Control Panel 개념
    • PDF

    Control Panel 개념

    • PDF

    기사 요약

    Control Panel 서비스를 이용하는 전체 시나리오를 학습하기에 앞서 도킹 존에 대한 개념을 설명합니다.

    참고

    도킹 존 개념의 원활한 이해를 위해 용어를 참고해 주십시오.

    도킹 존의 구성

    도킹 존(Docking Zone)은 네이버 클라우드 플랫폼의 각 계정마다 중복되는 인증 및 권한에 대한 정책, 보안 정책, 로그 관리 정책 등을 중앙에서 관리하는 보안 프레임워크입니다. Control Panel 서비스에서는 도킹 존 기능을 사용하여 클라우드 서비스에 대한 이해가 높지 않은 사용자도 손쉽게 계정, 인프라, 보안 등 필요한 리소스를 자동으로 관리할 수 있게 합니다.
    도킹 존에 포함되는 요소는 크게 3가지로 구분됩니다.

    • 계정 체계
    • 보안 정책
    • 리소스

    각 요소에 대한 자세한 설명은 다음과 같습니다.

    계정 체계

    도킹 존은 하나의 계정 조직(Organization)이 이용하도록 되어 있습니다.
    계정 조직은 총책임자인 Master 계정 하위에 Management 역할 그룹, Service 역할 그룹이라는 두 개의 그룹으로 구성됩니다.
    Management 역할 그룹은 도킹 존의 운영에 반드시 필요한 Log 계정, Audit 계정을 포함해야 하며, Service 역할 그룹은 필요시 Service 계정을 추가하여 운영합니다.
    도킹 존을 생성하기 전에 계정 조직을 미리 구상해 주십시오.

    Master 계정과 두 그룹에 대한 자세한 설명은 다음과 같습니다.

    Master 계정Management 그룹Service 그룹
    • 도킹 존의 모든 운영 권한 및 비용을 책임지는 최상위 사업자 계정
    • 하위에 최소 1개의 서브 계정을 생성해야 함
    • 도킹 존 운영에 필수적인 역할 계정 그룹
    • Log 및 Audit 계정이 필수로 생성됨
    • Log 계정: 도킹 존 내부의 모든 로그를 수집하고 관리하는 계정
    • Audit 계정: 도킹 존 내부를 모니터링하고 위반 사항을 감사하는 계정
    • 각 계정 하위에 최소 1개의 서브 계정을 생성해야 함
    • 생성되는 서비스계정의 모든 로그들은 CLA, CAT 서비스를 통해
      Log 계정, Audit 계정의 Object Storage에 저장됨
    • 필요에 따라 생성 가능한 서비스 계정 그룹
    • 그룹 내 1개의 Service 계정 및 하위 최소 1개의 서브 계정을 생성해야 함
    참고

    도킹 존 생성 후에는 메인 계정이 있더라도 서브 계정을 사용해 네이버 클라우드 플랫폼을 이용하길 권장합니다. 따라서 계정 생성 시에 메인 계정당 기본적으로 1개의 서브 계정을 생성하도록 설정되어 있습니다.

    보안 정책

    도킹 존을 안전하게 이용할 수 있도록 보안 정책이 규격화되어 Cloud Defender라는 서비스 형태로 제공됩니다.
    Cloud Defender를 구성하는 보안 정책은 14가지이며, 각 계정이 보안 정책을 잘 지키는지 정책 항목별로 모니터링할 수 있습니다.
    제공되는 보안 정책 항목은 다음과 같습니다.

    보안 정책상세 설명
    1. 멤버 계정 중 Log와 Audit 역할을 분리해서 운영합니다.Log 역할과 Audit 역할을 담당할 계정을 각각 구분해야 함
    2. Control Panel의 통보 대상 알림 담당자 변경을 감지합니다.도킹 존에서 보안 관련 이벤트 발생 시 알림을 받을 대상자가 관리되어야 함
    3. Sub Account에 2차 인증 옵션을 '필수'로 설정합니다.생성된 모든 서브 계정에 2차 인증옵션이 설정되어야 함(금융 클라우드 이용 시 2차인증옵션 설정이 필수)
    4. Sub Account에 SSL VPN 설정을 확인합니다.생성된 모든 서브 계정에 SSL VPN이 설정되어있어야 함(금융 클라우드 이용 시 SSL VPN 접속 필수)
    5. Sub Account의 비밀번호는 90일 미만 주기로 변경 필요합니다.생성된 모든 서브 계정의 비밀번호가 주기적으로 변경되도록 권장
    6. Sub Account에 Master에 준하는 권한이 설정되지 않도록 확인합니다.생성된 모든 서브 계정에 Administrator, Manager 권한과 같이 메인 계정에 준하는 권한이 부여되지 않도록 권장
    7. Cloud Activity Tracer를 활성화하고 기록을 Object Storage에 보존합니다.도킹 존 내 모든 서비스계정의 로그가 Audit, Log 계정의 Object Storage 버킷에 저장되어야 함
    8. 서버로의 네트워크 접근을 관리합니다.소속된 계정이 생성한 서버가 허용된 네트워크 대역대에서만 접근하도록 Network ACL과 ACG 규칙 설정 권장
    9. 서버의 성능 지표 모니터링을 위한 Event Rule을 설정합니다.도킹 존 내 서버의 성능 지표를 관리할 수 있도록 Cloud Insight 서비스에서 Event Rule 설정 권장
    10. 인프라 확장 시 내 서버 이미지 생성 기능을 활용하여 타 계정으로 빠르게 공유할 수 있도록 합니다.빠른 인프라 확장을 위해 서버 이미지를 생성해 두도록 권장
    11. 고객의 중요 정보 암호화에 사용된 키를 고객이 설정한 보안 정책에 따라 엄격히 관리하고 안전하게 보호합니다.고객의 중요 정보를 암호화 키를 KMS 서비스를 통해 보안 관리하도록 권장
    12. 서브 계정에 Key Management Service의 Manager 권한이 설정되지 않도록 관리합니다.생성된 모든 서브계정에 Key Management Service의 모든 권한이 부여되지 않도록 권장
    13. SSL 인증서를 등록하고 관리합니다.SSL 인증서를 등록하여 효율적인 관리가 가능하도록 권장
    14. 멤버 Log 계정의 Object Storage의 삭제를 감지합니다.Log 계정의 Object Storage 버킷을 생성 후 유지하여 모든 멤버 계정의 로그를 저장하도록 권장
    참고

    각 보안 정책의 위반 여부가 실시간으로 감지되어 콘솔에 표시되며 알림이 발송됩니다. 위반 내역이 발생하면 대응되는 적절한 조치를 이행해야 합니다. 정책별 위반 조건 및 조치 방법은 Cloud Defender 항목 위반 시 조치에서 확인할 수 있습니다.

    리소스

    Master 계정을 통해 등록된 모든 계정들은 네이버 클라우드 플랫폼의 서비스를 이용 한도 내에서 자유롭게 사용할 수 있습니다.
    도킹 존에서 제공하는 주요 리소스는 다음과 같습니다.

    분류서비스
    계정 관리
    • Organization
    • Sub Account
    모니터링 및 관리
    • Resource Manager
    • Cloud Insight
    • Cloud Log Analytics
    보안
    • Certification Manager
    • Key Management Service
    인스턴스
    • Server
    • Server Image
    스토리지
    • Object Storage

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.