워크로드 거버넌스 수명 주기
작업 로드 거버넌스는 작업 로드 범위 지정과 작업 로드와 관련된 다양한 특성으로 거버넌스 모델을 사용하여 거버넌스를 설계합니다. 작업 로드 거버넌스는 다음 네 단계로 진행됩니다.
- 작업 로드 범위 지정 및 평가: 해당 작업 로드와 관련된 리소스, 프로세스, 예산 및 보안 요구 사항의 범위를 식별합니다.
- 작업 로드 거버넌스 설계 및 배치: 보안, 거버넌스 및 예산 책정과 관련된 여러 분야의 작업 로드별 보호 한계선을 식별합니다.
- 워크로드 온보딩: 적절한 거버넌스 보호 한계선이 장착된 환경으로 워크로드가 온보딩됩니다.
- Workload Governance Monitoring and Offboarding: 작업 로드의 정의된 수명 주기에 따라 자산 오프보딩
작업 로드 범위 및 평가
첫 번째 단계에서는 새로운 워크로드를 OCI에 배포하는 팀의 게이팅 및 검토 프로세스에서 워크로드의 범위를 지정해야 합니다.
범위 지정은 충분한 비즈니스 동인 및 스폰서십을 보장하며 새 작업 부하를 안전하게 수용하기 위해 적절한 보호 한계선이 배치되도록 합니다. 작업 로드를 평가하여 거버넌스가 필요한지 여부와 작업 로드의 중요성 및 비즈니스에 따라 필요한 거버넌스를 결정합니다.
작업 로드 거버넌스 설계
초기 평가에서 얻은 데이터를 사용하여 작업 로드 거버넌스에 대한 테넌시를 설계합니다.
작업 로드를 평가하고 특정 질문에 대한 해답을 기반으로 결정을 내려 필요한 조직 결과를 확인합니다. 먼저 기준 거버넌스 중에 설정한 구획 구조로 시작합니다.
작업 로드 거버넌스의 설계 프로세스는 기준 거버넌스와 유사한 거버넌스 모델을 따릅니다. 다음은 작업 로드 거버넌스 설계와 관련된 몇 가지 사고 프로세스의 예입니다.
oci-resource-organization-workflow.png 그림에 대한 설명
작업 로드 리소스 구성
처음에 구획 구조, 지리적 위치 및 네트워크 격리에 대한 요구사항을 기반으로 리소스 워크로드를 구성합니다.
구획 구조 설계를 위해 다음 질문에 대한 답변을 고려하십시오.
- 작업 로드에 관리 분리가 필요합니까?
- 예: 작업 로드 리소스에 대한 새 구획 생성
- 아니요: 기존 구획과 워크로드 구획 공유
- 업무에 HIPAA 또는 FedRamp와 같은 특별한 규정 준수 요구사항이 있습니까?
- 예: 보안 영역 구획 생성
- 워크로드에 수명 주기 환경이 있습니까?
- 예: 개별 제품 및 비운영 구획 생성
작업 로드 지리적 위치를 선택하기 위한 다음 질문에 대한 답변을 고려하십시오.
- 대상자 위치는 어디입니까?
- 대상 오디언스에 가까운 지역 선택
- 운영 및 재해 복구를 위해 업무를 분리하는 방법
- 지정된 운용 및 재해 복구 영역에서 운용 및 재해 복구 작업 로드 분할
- 업무를 다른 업무에 연결해야 합니까?
- 예: 동일한 영역에 워크로드 생성
작업 로드 네트워크 격리를 결정하기 위해 다음 질문에 대한 답을 고려하십시오.
- 작업 로드에 종속 서비스 또는 작업 로드가 있습니까?
- 예: 다른 서브넷의 VCN 공유
- 업무에 매우 중요한 데이터가 있습니까?
- 예: 별도의 VCN 생성 및 종속 서비스 VCN 쌍
- 업무를 온프레미스 업무와 연결해야 합니까?
- 예: FastConnect가 설정된 VCN과 Fastconnect 설정 생성 또는 동적 라우팅 게이트웨이(DRG) 공유
- 워크로드가 고유 OCI 서비스를 소비합니까?
- 예: 작업 로드 VCN에 서비스 게이트웨이 생성
작업량 원가 관리
작업 로드 비용 관리에는 최적의 리소스 사용량으로 인한 과도한 지출을 방지하기 위해 비용을 추적하고 제어하는 작업이 포함됩니다. 워크로드를 설정하고 예산 대비 사용량을 추적하며 구획의 워크로드 구성 방법에 따라 비용을 제어하면서 비용을 절감하도록 결정할 수 있습니다.
oci-cost-management-workflow.png 그림에 대한 설명
비용 추적에는 예산 설정 및 리소스 사용량에 따른 비용 분석이 포함됩니다. OCI 콘솔의 거버넌스 섹션에서 한도, 할당량 및 사용량을 설정하여 예산에 근접할 때 관리나 관리자에게 알리는 예산을 생성하고 경보 규칙을 설정합니다.
예산에 가까운 지출에 대해 경고를 받으면 다음 질문에 대한 답변을 기반으로 비용 관리 측정을 설정할 수 있습니다.
- 워크로드가 기존 구획을 공유합니까?
- 예: 추가 리소스를 수용하도록 구획 할당량 업데이트
- 워크로드가 새 구획에 생성됩니까?
- 예: 새 구획에 리소스 할당량 생성
- 조직의 요구사항을 충족하는 현재 서비스 제한이 있습니까?
- 예: 기존 서비스 한도를 재평가하고 추가 리소스를 수용하도록 업데이트
액세스 관리
액세스를 관리하려면 다음 단계가 필요합니다.
- ID 프로비저닝
- ID 통합
- 관리 그룹 및 IAM 정책
- PAM(권한 있는 계정 관리)
oci-access-governance-workflow.png 그림에 대한 설명
워크로드별 관리 그룹을 생성한 다음 작업 로드 관리자용 IAM 정책을 생성하여 접근 거버넌스를 구현할 수 있습니다. 또한 작업 로드 권한 있는 사용자에 대해 PAM 인증을 구현할 수 있습니다.
작업 로드별 ID 요구 사항이 있는 경우 다음을 수행합니다.
- 모든 업무 관련 사용자 프로비저닝
- 작업 로드별 ID 페더레이션 구현
- 작업 로드별 MFA 요구 사항 구현
안전한 업무
중요한 고객 데이터의 악의적인 활동과 의심스러운 이벤트를 방지하려면 워크로드를 보호하는 것이 중요합니다. 다음 단계에 따라 작업 로드 보안을 구현할 수 있습니다.
- Cloud Guard 사용
- 취약성 스캔 서비스 사용
- 의심스러운 이벤트를 모니터하고 통지 규칙을 생성하도록 통지를 설정합니다.
보안 데이터
oci-data-security-workflow.png 그림의 설명
중요한 고객 데이터를 보호하려면 데이터 손실 시 고객 데이터를 안전하게 보호하고 복구할 수 있도록 구현하는 동안 보안 방식이 필요합니다. 다음 단계를 수행하여 고객 데이터를 보호할 수 있습니다.
- 다양한 데이터 유형 분류
- 민감도에 따라 데이터를 분류하기 위한 정의된 태그 생성
- 중요한 데이터에 대한 CRUD(Create, Read, Update, and Delete) 작업 모니터링
- 미사용 데이터 및 전송 중 데이터에 대한 데이터 암호화 요구사항 식별
- 유휴 상태 데이터의 경우 고객 관리 키를 생성 및 사용하여 업무 데이터를 암호화합니다.
- 전송 중인 데이터의 경우 다음을 수행합니다.
- 외부 대상 업무에 대한 WAF 정책 구성
- 모든 작업 로드 인터페이스에 대해 CA 서명 인증서 생성 및 구성
- 데이터 백업 및 아카이브 수명 주기 정책 설정
- 데이터 백업 및 아카이브 정책 설정 계획
워크로드 배포
새 작업 로드와 관련된 거버넌스 제어를 결정한 후에는 다음 중 하나를 수행할 수 있습니다.
- Terraform을 사용하여 코드화
- OCI 명령행 인터페이스 활용
- OCI 콘솔을 사용하여 변경 사항 구현
워크로드 모니터링, 지원 및 오프보딩
감사를 위해 워크로드를 모니터링하고 로깅할 수 있도록 설정하는 것이 클라우드 구현의 관찰 기능을 구현하는 데 중요합니다. 다음 단계에 따라 클라우드 구현에서 관찰 기능을 구현합니다.
- 업무 모니터링 및 경고 활성화
- SIEM 솔루션으로 감사 로그 통합
- 서비스 및 사용자정의 로그를 사용으로 설정하여 로깅 분석 또는 SIEM 설정
Cloud Guard 및 기타 보안 제어를 계속 활용하여 워크로드와 관련된 OCI 제어 플레인의 위험한 구성을 모니터링할 수 있습니다.
드리프트 감지를 활용하여 작업 로드의 구획에 배치한 내용이 DevSecOps 파이프라인에서 정의한 것과 일치하도록 합니다. DevSecOps 파이프라인을 사용하여 워크로드를 해제할 때 리소스를 오프보딩합니다.
자세한 탐색 섹션에 링크된 Oracle Cloud Marketplace에서 OCI Cost Governance and Performance Insights Solution 앱을 설치하고 사용할 수 있습니다.