Landing Zone & AWS Control Tower

오늘은 “Landing Zone & AWS Control Tower” 에 대해서 알아보겠습니다.

 

첫 번째로 “Landing Zone”입니다.

 

• 클라우드 환경에서의 보안, 로그 저장 위치, 관리 정책, 보안 취약성 관리법, API에 대한 보안 거버넌스 및 접근통제 방안 등, 시스템 운영을 위한 기본이 되는 요소들을 형식화해서 만든 도구입니다. 물론 랜딩존은 기업 규모 마다 구성이 다르며, 자신의 기업에 맞도록 클라우드 활용, 운영 방식, 보안 정책 등을 수정하는 과정이 필요합니다.

 

랜딩존 구성을 클라우드에서 효율적으로 사용하려면?

 

• 랜딩존을 잘 설계하면 클라우드를 효율적으로 운영하는 데 도움이 됩니다. 랜딩존을 구축한다는 것은 필요에 따라 변형이 가능한 기초 샘플을 만들어두는 것과 같으며, 기업 내, 외부의 환경에 맞는 최적의 시스템을 구축하는데 사용할 수 있습니다.

 

AWS의 Landing Zone

 

• AWS Landing Zone에는 다양한 사용자 지정 옵션이 제공됩니다. 일부 고객 추가 기능에는 Active Directory, Okta Directory 등이 포함됩니다. 구성 파이프라인을 사용하여 코드 배포를 통해 지속적인 변경 및 수정을 수행할 수 있습니다.
• 이 솔루션은 AWS 계정, 보안 설정, 정책 및 네트워크의 맞춤형 기준을 생성하기 위해 전문 서비스 컨설턴트 또는 AWS 솔루션 아키텍트가 제공합니다.

 

• 이점
  • 조직에서 여러 핵심 계정을 구현 가능
  • AWS 환경(IaC) 설정 자동화
  • 계정 프로비저닝을 자동화.
  • 보안을 위한 기준을 구축
  • DevOps 환경에서 Gitlab과 연동하여 운영.
  • 모니터링, 로깅, 경고, IAM, 서비스 제어 정책 및 MFA(Multi-Factor Authentication)와 같은 보안 기능을 지원
  • 거버넌스 규칙을 사용하여 규칙 및 대시보드를 자동으로 활성화
  • 리소스 활용도를 보고 관리하는 옵션
  • AVM을 사용한 새 계정 생성 지원
  • 싱글 사인온 지원
  • 글로벌 및 계정 수준의 보안 가드레일
  • 완전 관리형 서비스
  • 효과적인 거버넌스 및 운영 모델

 

두 번째로 ”AWS Control Tower” 입니다.

 

• AWS Control Tower는 연합 액세스, 자격 증명 및 계정 구조에 대한 모범 사례 청사진을 사용하여 새 랜딩 영역 설정을 자동화할 수 있습니다.
• AWS Control Tower는 권장 및 필수 가드레일 세트를 사용하여 관리할 수 있습니다. 고객은 계정 및 구성이 정책을 준수하는지 확인하기 위해 셀프 서비스 콘솔 환경을 통해 선택합니다.
• 조직의 새 계정 프로비저닝은 계정 팩터리를 사용하여 자동화할 수 있습니다. 구성 가능한 계정 템플릿을 사용하여 Control Tower는 새 계정의 프로비저닝을 표준화하는 데 도움이 됩니다.
• AWS Control Tower는 무료이지만 구성된 서비스와 정책은 무료가 아닙니다.

 

AWS Control Tower 사용 목적

 

• 몇 번의 클릭으로 베스트 프랙티스 AWS 환경 설정
• 계정 프로비저닝 표준화
• 중앙 집중화된 Policy 관리
• 사전 예방적으로 거버넌스 및 컴플라이언스 시행
• 최종 사용자 셀프 서비스 활성화

 

• 이점
  • 새로운 AWS 환경을 빠르게 설정하고 구성하는 데 도움이 됩니다.
  • 여러 팀에서 새 AWS 계정을 빠르게 프로비저닝할 수 있다.
  • 모든 계정은 중앙에서 수립된 전사적 정책에 따라 조정
  • 지속적인 정책 관리 자동화
  • AWS 환경의 정책 수준 요약 보기
  • AWS 워크로드는 보안, 운영 및 내부 규정 준수를 위한 규칙을 사용하여 관리할 수 있다.
  • AWS 환경 설정을 자동화
  • 미리 패키지된 정책을 선택하여 전역적으로 또는 특정 그룹이나 계정에 적용이 가

 

AWS Control Tower 아키텍처

 

• AWS Organizations를 사용하여 다중 계정 관리
• AWS CloudFormation StackSets를 활용하여  멤버 계정들에 landing zone 설정
• AWS SSO를 사용한 신원 인증 및 Federated  Access 관리
• AWS CloudTrail과 AWS Config를 사용한 중앙  집중식 Log Archive
• AWS SSO와 AWS IAM을 사용하여 계정 간 감사  액세스
• AWS Service Catalog를 통해 최종 사용자 계정  프로비저닝
• Amazon CloudWatch와 Amazon SNS를 사용한  중앙집중식 모니터링 및 알림

 

가드레일 설정

 

• 가드레일은 보안, 컴플라이언스 및 운영을 위해  사전 구성된 거버넌스 규칙임
• 세분화된 AWS 정책을 추상화하여 제공하기 위해  평문 영어로 작성
• 방지 가드레일: 규정 시행을 통해 정책 위반을 방지;  AWS CloudFormation과 SCPs 사용하여 구현
• 감지 가드레일: 대시보드에서 정책 위반 탐지 및  경고; AWS Config rules 사용하여 구현
• 규범적 지침을 위해 필수적으로 강력하게 권장되는  가드레일
• Organizational units을 쉽게 선택하고 활성화 가능

 

AWS Control Tower 핵심 기능 요약

 

핵심은 고객의 클라우드 사용 환경이 복잡해지고, 비즈니스가 가속화할수록 컨트롤 타워의 역할은 더 중요합니다. 그 중 AWS의 컨트롤 타워는 ‘랜딩존’이라는 다중 계정의 AWS 환경을 쉽게 설정하고 관리하는 환경을 구현합니다. 이처럼 AWS 컨트롤 타워 도입으로 얻을 수 있는 베네핏과 함께 컨트롤 타워로 전환 시 고려 사항, 컨트롤 타워 기반의 환경에서 지속적으로 혁신화하는 방법 입니다.

SUMMARY

 

1. 랜딩 존

• 안전한 멀티 어카운트 AWS 환경을 제공하는 솔루션이다.

 

2. 컨트롤 타워

• 컨트롤 타워는 Organization, IAM, Config, CloudTrail, Service Catalog 등 여러 서비스를 기반으로 한다. 

 

2.1. 가드레일

• 보안, 규정 준수, 비용 관리 등에 중점을 두고 정책 제어를 자동으로 구현한다.
• 가드 레일은 예방이나 탐지가 될 수 있다.

 

2.2. 블루프린트

• 랜딩 존을 설정하는데 사용되는 아키텍처 패턴이다.

 

2.3. 환경

• 애플리케이션을 실행하도록 구성된 AWS 계정, 리로스다.
• 사용자는 Service Catalog를 통해 환경을 요청하고, 컨트롤 타워는 자동화된 워크플로를 사용하여 리소스를 프로비저닝한다.

오늘은 이렇게 “Landing Zone & AWS Control Tower”에 대하여 알아보았습니다. 많이 어려웠던 내용입니다. 하지만 알아두면 좋은 것은 기업들이 클라우드 환경을 Landing Zone으로 구축하기를 원합니다. 그렇기에 우리 클라우드 전문가들은 Landing Zone에 대하여 알아야 한다 생각합니다.

 

이상 MC에몽 이였습니다!

 

 

 

참고자료:

[1] https://sarc.io/index.php/aws/1886-aws-landing-zone

[2] https://aws.amazon.com/ko/solutions/implementations/aws-landing-zone/

[3] https://dev.classmethod.jp/articles/the-core-of-the-landing-zone-implementation-the-control-tower-of-aws/