1. Oracle European Union Sovereign Cloud 살펴보기
  2. OCI 아키텍처 및 모범 사례 정보

OCI 아키텍처 및 모범 사례 정보

EU Sovereign Cloud는 OCI 고객에게 다음과 같은 고유한 기능을 제공합니다.

  • 서비스 보호 및 데이터 복제를 통한 데이터 보호
  • 가상 네트워킹을 통해 모델에 액세스
  • IAM을 통한 보안 모델
  • 준수 모델링 및 거버넌스 감사

이러한 각 모델은 고객에게 클라우드 환경의 주권을 강화하는 기능을 제공하는 총체적인 특정 메커니즘을 제공합니다.

데이터 보호

EU 주권 클라우드 내의 데이터 보호는 다음과 같은 여러 관점에서 접근합니다.

  • 액세스: 허용되지 않은 사용을 방지하기 위해 데이터에 대한 액세스를 제한합니다.
  • EU 내 데이터 복제: EU의 경계 내에 남아 있는 두 개의 서로 다른 물리적 위치(지역)에 데이터 복사본을 설정합니다.
  • 복제 경로는 EU를 떠나지 않음: EU 주권 클라우드 지역 간 데이터 전송은 EU 주권 클라우드에 대해 설정된 전용 백본을 통해 수행되며 전송 중에 EU를 떠나지 않습니다.
  • 로컬 암호화 키: 데이터 스토리지 및 암호화는 EU 내에서 유지 관리되는 EU Sovereign Cloud 생성 키 또는 고객이 제공한 키를 통해 관리됩니다. 고객이 제공한 키는 EU 내에 물리적으로 상주하는 KMS(키 관리 서비스) 내에 저장되며 고객이 완전히 제어합니다.
  • 로컬 인증 기관: OCI 인증서 서비스를 사용하면 테넌트가 인증서 발행 및 관리와 연관된 모든 작업을 수행할 수 있습니다. 여기에는 인터넷을 거치지 않고 EU 주권 클라우드 내 리소스에 내부적으로 배포할 수 있는 타사 루트 CA(인증 기관)의 가져오기가 포함됩니다. 그런 다음 이러한 인증서를 SSL 및 기타 용도에 적용하여 사이트 간에 강력하고 지역적으로 검증 가능한 암호화를 설정할 수 있습니다.

데이터 보호 시작하기

데이터 보호 방법을 시작하려면 다음을 수행합니다.

  • Oracle Cloud Stacks를 사용하여 2개의 EU 주권 클라우드 데이터 지역에서 표준화된 인프라를 구축할 수 있습니다.
  • DRG(동적 경로 지정 게이트웨이)를 사용하여 영역 네트워크를 안전하게 연결하는 인프라에 대한 영역 간 링크를 구축합니다.
  • Data Guard, Object Storage 영역 간 복제 및 애플리케이션 기반 복제 툴과 같은 툴을 사용하여 두 사이트 간에 복제를 설정하면 EU 소버린 클라우드에서 호스팅되는 데이터를 보호할 수 있습니다.
  • 중요한 암호 및 키를 위해 EU 주권 클라우드 내에 OCI Vault를 구축하고 두 번째 데이터 영역에 Vault를 복제합니다.
  • 인증서를 OCI 인증서 서비스에 업로드하고 인증서 로드 및 검증에 서비스 끝점을 사용합니다.

다른 위치에 데이터 복제

데이터 보호를 보장하는 가장 일반적인 전략 중 하나는 핫/웜 사이트를 사용하여 장기 보관을 위해 데이터를 다른 위치로 복제하는 것입니다.

이상적으로 복제는 가능한 한 소스와 직접 연결되는 링크를 통해 수행되며 데이터 보호 및 사이트 간 통신에 모두 사용되어 링크 비용을 최적화할 수 있습니다. EU의 경우 데이터 링크 자체에는 데이터가 EU를 벗어나도록 허용하는 경로가 없어야 합니다.


다음은 mad-fra-region.png에 대한 설명입니다.
그림 mad-fra-region.png에 대한 설명

mad-fra-region-oracle.zip

EU Sovereign Cloud는 데이터 복제 및 전송 요구 사항을 충족하는 데 도움이 되는 데이터 보호 메커니즘과 OCI 서비스를 제공합니다. Oracle은 스토리지와 애플리케이션 구현을 미러링할 수 있는 서비스 패리티를 갖춘 EU Sovereign Cloud 데이터 리전을 구축했습니다. 스토리지와 애플리케이션은 전용 백본 링크를 통해 다른 EU 주권 클라우드 데이터 영역에 복제될 수 있으며, 기능과 사용 가능한 서비스가 동일하다는 확신을 가지고 있습니다. 이 전용 백본은 EU 주권 클라우드 지역 간의 관리 트래픽에도 사용되며, 대역폭의 상당 부분은 EU 주권 클라우드 내에서 테넌트를 사용할 수 있습니다. 모든 경우에 이 백본을 통해 흐르는 고객 데이터 트래픽은 EU 소버린 클라우드의 일부가 아닌 다른 영역 및 지역과 격리됩니다.

데이터 암호화

특정 시스템 내에서 다양한 목적으로 사용되는 데이터 암호화 및/또는 암호화 키 저장은 데이터 보호 전략의 중요한 측면이기도 합니다. Oracle은 EU 주권 클라우드 내에서 데이터 스토리지 암호화에 사용할 수 있는 키를 유지하고 애플리케이션 내에서 또는 인스턴스 레벨 데이터 암호화 메커니즘에 사용할 수 있도록 프로그래밍 방식으로 검색할 수 있는 키를 저장하는 현지화된 KMS 솔루션을 제공합니다.

OCI 저장소 서비스는 이 기능을 제공합니다. 저장소는 다중 테넌트 소프트웨어 기반 KMS 또는 전용 HSM 모듈로 구현할 수 있습니다. 두 경우 모두 Vault는 EU 주권 클라우드 영역에만 있으며 Oracle은 소프트웨어 Vault 또는 전용 HSM 내에 저장된 키 또는 암호에 액세스할 수 없습니다. 또한 데이터 암호화 활동은 EU 소버린 클라우드 내에서만 이루어지며 각 지역마다 자체 독립된 Vault 구현을 유지합니다. OCI Vault가 지원하는 키 암호화 알고리즘에는 AES(Advanced Encryption Standard), RSA(Rivest-Shamir-Adleman) 알고리즘 및 ECDSA(타원 곡선 디지털 서명 알고리즘)가 포함됩니다. 고객은 암호화 및 암호 해독을 위해 AES 대칭 키와 RSA 비대칭 키를 생성 및 사용하거나 RSA 또는 ECDSA 비대칭 키를 사용하여 디지털 메시지에 서명할 수 있습니다.

데이터 소비자에 대한 연결 암호화

유휴 상태의 데이터 암호화뿐만 아니라 특히 HTTPS와 같은 프로토콜을 통해 데이터 소비자에 대한 연결을 암호화하는 기능도 고려해야 합니다.

대부분의 경우 x.509 인증서는 외부 소스 또는 내부적으로 사용할 로컬 인증서를 생성하는 전용 서버를 통해 처리됩니다. EU Sovereign Cloud는 고객이 내부 및 외부 애플리케이션에 대한 로컬 인증서를 생성하고 배포를 위해 타사 인증 번들을 가져오며 키 교체와 같이 서비스에 설치된 인증을 관리할 수 있는 OCI 인증서 서비스를 제공합니다. 인증서 관리와 관련된 모든 작업(추가, 순환, 삭제 등)은 EU 주권 클라우드 내에 완전히 위치한 중앙 서비스에서 수행할 수 있습니다.

OCI 로드 밸런서와 통합

OCI 로드 밸런서 서비스와 통합하면 OCI 인증서로 발급되거나 관리되는 TLS 인증서를 인증서가 필요한 리소스와 원활하게 연결할 수 있습니다. 인증서 서비스와 통합되지 않은 응용 프로그램 또는 서버는 테넌시 IAM 정책에 적합한 것으로 간주되는 인증서를 검색하는 API 구조를 제공할 수 있습니다. EU 기반의 신뢰할 수 있는 소스에서 인증서를 중앙 집중화하면 로컬에서 인증서를 관리하고 EU 소버린 클라우드 내의 고객이 EU 내 암호화를 현지화할 수 있습니다.

접근 모델

이미 OCI 아키텍처에 내장된 메커니즘을 통해 EU Sovereign Cloud는 효과적인 네트워크 패킷 필터링, 액세스 제어, 연결 지정, 궁극적으로 EU에 위치한 네트워크 주소로만 배포된 리소스 및 애플리케이션에 대한 액세스를 제한하는 효과적인 방법을 제공할 수 있습니다.

액세스 모델 시작하기

액세스 모델 구현을 빠르게 시작하려면 다음을 수행합니다.

  • 심층 방어 접근 방식을 사용하여 VCN(가상 클라우드 네트워크) 설계를 구현합니다. 외부 액세스에 필요한 경우에만 VCN의 공용 서브넷을 사용하십시오.
  • 공용 및 전용 서브넷을 사용하여 트래픽을 필터링하는 DMZ를 구축합니다.
  • OCI NFW(네트워크 방화벽) 서비스를 사용하여 모든 공용 서브넷을 포함하여 중요한 서브넷에 대한 액세스를 제어하고 모니터링합니다.
  • 서브넷당 보안 목록을 구축하여 서브넷 내 액세스를 제한합니다.
  • 각 인스턴스/끝점에 NSG(네트워크 보안 그룹)를 구현하여 액세스 소스를 엄격하게 제어합니다.
  • 트래픽을 감사하려면 주기적으로 VCN 플로우 로그를 사용으로 설정합니다.
  • OCI DNS(도메인 이름 시스템)를 구현하여 주소 분석을 제어하고 허용된 도메인에 영향을 주지 않고 바람직하지 않은 DNS 도메인을 필터링합니다.
  • FastConnect 및 CPE 구성과 같은 점 연결을 사용하여 공용 인터넷을 사용하지 않는 관리 백홀을 설정합니다.

보안 목록, 네트워크 보안 그룹 및 네트워크 방화벽 사용

NFW(네트워크 방화벽), SL(보안 목록) 및 NSG(네트워크 보안 그룹)와 같은 네이티브 OCI 서비스의 기능은 VCN(가상 클라우드 네트워크) 플로우 로그와 결합되어 비EU 생성 지점에서의 액세스를 방지하고 감지하는 강력한 메커니즘을 제공합니다.

EU별 공용 IP 주소 범위가 리소스에 액세스할 수 있도록 하는 주요 방법 중 하나는 SL, NSG 및 NFW 조합을 사용하는 것입니다. 백그라운드에서 OCI 서브넷에 연결된 인스턴스/리소스에 대한 모든 액세스는 기본적으로 "모두 거부"됩니다. 또한 이 정책은 동일한 서브넷의 인스턴스가 상호 통신하지 못하도록 합니다. 특정 서브넷 내의 리소스 또는 VCN의 서브넷에서 연결을 시작하고 응답하려면 명시적으로 액세스 권한을 부여해야 합니다. 이를 수행하는 주요 방법은 SL을 사용하는 것입니다. 프로토콜, 포트 및 CIDR 범위별로 지정할 수 있는 허용된 연결에 대한 서브넷 레벨 정의입니다. 정의된 범위를 벗어나는 연결은 자동으로 삭제됩니다. NSG는 일부 동일한 작업을 수행하지만 서브넷 전체가 아닌 VNIC(가상 NIC) 계층에 적용됩니다. EU Sovereign Cloud 고객은 SL과 NSG를 결합하여 지정된 EU 공용 IP 범위의 주소만 허용하는 리소스에 대한 제한된 액세스 영역을 생성할 수 있습니다. 고객이 이러한 제한을 로드 밸런서, 컴퓨트 인스턴스, 배스천 등의 개별 리소스로 확장하면 조직의 요구사항을 충족하기 위해 대상 지정 액세스 패턴을 구현할 수 있습니다. 마지막으로 NSG와 SL은 양방향이므로 내부 및 외부 연결 규칙을 서로 독립적으로 설정할 수 있습니다. 이 기능을 사용하면 인바운드 연결이 설계 또는 인바운드 규칙의 잘못된 구성에 의해 수행되더라도 전체 세션을 설정하려면 외부 연결이 허용되어야 합니다.

VCN의 리소스에 대한 "전면 도어" 구현

EU Sovereign Cloud는 또한 다음과 같은 VCN에서 발견된 리소스에 대한 "전면 도어"로서 다양한 서비스 및 제한 사항을 구현할 수 있는 Palo Alto 기반 네트워크 방화벽 서비스를 제공합니다.

  • Stateful 네트워크 필터링

    Stateful 네트워크 필터링은 소스 IP(IPv4 및 IPv6), 대상 IP(IPv4 및 IPv6), 포트 및 프로토콜을 기반으로 네트워크 트래픽을 허용하거나 거부하는 Stateful 네트워크 필터링 규칙을 만듭니다.

  • 사용자정의 URL 및 FQDN 필터링

    사용자 정의 URL 및 FQDN 필터링은 와일드카드 및 사용자 정의 URL을 포함하여 지정된 FQDN(정규화된 도메인 이름) 목록으로 수신 및 송신 트래픽을 제한합니다.

  • Intrusion Detection and Prevention(IDPS, 침입 탐지 및 방지)

    IDPS(Intrusion Detection and Prevention)는 네트워크를 모니터링하여 악의적인 활동을 차단하고 의심스러운 네트워크 트래픽이 내부 네트워크에 도달하지 못하도록 차단합니다.

  • SSL 검사

    SSL 검사는 ESNI 지원을 통해 TLS 암호화 트래픽을 해독하고 검사하여 보안 취약성을 확인합니다. 암호화 서버 이름 표시(ESNI)는 TLS 핸드셰이크에서 SNI(서버 이름 표시)를 암호화하는 TLSv1.3 확장입니다.

  • 내부 VCN 서브넷 트래픽 검사

    VCN 내 서브넷 트래픽 검사는 네트워크 방화벽을 통해 두 VCN 서브넷 사이의 트래픽을 라우팅합니다.

  • VCN 간 트래픽 검사

    VCN 간 트래픽 검사는 네트워크 방화벽을 통해 두 VCN 간의 트래픽을 라우팅합니다.


다음은 access-model-arch.png에 대한 설명입니다.
그림 access-model-arch.png에 대한 설명

access-model-arch-oracle.zip

위 다이어그램에는 다음과 같은 다섯 가지 시나리오가 있습니다.
  1. NFW는 고객이 정의한 규칙 세트를 기반으로 연결을 거부하며 연결 시도가 기록됩니다.
  2. NFW는 연결을 수락하고 보호된 서브넷의 해당 인스턴스로 연결 경로를 지정합니다. SL은 이 서브넷에서 이 연결을 허용하며 인스턴스의 NSG에는 NFW에서의 연결을 허용하는 규칙이 있습니다.
  3. 서브넷 A의 인스턴스가 인스턴스에 대한 연결을 시도합니다. SL이 서브넷 A에서 연결을 허용하지만 인스턴스의 NSG는 연결을 금지합니다.
  4. 서브넷 A의 인스턴스가 다른 인스턴스에 대한 다른 연결을 시도합니다. 여기서 SL과 NSG는 모두 연결을 허용합니다.
  5. 서브넷 B의 인스턴스가 인스턴스에 대한 연결을 시도합니다. 서브넷 B에 보호된 서브넷에 대한 액세스 권한이 부여되지 않았으므로 인스턴스의 NSG에 관계없이 접속이 허용되지 않습니다.

적절한 이름 분석 제어 및 결정

또한 적절한 이름 분석 소스를 제어하고 결정하는 기능은 연결을 확인하고 정의된 DNS 끝점에 대해 결정적인 방식으로 이름 분석 및 릴레이를 제공할 수 있는 메커니즘입니다.

EU 주권 클라우드 환경은 OCI DNS 서비스를 상속하므로 EU 주권 클라우드 내에서 사용되는 엔드포인트와 요청이 전달되는 소스를 모두 엄격하게 제어할 수 있습니다. OCI DNS 서비스는 전달자에서 DNS 리스너 끝점을 분할하여 이 둘 사이에 규칙 엔진이 내장되어 있습니다. 이를 통해 요청된 도메인에 따라 잠재적으로 다른 전달자에 대한 DNS 요청 방향에 대해 설정된 규칙을 정의할 수 있습니다. 규칙 집합 외부에 있는 것으로 확인된 도메인 조회 요청 또는 규칙 엔진의 결과에 따라 다른 DNS 소스를 가리키는 여러 전달자의 선택은 목적에 맞는 널 재지정을 위해 NX_DOMAIN 응답을 반환합니다. 고객은 내부 EU 주권 클라우드와 외부 EU 주권 클라우드의 DNS 확인 응답에 대해 고의적으로 판단하고 필터링 메커니즘을 제공할 수 있습니다.


다음은 valid-vs-invalid-dns-request.png에 대한 설명입니다.
valid-vs-invalid-dns-request.png 그림에 대한 설명

valid-vs-invalid-dns-request-oracle.zip

EU 소버린 클라우드 고객에게 환경에 대한 제한된 액세스 제공

EU Sovereign Cloud 고객은 EU Sovereign Cloud 테넌시 소유자가 제공하는 서비스의 공용 소비자보다 환경에 대한 액세스가 덜 제한될 수 있습니다. 이러한 유형의 액세스는 OCI 퍼블릭 클라우드에 있는 것과 동일한 직접 연결 유형으로 수행됩니다.

  • FastConnect

    FastConnect는 EU Sovereign Cloud Point of Presence에 대한 MPLS(Direct Multiprotocol Label Switching) 링크입니다. 이 링크는 EU 주권 클라우드의 다른 소비자와 공유되지 않으며 지정된 특정 테넌시 전용입니다.

  • CPE(고객 구내 장비)

    CPE는 고객이 전용 MPLS 링크에 필요한 인프라에 투자하지 않고도 낮은 대역폭의 원격 사무실 스타일의 개인 연결을 EU 소버린 클라우드에 구현할 수 있는 VPN 연결 모델입니다.

연결은 직접 연결되지만 모든 액세스 제어 방식은 계속 적용됩니다. 따라서 FastConnect 링크를 통한 연결은 여전히 SL 및 NSG에서 정의한 규칙 세트를 따르며 NFW에서 모니터링할 수 있습니다. 모두 공용 리소스에 적용된 것과는 다른 규칙을 사용하여 연결 소스/대상에 따라 모니터링할 수 있습니다. 이러한 연결 유형 중 하나 또는 모두를 사용하면 EU Sovereign Cloud 테넌트가 서로 다른 연결을 설정할 수 있으며 액세스 제어 방법(SL, NSG)과 NFW의 조합을 통해 환경 리소스에 대한 액세스를 엄격하게 제어하고 모니터링할 수 있는 메커니즘을 제공합니다.

이러한 액세스 기능을 통해 EU Sovereign Cloud 사용자는 다음과 같이 EU 내에서만 사용할 수 있는 "벽돌 정원을" 생성할 수 있습니다.


다음은 Walled-garden.png에 대한 설명입니다.
벽으로 표시된 그림에 대한 설명-garden.png

벽으로 막힌 정원 oracle.zip

NFW는 특정 서브넷 내의 리소스에 대한 액세스에 대한 2단계 제한을 제공하는 SL과 함께 1단계 액세스 감지, 거부 및 로깅 지원을 제공합니다. NSG는 리소스별로 액세스를 추가로 제한합니다. SL과 NSG는 모두 아웃바운드 IP 주소/포트 범위를 제한하는 양방향 규칙 세트를 가질 수 있습니다. 그러나 이 특정 경우 FastConnect 연결을 통해 테넌트 리소스에 데이터, 유지 관리 및 관리가 제공되므로 SL 및 NSG로도 제한됩니다. 두 기능 내에 정의된 규칙 세트는 FastConnect를 통한 연결에도 적용됩니다. 시작 또는 인바운드 연결의 도메인 멤버쉽 검증을 위해 아웃바운드 연결의 확인은 특정 DNS 확인 소스를 가리키는 DNS 리스너/전달기의 조합을 통해 수행됩니다. 이러한 기능을 함께 사용하면 데이터 관리 및 유지 관리가 "대역 외"로 수행되고 EU로 제한되는 공공 대면 제어 액세스 서비스 포털을 만들 수 있습니다.

보안 모델

OCI는 IAM(ID 및 접근 관리) 서비스를 사용하여 "클라우드" 관리와 관련된 보안을 제공합니다. IAM은 특정 영역 내 테넌시의 연산자가 테넌시 내 작업에서 제한될 수 있도록 하는 데 중점을 둡니다.

보안 모델 시작하기

보안 모델을 시작하려면 다음을 수행합니다.

  • 보안 액세스 모델을 구축하여 "클라우드 관리"와 "클라우드 내에서 관리"에 필요한 모델을 비교합니다. 클라우드 관리를 위해 IAM(Identity and Access Management)에서 적은 수의 신뢰할 수 있는 사용자를 생성합니다.
  • ID 통합을 구현하여 조직 액세스를 통합합니다. 연합 내에서 EU 주권 클라우드에 대해 별도의 그룹을 사용하여 EU 기반 개인에 대한 접근을 제한합니다.
  • EU Sovereign Cloud와 비EU Sovereign Cloud IAM 계정 간에 고유한 ID를 유지합니다. 따라서 환경을 관리할 때 관리자의 혼란을 줄일 수 있습니다.
  • 기능 및 조직 경계를 기반으로 프로비저닝된 리소스에 대한 OCI 구획을 생성합니다.
  • 하위 조직이 로컬 환경을 자체 관리할 수 있도록 ID 도메인을 구축합니다.
  • Cloud Guard로 "하위 주권 클라우드"(하위 SC) 환경을 생성하여 IAM 정책을 모니터링합니다.

보안 모델 정보

IAM 서비스는 OCI 담당자가 사용하지 않으며 클라우드 운영 단계에서 제공되지 않습니다. IAM으로 제한된 모든 작업은 테넌시 레벨에서 적용됩니다. OCI 담당자는 ID 및 액세스 관리 시스템을 사용하여 제어 평면을 운영하지만 고객 테넌시에 직접 관리 또는 운영 액세스를 제공하지 않습니다.


다음은 security_structure_overview.png에 대한 설명입니다.
그림 설명 security_structure_overview.png

security_structure_overview-oracle.zip

IAM은 테넌시 자체가 존재하는 영역에만 적용됩니다. 특히 EU 소버린 클라우드는 현재 EU 내에 물리적으로 위치한 지역으로 구성된 단일 영역 내에서 운영됩니다. 따라서 EU 주권 클라우드 테넌시 내에 생성된 모든 계정은 영역 자체 내의 리소스 관리에 대해서만 작동할 수 있으며 EU 내 리소스에 대해서만 작동할 수 있습니다. 사용자 계정은 영역 외부에 컨텍스트가 없으며, 사용자가 다른 영역에 동일한 사용자 인증서를 가지고 있더라도 EU 주권 클라우드 내에 인바운드 컨텍스트가 없습니다.

EU 소버린 클라우드 운영 계정은 영역 내에서 완전히 격리됩니다. OCI의 영역 아키텍처, EU 거주 지원 및 운영, EU 법인 구조의 조합은 기본적으로 EU 주권 클라우드 영역의 격리를 적용합니다. EU 소버린 클라우드가 다른 OCI 영역과 독립적으로 운영되도록 보장하기 위해 추가적인 최종 사용자 구성이 필요하지 않습니다.


다음은 iam-2-user.png에 대한 설명입니다.
그림 iam-2-user.png에 대한 설명

iam-2-user-oracle.zip

IAM은 로컬 계정, 영역 내에서 유지 관리되는 계정 및 IDCS(Identity Cloud Service) 또는 기타 SAML2 페더레이션 메커니즘과 연결된 페더레이션 계정을 모두 제공합니다. EU 주권 클라우드 테넌시의 배포 및 관리 구성요소에 대한 접근은 엄격하게 제어될 수 있으며 EU 기반 계정으로 검증된 계정만 환경을 관리할 수 있습니다. 또한 통합 계정 관리 시스템이기 때문에 EU Sovereign Cloud에 사용되는 것과 동일한 페더레이션을 테넌시 내에 배치된 컴퓨트 리소스에 액세스할 수 있습니다. 즉, 완전하게 감사 가능한 액세스 방법을 "클라우드"의 관리 및 "클라우드"의 리소스에 모두 배포할 수 있는 통합 환경을 만들 수 있습니다.


다음은 idp-vs-iam.png에 대한 설명입니다.
그림 idp-vs-iam.png 설명

idp-vs-iam-oracle.zip

통합 계정 기능 외에도 EU Sovereign Cloud는 테넌시 내에서 ID(ID 도메인)를 생성할 수 있는 기능을 제공합니다. ID는 기본적으로 IAM 공간의 분할로, 도메인의 상위 계층에 대한 가시성이 없고 고유한 액세스 정책 집합을 생성하고 자체 리소스를 제어할 수 있는 지정된 관리자의 보조 집합으로 구성됩니다. 테넌시의 상위 레벨 소유자는 여전히 전체 리소스 및 IAM 관리에 대한 제어에 영향을 줄 수 있습니다. ID를 상위 레벨(비루트) 구획과 결합하면 ID의 멤버가 해당 ID를 둘러싼 환경에 대한 지식이 없는 전체 환경을 생성할 수 있습니다. 이러한 도구 세트를 통해 EU 내 조직은 "하위 SC" 환경이라고 부르는 것을 만들 수 있습니다. 즉, 원래 테넌시의 속성을 유지 관리하지만 멤버쉽에 대한 고유의 정책 및 제한사항으로 보조 환경을 생성할 수 있는 환경입니다.

하위 SC의 개념은 아래 그림 사례 연구에서 자세히 설명합니다. 테넌시에 Cloud Guard를 구현하여 하위 SC 환경을 제한, 제어 및 감사할 수도 있습니다. 이 경우 Cloud Guard는 특정 하위 SC에 지정되고 ID 도메인 내에 정의된 사용자 집합에 의해 제어되는 구획이 호스트된 데이터를 지속적으로 보호하거나 환경 내에서 보안 정책을 위반하는 작업을 수행하기 위해 반대되는 작업을 수행하지 못하도록 방지할 수 있습니다. EU Sovereign Cloud는 Cloud Guard 외에도 균일하게 적용할 수 있는 템플리트화된 구획 대상 정책 집합을 제공하는 보안 영역을 제공합니다. 보안 영역은 Cloud Guard 구성을 보강하기 위해 구현될 수 있으며 자주 구현됩니다.

주, 콘텐츠 및 EU 주권 클라우드 서비스 인벤토리는 영역 외부의 어떤 방식으로도 광고되지 않습니다.

감사 및 거버넌스

EU Sovereign Cloud의 특징과 기능은 EU 기반 직원이 환경을 관리하고 데이터가 보호되고 EU 내에 유지되도록 보장하기 위한 적극적인 조치를 제공합니다. 그러나 이러한 측정 및 문서 준수를 검토하기 위한 메커니즘이 없다면 외부 엔티티에 대한 보증을 제공하기가 어렵습니다.

감사 및 거버넌스 시작하기

감사 및 거버넌스 작업을 시작하려면 다음을 수행합니다.

  • OCI 감사 서비스를 사용하여 거버넌스 및 준수 모델의 적용 작업을 모니터링하고 생성합니다.
  • OCI Logging Analytics 서비스를 구현하여 OCI 감사 서비스에서 생성된 데이터에 대해 고급 분석을 수행합니다.
  • 위협 인텔리전스 및 Cloud Guard를 사용하여 정책을 구축하여 원치 않는 행위자의 작업과 액세스를 사전에 방지합니다.
  • OCI 태그 지정 서비스를 사용하여 조직 구조 및/또는 비용 모델에 해당하는 태그 네임스페이스를 생성합니다. 감사 및/또는 차지백을 위해 네임스페이스의 키/값 쌍으로 모든 리소스에 태그를 지정합니다.
  • 테넌시 및 구획 내에서 할당량을 설정하여 이탈 리소스 사용을 방지합니다.
  • OCI 예산 및 비용 분석 서비스를 사용하여 비용을 예측, 모니터링 및 제어할 수 있습니다.

데이터 주권 요구사항 준수 모니터링을 위한 서비스 및 기능 정보

OCI는 고객이 조직의 데이터 주권 요구사항 준수를 모니터링하는 데 사용할 수 있는 추가 서비스와 기능을 제공합니다. 비용 제어 및 관리를 도구로 사용하여 리소스 지출 규제준수를 감사하고 위협을 감지하며 설정된 사양 내에 테넌시가 유지되도록 할 수 있습니다.

EU Sovereign Cloud에서 다음과 같은 OCI 서비스를 사용하여 감사 및 거버넌스 전략을 구현할 수 있습니다.
  • 감사

    OCI 감사는 EU 소버린 클라우드에서 제공되는 OCI 서비스에 대한 시간, 소스, 대상 및 작업 유형을 기록합니다. 컴퓨팅 인스턴스 생성, VCN 운영 등의 활동은 지정된 개인이 EU 주권 클라우드에서 설정한 환경을 모니터링하고 감사하도록 기록됩니다.

  • 로깅 분석

    이 기능을 통해 고객은 감사 서비스를 사용하여 수집된 로그를 확인하고 조직 요구사항을 충족하기 위해 다양한 뷰 및 시각화를 생성할 수 있습니다. 다른 소스의 로그를 수집하여 전체 감사 및 분석을 위한 전체 환경 뷰를 제공할 수도 있습니다.

  • Threat Intelligence(Cloud Guard 사용)

    위협 인텔리전스는 다양한 소스에서 입력을 가져와 데이터를 관리하여 Cloud Guard 및 기타 OCI 서비스의 위협 감지 및 예방을 위한 실행 가능한 지침을 제공합니다. Cloud Guard를 사용하면 잠재적 위협에 사전 대응할 수 있는 표준화된 작업("레시피")을 구현할 수 있습니다.

  • 태그 지정

    이전 항목은 활성 위협을 방지, 감지 및 조치하기 위한 활성 메커니즘이지만, 기타 감사 및 준수 요소는 활용도 및 비용 추적에 중점을 둡니다. EU Sovereign Cloud는 프로비저닝 시 리소스에 태그를 할당하고 할당 전에 태그의 값과 형식을 수정하는 메커니즘을 제공합니다. 이러한 태그는 API를 통해 쿼리하고, 비용 추적 및 청구에서 보고하고, 특정 리소스 및 인스턴스와 연관된 IAM 정책을 사용하여 작업을 수행할 수 있습니다. Tagging을 사용하여 동일한 리소스에 여러 태그를 지정하고 여러 관점에서 리소스 사용을 확인합니다. 예를 들어, 컴퓨트 리소스에는 리소스의 일반적인 사용, 리소스를 사용하는 그룹(예: 개발), 리소스의 비용 센터 또는 관심이 있을 수 있는 기타 차원을 나타내는 태그가 있을 수 있습니다.

  • 구획 할당량

    리소스가 있는 구획을 기반으로 리소스 할당량을 설정할 수 있습니다. 할당량은 할당량 정의에 정의된 리소스의 수 및/또는 범위를 특정 구획, 지역 또는 AD로 제한할 수 있습니다.

  • 예산

    예산은 고객이 경고의 의도에 따라 현재 지출 한도, 예측 지출 한도 또는 둘 다를 기반으로 경고를 설정할 수 있는 도구입니다. 비용 추적 태그, 구획, 리소스 또는 둘 다를 기준으로 예산 경보를 설정합니다.

  • 비용 분석

    비용 분석 도구를 사용하면 차원에서 현재 소비 비용을 분석할 수 있습니다. 테넌시, EU 주권 클라우드 지역, 구획 및 리소스 태그와 같은 벡터와 소비된 특정 리소스, 서비스 및 SKU를 결합하여 비용을 확인합니다. 해당하는 경우 보고서를 개별 리소스로 필터링할 수 있습니다. 이 도구를 사용하여 과거 소비 패턴을 기반으로 향후 사용을 예측할 수도 있습니다. 데이터는 대시보드에 확장 가능하며 API를 통해 액세스할 수 있습니다. 비용 보고서가 정기적으로 실행되도록 스케줄링하고 결과를 객체 저장소 버킷에 전달할 수도 있습니다. 이러한 보고서는 기록 참조용으로 저장하고 장기 추세 분석 및 처리를 위해 데이터 웨어하우스로 익스포트할 수 있습니다.