요구 사항을 충족하도록 Azure 랜딩 존 아키텍처 조정

Azure 랜딩 존 지침의 일부로 몇 가지 참조 구현 옵션을 사용할 수 있습니다.

• Azure Virtual WAN을 사용하는 Azure 랜딩 존
• 기존 허브 및 스포크를 사용하는 Azure 랜딩 존
• Azure 랜딩 존 기반
• 중소기업을 위한 Azure 랜딩 존

이러한 옵션은 디자인 영역에서 Azure 랜딩 존 개념 아키텍처 및 모범 사례를 제공하는 구성을 사용하여 조직을 신속하게 시작하는 데 도움이 될 수 있습니다.

참조 구현은 고객 및 파트너와의 계약에서 Microsoft 팀의 모범 사례 및 학습을 기반으로 합니다. 이 정보는 80/20 규칙의 “80” 측면을 나타냅니다. 다양한 구현은 아키텍처 디자인 프로세스의 일부인 기술적 결정에 대한 입장을 취합니다.

모든 사용 사례가 동일하지는 않으므로 모든 조직에서 의도한 대로 구현 방법을 사용할 수 있는 것은 아닙니다. 조정 요구 사항이 식별되면 고려 사항을 이해해야 합니다.

Azure 랜딩 존의 랜딩 존 원형이란?

랜딩 존 아키타입은 랜딩 존(Azure 구독)이 특정 범위에서 예상되는 환경 및 규정 준수 요구 사항을 충족하는지 확인하기 위해 충족해야 하는 사항을 설명합니다. 예를 들면 다음과 같습니다.

• Azure Policy 할당
• RBAC(역할 기반 액세스 제어) 할당
• 네트워킹과 같이 중앙에서 관리되는 리소스

Azure에서 정책 상속이 작동하는 방식 때문에 리소스 계층의 각 관리 그룹이 최종 랜딩 존 원형 출력에 기여하는 것으로 간주합니다. 하위 수준을 디자인할 때 리소스 계층 구조의 상위 수준에 적용되는 항목을 고려합니다.

관리 그룹과 랜딩 존 원형 간에는 긴밀한 관계가 있지만 관리 그룹만으로는 랜딩 존 원형이 아닙니다. 대신 사용자 환경에서 각 랜딩 존 원형을 구현하는 데 사용되는 프레임워크의 일부를 구성합니다.

이 관계는 Azure 랜딩 존 개념 아키텍처에서 확인할 수 있습니다. 정책 할당은 모든 워크로드에 적용해야 하는 설정에 대한 중간 루트 관리 그룹(예: Contoso)에서 만들어집니다. 더 구체적인 요구 사항의 경우 계층 구조의 하위 수준에서 더 많은 정책 할당이 생성됩니다.

관리 그룹 계층 구조 내의 구독 배치는 해당 특정 랜딩 존(Azure 구독)에 상속 및 적용되는 Azure Policy 및 액세스 제어(IAM) 할당의 결과 집합을 결정합니다.

랜딩 존에 필요한 중앙 관리 리소스가 있는지 확인하기 위해 더 많은 프로세스와 도구가 필요할 수 있습니다. 일부 사례:

• 활동 로그 데이터를 Log Analytics 작업 영역으로 보내는 진단 설정입니다.
• 클라우드용 Microsoft Defender에 대한 연속 내보내기 설정입니다.
• 애플리케이션 워크로드의 관리되는 IP 주소 공간이 있는 가상 네트워크입니다.
• DDoS(분산 서비스 거부) 네트워크 보호에 가상 네트워크를 연결합니다.

Azure 랜딩 존 개념 아키텍처에 대한 기본 제공 원형

개념 아키텍처에는 corp 및 online과 같은 애플리케이션 워크로드에 대한 랜딩 존 원형 예제가 포함되어 있습니다. 이러한 원형은 조직에 적용되고 요구 사항을 충족할 수 있습니다. 이러한 원형을 변경하거나 새 원형을 만들 수 있습니다. 결정은 조직의 요구 사항에 따라 달라집니다.

리소스 계층 구조의 다른 위치에서 변경 내용을 만들 수도 있습니다. 조직의 Azure 랜딩 존 구현을 위한 계층 구조를 계획할 때는 디자인 영역의 지침을 따릅니다.

개념 아키텍처의 다음 랜딩 존 원형 예제는 목적 및 용도를 이해하는 데 도움이 됩니다.

조정이 필요할 수 있는 시나리오

앞에서 설명한 대로 Azure 랜딩 존 개념 아키텍처에서 일반적인 랜딩 존 원형을 제공합니다. 이 원형은 corp 및 online입니다. 이러한 원형은 고정되지 않으며 애플리케이션 워크로드에 허용되는 유일한 랜딩 존 원형이 아닙니다. 요구 사항에 맞게 랜딩 존 원형을 조정해야 할 수도 있습니다.

랜딩 존 원형을 조정하기 전에 개념을 이해하고 사용자 지정을 제안하는 계층 구조 영역도 시각화하는 것이 중요합니다. 다음 다이어그램은 Azure 랜딩 존 개념 아키텍처의 기본 계층 구조를 보여 줍니다.

두 계층 구조 영역이 강조 표시됩니다. 하나는 랜딩 존 아래에 있고 다른 하나는 플랫폼 아래에 있습니다.

애플리케이션 랜딩 존 원형 맞춤

랜딩 존 관리 그룹 아래에 파란색으로 강조 표시된 영역을 확인합니다. 기존 계층을 사용하여 기존 아키타입에 더 많은 정책 할당으로 추가할 수 없는 새로운 또는 더 많은 요구 사항을 충족하기 위해 더 많은 아키타입을 추가하는 것이 계층 구조에서 가장 일반적이고 안전한 위치입니다.

예를 들어 PCI(결제 카드 산업) 규정 준수 요구 사항을 충족해야 하는 일련의 애플리케이션 워크로드를 호스트하기 위한 새로운 요구 사항이 있을 수 있습니다. 그러나 이 새로운 요구 사항은 전체 자산의 모든 워크로드에 적용될 필요는 없습니다.

이 새로운 요구 사항을 충족하는 간단하고 안전한 방법이 있습니다. 계층 구조의 랜딩 존 관리 그룹 아래에 PCI라는 새 관리 그룹을 만듭니다. PCI v3.2.1:2018에 대한 클라우드용 Microsoft Defender 규정 준수 정책 이니셔티브와 같은 더 많은 정책을 새 PCI 관리 그룹에 할당할 수 있습니다. 이 작업은 새로운 원형을 형성합니다.

이제 새 Azure 구독을 배치하거나 새 PCI 관리 그룹으로 이동하여 필요한 정책을 상속하고 새 원형을 형성할 수 있습니다.

또 다른 예로 기밀 컴퓨팅을 위한 관리 그룹을 추가하고 규제된 산업에서 사용할 수 있는 Microsoft Cloud for Sovereignty가 있습니다. Microsoft Cloud for Sovereignty 는 적절한 주권 제어를 사용하여 퍼블릭 클라우드 채택을 위한 도구, 지침 및 가드레일을 제공합니다.

플랫폼 랜딩 존 원형 조정

플랫폼 관리 그룹 아래에 주황색으로 강조 표시된 영역을 조정할 수도 있습니다. 이 영역의 영역을 플랫폼 랜딩 존이라고 합니다.

예를 들어 워크로드를 호스트하기 위해 고유한 원형이 필요한 전용 SOC 팀이 있을 수 있습니다. 이러한 워크로드는 관리 관리 그룹의 Azure Policy 및 RBAC 할당 요구 사항을 충족해야 합니다.

계층 구조의 플랫폼 관리 그룹 아래에 새 보안 관리 그룹을 만듭니다. 필요한 Azure Policy 및 RBAC 할당을 할당할 수 있습니다.

이제 새 Azure 구독을 배치하거나 새 보안 관리 그룹으로 이동하여 필요한 정책을 상속하고 새 원형을 형성할 수 있습니다.

맞춤형 Azure 랜딩 존 계층 구조의 예

다음 다이어그램은 맞춤형 Azure 랜딩 존 계층 구조를 보여 줍니다. 이전 다이어그램의 예제를 사용합니다.

고려할 항목

계층 구조에서 Azure 랜딩 존 원형의 구현을 조정하려는 경우 다음 사항을 고려합니다.

• 계층 구조 조정은 필수가 아닙니다. 제공하는 기본 원형 및 계층 구조는 대부분의 시나리오에 적합합니다.

• 원형에서 조직 계층 구조, 팀 또는 부서를 다시 만들지 마세요.

• 항상 새로운 요구 사항을 충족하기 위해 기존 원형 및 계층 구조를 빌드하려고 합니다.

• 필요한 경우에만 새 원형을 만듭니다.

  예를 들어 PCI와 같은 새로운 규정 준수 요구 사항은 애플리케이션 워크로드의 하위 집합에만 필요하며 모든 워크로드에 적용할 필요가 없습니다.

• 앞의 다이어그램에 표시된 강조 표시된 영역에만 새 원형을 만듭니다.

• 복잡성과 불필요한 제외를 방지하려면 4계층 계층 구조 깊이를 벗어나지 마세요. 계층 구조에서 세로가 아닌 가로로 원형을 확장합니다.

• 개발, 테스트, 프로덕션과 같은 환경에 대한 원형을 만들지 마세요.

  자세한 내용은 Azure 랜딩 존 개념 아키텍처에서 개발/테스트/프로덕션 워크로드 랜딩 존을 처리하는 방법을 참조하세요.

• 브라운필드 환경에서 제공되거나 "감사 전용" 적용 모드 의 정책을 사용하여 랜딩 존 관리 그룹에서 구독을 호스트하는 방법을 찾고 있는 경우 시나리오: 랜딩 존 관리 그룹을 복제하여 환경 전환