초보자도 알 수 있는 AWS Control Tower

#한국어블로그

#AWS Control Tower

KeumSangwon

2024.07.24

안녕하세요! 클래스메소드 금상원 입니다.
이번 블로그에서는 Control Tower 에 대해 알아보도록 하겠습니다.

Control Tower 란?

AWS Control Tower는 규범적 모범 사례에 따라 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 제공하는 서비스 입니다.

AWS Organizations, AWS Service Catalog, AWS IAM Identity Center, 및 를 비롯한 여러 다른 AWS 서비스의 기능을 조정하여 1시간 이내에 랜딩 존을 구축하고 사용자를 대신하여 리소스가 설정되고 관리됩니다.

기능

랜딩 존 — 보안 및 규정 준수 모범 사례를 기반으로 잘 설계된 다중 계정 환경입니다. 규정 준수 대상이 되는 조직 단위 (OU), 계정, 사용자 및 기타 리소스를 모두 보관하는 전사적 컨테이너입니다. 랜딩 영역은 모든 규모의 기업 요구 사항에 맞게 확장할 수 있습니다.
가드레일 — 전체 환경에 대한 지속적인 거버넌스를 제공하는 높은 수준의 규칙입니다. AWS 일반적인 언어로 표현됩니다. 제어 유형에는 예방, 탐지 및 사전 예방의 세 가지 종류가 있습니다. 규제 항목에는 필수, 적극 권장형, 선택형 등 세 가지 범주의 지침이 적용됩니다.
Account Factory — Account Factory는 사전 승인된 계정 구성으로 새 계정 프로비저닝을 표준화하는 데 도움이 되는 구성 가능한 계정 템플릿입니다. AWS Control Tower는 조직의 계정 프로비저닝 워크플로를 자동화하는 데 도움이 되는 기본 제공 Account Factory를 제공합니다.
대시보드 — 대시보드를 통해 중앙 클라우드 관리자로 구성된 팀이 랜딩 존을 지속적으로 감독할 수 있습니다. 대시보드를 사용하여 기업 전체의 프로비저닝된 계정, 정책 시행에 사용할 수 있는 제어, 정책 비준수를 지속적으로 탐지할 수 있는 제어, 계정 및 OU별로 정리된 비준수 리소스를 확인할 수 있습니다.

사용 사례

보안 통제의 철저
- 가드 레일을 설정하여 각 계정의 리소스에서 위험한 설정을 하고 있지 않는지 관리자가 쉽게 찾을 수 있습니다. AWS Control Tower는 이러한 기본 가드 레일을 미리 제공하며, 어떤 계정 그룹에 적용할지를 설정하기만 하면 쉽게 구현할 수 있습니다. 또한 위험한 설정이 감지되면 보안 담당자가 감사계정을 통해 해당 계정에 엑세스하여 쉽게 해결할 수 있습니다. 또한 위험한 설정을 자동 복구하는 메커니즘에 필요한 기반을 제공합니다. 위험을 놓치지 않고 탐지 후 신속하게 대처하는 등 보안 통제의 기본이 되는 구조를 실현합니다.
로그의 중앙 관리
- AWS의 조작 이력을 취득하는 AWS CloudTrail 과 AWS 리소스 등의 변경 이력을 취득하는 AWS Config 의 로그를 로그 아카이브 계정에서 집계하여 중아에서 쉽게 확인할 수 있습니다. 또한 Amazon CloudWatch Logs와 연계하여 집계된 로그를 실시간으로 분석하고, 예상치 못한 로그인·API 실행 등 보안 위험이 있는 조작을 계정 횡단으로 검지하는 등의 사용법도 가능합니다.
인시던트 발생시의 추적
- 각계정의 로그를 일반적으로 사용하는 계정과 분리하여 로그 아카이브 계정으로 한번에 관리하면 인시던트 발생시의 추적할 수 있습니다. 또한 각 계정에서 로그 설정 변경에 대해 방지할 수도 있습니다.
이용 상황의 재고
- 각 계정의 리소스 수와 같은 사용 상황을 쉽게 확인할 수 있어 재고 작업이 용이합니다. 각각의 설정등도 정리해 확인할 수 있으므로, 리스크가 있는 설정을 놓치지 않습니다. 보안 담당자의 부담 경감으로 이어집니다.