Management & Governance AWS account at Scale : AWS Control Tower
멀티 어카운트 환경에서의 매니지먼트 및 거버넌스 : AWS Control Tower
많은 엔터프라이즈 기업들이 본격적으로 AWS를 도입하기 시작하면서 워크로드에 대한 효율적인 매니지먼트 및 거버넌스 방안에 대해 관심을 가지기 시작했다. 기업들이 AWS 도입을 가속화하는 과정에서 발생한 복잡한 워크로드와 다수의 사용자 (AWS 어카운트 및 IAM 사용자)에 대한 관리가 필요해졌기 때문이다. 그렇다고 무작정 AWS 운영 정책을 수립하는 것은 바람직하지 않다. 급작스레 도입한 정책이 오히려 비즈니스 민첩성을 해질 수 있기 때문이다. 이러한 이유로 운영 정책 수립 및 도입 과정에서 자동화된 정책 관리 및 빠른 변화 대응 고려는 필수다. 비지니스 어질리티를 고려하여 AWS 워크로드에 대한 매니지먼트 및 거버넌스 정책을 수립하고 운영해야 지속 가능한 AWS 환경 사용이 가능하기 때문이다.
한쳔 AWS는 자사 클라우드 환경에서 제공되는 워크로드에 대한 매니지먼트 및 거버넌스 서비스 Control Tower를 2021년 4월 출시했다. (APNE2 | Seoul Region 기준) Control Tower는 기존 Landing Zone 서비스의 후속작으로 Landing Zone 대비 더욱 편리한 AWS 워크로드 매니지먼트 및 거버넌스 환경을 제공한다. 이 글에서는 이러한 Control Tower의 Best Practice 환경을 리뷰하고 고객 사용 사례에 대해 분석한다.
AWS Control Tower based on Best Practice
위 구성도는 Best Practice 기반의 Control Tower 구성안이다. 기본적으로 Control Tower는 별도의 CT 계정을 통해 AWS 워크로드 환경 전반을 관리한다. 이러한 관리 영역은 AWS Organizations를 통해 정의되는데, 각 정책은 전체 OU를 대상으로 정책을 적용할 수도 있고 개별 OU 단위로도 적용할 수 있다. 한편 Control Tower에서 주목해야하는 OU는 Security OU이다. Security OU는 Organizations 내 모든 계정에 대한 Log 보관 계정인 Log Archive 계정과, Organizations 계정 전반에 대한 감사 계정인 Audit 계정이 존재한다. 이 두 계정은 Control Tower의 주요 계정으로 Control Tower 구축 시 자동 생성되며 일반적인 방법으로 삭제할 수 없다. 다음으로 각 계정에 대한 사용자 인증 및 접근 관리는 AWS Single Sign On을 통해 달성할 수 있다.
위 구성도는 Control Tower를 통한 보안 정책 자동 설정 및 신규 계정 배포에 관한 플로우를 보여준다. Control Tower 구성 환경에서는 CloudFormation 및 SCP를 통해 각 계정의 보안 정책을 수립 및 적용하고 Account Factory 기능을 통해 신규 어카운트를 자동으로 생성할 수 있다. 이처럼 Control Tower를 사용하면 중앙 집중식 매니지먼트 및 거버넌스 달성이 가능하다.
이 외에도 Control Tower 서비스를 활용하면 개별 팀의 신속하고 독립적인 리소스 제공이 가능하며 다양한 운영 및 규제 요구사항이 즉각적으로 반영될 수 있다. 더불어 AWS Organizations의 통합 빌링 시스템을 통해 결제 간소화를 달성할 수 있으며 각 계정 간 격리 환경을 구성하여 한층 강력한 보안 환경 구성 또한 가능하다.
다음은 Control Tower 도입을 통해 AWS 워크로드 관리에 대한 문제를 해결한 두 고객의 사례이다.
Case Study : AWS Control Tower
기업 A와 B의 사례는 Control Tower를 통한 Multi Account Management 관리 방안 보여준다. A사와 B사는 대규모 개발, 검증, 운영 인력에 대한 AWS 계정 및 리소스 관리 정책 수립이 주요 과제였다. 이러한 문제를 해결하기 위해 Control Tower를 통해 연관된 어카운트를 관리하고 각 유저 그룹에 맞춰 계정 정책을 수립 및 적용하였다. 여기서 더 나아가 B사는 중앙 집중식 인증 및 모니터링 환경을 구성하여 워크로드 전반의 보안 환경을 강화하였다.
지금까지 Control Tower 서비스에 대한 Best Practice Case 및 실제 고객 사례를 다뤄보았다. 기업들의 AWS 도입 및 사용이 가속화됨에 따라 이에 대응하기 위한 새로운 AWS 서비스들이 출시되고 있다. 그 중에서도 멀티 어카운트 환경을 보조하기 위한 Control Tower와 같은 기능은 기존 Landing Zone 환경 대비 구축과 운영이 쉽고 보다 안전한 AWS 계정 사용 환경을 갖출 수 있기에 도입을 적극 권장한다.
특히 ISMS 및 ISMS-P 인증 심사가 필수인 기업의 경우 인증 항목 중 클라우드 서비스 보안통제 정책 수립의 일환으로 AWS Control Tower 서비스를 활용할 수 있다. 이에 관한 글은 아래 문서 참고 바란다.
이 글이 독자의 Control Tower 서비스에 대한 이해에 도움이 되었기를 바라며 이만 글을 마친다.
SAINTPARK
Next Article