본문 바로가기

AWS 클라우드

AWS Control Tower 기반 Landing Zone 구축 사례

기업에서 퍼블릭 클라우드를 도입하기 위해서는 거버넌스의 역할이 매우 중요합니다. 이를 위해 AWS 뿐만 아니라, 다수 Azure, Google Cloud, 알리바바 등 글로벌 클라우드 서비스 제공업체(CSP)들도 제공하는 것이 Outer Architecture 중심으로 Landing Zone 이라 일컽어 말하기도 합니다. 흔히 많은 분들과 대화하다보면 랜딩존은 네이티브 기술이나 특정 영역에 국한된 업무 로직으로 인식하는 경우가 많고 이를 구현한 이후에는 자신들의 이점이 무엇이고 어떠한 것들을 얻을 수 있는지 해답을 물어보는 경우가 다수 있습니다.

 

아래 글은 비교적 최근에 제가 근무하고 있는 회사에서 수행했었던 AWS Control Tower 랜딩존 구축 프로젝트 사례를 기반으로  작성된 내용과 함께 이해를 돕기 위한 공통 아키텍처 등 내용을 담았습니다.

 

먼저 Control Tower는 AWS의 멀티계정 환경 표준화·자동화 구축 서비스이고, Landing Zone은 이를 기반으로 보안·거버넌스가 내장된 계정 구조를 말합니다.

Landing Zone클라우드 환경, 특히 AWS에서 보안·거버넌스·운영 표준이 사전에 정의된 멀티계정 기반의 기초 환경을 말합니다.

즉, 조직이 AWS를 안전하고 확장 가능하게 운영하기 위해 처음 착륙하는 표준 플랫폼이라고 생각하면 됩니다.

 

AWS Control Tower Landing Zone은 둘 다 멀티계정 AWS 환경을 안전하고 표준화된 방식으로 구성하기 위한 솔루션이지만, 제공 방식·구성 요소·운영 편의성에서 차이가 있고 아래 간략하게 표현해볼 수 있겠습니다.

  • Control Tower = AWS가 제공하는 GUI 기반 완전관리형 Landing Zone 서비스
  • Landing Zone(기존) = 코드 기반 커스터마이징 중심의 DIY 솔루션

 

1. 개요

AWS Control Tower 기반 Landing Zone은,

  • 멀티계정 아키텍처를 빠르고 안전하게 시작하기 위한 AWS 관리형 서비스 구성을 말합니다.
  • AWS가 제안하는 AWS Well-Architected Framework AWS Organizations 표준을 기반으로 설계됩니다.
  • Control Tower는 Landing Zone 구축을 자동화해, 신규 계정 생성부터 정책 적용, 네트워크·보안 환경 설정까지 일괄 제공함으로써 기업 표준에 맞는 클라우드 환경을 빠르게 준비할 수 있습니다.

구성 요소 예시를 잠깐 나열해보면,

  • AWS Organizations – 계정 구조와 OU(Organizational Units) 관리
  • Service Control Policies (SCP) – 계정 수준 권한 제어
  • Guardrails – 보안·규정 준수 제약 조건 (필수 / 권장)
  • Account Factory – 계정 자동 생성 템플릿
  • AWS SSO / IAM Identity Center – 중앙화된 인증·권한 관리
  • Audit & Logging 계정 – 로그 아카이빙, 보안 감사
  • Shared Services 계정 – 네트워크·보안 공통 자원 운영

 

2. 그럼 Landing Zone은 왜 필요한가?

• 보안과 거버넌스를 표준화하지 않은 채 AWS 계정을 무분별하게 생성하면, 권한·네트워크·로깅 정책이 불일치해 보안 위험과 관리 복잡도가 커집니다.
• Control Tower 기반 Landing Zone은 기업 표준을 코드화(Policy as Code) 하여, 모든 계정에 일관되게 적용함으로써 클라우드 거버넌스를 빠르게 정착시킵니다.

 

간단하게 아래 표로 구축 시 이점과 미 적용 시 발생할 수 있는 여러가지 관점에서 정리해보았습니다.

구분 AWS Landing Zone 도입 이점
도입 이점 미 적용 시
거버넌스
높은 수준의 자동화 기반의 일괄적인 정책 적용으로 적은 인원으로 효율적이고 거버넌스 정책 적용과 동시에 개발팀에게는 고유 비즈니스 기능 구현에 집중할 수 있는 민첩성 제공
향후 Inner영역 단위서비스 자동으로 일괄적인 정책 적용으로 구축 시간 감소
수작업 개별적용으로 인한 운영 효율성 저하 및 정책 누락으로 인한 운영 및 보안 리스크 증가
향후 거버넌스 정책에 맞추기 위한 영향도 분석과 조치에시간 발생
계정
회사 정책에 맞는 표준화 된 단위서비스별 계정의 자동 발급 체계 구성개발팀으로 제공되기 위한 Lead time의 감소
단위 서비스별 계정을 별도로 발급하고수작업으로 거버넌스 정책 적용을 위한 개별 세팅작업으로 Lead time 증가
로깅
신규 단위서비스(계정자동화된 중앙 로깅 및 탐지정책 적용 가능 (인프라 로그 및 어플리케이션 로그)
전체 서비스 계정에서 발생하는 로그 분석 위한 시각화 기반 마련
분산된 로그로 인한 일관된 탐지 및 분석의 어려움에 따라 향후 신속한 보안 사고대응의 어려움
보안
 Landing Zone  포함된 모든 계정들에 대한 일관된 보안 탐지 및 차단 정책 적용
공용 Security 구성을 통해 기존 On-premise 보안 수준의 3rd Party WAF/방화벽의 적용하며향후 단위서비스 추가 시에도 유연한 확장이 가능
개별 보안 적용으로 인한 비용 증가 및 3rd Party 보안제품의 효율적인 구성 어려움
모니터링
여러 계정/서브스크립션에서 운영되는 서비스에 대한 중앙집중식 모니터링 구현 및 On-premise 의 이벤트 연계 가능
각 계정에서 단위 서비스별 개별 모니터링을 수행해야 함에 따라각종 이벤트에 대한 효율적인 모니터링 및 대응 어려움
접근통제
통합 로그인 시 개인/그룹별 권한 세분화 및 중앙 집중형 관리
Console  접근통제 정책의 일괄 적용 가능
계정(단위서비스)별 개별 통제에 따른 정책 일원화가 어렵고 이에 따른 접근통제 취약성 발생 가능
망 분리 요건에 부합한 접근통제 구현의 어려움

AWS Landing Zone은 아래 일반적인 측면과 기능적인 측면을 크게 나눠 살펴볼수 있습니다.

 

  • Control Tower 기반 AWS Landing Zone 특장점
구분 AWS Landing Zone 특장점
일반적인 측면 정의
Multi Account 의 확장 가능하고 안전한 환경을 제공하는 AWS 솔루션
거버넌스
거버넌스를 위해 AWS 컨트롤 타워를 사용하여 잘 설계된 다중 계정 환경을 제공
아키텍처
확장성과 다중 계정 관리를 위한 설계 중점
Landing Zone 측면 특징
AWS의 확장성, 보안 및 광범위한 서비스 덕분에 AWS는 복잡하거나 고유한 요구 사항을 가진 조직에서 널리 선택
규정준수
프레임워크
AWS Organizations, AWS Identity and Access Management(IAM), AWS Config와 같은 서비스를 통해 유사한 기능을 제공하므로 조직이 보안 및 규정 준수 표준 시행
계정 구조
연결 계정 구조를 사용하므로 조직은 중앙 집중식 청구 및 거버넌스 구조를 유지하면서 여러 부서 또는 프로젝트에 대해 별도의 계정을 허용
보안
AWS Control Tower 및 기타 통합 서비스를 사용하여 안전한 환경을 제공
비용 관리
AWS Control Tower Landing Zone 설정으로 자동화하여 비용 관리
구현 방식
서비스형 랜딩 존 역할을 하는 Control Tower 서비스를 제공

 

이해를 돕기 위해 AWS와 타 글로벌 CSP 간 주요 컴포넌트를 비교를 한번 해보도록 합니다.

주요 요소 AWS Azure Google Cloud Oracle Cloud
거버넌스 AWS Organization,
Control Tower,
 Config Rules, CloudTrail
Azure AD, 
Azure Policy
Cloud IAM, 
Resource Manager
IAM,
Oracle Identity Cloud Service(IDCS)
접근 관리
(계정)
AWS IAM, 
AWS SSO
Azure Policy,
Azure Blueprints
Cloud Deployment Manager,
Cloud Foundation Toolkit
Oracle Cloud Infrastructure Policy, Oracle Resource Manager
로깅 AWS CloudTrail Azure Log Analytics Cloud Logging Oracle Cloud InfrastructureLogging
보안 AWS Security Hub,
AWS GuardDuty,
AWS WAF,
AWS Direct Connect
Azure Security Center,
Azure Sentinel,
Azure Key Vault
Security Command Center,
Cloud Armor,
Cloud DLP,
Cloud KMS
Oracle Cloud Guard, Oracle Security Monitoring and Analytics,
Oracle Vault
모니터링 Amazon CloudWatch,
AWS Config
Azure Monitor, 
Azure Application Insights 
Cloud Monitoring,
Cloud Trace
Oracle Cloud Infrastructure  Monitoring
네트워킹 Amazon VPC, AWS Transit Gateway, AWS Accounts Azure Virtual Network,
Azure Firewall,
ExpressRoute, VPN Gateway
Virtual Private Cloud, Cloud Interconnect, Cloud VPN, Cloud Load Balancing Virtual Cloud Networks, Fast Connect, VPN Connect, Load Balancing
자원 계층 구조 AWS Organization, AWS OUs, AWS Accounts Azure Management Groups, Azure Subscription, Azure Resource Groups Resource Manager
(Organization, Folders, Projects)
Tenancy,
Compartments

위 주요 컴포넌트를 이해하였다면 각 계층 구조를 통해 논리적으로 표현해볼 수 있습니다.

위 그림 예시를 각 계층의 레벨별로 OU, Account, Resource Group 등에 대해 내용을 참고해볼 수 있습니다.

Levels 내용
Organization
AWS의 경우 계층 구조는 거의 조직 수준에서 끝나므로 여러 조직을 논리적으로 그룹화하는 수준이 낮음
Organizational Unit (OU)
(다중계정)
대상 AWS OU(Organization Unit)
Nested Structure
5단계 구조
Compliance Policy
서비스 제어 정책(SCP, Service Control Policy) 지원
Access Control
사용자 액세스 및 역할은 OU 수준에서 부여할 수 없지만 SCP를 사용하여 가능
Navigation
Master계정 조직 페이지에서 접근 가능
Account
(계정)
AWS 계정 소유자는 계정에 대한 청구서를 지불 가능
서비스 관리 범위보다는 청구 관리 범위 관리 중점
Resource Group
(리소스 그룹화)
AWS 리소스는 여러 리소스 그룹에 매핑 가능
AWS 리소스는 태그를 통해 리소스 그룹으로 그룹화
AWS 리소스 그룹을 삭제하면 리소스에 영향 없음

 

AWS Control Tower 퍼블릭 클라우드 랜딩존 구성

1. 네트워크 구성 최적화

먼저 준비해야 할 것들중에 기존 IDC와 연동하여 Hybrid 형태의 네트워크 구성과 준비가 필요합니다.

 

2. 거버넌스 체계 검토

이후 계정 및 사용자별 권한 분리 및 기본 탐지 및 예방 정책 적용을 위한 거버넌스 체계를 구축하도록 합니다.

계정 별 최소 권한 원칙 적용 및 체계 구축
Control Tower 기본 탐지/예방 정책 적용

 

3. DevSecOps 기반 환경 고려

기존 사용하던 개발자 환경을 AWS 확장 및 CMP통한 인프라 프로비저닝 도입을 위해 보안이 강화된 DevSecOps 기반 구축을 고려해야 합니다.

 

4. 운영 관리 자동화 구축

운영 관리 기반 구축을 하기 위해서는 기존 기업에서 운영하던 거버넌스를 기반으로 점차 퍼블릭 클라우드 환경에게 맞게 프로세스를 보완하고 최적화하는 것이 중요합니다. 이에 골든 이미지 상세 설정, 백업 정책 적용 및 로깅 집중화 그리고 암호화 적용을 통해 보안에 틈이 발생하지 않도록 관리하는 것이 매우 중요합니다.

 

5. 로그 가시성 확보

AWS Native서비스로그들의 대한 통합 뷰OpenSearch를 통한 AWS Native 서비스 로그의 가시성 확보할 수 있습니다.

 

CfCT (Customization for Control Tower)  공통 리소스 (Baseline)  배포 자동화

 

백업 정책 관리 중앙화를 위해 SharedService 계정에서 각 계정으로 정책 배포 단위서비스별 저장소에 백업 수행하도록 적용하도록 합니다. 이때 가장 중요한 것은 서비스 등급에 따른 백업 주기 및 정책을 아키텍처에 준용하여 SLA 문제가 없도록 해야 합니다.

 

CloudWatch log/metric 기반 Alarm 발생 알람에 대해 관리자 통보 채널 구성하여 장애 통보 체계 구축하도록 구현합니다.

 

마지막으로 지속적인 다중 계정 취약점 진단 체계 구성을 위해 다양한 오픈 소스를 검토할 수 있고 그중 AWS에서도 지원하는 Prowler 기반 솔루션을 통한 점검 및 리포팅을 실시간을 확인할 수 있도록 고려하였습니다.

 

이상, 최근 기업에서 Landing Zone 에 대한 필요성이 지속적으로 대두되고 있어 무엇부터 고민해야 하고 어떠한 것을 준비해야 하는지를 그림과 표로 설명해보았는데요. 조금이나마 이해하는데에 있어 도움이 되길 바랍니다.

 

이를 통해 일관된 클라우드 거버넌스와 비즈니스 민첩성을 동시에 달성할 수 있도록 안전하고 확장 가능한 퍼블릭 클라우드 기반을 만들어 갈 수 있습니다.

 

정리해보자면,

3. AWS Contorl Tower 기반 랜딩존 구축 이점

3-1. 클라우드 비용

  • 서비스별 비용분리
  • 비용 모니터링 및 시각화
  • 과다비용 통제 및 비용 최적화

3-2. 클라우드 보안

  • 3rd Party 보안 솔루션
  • 망 분리 요건
  • 보안이벤트 통합

3-3. 클라우드 자동화

  • 보안SW 설치 자동화
  • 셀프 프로비저닝(Self Provisioning)
  • 빠른 개발환경 구성

3-4. 클라우드 모니터링/로깅

  • 클라우드 모니터링
  • 관제 연동
  • 로깅 집중화

기존 수많은 단위서비스를 AWS 클라우드 환경에 안전하게 연착륙(흔히, 온보딩)할 수 있도록 환경을 만들어 준다고 이야기해볼 수 있겠네요. 다음에는 랜딩존에 대한 근원부터 실무 환경에서 사용되고 있는 사용법에 대해 알아가는 심화과정에서 좀더 살펴보도록 하겠습니다.