AWS, 기업 서비스 자동화위한 신규 서비스 3종 공개
[IT동아 강일용 기자] 아마존웹서비스(Amazon Web Services, 이하 AWS)가 자동화 및 규정 지침을 제공해 고객이 AWS 상에서 보다 신속히 구축할 수 있도록 지원하는 신규 서비스 3종을 발표했다.
AWS 컨트롤 타워(AWS Control Tower)는 고객이 보안, 운영 및 규정 준수 규칙에 맞게 다중 계정 환경을 수월하게 설정하고, 자체 AWS 워크로드를 지속적으로 관리할 수 있는 자동화된 ‘랜딩 존(landing zone)’을 제공한다. AWS 시큐리티 허브(AWS Security Hub)는 AWS 환경에서 보안과 규정 준수를 관리할 거점 지역으로, 고객은 AWS 보안 및 규정 준수 상태를 포괄적으로 일목요연하게 볼 수 있다. AWS 레이크 포메이션(AWS Lake Formation)은 고객이 데이터 수집, 삭제 및 카탈로그 작업 등 시행해야 하는 복잡한 수작업을 간소화하고 자동화 해 안전한 데이터 레이크를 쉽게 구축할 수 있도록 지원한다.
클라우드가 전 산업에 걸쳐 규모를 막론한 모든 기업들이 기본적으로 택하는 솔루션이 되 가고 있는 가운데, 클라우드 사용자는 크게 두 가지 유형으로 나뉜다. 하나는 AWS의 모든 서비스를 사용하고, 다양한 빌딩 블록을 골라 이리저리 조합해 특정 아키텍처를 만들어 내려는 유형이고, 다른 하나는 여느 고객들이 그렇듯 AWS가 제공하는 폭 넓고 심도 있는 기능에 매료된 한편, 이미 많은 구조가 이뤄진 상황에서 더 높은 추상화 레이어를 시작하기 위해 서비스 세분화 중 일부를 교환할 의사가 있는 유형으로, 이들은 더 빨리 시작할 수 있다.
AWS는 언제나 처음부터 시작하고자 하는 첫 번째 유형의 고객에 맞춰 서비스를 제공함과 동시에, AWS 엘라스틱 빈스톡(AWS Elastic Beanstalk), 아마존 라이트세일(Amazon Lightsail), 아마존 세이지메이커(Amazon SageMaker) 등 두 번째 유형의 고객에 요구사항에 부합하는 서비스도 꾸준히 개발해 왔다. AWS 컨트롤 타워와 AWS 시큐리티 허브, AWS 레이크 포메이션은 이러한 접근법을 한층 다양한 워크로드와 시나리오로 확장해 고객에 프로비저닝과 관리, 보안, 규정 준수 및 데이터 레이크 구축과 관리를 지원하는 추상화된 서비스를 제공한다. 이들 서비스는 여러 단계로 이뤄진 프로세스를 자동화해 고객이 더욱 신속히 운영할 수 있도록 지원하며, AWS 환경의 중요한 요소를 관리하는 작업을 중앙집중화해 일관성 유지를 지원하고 더욱 완벽한 가시성을 제공한다.
AWS 선임 수석부사장 찰리 벨(Charlie Bell)은 “우리는 고객이 AWS가 제공하는 다양한 기능에 매우 만족한다는 점을 알고 있으나, 이들은 아키텍처를 보다 빨리, 쉽게 구축할 수 있는 방식으로 서비스를 패키지화 했으면 한다는 의견도 전한다”며, “클라우드가 제공하는 핵심 이점 중 하나는 물리적 인프라를 관리하는 방대한 운영 관련 복잡성을 해소한다는 점이다. AWS의 새로운 서비스는 추가적 복잡성을 추상화하고, 배포 절차를 앞당기고 간소화하며, 클라우드 워크로드를 관리해 고객이 더욱 빨리 구축하고 더욱 안전하게 운영하며 혁신할 시간적 여유가 더 많은 방식으로 일관된 거버넌스를 유지할 수 있다”고 말했다.
AWS 컨트롤 타워, 한층 쉬운 안전하고 규제 준수하는 다중 계정 환경 구축 지원
AWS로 이전하는 기업은 많은 계정과 분산된 팀, 애플리케이션을 관리해야 하는 경우가 많다. AWS의 프로비저닝 및 관리 서비스는 고객이 자체 환경을 세부적으로 제어할 수 있는 역량을 제공하나, 많은 기업들은 안전한, 다중 계정 환경을 구축하는데 참고할 수 있는 규정 지침을 원한다. 이들은 올바른 도구를 사용하고 있는지, 팀이 안전하고 규정을 준수하는 방식으로 워크로드를 배포한다고 보장할 수 있는 정책을 생성하고 시행하려면 이러한 도구를 어떻게 사용해야 하는지 등을 알고자 한다. 그 과정에서 AWS가 제공하는 속도와 민첩성은 그대로 유지하길 바란다. AWS 컨트롤 타워는 중앙 클라우드 팀이 업계 및 AWS의 우수 사례에 따라 계정과 워크로드를 프로비저닝 할 수 있는, 자동화된 단일 ‘랜딩 존’을 제공해 이러한 문제를 해결한다. 자동화된 랜딩 존은 AWS 오거니제이션(AWS Organizations)로 다중 계정 구조 구성, AWS 싱글 사인-온(AWS Single Sign-on) 이나 마이크로소프트 액티브 디렉토리(Active Directory)로 사용자 신원과 통합 액세스 관리, AWS 서비스 카탈로그(AWS Service Catalog)를 통해 계정 팩토리 구성, AWS 클라우드테일(AWS CloudTrail) 및 AWS 컨피그(AWS Config)로 로그 아카이브 중앙집중화 등과 같은 우수 사례를 활용한다. AWS 컨트롤 타워는 보안, 운영 및 규제 준수를 위한 거버넌스 규칙 패키지를 제공하며, 고객은 이를 전사적으로, 또는 계정 그룹별로 적용해 정책을 시행하거나 위반 사항을 탐지할 수 있다. 이 모든 작업은 AWS 컨트롤 타워 대시보드로 쉽게 관리 및 모니터링될 수 있으며, 고객에 계정 프로비저닝, 예방 및 보호 가드레일 활성화, 가드레일과 관련된 계정의 규정 준수 상태 등의 정보가 포함된 고객의 AWS 환경에 중앙집중식 가시성을 제공한다.
AWS 시큐리티 허브, 보안 및 규제 준수 위한 중앙집중식 관리 제공
오늘날 기업들은 AWS 및 타사가 제공하는, 다양한 콘솔과 대시보드에서 볼 수 있는 결과를 지속적으로 만들어 내는 여러 보안 도구를 사용한다. 전반적인 보안 및 규제 준수 상황을 확인하려면 고객은 이러한 도구를 일일이 확인하거나 발견된 사항을 집계하고 분석하기 위한 복잡한 시스템을 개발하는데 투자해야 한다. 이는 많은 보안 팀이 잡음과 신호를 제대로 구분하고, 가장 중요한 결과를 우선 순위화 하고, 놓치지 말아야 할 중요 정보를 확인하는 작업에서 어려움을 겪는 상황으로 이어졌다.
AWS 시큐리티 허브는 고객이 전체 AWS 보안과 규제 준수 상황을 하나의 장소에서 빠르게 확인할 수 있는 역량을 제공하며, 아마존 가드듀티(Amazon GuardDuty)의 침입 탐지 결과, 아마존 인스펙터(Amazon Inspector)의 취약점 스캔 결과, 아마존 메이시(Amazon Macie)의 민감 데이터 식별, 아마존 파트너 네트워크(APN) 파트너들의 다양한 보안 도구가 생성한 결과 등 고객 환경에서 발견된 보안 서비스 관련 결과를 수집하고 집계한다. 결과는 고객의 현재 보안 및 규제 준수 상황을 시각화하고 요약하는 통합 대시보드와 상호 연계되어 있으며, 동향을 비롯해 점점 더 많은 결과를 생성하는 아마존 EC2 인스턴스를 강조한다. 고객은 인터넷 보안 센터(CIS), AWS 파운데이션 벤치마크(AWS Foundations Benchmark )와 같은 업계 표준과 우수 사례에 기반해 자동화된 지속적인 구성과 규제 준수 확인을 실행할 수 있으며, 이를 통해 주의를 필요로 하는 특정 계정과 리소스를 식별할 수 있다.
AWS 시큐리티 허브는 아마존 클라우드와치(Amazon CloudWatch)와 AWS 람다(AWS Lambda)를 통합해 고객에 특정 유형의 결과에 기반한 자동화된 조치를 실행할 수 있는 기능을 제공한다. 또한 고객은 자체 자동화 워크플로 및 티켓팅, 채팅 등과 같은 타사 도구, 보안 정보와 이벤트 관리(SIEM)과 AWS 시큐리티 허브를 통합해 신속히 문제 해결에 나설 수 있다. 얼러트 로직(Alert Logic), 아모르(Armor), 바라쿠다(Barracuda) 등을 포함한 다수 기업이 AWS 시큐리티 허브와 통합했으며, 향후 더 많은 기업들이 통합에 나설 예정이다.
AWS 레이크 포메이션, 한층 쉬운 보안 데이터 레이크 설정 지원
데이터 레이크에 대해 이야기하는 고객들이 많다. 데이터 레이크가 조직 내 사일로(silo)를 제거하고 분석과 머신 러닝을 적용할 수 있는 거점에 모든 데이터를 보관할 수 있다는 유용성을 인식했기 때문이다. 아마존 S3는 보안, 액세스 제어, 운영 성능, 기능, 관리 제어 등을 제공하며, AWS에서 사용할 수 있는 분석 및 머신 러닝 서비스를 가까이서 이용할 수 있어 데이터 레이크를 두기 가장 자연스러운 장소이다. 그러나 데이터 레이크를 구축하고 관리하는 것은 매우 복잡하고 시간 소모가 많은 과정이며, 여러 소스에서 데이터 로딩, 버킷(bucket)과 파티션(partition) 설정, 데이터 청소 및 준비, 여러 서비스 상에서 보안 정책 실시, 액세스 제어 설정 세부 구성 등의 작업을 요한다.
AWS 레이크 포메이션은 이 모든 번거로운 과정을 제거해 고객이 며칠 내에 데이터 레이크를 구축할 수 있는 기능을 제공한다. AWS 레이크 포메이션을 사용하면 고객은 처리하고자 하는 데이터 소스를 간단히 정의한 후 미리 정해진 데이터 액세스 및 보안 정책 리스트 중 선택해 적용할 수 있어 자체 분석 애플리케이션에서 정책을 정의하고 시행해야 할 필요성이 해소된다. AWS 레이크 포메이션은 데이터를 수집해 새로운 아마존 S3 데이터 레이크로 이동시키며, 그 과정에서 카탈로그할 기술적 메타데이터를 추출하고 더욱 쉬운 복구를 위해 데이터를 구성한다. 이 서비스는 파티션화 된 데이터를 자동으로 최적화 해 성능을 개선하고 비용을 절감하며, 데이터를 아파치 파켓(Apache Parquet) 및 ORC 등의 포맷으로 변환해 빠른 분석을 지원하고, 머신 러닝을 사용해 일치하는 중복 기록을 삭제해 데이터 품질을 향상시킨다.
고객은 AWS 레이크 포메이션을 사용해 자체 데이터 레이크를 위한 보안과 거버넌스, 감사 정책을 중앙에서 정의하고 관리할 수 있다. 그 후 정책이 일관되게 구현되면서 고객의 보안과 스토리지, 분석, 머신 러닝 서비스 상에서 이를 수동으로 정의하고 시행해야 하는 중복 작업이 줄어든다. AWS 레이크 포메이션은 사용 가능한 데이터 세트와 이에 맞는 비즈니스 용도를 알려주는 중앙집중식의 사용자 정의 카탈로그도 제공한다. 이는 데이터 과학자들이 일일이 시간을 들여 필요한 데이터 세트를 찾아내는 시간을 아껴주며, 사용자들이 아마존 EMR, 아마존 레드시프트(Amazon Redshift), 아마존 아테나(Amazon Athena), 아마존 세이지메이커(Amazon Sagemaker), 아마존 퀵사이트(Amazon QuickSight) 등원하는 분석 및 머신 러닝 서비스로 통합된 셀프서비스 분석 작업을 수행할 수 있도록 지원한다.
글 / IT동아 강일용(zero@itdonga.com)