방어 클라우드 채택 계획
계획 방법론은 클라우드 채택의 명령 도메인에 속합니다.
도메인 추적기를 보여 주는 
그림 1: 도메인 추적기 - 명령 도메인
계획 방법론은 임무 소유자가 클라우드 채택을 준비하는 곳입니다. 요구 사항을 정의하고, 임무 목표를 충족하는 데 도움이 되는 결정을 내리고, 올바른 이해 관계자를 참여시켜야 합니다. 이러한 계획은 담당자 및 플랫폼 관리 요구 사항을 결정합니다. 적절한 계획은 프로젝트가 관련자로부터 바이인을 받을 수 있도록 하는 데 도움이 됩니다.
클라우드 브로커 사용을 권장하며, 계획 단계에서 임무 소유자는 클라우드 브로커 서비스를 사용하는 접근 방식을 선택하게 됩니다. 우리는 임무 소유자가 자신의 목표를 충족하기 위해 기술 요구 사항을 정의했다고 가정합니다. 그렇지 않은 경우 클라우드 브로커 전략을 결정하기 전에 반드시 준비해야 하는 필수 구성 요소입니다. 클라우드 브로커를 사용하는 것은 관계가 제공하는 많은 이점 때문에 방어 조직에서 모범 사례입니다. 일부 방어 조직은 명령 체인에서 특정 클라우드 브로커를 사용하도록 의무화합니다. 클라우드 브로커의 중요성과 이점을 고려할 때 클라우드 브로커의 이점과 접근 방식을 살펴볼 가치가 있습니다.
클라우드 브로커 혜택
클라우드 브로커는 클라우드 플랫폼을 빌드하고 관리하는 중앙 집중식 그룹입니다. 클라우드 브로커는 클라우드 환경을 관리하고 임무 소유자를 위해 클라우드 채택을 더 간단하게 만드는 데 필요한 많은 작업을 수행합니다. 방어 조직에는 때때로 클라우드 브로커 요구 사항이 있으며, 임무 소유자는 이러한 요구 사항을 계획에 고려해야 합니다. 임무 소유자가 여러 클라우드 브로커 중에서 선택할 수 있는 경우 이 프로젝트에 가장 적합한 서비스와 가격을 제공하는 클라우드 브로커를 결정해야 합니다.
클라우드 브로커는 다음과 같은 이점을 제공했습니다.
관리되는 플랫폼 랜딩 존 - 방어 환경에서 호스트되는 서비스, 솔루션 및 애플리케이션에는 관리되는 환경이 필요합니다. 클라우드 브로커는 규정 준수 요구 사항을 충족하는 관리형 플랫폼 환경(플랫폼 랜딩 존)을 빌드하고 유지 관리합니다.
Azure 랜딩 존은 안전하고 안정적이며 비용 효율적인 클라우드 작업에 필요한 모든 구성 요소 방어 애플리케이션을 포함하는 대상 아키텍처를 제공합니다(그림 2참조). Azure 랜딩 존은 8개의 디자인 영역에서 주요 원칙을 따릅니다. Azure 랜딩 존 환경은 플랫폼 랜딩 존 및 애플리케이션 랜딩 존으로 구성됩니다.
플랫폼 랜딩 존: 플랫폼 랜딩 존은 여러 애플리케이션에서 사용하는 핵심 서비스를 제공하는 구독입니다. 샘플 아키텍처(그림 2참조)에서 빨간색으로 설명된 구성 요소 및 구독은 플랫폼 랜딩 존입니다. ID, 관리 및 연결과 같은 공유 서비스를 이 환경의 애플리케이션에 제공합니다.
애플리케이션 랜딩 존: 애플리케이션 랜딩 존은 애플리케이션 호스팅을 위한 구독입니다. 샘플 아키텍처(그림 2참조)에서 파란색 상자는 애플리케이션 랜딩 존을 간략하게 설명합니다. 아키텍처에는 "애플리케이션 랜딩 존 A1 구독" 및 "애플리케이션 랜딩 존 A2 구독"의 두 애플리케이션 랜딩 존이 있습니다. 아키텍처는 "애플리케이션 랜딩 존 A2 구독"만 자세히 표시합니다.
그림 2: 개념적 Azure 랜딩 존 아키텍처
클라우드 브로커가 없으면 미션 소유자는 애플리케이션 랜딩 존 및 플랫폼 랜딩 존을 담당합니다. 그러나 클라우드 브로커를 사용하면 임무 소유자는 애플리케이션 랜딩 존만 관리하면 되며, 임무 목표를 충족하도록 애플리케이션을 현대화하는 데 집중할 수 있습니다. 클라우드 브로커는 플랫폼 랜딩 존의 핵심 서비스에 대한 기술적 책임을 져야 합니다.
플랫폼 랜딩 존은 다음 분야를 포함하는 디자인 결정을 특징으로 합니다.
- 비용 관리
- 보안 기준 관리
- 신원 기준 관리
- 리소스 일관성
- 배포 프로세스 가속화
자세한 내용은 플랫폼과 애플리케이션 랜딩 존참조하세요.
Core 서비스 - 클라우드 브로커는 ID, 네트워킹 및 관리와 같은 핵심 서비스를 구현하고 관리합니다. 대부분의 경우 클라우드 브로커는 새 클라우드 환경을 온-프레미스 네트워크에 안전하게 연결하고, 운영 환경을 구축하며, 임무 요구 사항에 따라 정책 적용을 통해 IAM(ID 액세스 관리) 솔루션을 설정합니다.
ATO(플랫폼 운영 권한 부여) - 숙련된 클라우드 브로커는 자체적으로 미션 소유자보다 플랫폼 수준 ATO를 더 빠르게 달성하는 데 도움이 될 수 있습니다. 플랫폼 수준 ATO는 임무 소유자가 중요한 애플리케이션을 배포할 수 있는 속도에 직접적인 영향을 줍니다. 자세한 내용은 에서 ATO을 가속화하는 것을 참조하세요.
향상된 효율성
- 자금 확보 및 할당
- 감독 및 규정 준수 요구 사항 관리
- 보안 팀에서 승인 받기
- 애플리케이션 빌드를 위해 기술 팀에 프로젝트 전달
이러한 활동은 몇 주 또는 몇 달, 경우에 따라 몇 년 동안 지속될 수 있습니다. 클라우드 브로커는 임무 소유자를 위한 프로세스를 간소화하고 신속하게 처리합니다.
클라우드 브로커 접근 방식
클라우드 브로커를 사용할 때는 임무 소유자가 고려해야 할 여러 가지 방법이 있습니다. 임무 소유자는 단일 클라우드 브로커 또는 여러 클라우드 브로커를 사용할 수 있으며 올바른 방법은 업무 요구 사항에 따라 달라집니다.
단일 클라우드 브로커 접근 방식 - 단일 클라우드 브로커 접근 방식에서 미션 소유자는 단일 엔터티로 클라우드 서비스를 계약합니다. 다양한 지원 모델이 있을 수 있지만 클라우드 브로커는 단일 연락 지점입니다. 단일 클라우드 브로커는 테넌트라고 하는 단일 클라우드 ID 솔루션을 제공합니다. 단일 테넌시에는 몇 가지 뚜렷한 장점이 있습니다. 단일 테넌트는 다음과 같은 이점을 제공합니다.
- 모든 클라우드 환경에서 가시성과 투명성을 개선하여 ID 및 액세스 관리 복잡성을 줄입니다.
- 규정을 준수하는 정보 공유를 용이하게 하면서 보안을 향상시킵니다.
- 제로 트러스트 아키텍처 빌드 간소화
- 엄격한 조건에서 전쟁 전투기 간의 데이터 전송 효율성을 높입니다.
이러한 혜택이 미션 소유자의 요구를 충족하는 경우 단일 브로커가 더 나은 접근 방식일 수 있습니다.
다중 클라우드 브로커 접근 방식 - 다중 클라우드 브로커 접근 방식은 둘 이상의 클라우드 브로커를 사용하여 관리되는 클라우드 서비스를 제공합니다. 복잡한 조직에서는 여러 클라우드 브로커가 더 낫고, 방어 환경에는 여러 클라우드 브로커 전략을 보증하기에 충분한 복잡성이 있는 경우가 많습니다. 그러나 주의해야 할 사항이 있습니다. 여러 클라우드 브로커는 클라우드 채택 계획에 더 많은 위험을 추가하고 조직에서 관리할 통신 라인을 더 추가할 수 있습니다.
다음 요소는 여러 클라우드 브로커 접근 방식이 올바른지 확인하는 데 도움이 될 수 있습니다.
소유권: 미션 소유자는 자체 클라우드 브로커가 필요할 수 있습니다. 의사 결정 그룹은 종종 업무 목표를 충족하고 종속성으로 인한 지연을 피하기 위해 자체 테넌트가 필요합니다.
격리: 임무 소유자는 규정 준수, 거버넌스 또는 ID 이유로 격리된 환경이 필요할 수 있습니다. 각 테넌트(Microsoft Entra ID 인스턴스)는 격리된 ID 환경을 나타내며 필요한 경우 확고한 격리 장벽을 만들 수 있습니다.
관리: 복잡한 환경을 분리하는 것은 클라우드 애플리케이션을 관리하고 현대화하는 데 적합할 수 있습니다. 그러나 이러한 관리 분리로 인해 명령 체인의 복잡성이 증가합니다. 모든 클라우드 자산에 대한 단일 보기를 갖는 것이 더 어려워집니다.
보안: 다양한 영향 수준에 대한 데이터 규정 준수에는 여러 테넌트 및 여러 클라우드 브로커가 권한이 부여되고 해당 영향 수준을 관리하는 환경이 필요할 수 있습니다.
다중 클라우드 브로커 전략은 방어 조직의 다양한 수준에서 사용할 수 있습니다. 브로커는 개별 군사 지점(해군, 항공, 지상) 또는 응용 프로그램 그룹에 할당할 수 있습니다. 선택은 소유권, 격리, 관리 및 보안에 대한 방어 조직의 요구 사항에 따라 달라집니다.
자세한 내용은 계획 개요 및 마이그레이션 평가 검사 목록참조하세요.
다음 단계
계획은 실행을 위해 방어 조직을 준비합니다. 구성 방법론은 이 계획을 사용하고 비기술적 필수 구성 요소를 완료하기 시작합니다.