Control Panel 개념
- 인쇄
- PDF
Control Panel 개념
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Control Panel 서비스를 이용하는 전체 시나리오를 학습하기에 앞서 도킹 존에 대한 개념을 설명합니다.
참고
도킹 존 개념의 원활한 이해를 위해 용어를 참고해 주십시오.
도킹 존의 구성
도킹 존(Docking Zone)은 네이버 클라우드 플랫폼의 각 계정마다 중복되는 인증 및 권한에 대한 정책, 보안 정책, 로그 관리 정책 등을 중앙에서 관리하는 보안 프레임워크입니다. Control Panel 서비스에서는 도킹 존 기능을 사용하여 클라우드 서비스에 대한 이해가 높지 않은 사용자도 손쉽게 계정, 인프라, 보안 등 필요한 리소스를 자동으로 관리할 수 있게 합니다.
도킹 존에 포함되는 요소는 크게 3가지로 구분됩니다.
- 계정 체계
- 보안 정책
- 리소스
각 요소에 대한 자세한 설명은 다음과 같습니다.
계정 체계
도킹 존은 하나의 계정 조직(Organization)이 이용하도록 되어 있습니다.
계정 조직은 총책임자인 Master 계정 하위에 Management 역할 그룹, Service 역할 그룹이라는 두 개의 그룹으로 구성됩니다.
Management 역할 그룹은 도킹 존의 운영에 반드시 필요한 Log 계정, Audit 계정을 포함해야 하며, Service 역할 그룹은 필요시 Service 계정을 추가하여 운영합니다.
도킹 존을 생성하기 전에 계정 조직을 미리 구상해 주십시오.
Master 계정과 두 그룹에 대한 자세한 설명은 다음과 같습니다.
| Master 계정 | Management 그룹 | Service 그룹 |
|---|---|---|
|
|
|
참고
도킹 존 생성 후에는 메인 계정이 있더라도 서브 계정을 사용해 네이버 클라우드 플랫폼을 이용하길 권장합니다. 따라서 계정 생성 시에 메인 계정당 기본적으로 1개의 서브 계정을 생성하도록 설정되어 있습니다.
보안 정책
도킹 존을 안전하게 이용할 수 있도록 보안 정책이 규격화되어 Cloud Defender라는 서비스 형태로 제공됩니다.
Cloud Defender를 구성하는 보안 정책은 14가지이며, 각 계정이 보안 정책을 잘 지키는지 정책 항목별로 모니터링할 수 있습니다.
제공되는 보안 정책 항목은 다음과 같습니다.
| 보안 정책 | 상세 설명 |
|---|---|
| 1. 멤버 계정 중 Log와 Audit 역할을 분리해서 운영합니다. | Log 역할과 Audit 역할을 담당할 계정을 각각 구분해야 함 |
| 2. Control Panel의 통보 대상 알림 담당자 변경을 감지합니다. | 도킹 존에서 보안 관련 이벤트 발생 시 알림을 받을 대상자가 관리되어야 함 |
| 3. Sub Account에 2차 인증 옵션을 '필수'로 설정합니다. | 생성된 모든 서브 계정에 2차 인증옵션이 설정되어야 함(금융 클라우드 이용 시 2차인증옵션 설정이 필수) |
| 4. Sub Account에 SSL VPN 설정을 확인합니다. | 생성된 모든 서브 계정에 SSL VPN이 설정되어있어야 함(금융 클라우드 이용 시 SSL VPN 접속 필수) |
| 5. Sub Account의 비밀번호는 90일 미만 주기로 변경 필요합니다. | 생성된 모든 서브 계정의 비밀번호가 주기적으로 변경되도록 권장 |
| 6. Sub Account에 Master에 준하는 권한이 설정되지 않도록 확인합니다. | 생성된 모든 서브 계정에 Administrator, Manager 권한과 같이 메인 계정에 준하는 권한이 부여되지 않도록 권장 |
| 7. Cloud Activity Tracer를 활성화하고 기록을 Object Storage에 보존합니다. | 도킹 존 내 모든 서비스계정의 로그가 Audit, Log 계정의 Object Storage 버킷에 저장되어야 함 |
| 8. 서버로의 네트워크 접근을 관리합니다. | 소속된 계정이 생성한 서버가 허용된 네트워크 대역대에서만 접근하도록 Network ACL과 ACG 규칙 설정 권장 |
| 9. 서버의 성능 지표 모니터링을 위한 Event Rule을 설정합니다. | 도킹 존 내 서버의 성능 지표를 관리할 수 있도록 Cloud Insight 서비스에서 Event Rule 설정 권장 |
| 10. 인프라 확장 시 내 서버 이미지 생성 기능을 활용하여 타 계정으로 빠르게 공유할 수 있도록 합니다. | 빠른 인프라 확장을 위해 서버 이미지를 생성해 두도록 권장 |
| 11. 고객의 중요 정보 암호화에 사용된 키를 고객이 설정한 보안 정책에 따라 엄격히 관리하고 안전하게 보호합니다. | 고객의 중요 정보를 암호화 키를 KMS 서비스를 통해 보안 관리하도록 권장 |
| 12. 서브 계정에 Key Management Service의 Manager 권한이 설정되지 않도록 관리합니다. | 생성된 모든 서브계정에 Key Management Service의 모든 권한이 부여되지 않도록 권장 |
| 13. SSL 인증서를 등록하고 관리합니다. | SSL 인증서를 등록하여 효율적인 관리가 가능하도록 권장 |
| 14. 멤버 Log 계정의 Object Storage의 삭제를 감지합니다. | Log 계정의 Object Storage 버킷을 생성 후 유지하여 모든 멤버 계정의 로그를 저장하도록 권장 |
참고
각 보안 정책의 위반 여부가 실시간으로 감지되어 콘솔에 표시되며 알림이 발송됩니다. 위반 내역이 발생하면 대응되는 적절한 조치를 이행해야 합니다. 정책별 위반 조건 및 조치 방법은 Cloud Defender 항목 위반 시 조치에서 확인할 수 있습니다.
리소스
Master 계정을 통해 등록된 모든 계정들은 네이버 클라우드 플랫폼의 서비스를 이용 한도 내에서 자유롭게 사용할 수 있습니다.
도킹 존에서 제공하는 주요 리소스는 다음과 같습니다.
| 분류 | 서비스 |
|---|---|
| 계정 관리 |
|
| 모니터링 및 관리 |
|
| 보안 |
|
| 인스턴스 |
|
| 스토리지 |
|
이 문서가 도움이 되었습니까?