일시: 2024.05.16 15:20 ~ 16:00
장소: 삼성동 코엑스 컨벤션 센터 2F 아셈볼룸 202+203호
작성자 : CTC/서기원
AWS 환경에서 실제 기업 사용자의 거버넌스 구현시 이슈 사항과, 어떻게 이슈를 해결하고 거버넌스 체계를 만들어 가는지 실 사례를 확인하기 위해 세션에 참가하였습니다.
•
그림컴퍼니의 클라우드 거버넌스 및 로그 중앙화 구현 사례를 통해 ISMS 심사 대응과 그에 따른 현실적 이슈 및 해결 방안을 살펴보는 세션입니다.
•
먼저 비즈니스 성장에 따른 다중 계정 관리 구현 부분입니다.
•
다중 계정 관리 체계 구현과 그에 따른 모니터링 체계의 구현을 위해 AWS Control Tower 와 AWS Solutions Libary - Centralized Logging with OpenSearch 를 적용 하였다고 합니다. (Centralized Logging with OpenSearch : https://aws.amazon.com/ko/solutions/implementations/centralized-logging-with-opensearch/ )
•
AWS Control Tower 의 기본 구성도입니다. 크게 다음의 부분으로 구성됩니다.(Control Tower의 일반적인 구성입니다.)
◦
서비스 카탈로그/Account Factory 를 통한 계정 프로비저닝
◦
Organization을 통해 다중 계정 관리 체계 구축
◦
SSO(Identity Center) 를 통한 사용자 인증 및 액세스 관리
◦
Log 아카이브 계정을 통한 로그 중앙집중화
◦
Audit 계정으로 통한 중앙 집중 모니터링 및 감사 구현
◦
워크로드 운영 계정의 Organization / OU 구조로 편입.
•
AWS Solutions Libary 와 Centralized Logging with OpenSearch 의 소개입니다.(AWS Solutions Libary 는 AWS가 제공하는 검증된 솔루션과 아키텍처 지침을 말하며, Centralized Logging with OpenSearch 는 Amazon OpenSearch Service 기반으로 구현한 로그 중앙화 구현 가이드/템플릿입니다.)
•
Centralized Logging with OpenSearch 의 제공기능입니다. All-in-one 로그 수집과 그에 따른 프로세싱과 파이프라인, 시각화 대시보드등이 포함됩니다.(사실 이런 것은 예전 ELK 스택등등으로 계속 지원되던 부분이죠. 이것을 OpenSearch 서비스를 통해 좀더 쉽게 구성 할수있게 해주겠다 정도로 보입니다.)
•
다음은 그립 컴퍼니의 AWS 거버넌스 확립 여정에 대한 소개입니다.
•
그립컵퍼니는 라이브 방송(주로 라이브 쇼핑) 제공 플랫폼으로서, 국내 1위 라이브 커머스 앱입니다. 비즈니스의 빠른 성장과 함께 애플리케이션의 복잡도가 증가하였고, 이에 따라 클라우드 서비스가 필요하게 되었다고 합니다.
•
회사의 빠른 성장에 따라 ISMS-P 인증을 수행해야 하는 이슈가 생겼고…
•
ISMS-P 인증 이슈를 최소한의 인력으로 빠르게 대응하기 위해 AWS Native 솔루션 기반으로 거버넌스 체계를 구축하기로 결정.
•
그에 따라 Control Tower 를 도입하게 되었다고 합니다.
•
Control Tower의 다음 4가지 기능 요소를 통해 거버넌스를 확립하였고…
•
어카운트 구조는 다음과 같이 결정하였다고 합니다. 결정 배경은 다음과 같았습니다.
◦
개발 - 운영 계정 분리가 되어 있지 않아 Control Tower 도입을 통해 계정을 분리(개발 / 운영 OU 분리 구성)
◦
Control Tower 의 Log Archive / Audit 기본 계정 생성을 통해 로그 수집 중앙화 및 감사 용도 계정을 확보
◦
여러 서비스에 걸쳐 공통되는 서비스 요소(비용 분석, Network, Security 등)를 Shared Services OU 로 통합.
◦
종니트 벤처등 사업영엑 다른 부분은 임시로 SandBox OU로 통합.(추후 계정 분리를 고려중이라고 합니다.)
•
다음은 권한 매핑입니다. 다음의 기준으로 빠르게 구성하였다고 하네요.
◦
팀/용도/권한을 고려하여 용도별 그룹 생성
◦
작업 공수를 줄이기 위해 AWS Identity Center 의 Built-in 그룹/관리형 권한 세트를 최대한 활용.
•
거버넌스 및 네트워크 구성도입니다. VPC간 통일성이 없었던 연결 구성을 TGW를 통해 일원화/중앙집중화 하는데 주안점을 둔듯 합니다.
•
K-ISMS 팩 적용을 통해 인증 심사 대응 작업을 최대한 간소화 하였고요.(해당 팩은 아직 개선의 여지는 있지만 많은 수작업을 줄여주는 효과가 있기에 저 역시 적용을 권장하고 있습니다.)
•
서비스 카탈로그를 통해 네트워크-인프라 프로비저닝에 대한 거버넌스 확보를 도모하였습니다. 일종의 서비스 포탈 개념인데, 요즘의 트렌드이기도 하죠.
•
적용 효과입니다. Control Tower 등 Native 서비스/빌트 인 구조를 활용하여, 최소 인력/공수를 통해 거버넌스 체계를 구현하였습니다.
•
다음은 보안 로그 모니터링 입니다. 상술한대로 Centralized Logging with OpenSearch 를 활용하여 최소 공수로 로그 중앙화를 구현하였습니다.
•
대시보드 역시 기본 구성을 대부분 그대로 활용하여 구성하였고, 그럼에도 요구사항 충족이 가능했었다고 합니다.(애초에 요구사항이 그리 높지 않았던 점도 고려되어야 할듯 싶습니다.)
•
Centralized Logging with OpenSearch 적용 효과 및 향후 비전에 대한 소개로 마무리 되었습니다.
•
결론
◦
Control Tower 및 AWS Solutions Libary 등을 통해 기본적인 거버넌스 구조는 빠르게 확립이 가능.
◦
Centralized Logging with OpenSearch 등 OpenSearch 기반의 모니터링 구축 방안도 AWS를 통해 소개되고 있음.
◦
보다 고도화된 거버넌스 구축 프로그램 및 OpenSearch 기반의 보안 모니터링 구축 서비스 제작에 참고가 될만한 세션이었음.