다음을 통해 공유

Azure의 SaaS 워크로드에 대한 거버넌스

  • 아티클

거버넌스는 클라우드 서비스 사용을 구성, 제어 및 규제하는 데 사용할 수 있는 컨트롤, 사례 및 도구 집합입니다. 거버넌스는 허용 가능한 사용에 대한 표준을 설정하고, 무단 액세스 및 수정을 방지하며, 클라우드 활동을 전반적인 클라우드 전략에 맞게 조정하는 일련의 가드레일로 생각할 수 있습니다. 효과적인 거버넌스는 위험을 줄이고 규정 준수를 보장하며 조직의 비즈니스 목표를 지원합니다. SaaS(Software as a Service) 솔루션을 빌드하는 경우 처음부터 거버넌스의 우선 순위를 지정하는 것이 중요합니다. 이 방법은 안전하고 비용 효율적이고 효율적인 솔루션을 위한 토대를 마련합니다.

비용 거버넌스

비즈니스의 성공을 보장하기 위해 솔루션을 실행하는 데 드는 비용을 이해하는 것이 중요합니다. 이러한 비용을 효과적으로 분석, 관리 및 최적화하는 동시에 제어권을 유지해야 합니다. Azure에서 솔루션 빌드를 시작할 때 가격 계산기 및 비용 분석기와 같은 도구를 사용하여 비용을 예측할 수 있습니다.

SaaS에 대한 비용을 추적하고 제어하는 방법 및 고객에게 청구하는 방법에 대한 자세한 내용은 Azure의 SaaS 워크로드에 대한 청구 및 비용 관리를 참조하세요.

디자인 고려 사항

  • 명명 규칙 및 태그 지정 전략을 개발합니다. 이름 및 태그는 리소스를 관리하고 소유권을 빠르게 결정하는 데 사용할 수 있는 메타데이터를 제공합니다. 일관된 리소스 이름을 지정하면 Azure 리소스를 관리하고 관리하는 데 도움이 될 수 있습니다. Azure 리소스 태그는 리소스에 적용하고 이를 식별하는 데 사용하는 메타데이터 키-값 쌍입니다.

    다음과 같은 정보를 추적하는 데 도움이 되도록 메타데이터를 사용하는 것이 좋습니다.

    • 리소스의 종류.
    • 연결된 워크로드입니다.
    • 프로덕션, 스테이징 또는 개발과 같이 사용되는 환경입니다.
    • 리소스의 위치입니다.
    • 고객별 배포에 리소스를 사용하는 고객 또는 고객 그룹입니다.

    할당된 고객을 나타내는 태그가 있는 Azure 리소스를 보여 주는 다이어그램

    리소스 명명에 대한 전략은 클라우드 채택 프레임워크: 리소스 명명을 참조하세요.

  • 정책을 통해 자동화된 거버넌스를 구현합니다. 정책은 조직 표준을 정의하고 워크로드 및 리소스의 규정 준수를 평가하는 데 중요한 역할을 합니다. 리소스 일관성, 규정 준수, 보안, 관리 및 비용 효율성을 달성하는 데 사용할 수 있는 거버넌스 도구입니다.

    Azure Policy를 사용하여 워크로드 요구 사항에 맞게 사용자 지정된 허용된 서비스 및 서비스 유형의 서비스 카탈로그를 만듭니다. 이 카탈로그는 승인된 서비스만 사용되도록 하여 실수로 인한 과다 지출을 방지할 수 있습니다. 예를 들어 필요한 VM(가상 머신)의 유형, 계열 및 크기를 확인한 후에는 해당 VM의 배포만 허용하는 정책을 구현할 수 있습니다. 사용 권한 수준에 관계없이 모든 사용자 및 보안 주체에 걸쳐 정책을 균일하게 적용합니다.

    절충: 보안 및 운영 효율성. 정책을 너무 많이 구현하면 팀의 생산성이 저하됩니다. 가장 중요한 요소에 자동화된 컨트롤을 구현하기 위해 노력합니다.

  • 비용 관리 도구를 사용합니다. Microsoft Cost Management는 다음과 같은 비용 관리를 지원하는 몇 가지 도구를 제공합니다.

    • 비용 분석은 클라우드 지출에 대한 분석 및 인사이트에 액세스하는 데 사용할 수 있는 도구입니다. 다양한 스마트하고 사용자 지정 가능한 보기를 통해 이러한 비용을 검토할 수 있습니다. 이러한 보기는 리소스 그룹, 서비스 및 구독별 비용과 같은 인사이트를 자세히 설명합니다. 비용 분석을 사용하여 누적된 일일 비용을 분석하고 청구서의 세부 정보를 검토할 수 있습니다.

    • Cost Management의 예산은 Azure 내의 다양한 범위에서 지출 가드레일 및 경고를 설정하는 데 사용할 수 있는 도구입니다. 실제 지출 또는 예상 지출에 따라 예산 경고를 구성할 수 있습니다. 관리 그룹, 구독 또는 리소스 그룹을 비롯한 다양한 수준에서 예산을 할당할 수도 있습니다.

    • 비용 경고를 사용하면 세 가지 유형의 경고를 통해 클라우드 지출을 모니터링할 수 있습니다.

      • 예산 경고는 예산 임계값에 도달하거나 곧 예측 임계값에 도달할 때 받는 사람에게 알립니다.

      • 변칙 경고는 클라우드 지출이 예기치 않게 변경될 때 받는 사람에게 알립니다.

      • 예약된 경고는 전체 클라우드 지출에 대해 매일, 매주 또는 월별 보고서를 받는 사람을 보냅니다.

디자인 권장 사항

추천 장점
Cost Management를 사용하도록 설정합니다.

이 도구는 Azure Portal 내에서 청구 계정, 구독, 리소스 그룹 또는 관리 그룹에 액세스할 수 있는 모든 사용자에게 제공됩니다.		 Microsoft 클라우드에서 지출을 분석, 모니터링 및 최적화하는 도구에 액세스할 수 있습니다.
허용되는 리소스 종류 및 위치와 같은 비용 제어를 적용하는 데 도움이 되는 Azure Policy를 만듭니다. 이 전략은 일관된 표준을 적용하고, 배포할 수 있는 리소스를 제어하며, 리소스 및 클라우드 지출의 규정 준수를 추적하는 데 도움이 됩니다.
적절한 비용 경고를 사용하도록 설정합니다. 비용 경고는 예기치 않은 클라우드 지출 또는 미리 정의된 한도에 접근할 때 알립니다.
일관된 명명 규칙 및 리소스 태그를 사용합니다. Azure 리소스 태그를 적용하여 특정 고객 전용 리소스를 나타냅니다. 일관된 메타데이터를 사용하면 어떤 리소스가 어떤 고객에 속하는지 추적할 수 있습니다. 이 방법은 고객 전용 리소스를 배포할 때 특히 중요합니다.

보안 및 규정 준수

보안 및 규정 준수는 클라우드 워크로드의 기본 디자인 원칙이자 적절한 클라우드 거버넌스의 핵심 구성 요소입니다. 역할 기반 액세스 제어와 같은 보안 컨트롤은 사용자가 사용자 환경에서 수행할 수 있는 작업을 결정하는 데 도움이 됩니다. 정책을 통한 제어는 배포된 워크로드에 대한 특정 규정 준수 표준을 달성하는 데 도움이 될 수 있습니다.

자세한 내용은 Azure RBAC(역할 기반 액세스 제어)Azure Policy를 참조하세요.

SaaS 솔루션을 개발할 때 고객은 데이터를 보호하고 비즈니스 운영을 지원하는 데 의존합니다. 고객을 대신하여 SaaS 솔루션을 운영하려면 보안 기대치를 충족하거나 초과해야 합니다. 고객이 부과한 특정 규정 준수 요구 사항을 충족해야 할 수도 있습니다. 이 요구 사항은 의료 및 금융 서비스와 같은 규제 산업의 고객과 많은 기업 고객에게 일반적입니다.

디자인 고려 사항

  • Microsoft Entra 테넌트 정의 Microsoft Entra 테넌트는 Azure 리소스를 관리할 수 있는 ID의 경계를 정의합니다. 대부분의 조직에서는 모든 리소스에서 단일 Microsoft Entra 테넌트를 사용하는 것이 좋습니다. SaaS를 빌드할 때 필요에 따라 Microsoft Entra 테넌트 결합 또는 분리에 사용할 수 있는 다양한 방법이 있습니다.

    SaaS를 사용할지 여부를 결정할 때는 세 가지 유형의 사용 사례를 고려해야 합니다.

    • 엔터프라이즈 또는 회사라고도 하는 내부 SaaS는 Microsoft 365 및 사용자가 직접 사용하는 기타 도구를 포함하여 자체 조직의 리소스를 호스트하는 경우입니다.

    • 프로덕션 SaaS 는 고객이 연결하고 사용하는 SaaS 솔루션에 대한 Azure 리소스를 호스트하는 경우입니다.

    • 비프로덕션 SaaS 는 개발, 테스트 및 스테이징 환경과 같은 SaaS 솔루션의 모든 비프로덕션 환경에 대한 Azure 리소스를 호스트하는 경우입니다.

    대부분의 ISV(독립 소프트웨어 공급업체)는 이전 목록의 모든 목적을 위해 단일 Microsoft Entra 테넌트를 사용합니다.

    경우에 따라 여러 Microsoft Entra 테넌트 간에 일부 목적을 구분하기 위한 특정 비즈니스 근거를 가질 수 있습니다. 예를 들어 보안이 높은 정부 고객과 함께 작업하는 경우 내부 애플리케이션 및 프로덕션 및 비프로덕션 SaaS 워크로드에 고유한 디렉터리를 사용해야 할 수 있습니다. 이러한 요구 사항은 일반적이지 않습니다.

    Important

    여러 Microsoft Entra 테넌트 관리가 어려울 수 있습니다. 여러 테넌트 관리를 사용하면 관리 오버헤드와 비용이 증가합니다. 주의하지 않으면 여러 테넌트가 보안 위험을 증가시킬 수 있습니다. 반드시 필요한 경우 여러 Microsoft Entra 테넌트만 사용합니다.

    SaaS를 배포할 때 Microsoft Entra 테넌트 구성 방법에 대한 자세한 내용은 Azure 랜딩 존에 대한 ISV 고려 사항을 참조 하세요.

  • ID를 관리합니다. ID는 액세스 관리의 토대를 형성하는 클라우드 보안의 초석입니다. SaaS를 개발할 때 고려해야 할 다양한 유형의 ID가 있습니다. SaaS 솔루션의 ID에 대한 자세한 내용은 Azure의 SaaS 워크로드에 대한 ID 및 액세스 관리를 참조하세요.

  • Azure 리소스에 대한 액세스를 제어합니다. Azure 리소스는 솔루션의 중요한 구성 요소입니다. Azure는 리소스를 보호하는 여러 가지 방법을 제공합니다.

    • Azure RBAC 는 Azure 컨트롤 플레인 및 사용자 환경의 리소스에 대한 액세스를 제어하는 권한 부여 시스템입니다. Azure RBAC는 Azure 리소스에 대해 수행할 수 있는 작업을 결정하는 미리 정의된 사용자 지정 역할의 컬렉션입니다. 역할은 권한 있는 관리자 역할작업 함수 역할로 분류됩니다. 이러한 역할은 사용자가 정의한 범위의 리소스 집합으로 수행할 수 있는 작업을 제한합니다. Azure RBAC는 워크로드를 관리하는 모든 사용자에게 최소 권한 있는 액세스 권한을 부여할 수 있습니다.

    • Azure 잠금은 실수로 인한 삭제 및 Azure 리소스 수정을 방지하는 데 도움이 될 수 있습니다. 리소스에 잠금을 적용하는 경우 권한 있는 관리자 역할이 있는 사용자도 잠금을 먼저 명시적으로 삭제하지 않는 한 리소스를 삭제할 수 없습니다.

    절충: 보안 및 운영 효율성. RBAC 및 잠금은 클라우드 보안 및 거버넌스 전략의 중요한 요소입니다. 그러나 일반적인 작업을 수행할 수 있는 사용자를 심각하게 제한할 때 발생할 수 있는 운영 복잡성을 고려합니다. 보안 및 기능 요구 사항의 균형을 맞추세요. 비상 사태가 발생하거나 주요 사용자를 사용할 수 없는 경우 책임을 확대할 명확한 계획을 세워야 합니다.

  • 규정 표준을 준수합니다. 많은 고객은 특정 규정 준수 규정을 충족하기 위해 리소스에 엄격한 제어를 적용해야 합니다. Azure는 조직이 규정 준수 요구 사항을 충족하는 솔루션을 Azure에서 빌드하는 데 도움이 되는 여러 도구를 제공합니다.

    • Azure Policy 는 조직 표준을 정의하고 워크로드 및 리소스의 규정 준수를 평가하고 적용하는 데 도움이 될 수 있습니다. 미리 정의된 표준 또는 사용자 지정 규정 준수 표준을 구현할 수 있습니다. Azure Policy에는 일반적인 규제 표준에 대한 많은 기본 제공 정책 이니셔티브 또는 정책 그룹이 포함되어 있습니다. 이러한 정책에는 FedRAMP High, HIPAA, HITRUST, PCI DSS 및 ISO 27001이 포함됩니다. 환경에 정책을 적용하면 규정 준수 대시보드에서 전체 규정 준수에 대한 자세한 점수를 제공합니다. 수정 계획을 만들어 환경을 표준으로 끌어올릴 때 이 대시보드를 사용할 수 있습니다. Azure Policy를 사용하여 다음을 수행할 수 있습니다.

      • 정책에 정의된 조건에 따라 리소스 배포를 거부합니다. 예를 들어 데이터 상주 요구 사항이 위반되는 Azure 지역에 데이터 리소스가 배포되지 않도록 방지할 수 있습니다.

      • 리소스의 배포 또는 구성을 감사하여 규정 준수 표준을 충족하는 구성으로 배포되었는지 확인합니다. 예를 들어 VM을 감사하여 백업이 구성되었는지 확인하고 그렇지 않은 VM을 나열할 수 있습니다.

      • 리소스 배포를 수정합니다. 확장을 배포하거나 새 리소스 또는 기존 리소스의 구성을 변경하여 비호환 리소스를 수정하도록 정책을 구성할 수 있습니다. 예를 들어 수정 작업을 사용하여 VM에 엔드포인트용 Microsoft Defender 자동으로 배포할 수 있습니다.

    • 클라우드용 Microsoft Defender 구독에 적용하는 표준 및 벤치마크의 규정 준수 제어 및 모범 사례에 대해 리소스 구성에 대한 지속적인 평가를 제공합니다. 클라우드용 Defender 전체 준수 점수를 계산하여 변경해야 하는 사항을 결정하는 데 도움이 됩니다.

      기본적으로 클라우드용 Defender MCSB(Microsoft 클라우드 보안 벤치마크)를 보안 및 규정 준수 기반 사례의 기준 표준으로 사용합니다. MCSB는 Microsoft에서 제공하는 규정 준수 컨트롤 집합으로, Azure의 대부분의 워크로드에 권장됩니다. 다른 표준을 충족해야 하는 경우 사용 가능한 다른 규정 준수 제품을 사용할 수 있습니다.

    규정 표준을 즉시 준수할 필요가 없더라도 어쨌든 해야 합니다. 솔루션을 배포하기 시작할 때부터 MCSB와 같은 표준을 준수하는 것이 나중에 소급 적용하는 것보다 훨씬 쉽습니다.

    다양한 범위에 규정 준수 표준을 적용할 수 있습니다. 예를 들어 특정 표준에 대한 범위에서와 같이 특정 Azure 구독을 정의할 수 있습니다. 클라우드용 Defender 사용하여 다른 클라우드 공급자에서 호스트되는 리소스의 구성을 평가할 수도 있습니다.

디자인 권장 사항

추천 장점
사용자 및 그룹이 작업 기능을 완료하는 데 필요한 최소 액세스 권한을 부여합니다.

권한 있는 역할 할당 수를 제한합니다. 권한 있는 관리자 역할 대신 작업 함수별 역할을 사용할 수 있는지 확인합니다.		 자격 증명이 손상된 경우 노출을 줄일 수 있습니다.
Azure 구독 소유자 수를 제한합니다. 구독 소유자가 너무 많을수록 자격 증명이 손상될 위험이 높아집니다.
사용자 대신 그룹에 역할을 할당합니다. 이 방법은 필요한 역할 할당 수를 줄여 관리 오버헤드를 줄입니다.
디자인 프로세스 초기에 보안 기준을 채택합니다. MCSB를 시작점으로 간주합니다. MCSB는 Azure 및 다른 클라우드 및 온-프레미스의 환경에서 애플리케이션의 보안을 개선하기 위해 명확하고 실행 가능한 조언을 제공합니다. MCSB는 클라우드별 컨트롤에 집중하여 전반적인 보안 태세를 강화하는 데 도움이 됩니다.
Azure 잠금을 사용하여 사용자 환경이 실수로 변경되지 않도록 방지합니다. 잠금은 리소스, 리소스 그룹 및 구독을 실수로 수정하고 삭제하는 것을 방지하는 데 도움이 될 수 있습니다.
Azure Policy 또는 클라우드용 Defender 사용하여 규정 준수를 평가합니다. 정책은 조직 표준을 적용하고 규정 준수를 충족하는 데 도움이 될 수 있습니다.

추가 리소스

다중 테넌시는 SaaS 워크로드를 디자인하기 위한 핵심 비즈니스 방법론입니다. 다음 문서에서는 거버넌스 고려 사항에 대한 자세한 정보를 제공합니다.

다음 단계

리소스에 적합한 Azure 지역을 선택하고 SaaS 솔루션의 성장과 발전을 지원하기 위한 리소스 조직 전략을 개발하는 방법에 대한 전략을 알아봅니다.

디자인 영역: Azure의 SaaS 워크로드에 대한 리소스 조직