brunch

You can make anything
by writing

C.S.Lewis

by Master Seo May 12. 2021

12탄-KB국민은행 AWS , 랜딩존으로 구축

금융에서 클라우드 사용하는 법에 대한 설명.

AWS 랜딩존에 대한 설명.


<1> 안정성 확보 조치방안

<2> 여러 개 워크로드가 추가되면?

<3> 다중 계정 구조에 대해서 AWS 베스트 프렉티스를 제공한다.

<4> AWS 제공 솔루션

<5> AWS 랜딩존?

<6> KB 구성 사례

<7> 법령 규제?

<8> KB국민은행 진행 단계?

<9> 기대 효과?

<10> 랜딩존 개념도

<11> 은행 아키텍처 OU 사용?

<12> 두 번째 OU, 애플리케이션 OU?

<13> 랜딩존 배포가 편리한가?

<14> 배포 좋아진 점?

<15> 조직 개편 CCoE  조직 신설 필수

<16> 개인 정리

<100> 같이 볼만한 자료




<1> 안정성 확보 조치방안


1

참고 자료?

금융분야 클라우드 컴퓨팅 서비스 이용 가이드 - 금융 보안원

-> 안정성 확보 조치 방안을 이행해야 한다.


금융분야 클라우드 컴퓨팅 서비스 이용 가이드 - 금융 보안원  사이트 방문해보자!!!

https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do?page=1&column=&search=&searchSDate=&searchEDate=&bbsDataCategory=


2

항목?

계정관리, 접근통제, 로깅 등  필요하다.

새로운 클라우드가 생길 때마다 반복 작업이다.  


3

표준화된 부분이 필요하다!!!



<2> 여러 개 워크로드가 추가되면?


1

초기는 하나의 서비스 계정으로 사용한다.


2

여러 개 워크로드가 생기면?

서비스 계정 , 공통 계정 ㅡ 관리 계정 , 네트워크 계정 등이 필요하다!!

// 공통적으로 사용하는 기능은 표준화와 재사용 필요하다.


3

다중 계정이 필요한 이유?

IT 운영환경에 의해 다중 계정이 필요. - 개발 , 프로덕션 분리해야 해서 계정을 별도로 사용 필요.

비용  - 각 조직별 비용을 나누려 한다.

감사 / 통제 - 사전 정의된 프래임워크를 적용하려 한다.

서비스 특정에 따라 다중 계정 사용 필요하다 데이터 분류 등



<3> 다중 계정 구조에 대해서 AWS 베스트 프렉티스를 제공한다.


1

AWS 오거나이제이션 사용하자.

AWS조직 계정 관리하는 서비스가 있다.


https://brunch.co.kr/@topasvga/756


https://brunch.co.kr/@topasvga/1289


2

네트워크 분리와 통제가 가능해진다.


3

각 직무분리 , 네트워크 분리가 필요하다.

중앙 집중이 필요하다.

네트워크와 쉬어드 계정을 만드는 것이 좋다.


4

보안 계정을 통해 관리

로그 아카이브 계정에 로그를 보관하자.




<4> AWS 제공 솔루션


1

다중 환경 구성과 자동화?

랜딩존, 컨트롤 타워, 오가니제이션 , 서비스 카탈로그


랜딩존

https://brunch.co.kr/@topasvga/1240


https://brunch.co.kr/@topasvga/842


https://brunch.co.kr/@topasvga/1361


https://brunch.co.kr/@topasvga/1205


2

비용 통제?

AWS Budgets , AWS license Manager , AWS Marketplace


3

정책 및 보안 구성 모니터링 / 관리?

CloudTrail , AWS Config , Security Hub , CloudWatch




https://brunch.co.kr/@topasvga/632



https://brunch.co.kr/@topasvga/700

https://brunch.co.kr/@topasvga/875


https://brunch.co.kr/@topasvga/1212


https://brunch.co.kr/@topasvga/1359


https://brunch.co.kr/@topasvga/1581


4

 지속적인 개선, 운영 및 최적화?

 AWS Well-Archtected Tool    



<5> AWS 랜딩존?


 1

 거버넌스 적용하자.

 랜딩존으로 다중 계정 환경 설정을 자동화한다.


 2

 AWS 모범 사례와 권장 사항을 기반으로 한다.


 3

 Account 밴딩 머신으로 빠르게 서비스 제공한다


 4

 장점?

 단일화된 계정 관리!

 IAM을 중앙 집중 관리가 된다.

 보안 및 거버넌스 감시 기능 제공

 다양한 추가 기능에 대해 확장이 가능하다.  


 5

 AXA 회사.

 AWS 랜딩존 사용 중.

 특징?

 별도의 감사 계정을 만들어 진행하고 있다.

 감사 데이터에 대한 빅데이터 구축해 감시하고 있다!!!   



<6> KB 구성 사례


 왜 클라우드?

 1

 다양한 플랫폼 확보 가능해짐!

 상용 프로그램인 경우 타 플랫폼과 연동이 힘들었다.

 클라우드로 언제든 신기술 연계가 가능해졌다.  


  2

  비용 효율화?

  보안의 경우 기존 라이선스를 사용할 수 있는지 확인하라.

  라이선스 등으로 비용이 추가될 수 있다.   


  3

  클라우드 컴퓨팅 이용 가이드를 통해 준비하라!  


  4

  순서?

  사전 준비 > 계약 > 보고 > 종료

  사전 준비는?

  이용 대상 선정 > 중요도 평가 > 업무 연속성 확보 > 안정성 확보 조치(인프라 작업과 연계됨) 필요하다.  


  5

  랜딩존이 일관성 있는 안정성 제공한다.   



<7> 법령 규제?  


  1

  개인정보에 따라 보안 시스템 구축이 필요하다.

  금융 감독원에 보고해야 하는 시기도 있다.  


  2

  사전 준비, 계약 체결, 보고, 이용종료 절차 필요하다  


  3

  '클라우드 컴퓨팅 서비스 이용 가이드" 항목별 체크!!!  


  4

  업무 연속성 확보?

  데이터 백업 , 훈련 및 사고 관리, 출구 전략 수립!!  


  5

  안정성 확보조치?

  계정 관리 , 접근 통제, 암호화 / 키 관리. 로깅!!!  


  6

  문서 작업과 인프라 작업으로 나누어 작업했다.  


  7

  보안 준수를 위해 자동화할 수 있는 부분은 자동화했다.  


  8

  클라우드 컴퓨팅 서비스 이용 가이드 이해 필수!  


  9

  랜딩존이 없었다면?

  로깅 개별 관리 등

  중앙 집중 방식으로 관리!!

  로깅 활성화 3가지 - AWS Config , CloudTrail , VPC Flow log 관리!!

  연동 - 디렉트 커넥트 , VPN.

  서비스 카탈로그 배포 등으로 라우팅 등 자동 추가. 반복 작업 없앰. 작업 누락을 최소화함.      



<8> KB국민은행 진행 단계?  


  1

  애자일 방법론 사용하여 빠르게 진행함.  


  2

  1팀 - 표준 랜딩존 구축 수행, 이슈 공유

  2팀 - 마이그래이션 진행

   2팀간 공유 진행   


  3

  금용 보안원의  AWS 안정성 평가 진행 필요!!!  


  4

  AWS와 Enterprise Aggrement 체결 필요!!!

  // 이거 AWS와 별도로 계약해야 합니다!!  참고해주세요!!  


  5

  오픈    



<9> 기대 효과?


1

민첩한 환경!!

랜딩존을 통해 보다 민첩해짐.


2

보안성 향상 - 일관된 작업, 사람마다 다르지 않음.


3

개발형 인프라 - 오픈소스 도입 , Saas 도입,  GPU 자유롭게 사용

빅데이터, AI 등 사용하고자 했으나 힘들었던 부분이 손쉽게 사용 가능.

신기술 적용 가능해짐.

인프라 공수를 줄임.


4

혁신 가속화

랜딩존 적용함으로써 보안 처리가 되어 가능해짐.



<10> 랜딩존 개념도


1

KB는 2개의 OU로 구성


2

OU 첫 번째

보안 계정, 공유 계정 , 감사 계정 , 로깅 계정 있음.


3

OU 두 번째?

Application OU.




<11> 은행 아키텍처 OU 사용?


첫 번째 OU?

1

보안 계정?

가드 듀티, IPS 사용.

일관된 정책

로깅 추적.


2

공용계정?

내부 직원의 사번을 연동.

ADFS를 통해 소스 IP 제어함.

AD로 패스워드 정책 관리함.  

route53 리졸버 구성함. - aws의 긴 이름을 KB IDC에서 질의함

공용 계정으로 전용선으로 구성해서 dns 사용함.  


 3

 로깅 계정?

 VPC Flow log , Trail log , config

 - 로그 분석 프로그램 , 파싱 하여 분석함.  

 // 구성도 참고!!!    



 <12> 두 번째 OU, 애플리케이션 OU?


 1

 실제 서비스 OU    

 // 2개 OU를 사용하는군요?       



   

 <13> 랜딩존 배포가 편리한가?


 AVM을 통한 계정 생성.

 서비스 카탈로그로 구성.  


 1

  AWS AVM을 통해 계정 생성


 2

  서비스 카탈로그?

 KB의 표준 아키텍처 생성.

 VPC 만들고,  Auto  , 볼륨 암호화 등 15개 한 번에 수행함

 3 티어, 2 티어,  미디어 서비스, CDN 카탈로그 10개 카탈로그를 제공하고 있음!

 수요 부서에서 필요한 것을 즉시 제공 가능해짐!!!      



<14> 배포 좋아진 점?  


 1

 테라폼의 경우  코드를 분석할 수 있어야 한다.


 2

 AWS의 경우 모든 이력이 로깅에 남음.

 언제든 AWS지원을 받을 수 있다.   

자판기처럼 자동화되었다.




 <15> 조직 개편 CCoE  조직 신설 필수


 1

 조직 개편 CCoE  조직 신설.

 ->  다양한 가이드 제공하게 됨!!!

 Cloud Center of Excellence  


 2

 클라우드는 어렵다는 인식이 많다.  


 3

 CCoE 역할?

 기술 전파!

 레거시를 바꾸는데 어떤 장점이 있는지 전파 필요!

 지속적인 교육은 필수이다.  


 4

 랜딩존의 추가 고도화 진행




<16> 개인 정리


1

금융 분야는 가이드로 1차로 구성해야 한다 - 금융분야 클라우드 컴퓨팅 서비스 이용 가이드 - 금융 보안원

https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do?page=1&column=&search=&searchSDate=&searchEDate=&bbsDataCategory=


2

여러개의 계정관리로는 AWS 오가니제이션이 필수 , 랜딩존으로 다중환경 자동화, 서비스 카탈로그 사용


https://brunch.co.kr/@topasvga/756


https://brunch.co.kr/@topasvga/1289



https://brunch.co.kr/@topasvga/842


https://brunch.co.kr/@topasvga/1240


3

보안은 CloudTrail , Config , Security Hub 사용


https://brunch.co.kr/@topasvga/1333


https://brunch.co.kr/@topasvga/1301



<100> 같이 볼만한 자료


https://brunch.co.kr/@topasvga/1716


  감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari