이 글은 베스핀글로벌의 고객 사례로 알아보는 AWS Control Tower(YouTube) 웨비나 내용을 바탕으로 정리한 글입니다.

AWS Control Tower

Landing Zone이란?

• 건물에있는 헬기 창륙장 같은것
  험난한 정글같은 환경에 안전하게 착륙할수있는 환경을 뜻함
• Multi-Account Cloud(AWS) 환경을 잘 구축된 아키텍처를 잡으면서 가겠다는 컨셉
• 수천개의 Multi-Account 환경에서의 비즈니스 관리 & 확장에는 많은 어려움이 있어
  대 클라우드 시대의 막연한 불안감을 없애고자 틀을 잡아주는 것

Control Tower란?

• Landing Zone 컨셉을 AWS에서 구현한 서비스
• Control Tower는 기업이 비즈니스를 전개함에 있어서 가장 밑 바탕이 되는 설계도면

Control Tower 주요기능

• 기존 Account 운영환경 관리에있음에 많은 AWS 서비스들이 있지만 CT(Control Tower) 사용한다면 클릭한번으로 아키텍처가 생성됩니다. (아래 사진과 같이 1시간 이내로 생성)

AWS Service Catalog & Account Factory

• 예를 들어 붕어빵 금형을 가지고 고객이 직접 붕어빵을 100개 1000개씩 만들어낼수있는 Self-Service-Provisioning 구조가 가능한 서비스 개념

Establish Guardrails

• 클라우드 상에서의 반드시 준수해야할 원칙

• CT에서의 가드레일은 2가지로 나뉨

1. Provisioning guardrail: 예방 가드레일

• Law 성격: 붕어빵 장사하면서 술을 팔수없어

1. Detected guardrail: Detect 역할

• 통제적 성격: 꼬리없는 붕어빵은 안돼

Extending more with Control Tower

• 기존 수많은 AWS서비스를 확장 & 커스터마이징 가능
• Account 관리 내에서의 워크플로우 뿐만아니라 Account 관리 외의 다른 서비스와의 워크플로우를 관리가능
• 마켓 플레이스에서 CT Solution을 구입하여 도입가능

Account Factory for Terraform (AFT)

• CT는 IaC는 필수이며 코드로 모든것을 진행하라는 것이 사상
• 고객 환경에 맞는 정책들을 커스터마이징 가능하게끔하는 개념
• AFT Pipeline & customiztions을 통해 사용(개념)

그래서 언제 어디서 도입해야하나?

고객의 보안 및 거버넌스 요건을 갖추면서 동시에 다중 계정(Multi-account)체계를 구현 가능한 환경

• 다중 계정(Multi-account) 구조로 AWS 사용
• 클라우드 개발 환경 내 보안 및 운영 거버넌스 필요
• 컨트롤 타워를 이용하여 프로젝트 비용의 감소
• 전문 파트너를 통하여 운영 → 컨트롤타워 → 운영으로 리스크 감소

효율적으로 프로젝트를 진행하기 위해 사용

• Example) CT Architecture
• 티맵 모빌리티

CT를 사용하여 얻는 Benefits

• 회사, 조직의 변화
• 클라우드 보안 거버넌스를 갖춘 플랫폼으로 운영 효율화
• 서비스 개발에 집중함으로서 비즈니스 가속화
• 전문 협력사를 통하여 운영 비용에 대한 효율화

Control Tower 도입 과정

1. 컨설팅
2. 인터뷰
3. 정책 정의
4. 정책을 guardrail 및 scp에 적용

Control Tower가 성공적으로 수행되려면?

• 회사의 의사결정권자, C Level에서의 강력한 서포트가 필요
• 다른 조직에서 도와주지않으면 성공적으로 수행되기 어려움

Control Tower 권장은 누구에게?

• 클라우드 도입을 검토 중, 도입을 결정하고 진행 중인 회사 또는 조직
• 클라우드를 사용 중이지만 보안, 운영 거버넌스에 대한 고민이 있는 경우
• 서비스의 상용화 전환을 준비하는 경우
• ISMS 인증 심사를 포함한 보안 인증 체계에 대한 취득이 필요한 경우

AWS Landing Zone, AWS Control Tower 차이

• 주요 차이점
• 둘 다 비슷해 보이고 AWS에서 비슷한 목적으로 생성했지만 몇 가지 차이점도 있습니다. 다음 섹션에서는 다중 계정 환경을 관리하기 위한 두 AWS 기술 간의 주요 차이점을 간략하게 비교합니다.

AWS Landing Zone(ALZ) to AWS Control Tower(CT) Migration 절차

ALZ에서 AWS Control Tower 타워로 이동(AWS Docs)

ALZ to CT Migration의 기대효과

왜 ALZ to CT Migration을 하나?

안전하고 규정을 준수하는 다중 계정 AWS 환경을 빠르게 설정하고자 하는 많은 고객들은 AWS Landing Zone 솔루션(ALZ)을 사용

AWS는 이 ALZ을 관리하는 부담을 줄이기 위한 관리형 서비스인 AWS Control Tower(Control Tower)를 발표

AWS Control Tower는 AWS Organizations를 사용하여 랜딩 존을 생성하여 지속적인 계정 관리 및 거버넌스를 통합하고 수천 명의 고객이 클라우드로 마이그레이션 할 때 NAT과 협력한 경험을 바탕으로 모범 사례를 구현합니다. AWS CT를 사용하면 빌더가 클릭 몇 번으로 새 AWS 계정을 프로비저닝할 수 있으며, 계정이 전사적 정책을 준수한다는 사실을 알고 안심할 수 있습니다. 뿐만 아니라 AWS 고객은 AWS CT를 구현하고, 거버넌스를 신규 또는 기존 계정으로 확장하고, 규정 준수 상태를 신속하게 파악 수 있습니다.

ALZ는 현재 장기 지원 중이며 추가 기능은 제공되지 않아 ALZ to AWS Control Tower Migration 권장