-
Tech Blog
다양한 클라우드 서비스를 바탕으로 멀티 및 하이브리드 클라우드 구성이 증가하고 있으며, 많은 서비스 자원 관리의 어려움도 증가하고 있습니다. 이러한 상황에 따른 클라우드 보안 사고를 예방하기 위해 여러 자원을 통합 관리하고 구성된 환경을 평가해 문제점을 쉽게 식별하고 해결해야 합니다.Cloud Security Watcher는 클라우드 보안 형상 관리 도구(CSPM-Cloud Security Posture Management)입니다. 자산 가시성 확보, 규정 준수 평가, 위협 교정 등의 기능을 통해 클라우드 환경을 보안 위협으로부터 보호하고 평가합니다. CSPM에서 제공하는 주요 기능을 활용하여 클라우드 환경에서의 보안 위협을 신속하게 탐지하고 조치할 수 있습니다. Cloud Security Watcher는 다음과 같은 주요 기능을 제공하고 있습니다. ⦁ 시각화: 대시보드 및 세부 View를 통해 주요 형상 및 위협의 시각화 수단을 제공함으로써 리소스에 대한 가시성 확보 ⦁ 컴플라이언스 평가: 클라우드 상에 각 상품별 설정을 주요 보안 프레임워크 기준으로 규정 준수 여부 평가 ⦁ 모니터링: 다양한 설정을 지속적으로 모니터링하여 잠재적 위협에 대한 이상 행위 발생 시 알림 발생 ⦁ 위험 식별: 모니터링 및 평가를 통해 위험을 식별하고 우선순위 정의 ⦁ 사고 대응: 모니터링과 연계하여 이슈 발생 시 교정 및 위협 완화 수행 대시보드 클라우드 리소스 현황과 보안 설정을 한눈에 파악할 수 있는 대시보드 입니다. 대시보드의 각 정보 항목은 관련된 메뉴 및 페이지와 연결되어 있으며 기간별 통계를 확인할 수 있습니다.네이버클라우드 뿐만 아니라, 2024년 4월 기준 Azure/AWS의 대한 지표도 확인 할 수 있습니다. 자산 관리 클라우드와 호스트별 자산 정보, 설정한 애플리케이션 감시 정책에 의해 발생한 로그를 제공합니다. - 호스트 감시 : VM의 생성/삭제/변경/오토스케일 - 애플리케이션 감시 : OS내의 설치된 애플리케이션에 대한 설치/삭제/업데이트 - 자산 현황/상세 : VM의 상태(정지/운영),CPU/MEM/DISK의 지표 확인. NACL,ACG 등 inbound/outbound 정책 확인 및 변경 기능 제공 - 원격 스크립트 관리 : 특정/모든 VM에 업로드 된 쉘 스크립트를 실행 계정 관리 클라우드 계정과 호스트의 계정 현황 이력 제공 - 클라우드 계정 : CSW와 연동된 계정에 대한 모든 계정 현황을 확인 Admin/Finance/Sub Account에 대한 정책 설정/계정 변동/로그인 현황/콘솔 작업 이력 확인 - 호스트 계정 : OS내에 존재하는 모든 계정에 계정현황/계정변화/로그인 이력 확인 컴플라이언스 주요 보안 컴플라이언스(ISMS-P 등)를 기준으로 리소스의 취약점 탐지 및 진단 현황 제공 - 컴플라이언스 템플릿 : 네이버 클라우드/Azure/AWS의 보안 컴플라이언스 템플릿을 활용하여 클라우드 환경 및 VM환경에 대한 보안성 점검을 진행할 수 있으며, 각 회사의 컴플라이언스 템플릿을 생성하여 진행 가능 - 컴플라이언스 보고서 : 보안 취약점 진단을 통해 검사 점수/진단 현황/취약점 현황/리소스 별 심각도를 PDF으로 확인 할 수 있음 그외, Agent 기반의 방화벽 정책으로 VM의 트래픽을 허용/차단 할 수도 있으며, 각 VM의 CPU, 메모리 등 부하에 따른 Alert 기능도 제공하고 있습니다. 이처럼 최근 멀티 클라우드/하이브리드 클라우드에 대한 도입 확장으로 인하여 서비스 자원 관리가 필요하다면, NAVER Cloud의 Cloud Security Watcher를 활용하면 어떠할까요?
2024.04.16
-
Tech Blog
마이크로소프트 애저를 통해 애자일한 클라우드 환경을 운영하려면, 다양한 지역-내부 규정-확장성을 사전에 고려해야 합니다. 이를 위해서는 초기에 클라우드 적용 프레임워크(Cloud Adoption Framework, 이하 CAF)를 계획하고, 이를 토대로 '애저 랜딩 존(Azure Landing Zone)' 정책서를 만들어 구현하는 것이 중요합니다. 오늘은 랜딩 존을 설계할 때 고려해야 할 점과, 랜딩 존의 기준점이 되는 CAF에 대해 알아보겠습니다. 클라우드 이전의 첫 단계 - 랜딩 존 '랜딩 존(Landing Zone)'이란 클라우드로의 이전 과정에서 첫 번째 단계라고 할 수 있습니다. 운영, 보안, 개발, 사용자 권한 등 클라우드 시스템 운영 정책 구성에 도움을 주는 다양한 클라우드 리소스를 설정하여 설계도를 그리는 것을 말합니다. 랜딩 존의 유형은 'Start Small & Expand'와 'Enterprise Scale' 두 가지로 정리해볼 수 있습니다. 'Start Small & Expand' 방식은 유연성과 확장성에 중점을 두며, 클라우드를 처음 도입하는 고객에게 권장되는 방식입니다. 'Enterprise Scale' 방식은 대규모 배포 또는 기존 환경의 마이그레이션을 계획하고 있는 조직에게 적합하며 규정 준수, 다양한 리소스 배포를 포함하는 설계 방식입니다. 랜딩 존을 설계할 때는 계정과 구독, 테넌트를 설계하는 아이덴티티를 비롯하여 모니터링을 포함한 매니지먼트 등 다양한 영역에서 의사결정을 통해 규모와 내부 규정준수 사항을 애저에서 반영할 수 있는 형태로 구성해야 합니다. 이 과정에서 충분한 의사결정과 다양한 영역에서의 의사결정권자와 논의가 필요하며 합의된 사항을 기반으로 구성하는 과정이 포함됩니다. 애저 CAF의 장점 애저 CAF는 애저를 처음 도입하거나 기존 운영 중인 클라우드의 확장을 고려할 때 필요합니다. 클라우드 도입에 대한 구조적인 접근 방식을 제공하여, 기존환경을 클라우드로 마이그레이션 하거나 기존 리소스를 애저에 최적화할 수 있도록 지원합니다. 애저 CAF의 장점은 다음과 같습니다. •구조화된 접근 방식 제공•다양한 환경에서의 구성 모범사례 제공•애저에서 제공하는 모든 서비스를 필요에 따라 구성하고 확장할 수 있도록 하는 유연성 있는 설계•보안과 규정준수, 운영 위험성을 포함한 클라우드 도입에 대한 일반적인 문제를 해결하는 과정을 포함•리소스 최적화 및 비용 최적화를 통해 비용 효율적인 클라우드 운영을 가능하도록 제공 애저 랜딩 존의 장점 애저 랜딩존은 CAF에 정의된 내용을 바탕으로, 실제 애저 내 구현을 통해서 클라우드 인프라가 다양한 서비스와 보안관리, 다양한 애플리케이션을 지원하도록 설계하는 각 단계의 프레임워크를 제공합니다. 중앙집중식 네트워킹과 보안, IAM관리, 거버넌스 정책 및 규정 준수에 대한 고려사항을 포함합니다. 애저 랜딩 존의 장점은 다음과 같습니다. • 다양한 규모와 요구사항을 반영하는 환경을 구성하여 리소스 배포 속도를 높임• 중앙집중식 구조와 관리 인프라 통합으로 중복된 비용 투자 방지와 운영 최적화를 충족• 규정준수를 강제하거나 모니터링을 하는 환경을 만들고, 규정 준수 사항을 템플릿이나 정책을 통해 강제하여 클라우드 표준화를 지원하며, 규제 요구 사항을 리소스 전반에서 일관되게 관리할 수 있도록 제공• 랜딩존을 통해 보안과 확장성, 규정 준수에 대한 기본 사항을 해결함으로써 조직이 애저 리소스 활용 및 클라우드를 통한 혁신에만 집중할 수 있도록 기반을 제공 조직의 요구사항과 보안 및 운영 편의성을 클라우드 도입부터 고려하여 설계하려면 CAF의 수립과 랜딩 존 개념을 바탕으로 설계하는 것이 중요합니다. 반드시 마이크로소프트에서 제공하는 프레임워크를 맞출 필요는 없지만, 다양한 산업군에서의 모범사례를 기반으로 각 프레임워크에서 제공되는 사항을 검토하고 조직에 필요한 사항을 반영하여 정의하면 보다 손쉽게 향후 애저를 관리할 수 있는 표준화된 환경을 만들 수 있습니다. CAF와 구성된 랜딩존은 'Azure Well-Architected Framework'를 통해 지속적으로 비용 효율성과 성능 등 개선을 가져갈 수 있습니다. 애저 랜딩존에 대해 더 자세히 알아보고 싶으시다면, 메타넷티플랫폼과 상담하세요! <작성: 메타넷티플랫폼 Tech.Plaform Unit>
2024.04.03
-
Tech Blog
윈도우 오토파일럿(Windows Autopilot)은 업무용으로 사용하기 위한 새로운 장치를 설정하고 사전 구성하는데 사용하는 기술입니다. 사용자는 윈도우 오토파일럿을 통해 윈도우 PC, 또는 홀로렌즈2(HoloLens2) 디바이스를 배포할 수 있습니다. 또한 장치 재설정, 용도 변경, 복구도 실행할 수 있습니다. 오토파일럿을 사용함으로써 얻게 되는 이점은 아래와 같습니다. - IT에서 디바이스 배포, 관리 및 사용 중기에 소요되는 시간을 줄일 수 있습니다.- 디자이스를 유지/관리하는데 필요한 인프라를 줄입니다.- 모든 유형의 최종 사용자에 대한 사용 편의성을 최대화할 수 있습니다. 오토파일럿을 사용하기 위해서는 아래와 같은 요구사항을 충족해야 합니다. 이를 만족하면 오토파일럿을 통해 디바이스를 배포할 수 있습니다. [소프트웨어 요구사항]- Windows 11/10 Pro- Windows 11/10 Pro Education- Windows 11/10 Pro for Workstations- Windows 11/10 Enterprise- Windows 11/10 Education [라이선스 요구 사항]- Microsoft 365 Business Premium 구독- Microsoft 365 F1 또는 F3 구독- Microsoft 365 Academic A1, A3 또는 A5 구독- 모든 Windows 클라이언트, Microsoft 365 및 EMS 기능을 포함하는 E3 또는 E5 구독- Entra ID 및 Intune 기능을 포함하는 EMS E3 또는 E5 구독- Entra ID 및 Intune 기능을 포함하는 Intune for Education 구독- Entra ID P1 또는 P2 및 Microsoft Intune 구독 오토파일럿 배포시, 구성정책과 Win32 앱을 함께 배포하는 방법 ① [구성 프로필 생성]- Intune 관리센터 – 디바이스 - 구성 – 만들기 – 새 정책을 클릭합니다. (정책은 회사 규정에 맞춰서 생성할 수 있습니다.) ② 플랫폼 : Windows 10 이상, 프로필 유형 : 템플릿, 템플릿 이름 : 디바이스 제한을 선택 후 '만들기'를 클릭합니다. ③ 구성 정책 이름을 입력 후 '다음'을 클릭합니다. ④ 구성 설정에서 사용할 정책을 설정합니다. 이번 글에서는 암호와 관련된 내용을 설정했습니다. 설정 후 '다음'을 클릭합니다. ⑤ 범위 태그가 있다면 범위 태그를 선택 후 '다음'을 클릭합니다. ⑥ 적용할 그룹을 선택 후 '다음'을 클릭합니다. ⑦ 적용 가능성 규칙이 있는 경우 설정 후 '다음'을 클릭합니다. ⑧ 내용 검토 후 '만들기'를 클릭합니다. Win32 앱 배포 인튠을 통해 Win32 앱을 배포하기 위해서는 ‘intunewin’으로의 파일 변환이 필요합니다. 아래의 명령어를 사용했으며 자세한 내용은 마지막 참고 url을 확인하시기 바랍니다. 파일 준비가 되었으면 아래의 과정으로 업로드 합니다. ① 인튠 관리센터- 앱 – Windows – 추가 – 앱 유형에서 Windows 앱(Win32)를 지정 후 '선택'을 클릭합니다. ② 생성한 패키지 파일을 선택 후 정보를 입력 후 '다음'을 클릭합니다. ③ 프로그램에서 내용을 확인 후 '다음'을 클릭합니다. ④ 요구 사항에서 운영 체제 아키텍처와 최소 운영 체제를 선택 후 '다음'을 클릭합니다. ⑤ 앱의 설치 여부를 확인하기 위한 규칙을 지정 후 '다음'을 선택합니다. ⑥ 종속성 프로그램이 있으면 지정 후 '다음'을 클릭합니다. ⑦ 대체할 앱이 있으면 추가 후 '다음'을 클릭합니다. ⑧ 범위 태그가 있는 경우 지정 후 '다음'을 클릭합니다. ⑨ 사용자를 할당 후 '다음'을 클릭합니다. ⑩ 검토 후 '만들기'를 클릭합니다. 디바이스 해시 값 등록 오토파일럿 배포를 위한 디바이스 해시 값을 인튠에 등록합니다. 디바이스의 해시값을 확인하기 위해서는 아래의 PowerShell 명령어를 실행합니다.New-Item -Type Directory -Path C:\HWIDSet-Location -Path C:\HWID$env:Path += ;C:\Program Files\WindowsPowerShell\ScriptsSet-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSignedInstall-Script -Name Get-WindowsAutopilotInfoGet-WindowsAutopilotInfo -OutputFile c:\tempAutopilotHWID.csv CSV 파일을 열어보면 아래와 같은 형태를 확인할 수 있습니다. ① CSV 파일을 인튠 관리센터 – 디바이스 – 등록 – 디바이스 – '가져오기'를 통해 업로드 합니다. ② 업로드 완료 후 아래와 같이 표시됨을 확인할 수 있습니다. 배포 프로필 생성오토 파일럿 배포를 위한 배포 프로필을 생성합니다. ① 디바이스 – 등록 – 배포 프로필 – 프로필 만들기 – Windows PC를 선택합니다. ② 프로필 이름을 입력 후 '다음'을 클릭합니다. ③ 프로필을 설정 후 '다음'을 클릭합니다. ④ 범위 태그가 있다면 지정 후 '다음'을 클릭합니다. ⑤ 인튠에 등록된 디바이스 그룹을 선택 후 '다음'을 클릭합니다. ⑥ 내용 검토 후 '만들기'를 클릭합니다. 오토파일럿 동작확인 등록된 PC에 Windows를 설치하면 아래와 같은 화면이 표시되며, 오토파일럿 동작이 시작됩니다. ① 회사 계정을 입력 후 '다음'을 클릭합니다. ② 암호를 입력 후 '다음'을 클릭합니다. ③ 환경에 따라 계정 보호 지원 창이 발생할 수 있습니다. '지금 설정'을 클릭합니다. ④ MFA를 설정합니다. 이번 포스팅에서는 '다른 방법을 설정하고 싶습니다.'로 진행했습니다. ⑤ 코드를 확인 후 '다음'을 클릭합니다. ⑥ 등록 확인 후 '다음'을 클릭합니다. ⑦ 이후 완료를 클릭합니다. ⑧ 이후 배포한 보안 정책과 앱이 설치됨을 확인할 수 있습니다. ⑨ 바탕화면이 표시되면 오토파일럿을 통한 디바이스 배포가 완료되게 됩니다.
2024.03.26
-
Tech Blog
일반적으로 사무환경이라고 하면 개인 데스크톱 또는 노트북을 지급받아 사용하는 PC 환경을 말합니다. 이 업무 환경에서 MS Office를 사용하여 업무를 수행하거나 메일을 주고받고, 회사의 그룹웨어 시스템에 접속하거나 웹사이트에 접속하여 업무를 보게 됩니다. 추가적으로 기밀 시스템에 접근하는 사용자 또는 개인정보를 취급하는 사용자의 경우에는 일반적으로 지급받은 PC외의 추가 장비를 지급받아 해당 기밀 시스템만을 접근하는 목적으로 사용하기도 합니다. 과거에는 물리적인 장비를 지급받았다면, 근래에는 각 회사에서 직접 구축한 VDI (Virtual Desktop Infrastructure, 가상 데스크탑)환경에서 제공된 PC, 즉 가상머신을 사용하는 환경이 되었습니다 다만 이러한 On-Premise VDI 환경 역시 별도의 서버와 네트워크, 스토리지 등을 구성하여 사용하는 것으로써 구성 및 유지하기 위한 공간과 비용이 많이 소모되는 일이었습니다. 최근에는 이 On-Premise VDI 환경을 퍼블릭 클라우드로 전환하여 사용하는 경우가 많아졌습니다. 대표적으로 마이크로소프트에서는 애저 버추얼 데스크탑(Azure Virtual Desktop)이라는 제품과 Windows 365라는 제품을 시장에 내놓았습니다. AWS의 경우에는 Workspace라는 제품이 있고, VMWare는 Horizon 등의 제품을 서비스로 제공하고 있습니다. 퍼블릭 클라우드 기반 VDI 장점 ① 비용절감 앞에서 얘기한 것과 같이, On-Premise VDI 환경의 경우 이를 유지하기 위한 비용이 많이 발생하게 됩니다. 그리고 사용자가 늘거나 줄어드는 것에 관계없이 고정 비용이 발생하게 되어있습니다. 퍼블릭 클라우드를 사용한 VDI 환경은 상황에 따라 유연하게 대처할 수 있어 비용적인 측면에서 유리한 면을 가져갈 수 있습니다. 이는 퍼블릭 클라우드 특성 상 사용하는 만큼에 대한 비용을 지불하게 되기 때문입니다. 또한 시스템의 운영을 위해서 필요한 장소나 하드웨어, 네트워크 등을 유지하기 위해 따르는 리스크와 비용 등도 퍼블릭 클라우드를 사용한다면 좀 더 부담을 줄일 수 있게 됩니다. 퍼블릭 클라우드 기반 VDI 장점 ② 관리 운영 및 사용자 접근의 편리함 예전부터 On-Premise VDI 환경을 퍼블릭 클라우드로 이동하려는 움직임은 있었으나 활발하게 이루어지지는 않고 있었습니다. 결국 이를 사용하는 사용자들은 회사 내부에 있으며 같은 네트워크와 장소에 있는 것이 아무래도 운영 상 이점이 많았기 때문입니다. 그러나 코로나 시대를 거치면서 업무 환경에 따른 다양한 형태가 필요하게 되었습니다. 대표적으로 갑작스러운 재택 근무를 해야 하는 상황에서 회사 내부 시스템에 접속하기 위해 개인 PC에서 업무 시스템을 접근하는 경우 보안 정책 상 리스크가 따르는 문제가 발생했고, 이를 통제하기 위한 별도의 프로그램 설치 또는 VPN 연결 등의 환경을 구성하는 문제가 발생했습니다. 이러한 점을 해결하는 대안으로 제시된 것이 퍼블릭 클라우드 환경의 VDI 시스템입니다. 각 회사에서 설정한 보안 정책에 따라 배포된 VM 환경은 회사 내부와 VPN 등의 네트워크로 연동되어 있어 업무 환경을 제공합니다. 최종 사용자는 정해진 프로그램으로 인터넷을 통해서 해당 VM에 연결하게 되며, 이 때에는 443 포트 등으로만 연결된다거나 USB나 디바이스 리디렉션, 클립보드는 차단되는 등의 형태로 보안을 강화하여 사용하게 됩니다. 이렇게 함으로써 재택 근무 시에도 최대한 기존 시스템과 유사하게 업무를 할 수 있도록 제공하되 관리 운영 상의 이점과 사용자 접근의 편리성을 확보할 수 있게 됩니다. 마이크로소프트에서 제공하는 VDI 서비스 Microsoft 에서는 애저 버추얼 데스크탑과 Windows 365를 각각 용도에 따라 솔루션을 선택해 사용할 수 있도록 서비스를 제공하고 있습니다. 애저 버추얼 데스크탑의 경우에는 애저에서 PaaS로 제공되는 Web, Gateway, Broker, Licensing 서비스를 통해 관리하는 애저 가상 머신을 사용합니다. 애저 버추얼 데스크탑 PaaS 서비스에 대해서는 별도의 비용이 발생하지 않으며 가상머신 및 Azure Network 등의 인프라를 사용하는 만큼의 비용만을 지불하면 되는 방식입니다. 예를 들어 지정된 시간에만 업무를 하고, 사용자의 증가/감소가 잦은 콜센터를 운영하는 부서에서 사용한다고 가정하면, 상황에 따라 필요한 만큼의 가상 머신을 사용하게 되므로 비용을 절감할 수 있는 장점이 있습니다. Windows 365 경우에는 일반적으로 Office 라이선스나 M365 라이선스를 구매하여 사용자에게 할당하듯이 Windows 365 라이선스를 사용자에게 할당하는 방식으로 제공됩니다. 관리자는 사전에 사용자들이 사용하게 될 Windows OS 버전이나 네트워크 구성을 미리 설정하고, 사용자는 라이선스를 제공받으면 바로 하나의 가상머신이 배포되면서 사용할 수 있게 됩니다. 이를 Windows 365 App을 사용하여 접속하면 하나의 PC에서 두 개의 OS를 사용하는 것과 같은 경험을 할 수 있습니다. 이 경우 사용자는 온전히 하나의 가상머신을 혼자서 사용하게 되며, 24x7의 비용이 라이선스 비용에 포함되어 있습니다. 여기까지 간략하게나마 퍼블릭 클라우드의 VDI 환경에 대해서 알아보았습니다. 세부적인 구성이나 시나리오 등의 자세한 내용까지 각 솔루션에서 제공되는 다양한 가이드와 커뮤니티에서 확인해 볼 수 있습니다. MS AVD 소개: azure.microsoft.com/ko-kr/products/virtual-desktopMS W365 소개: www.microsoft.com/ko-kr/windows-365AWS Workspace 소개: aws.amazon.com/ko/workspaces/
2024.03.08
-
Tech Blog
효과적인 CI/CD를 위한 오픈소스 기업들은 클라우드 전환을 통해 자원 효율성과 민첩성을 높이려는 시도를 하고 있습니다. 이러한 변화 속에서 소프트웨어의 지속적인 통합(CI)과 배포(CD)는 기업의 생산성과 경쟁력을 향상시키는 데에 있어서 중요한 역할을 하고 있습니다. CI/CD는 개발자들이 효율적으로 협업하고, 안정적인 코드를 만들며 빠르게 사용자에게 제공할 수 있도록 하는 개발 프로세스입니다. CI는 여러 개발자들이 함께 작업하는 동안 변경된 코드들이 하나의 소프트웨어 시스템으로 주기적 통합되는 것을 말하고, CD는 테스트를 거친 코드 변경 사항이 프로덕션 환경으로 자동 배포되는 것을 뜻합니다. 오늘 포스팅에서는 CI/CD가 왜 필요한지에 대해 알아보고, 클라우드 네이티브 환경에서 이를 잘 수행하기 위한 오픈소스 솔루션을 소개해드리겠습니다. CI/CD의 필요성 CI/CD는 자동화와 지속적인 감시를 통해 소프트웨어의 개발/배포의 효율성을 높입니다. 더불어 품질과 보안 측면에서 높은 수준의 신뢰성을 확보할 수 있도록 합니다. 빠른 소프트웨어 전달클라우드 기술은 신속한 소프트웨어 전달을 가능하게 하며, CI/CD는 지속적 통합 및 배포를 통해 개발자들이 신속하게 소스 코드를 통합하고 즉시 실행 가능한 제품으로 전달될 수 있도록 지원합니다. 자동화된 테스트 및 품질 확보CI/CD는 자동화된 테스트를 통해 소프트웨어의 품질을 확보합니다. 이를 통해 배포 전에 발견된 결함을 최소화하고 안정적인 서비스를 제공할 수 있습니다. 자원 효율성클라우드에서는 필요에 따라 자원을 할당하고 회수할 수 있습니다. CI/CD를 통한 자동화된 프로세스는 리소스의 효율적인 사용을 도모하며, 비용을 절감할 수 있습니다. 지속적인 보안 강화CI/CD는 새로운 코드나 기능이 추가될 때마다 자동화된 보안 검사를 수행하여 보안 취약성을 최소화합니다. 이는 클라우드 환경에서 발생할 수 있는 다양한 보안 위협에 대응할 수 있는 중요한 요소입니다. 클라우드 네이티브에 최적화된 오픈소스: Tekton & ArgoCD CI/CD 툴체인은 프로젝트의 특성과 요구사항에 따라 다양한 도구들을 조합하여 구성됩니다. 이중‘텍톤(Tekton)’과 ‘아르고(Argo)CD’는 컨테이너 기반 워크로드에 중점을 둔 클라우드 네이티브 환경에서 특히 유용하게 활용됩니다. ‘텍톤’은 CI/CD 도구와 프로세스를 표준화하는 솔루션으로, 쿠버네티스의 유연성과 효율성을 활용해서 클라우드 네이티브 애플리케이션을 개발하고 배포하는데 도움을 주는 도구입니다. 이 도구는 파이프라인을 구성할 때 여러 독립적인 단계로 세분화하여 소프트웨어의 지속적인 통합과 전달을 용이하게 하는 특징이 있습니다. ‘아르고CD’역시 쿠버네티스 환경에서 워크플로우 및 CD 도구를 제공하는 오픈소스 프로젝트로, GitOps를 기반으로 한 배포를 관리하는데 사용됩니다. 사용자는 텍톤과 아르고CD를 활용해 애플리케이션 빌드 및 배포를 수행할 수 있습니다. CI 단계는 텍톤에서 관리하고, 배포 단계는 아르고CD로 관리하는 것이죠. 텍톤과 아르고CD를 결합하여 쿠버네티스 상에서 CI/CD 프로세스를 효과적으로 설계하고 실행함으로써, 디지털 전환을 위한 혁신적인 솔루션을 제공할 수 있습니다. 텍톤과 아르고CD의 특장점 컨테이너 기반 실행텍톤은 CI/CD 파이프라인의 각 단계를 컨테이너로 실행하는 기능을 제공합니다. 이는 환경 간의 일관성을 유지하고 다양한 언어 및 프레임워크를 지원할 수 있도록 합니다. 아르고CD는 애플리케이션을 배포할 때 컨테이너를 사용하여 일관성 있는 환경을 유지합니다. 편리한 정의 방식두 도구는 YAML이라는 간단한 문법을 사용합니다. 이를 통해 CI/CD 작업이나 애플리케이션 배포를 명확하게 정의할 수 있습니다. 이벤트 기반 실행텍톤은 다양한 이벤트에 쉽게 반응할 수 있는 기능을 제공합니다. 예를 들어, 코드를 올리거나 이미지를 만들거나 배포할 때 발생하는 이벤트에 대응할 수 있습니다. 다양한 언어 및 프레임워크 지원텍톤은 다양한 언어 및 프레임워크를 지원하여 팀이 사용하는 기술 스택에 유연하게 대응할 수 있습니다. 이는 애플리케이션 개발에 다양성을 부여하는 데 도움이 됩니다. 다양한 클라우드 환경 지원두 도구 모두 여러 클라우드 플랫폼에서 사용 가능합니다. 이를 통해 클라우드 제공자에 대한 의존도가 높아지는 것을 피할 수 있습니다. 또한 팀은 필요에 따라 클라우드를 전환하거나 혼합 환경을 운영할 수 있습니다. 자동 확장성과 일관성 유지텍톤과 아르고CD는 컨테이너 기반의 아키텍처를 사용하면서 서비스를 자동으로 확장할 수 있기 때문에, 트래픽이 급증하더라도 일관된 서비스 품질을 유지할 수 있습니다. Tekton과 ArgoCD의 조합은 쿠버네티스 환경에서의 CI/CD 프로세스를 효과적으로 구축하고 실행할 수 있는 강력한 도구들로, 소프트웨어의 지속적인 통합과 배포를 실현하며 기업의 디지털 전환에 기여할 수 있습니다. 메타넷티플랫폼은 기업이 하이브리드 클라우드 환경에서 소프트웨어 개발 및 배포를 효율적으로 관리하고 유연하게 대응할 수 있도록 지원하고 있습니다. 하이브리드 클라우드와 CI/CD에 대해 더 자세히 알아보고 싶으시다면, 메타넷티플랫폼과 상담하세요! <작성: 메타넷티플랫폼 HCU >
2024.02.14
-
Tech Blog
지난해 10월 국내 빅테크 기업의 서버를 담당하는 데이터센터에 화재가 발생하면서 대규모 장애가 발생한 일이 있었습니다. 이를 계기로 디지털 강국을 자랑하던 우리나라 주요 디지털 서비스의 안정성에 큰 의문이 제기되었죠. 금융감독원도 대국민 서비스 중 가장 중요한 금융서비스의 안정성에 문제가 없는지를 살피고, 금융 서비스의 업무 연속성을 강화하기 위한 조치를 강화했습니다. 이에 따라 국내 금융기관들은 기존에 운영하던 재해복구 시스템에 대해 보완 및 증설을 고려해야 하는 상황이 됐습니다. 재해복구 시스템의 구축을 위해서는 초기 구축을 위한 막대한 비용, 시스템 복구를 위한 기술적 검토, 데이터 복제환경 구성, 운영인력, 향후 규제사항의 변경에 대한 대응 등 여러가지 고민이 필요합니다. 오늘 포스팅에서는 클라우드 기반의 기술을 통해 이러한 고민을 어떻게 해결할 수 있는지 알아보도록 하겠습니다. 클라우드 기반 재해복구의 장점OCI를 활용한 재해복구시스템 구축의 특장점 비용효율적인 클라우드 기반의 재해복구 시스템을 구축하기 위해서 오라클 클라우드 인프라스트럭처(OCI)의 특장점을 이해하고 적용할 필요가 있습니다. OCI를 활용하여 재해복구 시스템을 구성하게 되면, 평상시 재해복구 시스템을 사용하지 않을 때 VM을 비가동상태로 유지하여 비용을 절감할 수 있고, 금융권에서 사용중인 오라클 DB에 대해 완벽한 복제가 가능하며, 리얼 애플리케이션 클러스터(RAC) 등 고가용성 기술을 제약없이 활용할 수 있는 장점들을 활용할 수 있습니다.또한 OCI의 ‘플렉스 쉐입(Flex Shape)’ 기능을 활용하면 금융사에서 필요한 사양에 꼭 맞는 가상머신(VM)을 자유롭게 구성할 수 있어 다른 CSP에서 제공하는 VM보다 비용을 절감할 수 있을 뿐만 아니라, VM상에 구성되는 사용 소프트웨어의 라이센스 비용을 최소화할 수 있습니다.일반적으로 재해복구 시스템을 구성할 때 사용되는 전용회선 서비스의 경우에도 OCI의 ‘패스트커넥트(Fast Connect)’는 타 CSP의 전용회선 서비스에 비해 저렴한 비용이 책정됩니다. 또한 데이터량에 따라 추가되는 비용 없이 활용할 수 있어 대량 데이터를 사용중인 고객사의 경우 가장 비용효율적인 전용회선 환경 구성이 가능합니다. 재해복구 시스템 개념설계재해복구 시스템 구축 단계 재해복구 시스템의 구축은 개념설계-상세설계-구축의 단계를 거치게 됩니다. 개념설계단계 고객의 업무시스템에 대한 분석을 통해 대상시스템을 선정하고 재해복구 목표를 설정하며, 이에 따른 리소스 규모를 산정하는 등의 작업을 수행하게 됩니다. 상세설계단계재해복구 시스템을 구축할 대상 CSP를 선정합니다. 이때 각 CSP의 제공 기능에 대한 분석, 규제충족 여부 등 적합성 검토, 비용 분석 등을 통해 최적의 CSP를 선정해야 합니다. CSP 선정 이후 해당 CSP 기반 실제 클라우드 기반의 재해복구 시스템의 물리설계를 진행합니다. 마지막으로 설계내역을 기반으로 시스템을 실제 구현한 후, 데이터 복제를 하여 재해복구 환경구축을 마무리합니다. 최종적으로 재해복구 모의훈련 프로세스를 비롯한 재해복구 시스템의 운영계획수립을 완성하게 됩니다. 금융보안원 보고 관련 OCI 지원금융보안원 보고 관련 OCI의 지원 금융기관이 클라우드 시스템을 사용하게 되는 경우 금감원의 규정에 의해 클라우드 이용가이드에 따른 보고를 수행해야 합니다. OCI의 경우 금융보안원과 함께 주기적으로 업무연속성 및 안정성 확보 조치에 해당하는 기본보호조치와 금융부문 추가조치 사항에 대해 평가를 받고 있습니다. 따라서 금융기관이 금감원의 클라우드 시스템 사용을 위한 보고 시 오라클에서 제공하는 자료 및 경험을 활용하여 손쉽게 대응할 수 있도록 지원하고 있습니다. 금융산업은 높은 수준의 보안과 규정준수가 요구되는 만큼, 클라우드의 다양한 기능을 통해 금융 데이터를 보호하고 재해상황에 대비해야 할 필요성이 커졌습니다. OCI는 엔터프라이즈에 최적화된 가격 체계를 보유하고 있을 뿐만 아니라 업계 유일하게 가용성은 물론 성능 및 관리에 대해서도 보상하는 등 비용, 성능, 보안 측면에서 금융사에 가장 적합한 플랫폼입니다. 메타넷티플랫폼은 국내 대표 금융그룹들에 IT 인프라 및 서비스를 제공해왔으며, 프라이빗·퍼블릭·온프레미스 뿐만 아니라 하이브리드·멀티클라우드까지 기업에 가장 적합한 클라우드 환경 구현을 위한 End to End 서비스를 선보이고 있습니다. OCI를 활용한 재해복구 시스템 구축에 대해 더 자세히 알아보고 싶으시다면, 메타넷티플랫폼과 상담하세요! <작성: 메타넷티플랫폼 SE U>
2024.01.04
-
Tech Blog
클라우드 보안 클라우드가 빠르게 확산됨에 따라 클라우드 보안에 대한 우려도 높아지고 있습니다. 특히 기존의 온프레미스 환경과 달리, 많은 정보들이 클라우드 서비스 제공업체의 데이터 센터에 저장되고 실행되기 때문에 새로운 보안 위협에 쉽게 노출되어 치명적인 보안 사고가 발생할 수 있습니다. 이번 포스팅에서는 클라우드 보안 사고의 유형과, 클라우드 환경의 보안을 강화하는 방법에 대해 알아보겠습니다. 클라우드 보안 사고유형 클라우드 보안 사고 유형 대부분의 조직은 오랜 기간 축적된 경험을 통해 기존 레거시 환경에 대한 보안 대비 태세를 견고하게 갖추고 있습니다. 하지만 클라우드 환경은 마이크로 아키텍처 기반으로 서비스가 운영되기 때문에 상당히 복잡합니다. 또한 조직 역시 클라우드에 대한 경험 및 기술력이 부족한 상황입니다. 이 때문에 ①클라우드 환경에 대한 통제 누락 ②클라우드 서비스 정책 설정 오류 ③허용되지 않은 클라우드 계정 탈취 및 오용 ④Shadow IT를 이용한 비트코인 채굴 등 자원의 오남용 ⑤API 취약점 공격이 레거시 환경에 비해 빈번하게 발생하고 있습니다. 클라우드 보안 솔루션클라우드 환경에 적합한 보안 클라우드 산업에서 새로운 기술과 서비스가 계속 등장하는 만큼, 보안 영역도 계속해서 확대되고 있습니다. 때문에 전통적인 보안과 달리, 클라우드 보안은 새로운 자원에 대한 보안의 고려와 복잡한 보안 관리를 위한 가시성 확보가 필수적입니다. 클라우드 환경의 전반적인 보호를 위해 클라우드 워크로드 보호 플랫폼(CWPP; Cloud Workload Protection Platform)과 클라우드 보안 상태 관리(CSPM; Cloud Security Posture Management) 솔루션이 주목되고 있습니다. 이들을 통해 클라우드 상에 존재하는 각종 리소스에 대한 효율적인 보안이 가능해지고, 다양한 위협에 대응할 수 있습니다. CWPP는 멀티·하이브리드 클라우드 환경에서 관련 워크로드를 보호합니다. ▲취약점 관리 및 치료 ▲침입 탐지 및 방지 ▲암호화 및 키 관리 ▲파일 무결성 검사 및 감사 ▲로그 수집 및 분석 ▲애플리케이션 상태 감시 등 다양한 보호 기능을 제공합니다. CSPM은 컴플라이언스 또는 기업 보안 정책에 따라 클라우드 위험을 지속적으로 관리하고, 멀티 클라우드 보안 환경에 대한 가시성을 확보할 수 있도록 돕는 솔루션입니다. ▲정책 준수 및 법규 준수 확인 ▲위험 평가 및 우선 순위 설정 ▲지속적인 검사 및 평가 ▲보고서 생성 및 대시보드 제공 등의 기능을 갖추고 있습니다. 클라우드 보안 관제센터 메타넷티플랫폼의 클라우드 보안 관제센터 MCSOC(Metanet Cloud Security Operstion Center)는 CWPP 솔루션을 통해 운영 중인 클라우드 자원에 대한 정기적인 보안 분석을 수행하고, 위협에 대응하고 있습니다. 과학기술정보통신부에서 설정한 주요정보통신기반시설 취약점 분석/평가 기준과 KISA의 클라우드 보안 인증 기준, 고객사 보안 기준에 따라 클라우드 환경에 대한 보안 취약점(CCE)을 진단합니다. 또한 미국 국가 취약성 데이터베이스(NVD), MITRE 등이 표시하고 있는 보안 취약점 표준코드(CVE) 리스트에 따른 취약점 관리를 진행하고 있습니다. 또한 메타넷 클라우드 보안 관제센터 MSCOC는 CSPM 솔루션으로 클라우드 내외부에서 위험발생 가능성이 높은 설정 및 환경을 탐지한 후 조치 계획을 제공합니다. ▲운영 현황 대시보드 ▲클라우드 리소스 요약 ▲IAM/AAD 계정발급 현황 관리 ▲컴플라이언스 준수 여부 검증 및 대응방안 ▲클라우드 형상 변경 관리에 대한 정보를 받을 수 있습니다. 한편, 모든 산업 분야가 AI를 주목하고 있는 만큼, 보안 분야에서도 AI 기술을 보안 관제에 접목하는 시도가 이어지고 있습니다. AI 보안 관제는 복잡하고 빈번하게 발생하는 사이버 공격에 대한 데이터를 수집 및 분석하고 자동화하여 이상탐지에 신속하게 대응해 관제인력의 업무 한계를 극복할 수 있도록 돕습니다. 기업의 업무 환경이 멀티/하이브리드 클라우드로 빠르게 전환되면서, 클라우드 보안의 중요성이 높아지고 있습니다. 클라우드 보안의 강화를 위해서는, 실시간 모니터링과 위협 분석 및 대응을 위한 통합보안관제가 이뤄져야 합니다. 메타넷 클라우드 보안 관제 센터 MCSOC(Metanet Cloud Security Operstion Center)는 글로벌 최고 빅데이터 수집 및 분석 엔진을 활용한 보안관제 프로세스와 국내 인프라 환경을 경험한 메타넷티플랫폼이 결합하여 최상의 보안관제 서비스를 선보이고 있습니다. 네트워크에서부터 클라우드 보안까지, 365일 24시간 실시간으로 고객의 시스템을 모니터링해 침입시도를 탐지하고 실시간 대응하고 있습니다. 고객사의 환경을 반영하여 기본 관제 이벤트 이외에도 클라우드에 특화된 Custom 탐지 시나리오를 제공합니다. 클라우드 보안에 대해 더 자세히 알아보고 싶으시다면, 메타넷티플랫폼과 상담하세요! <작성자: 메타넷티플랫폼 보안사업부문>
2023.11.07
-
Tech Blog
메타넷티플랫폼은 지난 달 데이터독의 연례 글로벌 컨퍼런스 ‘DASH’에서 아시아/태평양 지역 유일한 ‘보이스 오브 파트너(Voice of Partner)’로 선정되었습니다. 이 자리에서 메타넷티플랫폼은 국내 고객사에 데이터독의 클라우드 SIEM(보안 정보 및 이벤트 관리)을 제안하고, 성공적으로 도입을 지원한 고객 사례를 발표하면서 이목을 끌었습니다. 데이터독 VOICE OF PARTNER 메타넷티플랫폼 오늘 포스팅에서는 해당 사례에 대한 소개와, 데이터독의 클라우드 SIEM에 대해 자세히 소개하겠습니다. 대규모 보안 침해사고를 당한 A사 국내 대기업 A사는 최근 주요 서비스에 대한 대규모 DDOS 공격과 개인정보 침해 사고를 경험한 뒤 보안 강화에 대한 필요성을 강하게 느꼈습니다. 그러한 시도의 일환으로서, 퍼블릭 클라우드 데이터를 수집/분석할 수 있는 SIEM을 구축하기로 했습니다. SIEM(보안 정보 및 이벤트 관리)은 비즈니스에 문제를 일으키기 전에 보안 위협을 탐지, 분석 및 대응하도록 도와주는 솔루션입니다. 레거시 시스템의 SIEM만 사용하고 있던 A사 당초 A사는 설치 기반의 레거시 SIEM을 사용하고 있었습니다. 하지만 해당 SIEM은 퍼블릭 클라우드에 대한 탐지 기능 지원이 없었고, 이에 따라 보안 이벤트 로그를 수집/관리/분석하는데 어려움이 있었습니다. 클라우드 SIEM을 제공하는 데이터독 메타넷티플랫폼은 MSP 파트너로서 경험해온 클라우드 SIEM에 대한 인식을 바탕으로 고객에게 ‘데이터독 클라우드 SIEM’을 제안했습니다. 시장 내 타 경쟁업체들이 레거시 SIEM 시장에 집중하고 있어 클라우드 환경 지원에 미진한 반면, 데이터독은 클라우드 네이티브 플랫폼을 기반으로 한 SIEM을 SaaS 형태로 제공하고 있습니다. 때문에 확장성과 비용 효율성 면에서 타 서비스에 비해 장점을 가지고 있습니다. 데이터독 Cloud SIEM 또한 데이터독 SIEM은 IT 인프라에 대한 높은 가시성을 가지고 있으며, 모니터링을 통해 수집한 데이터/로그를 분석하는 성능이 뛰어납니다. 특히 적은 노동력으로도 고객이 원하는 서비스를 신속히 구현 가능합니다. 복잡한 쿼리 언어(Query Language)를 사용하지 않아도 위젯으로 손쉽게 클라우드 SIEM 규칙을 만들 수 있으며, 추가 비용 부담 없이 600개 이상의 클라우드 오픈소스 환경에 대한 Integration을 제공합니다. 데이터독 Dashboards 메타넷티플랫폼의 전문 인력으로 멀티 클라우드(Multi-Cloud) 환경에 맞춤형 설치 지원 메타넷티플랫폼은 고객사에 두 달간 전문 인력을 투입, 데이터독의 제품을 보완할 수 있는 Detection Rule Set를 커스터마이징하는 별도의 프로페셔널 서비스를 제공했습니다. 메타넷티플랫폼은 데이터독의 MSP 골드파트너로서 인프라스트럭처 모니터링(Infra), 애플리케이션 성능 모니터링(APM), 로그 관리(Log management) 외에 Security SIEM 핵심 구성요소에 대해 이해도가 높은 전담 엔지니어들을 보유하고 있기에 가능한 작업이었습니다. 데이터독은 수백 개의 OOTB(Out-of-The-Box)를 제공하고 있습니다. 다만 특정 CSP에 대한 고객환경에 맞는 특화된 Detection Rule이 부족했습니다. 메타넷티플랫폼은 50개 이상의 사용자 정의 Custom Rule Set을 직접 작성 및 검증을 통해 고객이 사용하는 멀티 Cloud(CSP) 환경 관리를 용이하게 할 수 있도록 지원했고, 빠른 시간 내에 프로젝트를 완료하여 고객사가 통합 보안 SIEM 시스템을 조기에 구축할 수 있도록 했습니다. 데이터독 파트너 메타넷티플랫폼 보안에 강한 클라우드 전문 기업 메타넷티플랫폼메타넷티플랫폼은 데이터독의 MSP 골드파트너로서, 인프라스트럭처 모니터링(Infra)/애플리케이션 성능모니터링(APM)/로그 관리(Log Management)를 넘어 보안 영역까지 데이터독 솔루션 활용 범위를 확장해 나가고 있습니다.데이터독의 클라우드 SIEM을 통해 운영 가시성을 확보하고, 잠재적 마이그레이션 리스크를 줄이고자 하신다면, 메타넷티플랫폼과 상담하세요! < 작성 : 메타넷티플랫폼 HCSales4T >
2023.09.14