이 문서에서는 운영 상태를 보장하기 위해 Azure 클라우드 자산을 관리하는 방법을 설명합니다. 클라우드가 비즈니스 목표에 부합하도록 하려면 클라우드 운영에 대한 강력한 관리 제어가 필요합니다.
관리 범위 식별
관리 책임은 배포 모델에 따라 다릅니다. 다음 표를 사용하여 인프라(IaaS), 플랫폼(PaaS), 소프트웨어(SaaS) 및 온-프레미스 배포에 대한 관리 책임을 식별합니다.
| 관리 영역 | 자체 설치형 | IaaS(Azure) | PaaS(Azure) | SaaS |
|---|---|---|---|---|
| 변경 | ✔️ | ✔️ | ✔️ | ✔️ |
| 보안 | ✔️ | ✔️ | ✔️ | ✔️ |
| 규정 준수 | ✔️ | ✔️ | ✔️ | ✔️ |
| 데이터 | ✔️ | ✔️ | ✔️ | ✔️ |
| 코드 및 런타임 | ✔️ | ✔️ | ✔️ | |
| 클라우드 리소스 | ✔️ | ✔️ | ✔️ | |
| 재배치 | ✔️ | ✔️ | ✔️ | |
| 운영 체제 | ✔️ | ✔️ | ||
| 가상화 계층 | ✔️ | |||
| 물리적 하드웨어 | ✔️ |
변경을 관리하세요
클라우드에서 가장 일반적인 문제의 원인은 변경입니다. 따라서 변경 내용 및 승인을 추적하는 변경 관리 접근 방식이 필요합니다. 또한 승인되지 않은 변경 내용을 검색하고 원하는 상태로 되돌려야 합니다. 다음 단계를 수행합니다.
변경 요청 프로세스를 개발합니다. 티켓팅 도구, 끌어오기 요청(GitHub 또는 Azure DevOps) 또는 지정된 양식과 같은 공식 시스템을 사용합니다. 변경 요청 프로세스는 변경 유형, 요청자 ID, 대상 환경, 범위 및 이유와 같은 주요 세부 정보를 캡처해야 합니다. 암호 재설정과 같은 일상적인 서비스 요청에 대해 별도의 절차를 유지합니다.
변경과 관련된 위험을 평가합니다. 명확한 위험 범주(높음, 중간, 낮음)를 할당하여 배포 속도와 위험 관리의 균형을 조정합니다. 가동 중지 시간 허용 오차(오류 예산) 및 워크로드 중요도와 같은 기준에 따라 각 변경을 평가합니다. 적절한 승인 워크플로를 확인하려면 다음 표를 예로 사용합니다.
위험 수준 가동 중지 시간 허용 워크로드 중요도 승인 프로세스 변경 예제 높음 가동 중지 시간이 허용되지 않음 이러한 변경은 가동 중지 시간에 대해 허용 오차가 없는 연속 가용성이 필요한 중요 업무용 시스템에 영향을 미칩니다. 여러 수석 엔지니어 검토, 자동화된 파이프라인 경고, 점진적 노출 모델 및 활성 모니터링. 중요한 인프라 업데이트 중간 짧은 가동 중지 시간 허용됨 이러한 변경은 가동 중지 시간에 대한 허용 오차가 제한된 중요한 시스템에 영향을 미칩니다. 자동화된 파이프라인은 변경에 플래그를 지정합니다. 모니터링이 경고를 발생시키는 경우 엔지니어가 신속하게 검토합니다. 비임계 시스템 업데이트, 짧은 유지 관리 기간 동안 기능 향상 낮음 충분한 가동 중지 시간 허용 이러한 변경 내용은 전체 작업에 영향을 주지 않고 연장된 가동 중지 시간이 허용되는 비임계 시스템에 영향을 줍니다. CI/CD를 통한 완전 자동화된 배포는 배포 전 테스트 및 모니터링을 실행합니다. 일상적인 업데이트, 사소한 정책 업데이트 승인을 명확하게 표준화합니다. 각 위험 수준에서 필요한 승인 기준 및 권한을 정의합니다. 각 변경 내용을 단일 승인자 또는 검토 위원회 중에서 검토해야 하는 사용자를 지정하고 검토자가 피드백을 제공하고 해결하는 방법을 명확히 합니다.
배포 프로세스를 표준화합니다. 승인된 변경 내용을 프로덕션에 빌드, 테스트 및 배포하는 절차를 명확하게 설명합니다. 자세한 내용은 클라우드 리소스 관리 참조하세요.
배포 후 프로세스를 표준화합니다. 성공적인 변경 내용을 확인하려면 모니터링 및 유효성 검사 단계를 구현합니다. 변경으로 인해 문제가 발생할 경우 서비스를 신속하게 복원하는 명확한 롤백 전략을 포함합니다.
무단 변경을 방지하고 검색합니다.변경 분석 사용하여 구성 변경 내용을 검색하고 근본 원인을 설명합니다. Azure Policy를 사용하여 거부, DenyAction, 감사, 및 auditIfNotExists등의 효과를 통해 변경 사항을 거부하고 모니터링하세요. Bicep을 사용하는 경우 Bicep 배포 스택 사용하여 무단 변경을 방지하는 것이 좋습니다.
보안 관리
ID는 보안 경계입니다. ID를 확인하고, 권한을 제한하고, 보안 리소스 구성을 유지 관리해야 합니다. 다음 단계를 수행합니다.
ID를 관리합니다. 통합 ID 관리 솔루션으로 Microsoft Entra ID 사용합니다. RBAC(역할 기반 액세스 제어)적용하여 사용 권한을 명확하게 정의합니다. Microsoft Entra ID 거버넌스 를 사용하여 액세스 요청 워크플로, 액세스 검토 및 ID 수명 주기 관리를 제어합니다. Privileged Identity Management을 사용하도록 설정하여 즉시 권한 있는 액세스 권한을 부여합니다. 이 전략은 불필요한 상승된 액세스를 줄입니다. 세 가지 ID 유형(사용자, 애플리케이션, 디바이스)을 모두 일관되게 관리하여 적절한 인증 및 권한 부여를 보장합니다.
액세스 관리 Azure RBAC(역할 기반 액세스 제어) 및 ABAC(특성 기반 액세스 제어)를 사용하여 작업을 수행할 수 있는 최소 권한을 부여합니다. 관리 오버헤드를 제한하려면 그룹에 따라 역할 할당을 선호합니다. 구독, 리소스 그룹 또는 개별 리소스와 같은 가장 낮은 필수 범위권한을 부여합니다. 의도하지 않은 권한 에스컬레이션을 방지하려면 지나치게 광범위한 권한 범위를 사용하지 마세요. 각 사용자의 역할에 필요한 권한만 할당합니다.
리소스 구성을 관리합니다.인프라를 IaC(코드)로 사용하여 리소스의 일관되고 재현 가능한 구성을 보장합니다. 그런 다음 Azure Policy 사용하여 특정 Azure 서비스의 보안 구성을 적용합니다. 사용 가능한 보안 기능 및 최적의 보안 구성에 대한 지침은 Microsoft 클라우드 보안 벤치마크 v2 의 보안 제어를 참조하세요. 추가 기능으로 Defender for Cloud 보안 정책을 사용하여 일반적인 보안 표준에 맞춥니다.
인증을 관리합니다. 사용자가 MFA(다단계 인증)를 통해 강력한 인증을 채택하고 microsoft Entra MFA(다단계 인증) 사용하도록 합니다. 사용자 ID, 디바이스 상태 및 액세스 컨텍스트에 따라 인증을 적용하려면 항상 조건부 액세스가 필요합니다. 셀프 서비스 비밀번호 재설정을 구성하고 약한 비밀번호 을 제거.
보안 정보를 관리합니다. SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답)에 Microsoft Sentinel 을 사용합니다.
워크로드 보안을 제어합니다. 워크로드 보안 권장 사항은 Well-Architected Framework의 보안 검사 목록 참조하고 Azure 서비스 가이드 (보안 섹션시작)을 참조하세요.
규정 준수 관리
규정 준수 관리는 Azure 운영이 설정된 거버넌스 정책 및 규정 표준에 부합하도록 보장합니다. 잠재적인 위반 및 잘못된 구성으로부터 환경을 보호하여 위험을 줄여야 합니다. 다음 단계를 수행합니다.
거버넌스 정책을 이해합니다. 거버넌스 정책은 팀이 준수 상태를 유지하기 위해 따라야 하는 높은 수준의 제약 조건을 정의합니다. 조직의 정책을 검토하고 각 요구 사항을 운영 프로세스에 매핑합니다. 거버넌스 정책이 없는 경우 먼저 거버넌스 정책을 문서 .
규정 준수를 관리합니다. 규정 준수를 적용하면 환경이 조직 및 규정 표준 모두에 맞게 유지됩니다. 정책 권장 사항은 다음 표를 참조하세요.
추천 세부 정보 일반 정책 정의 시작 허용된 위치, 허용되지 않는 리소스 종류 및 사용자 지정 RBAC 역할 감사를 비롯한 Azure Policy의 일반 정의부터 시작합니다. 규제 표준에 맞추어 조정 ISO 27001, NIST SP 800-53, PCI DSS, EU GDPR 같은 규제 표준에 맞는 Azure Policy의 무료 기본 제공 정의를 사용합니다.
자세한 내용은 Azure 규정 준수 적용참조하세요.
데이터 관리
클라우드 작업에서 데이터를 관리하려면 적극적으로 분류, 분할, 액세스 보호 및 삭제로부터 보호해야 합니다. 중요한 정보를 보호하고, 규정 준수를 유지하며, 운영 변경 중에 데이터 안정성을 보장해야 합니다. 다음 단계를 수행합니다.
데이터를 검색하고 분류합니다. 민감도 및 중요도에 따라 데이터를 식별하고 분류합니다. 이 분류는 각 데이터 형식에 맞게 조정된 컨트롤을 안내합니다. 데이터 거버넌스에 Microsoft Purview 사용합니다. 자세한 내용은 Microsoft Purview 데이터 맵에 연결하는 데이터 원본 을 참조하세요.
데이터 보존을 제어합니다. 데이터 상주 요구 사항을 충족하려면 지리내의 지역(예: 미국 또는 유럽)을 선택합니다. 특정 Azure 서비스 선택한 지역 외부에 데이터를 저장할 수 있으므로 예외를 확인합니다. Azure 데이터 상주 설정 및 규정 준수 요구 사항을 정기적으로 검토하여 고객 데이터에 대한 모든 권한을 유지합니다.
내부("Corp") 및 인터넷 연결("온라인") 워크로드를 격리합니다. 관리 그룹을 사용하여 내부 및 외부 워크로드를 구분합니다. 내부 워크로드에는 일반적으로 회사 네트워크에 대한 연결 또는 하이브리드 연결이 필요합니다. 외부 워크로드는 일반적으로 회사 네트워크 연결이 필요하지 않으며 직접 인바운드 또는 아웃바운드 인터넷 액세스가 필요할 수 있습니다. 예를 들어, Azure 랜딩 존 에서"Corp"(내부용) 및 "Online"(인터넷에 노출된) 관리 그룹을 검토합니다.
액세스 제어를 적용합니다. Azure RBAC , Azure ABAC 같은 강력한 액세스 제어를 구현하여 권한 있는 직원만 정의된 분류에 따라 중요한 데이터에 액세스하도록 합니다.
삭제로부터 데이터를 보호합니다. 사용 가능한 경우 일시 삭제, 데이터 버전 관리 및 불변성과 같은 기능을 사용합니다. 데이터베이스 버전 관리를 구현하고 롤백 절차를 준비합니다. Azure Policy를 사용하여 거부 및 DenyAction 효과로 데이터 저장소 삭제를 거부하거나 감사 및 auditIfNotExists 효과로 변경 사항을 감사합니다. Bicep을 사용하는 경우 Bicep 배포 스택 사용하여 무단 변경을 방지하는 것이 좋습니다. 오직 리소스 잠금만 사용하여 중요한 데이터의 의도하지 않은 수정 또는 삭제를 방지하십시오. 리소스 잠금을 사용하여 구성을 보호하는 것을 피하십시오. 리소스 잠금은 IaC 배포를 복잡하게 만들기 때문입니다.
워크로드 데이터를 관리합니다.데이터 분류대한 Well-Architected Framework의 권장 사항을 참조하세요.
자세한 내용은 데이터 거버넌스적용을 참조하세요.
비용 관리
클라우드 운영에서 비용을 관리한다는 것은 워크로드당 및 중앙 집중식으로 지출을 추적하는 것을 의미합니다. 비용 제어는 지출에 대한 가시성을 제공하고 책임 있는 지출을 장려해야 합니다. 다음 단계를 수행합니다.
비용을 관리하고 검토합니다. Microsoft Cost Management 도구를 사용하여 클라우드 비용 모니터링합니다. Azure에는 특정 임계값에서 지출을 제한하는 구독 차원의 메커니즘이 없습니다. Azure Log Analytics 작업 영역같은 일부 서비스에는 지출 한도가 있습니다. 비용 모니터링 전략은 비용을 관리하기 위한 기본 도구로 사용됩니다.
워크로드 비용을 관리합니다. 워크로드 팀에 대한 청구 액세스 권한을 부여합니다. 이러한 팀이 Well-Architected Framework의 비용 최적화 체크리스트를 사용하도록 합니다.
코드 및 런타임 관리
코드 및 런타임 관리는 워크로드의 책임입니다. 워크로드 팀이 코드 및 런타임을 제어하기 위한 12가지 권장 사항을 간략하게 설명하는 Well-Architected Framework의 운영 우수성 검사 목록사용하도록 합니다.
클라우드 리소스 관리
명확한 배포 프로토콜과 사전 드리프트 및 스프롤 검색 전략을 수립하여 환경 간 일관성을 유지합니다. 이 섹션에서는 다음을 다룹니다.
포털 배포 관리
프로덕션 문제의 가능성을 최소화하기 위해 포털 배포에 대한 프로토콜 및 제한을 정의합니다. 다음 단계를 수행합니다.
포털 배포 정책을 정의합니다. 중요한 포털 기반 변경 내용이 설정된 변경 관리 프로세스를 준수하는지 확인합니다. 개발 및 테스트 환경에서 빠른 프로토타입 생성, 문제 해결 또는 사소한 조정을 위해 주로 포털 배포를 사용합니다. 이러한 변경으로 인해 드리프트, 잘못된 구성 및 규정 준수 문제가 발생하므로 구조화되지 않은 포털 변경은 방지합니다. 대신 일관성을 위해 버전 제어 IaC(Infrastructure-as-code) 템플릿을 사용합니다. 자세한 내용은 코드 배포관리를 참조하세요.
환경 구분 포털 기반 변경 내용을 비프로덕션 환경으로 엄격하게 제한합니다. 전용 개발 또는 테스트 환경에서만 신속한 프로토타입 생성을 허용하고 프로덕션 환경에서 엄격한 제어를 적용합니다.
포털 사용 권한을 제한합니다. RBAC(역할 기반 액세스 제어)를 사용하여 포털에서 배포 기능을 제한합니다. 기본적으로 읽기 전용 권한을 할당하고 필요한 경우에만 권한을 에스컬레이션합니다.
Just-In-Time 액세스 권한을 부여합니다. Azure 및 Microsoft Entra 리소스에 액세스하기 위해 PIM(Privileged Identity Management) 사용합니다. PIM을 활성화하려면 여러 개인 또는 그룹의 순차적 승인이 필요합니다. 긴급 시나리오에 대해서만 권한 있는 역할("A0" 슈퍼 관리자 역할)을 예약합니다.
운영 모델을 기반으로 하는 구조 RBAC를 . 지원 수준, 보안 운영, 플랫폼, 네트워킹 및 워크로드를 포함하여 운영 팀에 맞게 조정된 RBAC 정책을 디자인합니다.
모든 활동을 감사하십시오. 시스템의 모든 작업을 모니터하고 기록하십시오. Azure Policy를 사용하여 변경 내용을 감사(감사 또는 auditIfNotExists)합니다. 또한 누군가가 Azure 리소스를 삭제할 때 관련자에게 알리도록 Azure Monitor 경고를 구성합니다. Bicep을 사용하는 경우 Bicep 배포 스택 사용하여 무단 변경을 방지하는 것이 좋습니다.
버전 제어 템플릿을 사용합니다. IaC 배포를 사용하는 경우 포털 사용을 긴급 시나리오로 제한합니다. 포털 변경으로 인해 IaC 템플릿에서 구성 드리프트가 발생합니다. 버전 제어 IaC 템플릿(예: Bicep, Terraform또는 ARM 템플릿)에서 모든 포털 기반 변경 내용을 즉시 복제합니다. 정기적으로 Azure 리소스 구성을 내보내고 IaC로 저장하여 승인되고 추적 가능한 구성에 맞게 프로덕션 환경을 유지 관리합니다. Azure 구성을 Bicep, Terraform또는 ARM 템플릿 내보내는 방법에 대한 지침을 참조하세요. ARM 템플릿을 사용하는 경우 템플릿 사양을 고려하세요.
도구 사용 사례 이두근 관리 가능하고 읽기 쉬운 Azure 특정 IaC Terraform 다중 클라우드 솔루션, 광범위한 커뮤니티 지원 ARM 템플릿 JSON에 능숙하고 완전한 제어 가능
코드 배포 관리
코드 및 인프라에 대한 변경 내용을 자동화하고 제어하는 모범 사례를 채택합니다. 다음 단계를 수행합니다.
표준화 도구입니다. 일관된 도구 집합을 사용하여 컨텍스트 전환을 최소화합니다. 개발자 도구 선택(VS Code, Visual Studio), 코드 리포지토리(GitHub, Azure DevOps), CI/CD 파이프라인(GitHub Actions, Azure Pipelines), IaC 솔루션(Bicep, Terraform또는 ARM 템플릿)이 함께 작동합니다.
버전 제어를 사용합니다. 코드에 대한 단일 원본을 유지 관리합니다. 버전 제어를 사용하여 구성 드리프트를 줄이고 롤백 절차를 간소화합니다.
배포 파이프라인을 사용합니다.CI/CD 파이프라인 빌드 프로세스를 자동화하고, 테스트를 실행하고, 각 끌어오기 요청의 품질 및 보안 문제에 대한 코드를 검사합니다. GitHub Actions 사용하거나 Azure Pipelines 애플리케이션 코드 및 IaC 파일을 빌드하고 배포합니다. 사전 커밋 후크 및 자동화된 검사를 적용하여 무단 또는 고위험 변경을 조기에 catch합니다.
배포 테스트입니다. CI/CD 파이프라인 내에서는 승인 단계를 통해 배포의 유효성을 점진적으로 검증합니다. 개발, 빌드 확인, 통합 테스트, 성능 테스트, UAT(사용자 승인 테스트), 스테이징, 카나리아 릴리스, 사전 프로덕션 및 마지막으로 프로덕션 시퀀스를 따릅니다.
IaC(Infrastructure as code)를 사용합니다. IaC를 사용하여 일관성을 보장하고 버전 제어를 통해 배포를 관리합니다. Azure Portal 기반 개념 증명에서 프로덕션 환경을 위한 IaC로 이동합니다. Bicep, Terraform또는 ARM 템플릿을 사용하여 리소스를 정의합니다. Bicep에서는 모듈을 사용하고 배포 스택을 고려하세요. ARM 템플릿의 경우 버전이 있는 배포를 위해 템플릿 사양을 고려하세요.
코드 리포지토리 모범 사례를 적용합니다. 이러한 표준에 따라 오류를 줄이고 코드 검토를 간소화하며 통합 문제를 방지합니다. 우선 순위가 높은 프로덕션 환경의 경우:
요건 설명 직접 푸시 사용 안 함 메인 브랜치에 대한 직접 커밋을 차단합니다. 끌어오기 요청 필요 끌어오기 요청을 통과하려면 모든 변경 내용 필요 코드 검토 필요 작성자가 아닌 다른 사용자가 모든 끌어오기 요청을 검토하는지 확인합니다. 코드 검사 임계값 적용 코드의 최소 백분율이 모든 끌어오기 요청에 대해 자동화된 테스트를 통과하는지 확인합니다. 유효성 검사 파이프라인 사용 끌어오기 요청에 대한 유효성 검사 파이프라인을 실행하도록 분기 보호 규칙 구성 워크로드 팀 온보딩 검사가 필요합니다. 새로운 코드베이스와 팀이 비즈니스 목표, 표준 및 모범 사례와 일치하는지 확인합니다. 검사 목록을 사용하여 코드 리포지토리 구조, 명명 표준, 코딩 표준 및 CI/CD 파이프라인 구성을 확인합니다.
구성 양상 변화 관리
의도한 구성과 라이브 환경 간의 불일치를 식별하고 수정하여 구성 드리프트를 관리합니다. 다음 모범 사례를 따릅니다.
변경 방지 및 검색변경 분석 사용하여 구성 변경 내용을 검색하고 근본 원인을 설명합니다. Azure Policy를 사용하여 거부, DenyAction, 감사, 및 auditIfNotExists등의 효과를 통해 변경 사항을 거부하고 모니터링하세요. Bicep을 사용하는 경우 Bicep 배포 스택 사용하여 무단 변경을 방지하는 것이 좋습니다.
IaC 구성 드리프트를 검색합니다. Drift는 누군가가 IaC 파일을 업데이트하거나(의도치 않게) Azure Portal에서 변경할 때 발생합니다. 라이브 환경을 원하는 구성과 정기적으로 비교하여 드리프트를 검색합니다.
원하는 구성과 마지막으로 제대로 작동한 구성 파일을 저장합니다. 원하는 구성 파일을 버전 관리 리포지토리에 저장합니다. 이 파일은 원래 의도한 구성을 보여줍니다. 마지막으로 알려진 정상 구성을 신뢰할 수 있는 롤백 참조 및 드리프트 검색 기준선으로 유지 관리합니다.
배포 전에 구성 변동을 감지합니다.Terraform 계획, Bicep 가정또는 ARM 템플릿 가정 사용하여 배포하기 전에 잠재적인 변경 사항을 사전에 확인합니다. 제안된 변경 내용이 원하는 상태와 일치하는지 확인하기 위해 불일치를 철저히 조사합니다.
배포 후 드리프트를 검색합니다. 정기적으로 드리프트 검사를 통해 라이브 환경을 원하는 구성과 비교합니다. 이러한 검사를 CI/CD 파이프라인에 통합하거나 수동으로 수행하여 일관성을 유지합니다. Azure Policy 및 Azure Pipelines를 사용하는 예제를 참조하세요.
마지막으로 정상 작동했던 구성으로 롤백합니다. CI/CD 파이프라인에서 자동화된 절차를 활용하여 명확한 롤백 전략을 개발합니다. 마지막으로 알려진 정상 구성을 활용하여 원치 않는 변경 내용을 신속하게 되돌리고 가동 중지 시간을 최소화합니다.
포털 기반 변경 내용을 최소화합니다. 비상 시나리오에 대한 비 IaC 변경만 최소화합니다. Privileged Identity Management와 같은 엄격한 액세스 제어를 적용합니다. 원하는 구성의 정확도를 유지하기 위해 수동 조정이 필요한 경우 IaC 파일을 즉시 업데이트합니다.
자원 확산 관리
리소스 스프롤은 클라우드 리소스의 제어되지 않는 성장을 설명합니다. 이러한 증가는 비용, 보안 위험 및 관리 복잡성을 증가합니다. 다음 단계를 수행합니다.
거버넌스 정책을 구현합니다.Azure Policy 를 사용하여 조직 전체 에서 리소스 프로비저닝 및 태그 지정 에 대한 표준을 적용합니다. 더 쉬운 리소스 표시를 위한 명확한 명명 전략을 만듭니다.
리소스를 효과적으로 구성합니다. 조직의 요구 사항에 맞게 관리 그룹 및 구독을 사용하여 계층적으로 리소스를 구성합니다. 이 구조는 가시성 및 리소스 관리를 향상시킵니다. 입증된 모범 사례는 Azure 랜딩 존 지침을 참조하세요.
배포 권한을 제한합니다.Azure RBAC 및 Microsoft Entra RBAC에 설명된 RBAC(역할 기반 액세스 제어) 모범 사례를 구현합니다. 사용자에게 적절한 권한을 할당합니다. 판독기 역할을 사용하여 무단 리소스 생성 위험을 최소화합니다.
정기적인 감사를 수행합니다.Azure Advisor 를 사용하여 사용되지 않거나 사용되지 않는 Azure 리소스를 식별합니다. Cost Management를 사용하여 클라우드 지출을 분석하고 불필요한 비용을 초래하는 고아된 리소스를 제거하세요. 모든 Azure 리소스에 요금이 부과되는 것은 아닙니다. Azure Resource Graph에서 쿼리를 실행하여 정확한 리소스 인벤토리를 유지합니다.
재배치 관리
현재 Azure 지역을 주기적으로 평가하여 워크로드를 다른 곳으로 재배치하면 효율성이 향상되거나 비용이 감소하거나 성능이 향상되는지 확인합니다.
재배치 드라이버를 이해합니다. 재배치 드라이버를 이해하면 재배치에 위험과 비용이 수반되는 경우 각 재배치가 유효한 비즈니스 정당성을 갖게 됩니다. 이전을 위한 일반적인 비즈니스 근거로는 비즈니스 확장, 규정 준수 요구 사항 및 최종 사용자에 대한 근접성 등이 있습니다.
재배치 위험을 관리합니다. 재배치 위험을 관리하면 중단이 방지되고 규정 준수가 유지됩니다. 허용되는 가동 중지 시간을 정의하고, 관련자에게 영향을 전달하며, 조직 정책 및 업계 규정을 준수합니다.
재배치 비용을 관리합니다. 재배치 비용을 관리하면 마이그레이션 중에 불필요한 지출이 방지됩니다. 데이터를 한 번 전송하고, 중복된 환경을 제거하고, 지역 Azure 가격을 비교합니다. Azure 대역폭 가격 책정을 검토합니다.
재배치 프로젝트를 관리합니다. 소규모 팀은 집중 실행으로 워크로드를 한 번에 하나씩 마이그레이션해야 합니다. 대규모 팀은 조정된 계획을 통해 효율성을 달성하기 위해 여러 워크로드를 동시에 재배치해야 합니다.
자세한 내용은 워크로드 재배치를 참조하세요.
운영 체제 관리
가상 머신을 사용하는 경우 운영 체제도 관리해야 합니다. 다음 단계를 수행합니다.
가상 머신 유지 관리를 자동화합니다. Azure에서 자동화 도구 사용하여 Azure 가상 머신을 만들고 관리합니다. Azure Machine Configuration 사용하여 운영 체제 설정을 Azure 및 하이브리드에서 실행되는 머신에 대한 코드로 감사하거나 구성합니다.
운영 체제를 업데이트합니다. 보안 목적으로 운영 체제가 최신 상태인지 확인하기 위해 게스트 업데이트 및 호스트 유지 관리 관리해야 합니다.
게스트 내 작업을 모니터링합니다.Azure 변경 내용 추적 및 인벤토리 서비스 사용하여 게스트 내 작업에 대한 감사 및 거버넌스를 향상시킵니다. 변경 내용을 모니터링하고 Azure, 온-프레미스 및 기타 클라우드 환경에서 서버에 대한 자세한 인벤토리 로그를 제공합니다.
Azure 관리 도구
| 카테고리 | 도구 | 설명 |
|---|---|---|
| 변경을 관리하세요 | 변경 분석 | 구성 변경 내용을 검색하고 기본 원인을 설명합니다. |
| 변경을 관리하세요 | Azure Policy | 클라우드 리소스에 대한 수정을 적용, 감사 또는 방지 |
| 변경을 관리하세요 | Bicep 배포 스택 | 무단 변경을 방지합니다. |
| 보안 관리 | Microsoft 클라우드 보안 벤치마크 v2의 보안 제어 | 사용 가능한 보안 기능 및 최적의 보안 구성에 대한 지침을 제공합니다. |
| 보안 관리 | 잘 설계된 프레임워크의 보안 핵심 요소 | 워크로드 디자인에 대한 보안 지침 |
| 보안 관리 | Azure 서비스 가이드(보안 섹션시작) | Azure 서비스에 대한 보안 구성 권장 사항 |
| 보안 관리 | Microsoft Entra ID | 통합 ID 관리 제공 |
| 보안 관리 | 클라우드용 Defender | 리소스 구성을 보안 표준에 맞게 조정 |
| 보안 관리 | Microsoft Sentinel | SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 제공 |
| 보안 관리 | Azure RBAC | 역할 기반 할당을 사용하여 보안 액세스 권한 부여 |
| 보안 관리 | Azure ABAC | 특성 조건에 따라 보안 액세스 권한 부여 |
| 보안 관리 | Microsoft Entra ID 거버넌스 | 액세스 워크플로 및 ID 수명 주기 관리 |
| 보안 관리 | 특권 아이덴티티 관리 | 적시 권한 액세스를 제공합니다 |
| 보안 관리 | Microsoft Entra MFA(다단계 인증) | 강력한 다단계 인증 적용 |
| 보안 관리 | 조건부 액세스 | 컨텍스트 기반 인증 적용 |
| 보안 관리 | 셀프 서비스 암호 재설정 | 보안 사용자 암호 재설정 허용 |
| 규정 준수 관리 | Azure Policy | 표준을 적용하고 리소스 구성을 보호합니다. |
| 데이터 관리 | Microsoft Purview | 중요한 데이터를 제어하고 분류합니다. |
| 데이터 관리 | Azure Policy | 리소스의 의도하지 않은 수정 또는 삭제 방지 또는 감사 |
| 데이터 관리 | 리소스 잠금 | 의도하지 않은 수정 또는 삭제 방지 |
| 비용 관리 | 모니터링 비용 | 모니터링은 클라우드 비용을 관리하는 데 필수적입니다. |
| 클라우드 리소스 관리 | Azure Policy | 클라우드 리소스에 대한 수정을 적용, 감사 또는 방지 |
| 클라우드 리소스 관리(포털 배포) | ARM 템플릿 내보내기 | 리소스 구성을 IaC 템플릿으로 내보내기 |
| 클라우드 리소스 관리(포털 배포) | Azure Monitor 경고 | 관련자에게 리소스 변경 내용을 알 수 있습니다. |
| 클라우드 리소스 관리(코드 배포) | 이두근 | Azure 리소스에 대한 코드로 인프라 관리 |
| 클라우드 리소스 관리(코드 배포) | Bicep 배포 스택 | 버전 제어 배포를 지원하고 무단 변경을 방지합니다. |
| 클라우드 리소스 관리(코드 배포) | Terraform | 다중 클라우드 인프라를 코드로 관리합니다. |
| 클라우드 리소스 관리(코드 배포) | ARM 템플릿 | 템플릿을 사용하여 Azure 리소스 정의 및 배포 |
| 클라우드 리소스 관리(코드 배포) | ARM 템플릿 사양 | 일관성을 위해 ARM 템플릿 버전 및 관리 |
| 클라우드 리소스 관리(코드 배포) | GitHub Actions | 빌드, 테스트 및 배포 파이프라인 자동화 |
| 클라우드 리소스 관리(코드 배포) | Azure 파이프라인 | 빌드 및 배포 프로세스 자동화 |
| 드리프트 관리 | Azure Policy | 클라우드 리소스에 대한 수정을 적용, 감사 또는 방지 |
| 드리프트 관리 | 변경 분석 | 구성 변경 내용 검색 및 설명 |
| 드리프트 관리 | 이두근 what-if | 잠재적 구성 변경 미리 보기 |
| 드리프트 관리 | Terraform 계획 | Terraform 배포 전에 잠재적인 변경 내용 미리 보기 |
| 드리프트 관리 | ARM 템플릿 가정 시나리오 | 잠재적 구성 변경 미리 보기 |
| 운영 체제 관리 | Azure Machine 구성 | 운영 체제 설정을 코드로 감사 및 구성 |
| 운영 체제 관리 | Azure 변경 내용 추적 및 인벤토리 서비스 | 운영 체제에 대한 변경 내용을 모니터링하고 기록합니다. |
| 운영 체제 관리 | 자동화 도구 | 가상 머신 유지 관리 자동화 |