[디지털데일리 백지영기자] 보통 ‘랜딩존(landing zone)’이라는 용어는 골프 스윙시 티샷이 낙하할 것으로 예상되는 지점을 뜻한다.
클라우드 서비스에도 ‘랜딩존’이 있다. 마이크로소프트(MS)의 클라우드 서비스 애저를 이용하기 위한 ‘애저 랜딩존’은 클라우드 이용 규모나 보안, 거버넌스, 네트워킹, ID를 애저 환경에 맞춰 환경을 구성하고 확장이 가능한 모듈식 접근 방식을 의미한다.
마치 건물을 구축할 때 기조 설계가 중요한 것처럼, 클라우드 역시 클라우드를 보다 쉽게 구성, 관리하기 위한 기초 작업이라고 할 수 있다.
클루커스 박항서 컨설턴트는 8일 디지털데일리의 온라인 컨퍼런스 플랫폼인 DD튜브에서 진행된 웨비나에서 ‘애저 랜딩존’의 개념과 활용법, 데모 등을 시연하며 참석자들의 주목을 받았다.
클루커스는 MS 애저 컨설팅 파트너이자, 현재 국내 파트너 가운데 최대 엔지니어 그룹 및 고객사를 확보하고 있는 클라우드 매니지드 서비스 프로바이더(MSP)다.
박 컨설턴트는 “노트북을 처음 구매하면 와이파이나 절전모드, 방화벽 설정과 가족계정 설정 등 기본 설정이 필요하듯, 클라우드에도 이러한 기초 설정 작업이 필요한데 이를 랜딩존 설계라고 한다”고 말했다. 권한을 누구한테 부여할지, 접속기록은 얼마만큼 보관할지 등을 설정하는 것이다.
그는 “막상 처음 클라우드를 시작하려고 하면 막연하다는 느낌을 받는다”며 “랜딩존을 구성할 때도 어떤 리소스를 써야할지 막연함을 느끼는게 이것이 클루커스와 같은 파트너가 존재하는 이유”라고 말했다.
그에 따르면, 랜딩존에서는 크게 운영 정책, 보안 정책, 로그 관리 등을 설정할 수 있다. 무엇보다 국제 표준에 맞는 정책 모음집을 제안받을 수 있고, 이러한 정책들이 제대로 지켜지고 있는지 자동으로 점검된다. 클루커스에서 제공하는 기본 랜딩존을 선택할 경우, 한 달 이내 구성이 가능한 것이 장점이다.
구체적으로 랜딩존 설계에는 ▲계정 권한 관리, ▲보안 관리 ▲운영정책 ▲로그 관리 ▲블루프린트 등이 있다.
우선 계정 권한 관리의 경우, 애저 액티브 디렉토리가 권한을 관리해 계정별 역할을 관리해주는 리소스다. 그는 “요즘 보안 이슈가 많은데 멀티팩터 인증을 통해 애저에 접속할 수 있도록 기본 서비스를 제공하는 것”이라고 설명했다.
예를 들어 글로벌 기업의 아시아지역 지사가 있을 경우, 본사와 아시아 지사는 각기 다른 테넌트를 유지하고 각자 소속의 직원 등록할 수 있다. 각 테넌트마다 최상위 관리자 등록이 가능하며, 관리자 하에 서비스별 그룹, 팀별 그룹 나누고 인증 부여가 가능하다. 외주회사 직원이 있을 경우, 이 직원에게 특정 리소스 권한을 허용해 줄 수도 있다.
보안 관리의 경우, 애저 네트워크 시큐리티 그룹(NSG)을 통해 L4 수준의 IP/포트 방화벽 설계가 가능하다. 서브넷, 네트워크 인퍼페이스(NIC)에 연결해 최대 1000개까지 정책 등록이 가능하며, 애저 서비스에 대한 태그를 제공한다. 특히 트래픽 로그 수집이 가능한 것이 장점이다.
애저 시큐리티 센터를 통해선 클라우드 리소스에 대한 보안감사를 제공한다. 가장 큰 장점은 보안감사 수행 시 국제표준이 원하는 항목을 패키지로 제공하는 것이다. ISO27001나 PCI DSS 3.2.1 등의 국제표준을 준수해야할 경우, 관련 정책과 준수여부를 점검해준다. 또, 국제 표준 이외에 사내 표준 정책은 직접 입력해 사용도 가능하다. 애저 디펜더 보안 경고 설정 기능을 통해선 로컬 화경에서 IDS 역할을 제공한다,
운영정책의 경우, 랜딩존의 핵심이라 할 수 있는 ‘애저 폴리시’를 통해 설계가 가능하다. 보안관련 정책은 시큐리티센터, 그리고 그 외의 운영 관련 정책은 모두 애저 폴리시에서 관리되기 때문이다.
그는 “가장 큰 장점은 클라우드 운영감사만 수행하는 것이 아니라 특정 악성행위 차단까지 가능하다는 점”이라며 “운영을 위한 국제표준을 패키지 형태로 제공하며, 이를 지키기 위해 어떤 운영정책을 할당하면 되는지 모음집으로 제공한다”고 말했다.
‘애저 키 볼트’ 리소스를 통해선 키와 시크릿, 인증서를 관리할 수 있다. 로컬 환경에서의 키 매니지먼트 솔루션에 해당한다. 이는 키 관리를 중앙해서 하고 권한이 있는 사용자만 접근할 수 있도록 키를 할당한다. 일정기간이 지나면 키가 소멸하도록 유효기간도 설정할 수 있다.
로그관리는 ‘애저 로그 애널리틱스’를 통해 가능하다. 로그를 수집하고, 수집한 로그 저장, 로그 필터링 기능을 통한 차트 생성이나 알람을 발생한다. 로그를 중앙에서 관리 가능한 것이 가장 큰 특징이다.
마지막으로 ‘애저 블루프린트’를 통해 랜딩존 구성 내용 자체를 패키지로 묶어서 버전 관리가 가능하다.
그는 “기존 방식은 하나씩 리소스를 생성하고, 생성된 리소스 내 설정을 하는 것이라면, 애저 블루프린트는 무엇을 설정할지, 생성 이후 어떤 정책을 담을지 모든 내용을 패키지 형태로 묶어서 관리하는 것을 뜻한다”고 말했다.
시스템 운영에 대한 국제 표준 패키지 제공부터 랜딩 존 관련 리소스 배포, 애저 폴리시 정책 활용, 정책 패키지(블루프린트) 버전 관리과 업데이트 등을 제공한다.
그는 “이를 통해 클라우드 랜딩존 버전 관리와 자사 운영환경에 맞는 맞춤화된(커스텀) 랜딩존을 구성할 수 있다”며 “특히 회사만의 표준을 만들고자 할 때 쉽고 간편하게 관리가 가능하다”고 강조했다.
그는 이어 “클루커스가 기존 운영 노하우를 바탕으로 시스템 운영을 잘할 수 있도록 처음부터 끝까지 가이드하겠다”고 자신했다.