딩 존”은 보안, 운영 및 규정 준수 규칙을 통해 AWS 워크로드를 더 쉽게 관리하게 해주는 안전한 환경을 조성하기 위해 수많은 엔터프라이즈 고객이 구축한 모범 사례를 바탕으로 구성할 수 있다.
• 2021년 서울 리전에 출시되었으며, 이전에 사용되던 솔루션인 “AWS Landing Zone”은 계속 사용할 수는 있지만 추가 기능은 개발되지 않는다.

---

주요 기능

Account Factory(계정 팩토리)

• 빌트인 Account Factory는 표준화된 계정 프로비저닝에 대한 템플릿을 제공한다.
• 계정 팩토리는 사내에서 사용할 새로운 AWS 계정 생성을 자동화한다.
• 사전 승인된 네트워크 구성, 리전 선택 및 AWS Service Catalog를 사용하여 새 계정을 구성하고 프로비저닝할 수 있도록 셀프 서비스를 활성화할 수 있다.
• 계정 베이스라인과 가드레일을 자동으로 적용한다.

Landing Zone(랜딩 존)

• 랜딩 존은 보안 및 규정 준수 모범 사례를 기반으로 하는 잘 설계된 다중 계정 기반 AWS 서비스 환경이다.
• 자격 증명, 연동 액세스 및 계정 구조에 모범 사례를 설계도(blue print)로 만들어서 랜딩 존 설정을 자동화할 수 있도록 해준다.
• 랜딩 존에서 자동으로 구현되는 설계도(blue print)에는 아래와 같은 사례가 있다.
  • AWS Organizations를 사용하여 다중 계정 환경 생성.
  • AWS Single Sign-On(SSO) 기본 디렉토리를 사용하여 자격 증명 관리 제공.
  • AWS SSO를 사용하여 계정에 대한 연동 액세스 제공
  • AWS CloudTrail 및 Amazon S3에 저장된 AWS Config의 로깅 중앙 집중화
  • AWS IAM 및 AWS SSO를 사용한 보안 감사(audit)
• AWS Control Tower에서 설정한 랜딩 존은 고객이 스스로 콘솔을 통해 선택한 필수 및 강력 권장 “가드 레일 세트”를 사용하여 관리하며, 이를 통해 여러 계정 및 구성이 정책을 준수하는지 확인할 수 있다.

Guard Rail(가드레일)

• 가드레일은 보안, 운영 및 규정 준수를 위한 사전 패키지 된 거버넌스 규칙이다.
• 가드레일은 AWS Organizations 조직 단위(OU) 내에서 활성화 할 수 있는 AWS 환경에 대한 특정 거버넌스 정책이다.
• 방지 가드레일: 의도를 설정하고 정책을 준수하지 않는 리소스 배포 방지(예) 모든 계정에서 AWS CloudTrail 활성화)
• 감지 가드레일: 배포된 리소스의 부적합을 지속적으로 모니터링(예) S3 버킷에 대한 퍼블릭 읽기 액세스를 허용하지 않음)
• Control Tower는 아래의 목록을 통해 가드레일을 세분화 된 AWS 정책으로 자동 변환한다.
  • AWS CloudFormation을 사용하여 구성 기준 설정
  • 서비스 제어 정책(SCP)을 사용하여 기본 구성 변경 방지(방지 가드레일)
  • AWS Config 규칙을 통해 지속적으로 구성 변경 감지(감지 가드레일)
  • 대시 보드에서 가드레일 상태 업데이트
• AWS Control Tower는 AWS 모범 사례와 거버넌스에 대한 공통 고객 정책을 기반으로 선별된 추천 가드레일 세트를 제공한다.
• 랜딩 존 설정 중에 이러한 필수 가드레일을 자동으로 활용할 수 있다.

대시 보드

• Control Tower 대시 보드는 AWS 환경에 대한 지속적인 가시성을 제공한다.
• 프로비저닝 된 OU 및 계정의 수, 활성화 된 가드 레일의 수를 보고 해당 가드 레일에 대해 OU 및 계정의 상태를 확인할 수 있다.
• 활성화 된 가드 레일과 관련하여 비준수 리소스 목록을 볼 수도 있다.

---

AWS Control Tower Architecture

• AWS Organizations를 사용하여 다중 계정을 관리한다.
• AWS CloudFormation StackSets를 활용하여 멤버 계정들에 Landing Zone을 설정한다.
• AWS SSO를 사용한 신원 인증 및 Federated Access를 관리한다.
• AWS CloudTrail과 AWS Config를 사용한 중앙 집중식 로그를 보관한다.
• AWS SSO와 AWS IAM을 사용하여 계정 간 감사(audit)를 액세스한다.
• AWS Service Catalog를 통해 최종 사용자의 계정을 프로비저닝 한다.
• Amazon CloudWatch와 Amazon SNS를 사용한 중앙 집중식 모니터링 및 알림을 사용한다.

중앙 집중화된 신원 인증 및 액세스

• AWS SSO는 신원 인증을 위한 기본적인 디렉토리를 제공한다.
• AWS SSO는 Organization 내 모든 계정들에 대한 federated access management를 지원한다.
• 사전 구성된 그룹(AWS Control Tower administrators, auditors 등)을 제공한다.
• 사전 구성된 권한 그룹(admin, read-only 등)을 제공한다.

수명 주기 이벤트

---

다중 계정 환경

계정 생성 시 고려되어야 할 기반 사항

• 네트워크: VPC, IP 할당, Subnet Masking, Transit Gateway, VPC Peering
• ID 관리: IAM, SSO, IdP
• 보안 도구: Guard Duty, Security Hub, IAM Access Analyzer, 써드파티 도구
• 로깅 전략: 어떤 로그를 어디에 저장할 것인지, 로그 수집기(log aggregators) 통합 방식
• 지원 수준: Enterprise, Business
• 추가 가드레일: BYOG(Bring Your Own Guardrail)
• 운영 절차에 통합: ITSM/ITIL (ServiceNow, Jira Service Desk), 자산 관리, CMDB 등
• 기본 리소스: 계정에서 필요한 다른 AWS Services, 아키텍처 패턴에 대한 결재 파이프라인 등 고려

설계를 위한 계정 및 OU 구조 고려 사항

• 계정 분리 고려 사항
  • 보안 제어
  • 격리
  • 다중 팀
  • 데이터 격리
  • 비즈니스 프로세스
  • 빌링
  • 리소스 쿼터 할당
• OU 분리 고려 사항
  • 회사 조직 구조
  • 정책 변경 테스트
  • 거버넌스 및 제어
  • 프로덕션 및 스테이징 영역
  • 서비스 제어 정책(SCP)

참조용 네트워크 아키텍처

다중 계정 사례

---

참고 자료

• AWS Control Tower(Document)
• 다중 계정 AWS 환경 설정을 위한 AWS Control Tower - 서울 리전 출시
• AWS Control Tower 미리보기 - 포괄적인 제어 관리 기능
• AWS Control Tower를 통한 클라우드 보안 및 거버넌스 설계(영상)
• AWS Control Tower를 통한 클라우드 보안 및 거버넌스 설계(PPT)