[AWS Cloud 08] Monitoring 모니터링, 거버넌스, 규정 준수 활동

 

 

 

10장 Monitoring, Compliance and Governance in the AWS Cloud

 

 

 

 

01 모니터링, 거버넌스, 규정 준수 활동 

클라우드 솔루션을 효과적으로 모니터링하려면 리소스 사용률에 대한 인사이트를 제공하고, 잠재적인 문제를 식별하며, 사전 예방적인 문제 해결을 촉진할 수 있어야 한다. 

 

📌모니터링

AWS 인프라, 서비스, 애플리케이션의 상태와 성능을 수집, 시각화 추적하여

최적의 성능을 보장하고 잠재적 문제를 파악하는 데 도움이 된다.

 

📌 모니터링 절차 

1. 보안 시스템 : 데이터, 시스템, 인프라에 무단 액세스, 사용, 공개, 중단, 수정 또는 파기가 일어나지 않도록 보호
2. 모니터링 활동 : 시스템 활동, 네트워크 트래픽, 보안 이벤트를 지속적으로 관찰하고 분석하여 이상 징후 탐지
3. 감사 실시 : 보안 제어의 효과를 정기적으로 검토 및 평가하며, 보안 정책 및 절차를 준수하는지 확인
4. 규정 준수 보장 : 조직의 보안 관행 및 제어가 관련 규정, 산업 표준, 계약상 의무에 따른 요구 사항을 충족하도록 보장

 

02 모니터링 도구

📌Amazon CloudWatch

 

AWS 리소스 및 AWS에서 실행되는 애플리케이션을 실시간으로 모니터링

- 지표 : AWS 리소스, 애플리케이션, 서비스에서 지표를 수집

- 경보 : CloudWatch 지표의 임곗값을 정의하고 알림 or 변경

- 대시보드 : 콘솔에 있는 사용자 지정 가능한 홈페이지

- 로그 : 모든 시스템, 애플리케이션 및 AWS 서비스의 로그를 중앙 집중화

📌 AWS CloudTrail

AWS 클라우드, 온프레미스는 물론, 다른 클라우드 사업자의 제품에 대해서도 사용자 활동 및 API 사용을 추적

AWS 리소스의 변경 사항을 추적하고 누가 언제 변경했는지 파악

- Event : API 직접 호출, 콘솔 작업 또는 기타 활동 같이 AWS 계정 내에서 수행한 작업에 대한 세부 정보를 캡처

- Log : 이벤트를 모니터링하고 해당 이벤트를 로그 파일로 Amazon Simple Storage Service(S3) 버킷에 전송

- Insights : API 직접 호출 볼륨 및 오류 발생률이 일반적인 패턴과 다를 경우, 인사이트 이벤트를 생성

 

 

03 Compliance 규정준수

* 규정 준수 : 클라우드 리소스 및 데이터가 보안 및 데이터 보호에 관한 관련 규정, 산업 표준, 내부 정책을 준수하는 것

 

 AWS는 다음과 같은 방식으로 규정 준수 목표 및 요구 사항을 충족할 수 있도록 지원

• AWS가 자체 인프라에 사용하는 최신 보안 제어를 동일하게 사용
• 서드 파티가 수천 개의 글로벌 요구 사항을 준수하는지 검증
• 규정 준수 간소화 및 자동화
• 온디맨드 규정 준수 보고서

📌 고객 컴플라이언스 센터 

AWS 규정 준수에 관한 리소스를 제공

 

 📌 AWS Artifact

보안 및 규정 준수 보고서와 일부 온라인 계약에 온디맨드로 액세스할 수 있는 무료 서비스

일부 온라인 계약을 관리하고, 서드 파티 보안 및 규정 준수를 평가하는 데 사용

- AWS Artifact 계약 :  AWS와의 계약을 검토, 수락, 관리

- AWS Artifact 보고서 : 최신 상태의 규정 준수 보고서 제공

 

 

04 AWS 리소스의 규정 준수 여부 감사

리소스가 회사의 표준 또는 요구 사항을 준수하도록 보장하는 데 사용하는 AWS 서비스

 

📌 AWS Config

AWS 리소스의 구성을 측정, 감사, 평가할 수 있는 서비스

- 원하는 상태를 기준으로 구성을 평가

- 리소스 구성의 변경사항을 관리

- 문제 해결 및 개선 조치를 간소화

 

📌 AWS Audit Manager

AWS 사용량을 지속적으로 감사하여 위험 및 규정 준수 평가를 간소화하는 서비스

- 동화된 증거 수집을 통해 시간을 절약

- 팀 간의 협업을 간소화

- 읽기 전용 권한으로 감사의 무결성을 보장

 

📌 AWS License Manager

라이선스 사용 제한을 적용하고, 새로운 시작을 차단하며, 그 밖의 제어 기능

 

 

05 AWS Organizations

회사가 성장하고 확장되면서 생기는 서로 다른 AWS 계정의 관리 및 거버넌스

 

📌 AWS Organizations

AWS 리소스를 확장하고 규모를 조정할 때 환경을 중앙에서 관리하고 통제할 수 있도록 지원

조직은 중앙에서 관리할 수 있으며, 최상위에 루트가 있고 루트 아래에 조직 단위(OU)가 중첩된 트리 형태의 계층적인 구조로 구성

SCP를 통해 권한 관리를 간소화하고, AWS 계정 및 리소스 전반의 비용을 관리 및 최적화하는 방식으로 작업을 지원

 

- 관리 계정 : 조직을 생성하고 관리하는 중앙 AWS 계정 / 전반적인 제어와 거버넌스 담당

- 조직 단위(OU) : AWS Organization의 계정을 논리적으로 그룹화

- SCP : 서비스, 리소스, 개별 API 작업을 제한할 수 있는 정책

 

06 거버넌스

회사의 요구 사항에 맞게 서비스 및 계정을 관리하고 적용하는 데 도움이 됨

📌 AWS Control Tower

모범 사례에 기반하여 안전하고 규정을 준수하는 다중 계정 AWS 환경을 설정 및 관리할 수 있는 서비스

 

📌 AWS Service Catalog

사용자가 정의하는 큐레이팅한 카탈로그에서 AWS 서비스 및 리소스를 생성, 공유, 배포하는 데 사용할 수 있는 서비스

 

📌 AWS License Manager

소프트웨어 라이선스를 관리하고 라이선스 비용을 미세 조정할 수 있는 서비스

 

 

07 그 밖에.. 

 

📌 AWS Health

AWS 클라우드 리소스의 상태에 영향을 미치는 이벤트 및 변경 사항을 위한 유용한 데이터 소스 ( AWS Health Dashboard ) 

서비스 이벤트, 계획된 변경 사항, 계정 알림에 대해 알려 주어 관리 작업을 수행하고 조치를 취함

 

📌 AWS Trusted Advisor

리소스에 대한 지속적인 평가 및 검사를 제공하고 비용, 성능, 보안, 복원력을 최적화하기 위한 권장 사항을 제공하는 AWS 서비스

 

📌 IAM Access Analyzer

권한 세분화, IAM 정책 검증, 최소 권한 목표 달성 지원, IAM 정책 검토 자동화