운영 및 보안 - AWS 권장 가이드
런북 및 새 프로세스지원 및 티켓팅 시스템보안

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

운영 및 보안

Amazon OpenSearch Service로 마이그레이션하면 운영 활동이 변경됩니다. 더 이상 노드 프로비저닝, 스토리지 추가, 운영 체제 설치 및 패치 적용, 고가용성 구성 및 유지, 규모 조정 및 기타 하위 수준 활동에 대한 책임이 없습니다. 대신 사용 사례와 새로운 사용자 경험을 구축하는 데 집중할 수 있습니다.

Amazon OpenSearch Service는 운영 프로세스를 최적화하기 위해 숙지해야 하는 로깅, 모니터링 및 문제 해결 기능을 제공합니다.

런북 및 새 프로세스

계획 단계에서 수정하거나 제거해야 하는 기존 프로세스를 식별합니다. 그런 다음 과거에 대역폭이 없었을 수 있는 새 운영 프로세스를 추가할 수 있습니다.

Amazon OpenSearch Service는 차별화되지 않은 과중한 작업을 제거하지만 최상의 성능을 제공하도록 애플리케이션을 설계하고 모니터링해야 합니다. 내부 또는 외부 요인으로 인한 상태 문제를 완전히 인식하려면 도메인에 대한 모니터링 및 알림을 구성해야 합니다. 최신 버전으로 업그레이드를 예약하고 시작해야 합니다.

이러한 모든 운영 활동에는 런북을 생성하고 기존 런북을 수정해야 합니다. 인프라를 모니터링하고 Amazon OpenSearch Service의 운영 지표를 분석하려면 런북을 유지하는 것이 중요합니다. 런북은 규정 준수 및 규제 요구 사항에 따라 일관되게 운영되도록 보장합니다. 런북을 사용하지 않았다면 런북 사용을 고려해 보는 것이 좋습니다. 사전 계획된 단계를 주기적으로 실행하는 프로세스를 생성하여 애플리케이션 충돌 및 예상치 못한 장애 복구와 같은 문제 해결 프로세스가 완전히 자동화되도록 합니다.

지원 및 티켓팅 시스템

배포와 관련된 인시던트를 캡처하려면 티켓팅 시스템을 계획하고 운영하는 것이 좋습니다(이미 그렇게 하고 있을 수 있음). AWS Support에서 지원 티켓을 생성하는 방법에 대해 지원 직원을 교육해야 할 수 있습니다. 티켓 분류 중에 에스컬레이션 프로세스를 간소화하는 것이 좋습니다.

이 가이드의 뒷부분에 있는 운영 우수성 섹션에서는 실행서 및 빌드 프로세스에서 고려해야 할 수 있는 여러 모범 사례 및 영역에 대한 링크를 제공합니다.

보안

AWS에서는 보안이 최우선 순위입니다. Amazon OpenSearch Service는 다중 계층 보안을 제공합니다. 이 서비스는 모든 보안 패치를 처리하고 VPC, 세분화된 액세스 제어 및 다중 테넌트 지원을 통해 네트워크 격리를 제공합니다. AWS Key Management Service(AWS KMS)를 통해 생성하고 제어하는 키를 사용하여 저장 데이터를 암호화합니다. node-to-node 암호화 기능은 도메인의 인스턴스 간 모든 통신에 TLS(전송 계층 보안)를 제공합니다. Amazon OpenSearch Service는 또한 HIPAA 자격이 있으며 PCI DSS, SOC, ISO 및 FedRAMP 표준을 준수하므로 산업별 또는 규제 요구 사항을 충족하는 데 도움이 됩니다.

계획 단계에서 도메인과 상호 작용하는 사람과 프로세스를 식별하고, 네트워크 토폴로지를 선택하고, 각 보안 주체에 대한 인증 및 권한 부여를 계획합니다. 조직 보안 및 규정 준수 요구 사항에 따라 여러 보안 기능을 사용하여 비즈니스 요구 사항을 충족하는 환경을 만들 수 있습니다. 또한 다음 요소를 고려하세요.

  • VPC - AWS의 Virtual Private Cloud(VPC) 내에서 Amazon OpenSearch Service를 구성할 수 있습니다. 권장 구성입니다. 퍼블릭 엔드포인트가 있는 도메인은 생성하지 않는 것이 좋습니다. 클라이언트 애플리케이션과 사용자가 대상 환경에 액세스할 수 있도록 하는 데 필요한 네트워크 아키텍처를 만들 계획입니다.

  • 인증 - Amazon OpenSearch Service는 사용자 또는 소프트웨어 클라이언트를 인증하는 여러 방법을 지원합니다. OpenSearch Dashboards에 액세스하기 위해 기존 자격 증명 공급자와의 Amazon Cognito 또는 SAML 인증을 지원합니다. 또한 IAM 자격 증명과의 통합과 내부 사용자 데이터베이스를 사용한 기본 HTTP 인증을 제공합니다. 적절한 인증 옵션을 구성하고 테스트할 계획이어야 합니다. 자세한 내용은 OpenSearch Service 보안 설명서를 참조하세요.

  • 권한 부여 - 서비스에 대한 액세스를 구성할 때 최소 권한 원칙을 따르는 것이 좋습니다. Amazon OpenSearch Service는 문서, 행 및 열 수준에서 액세스를 구성하는 데 도움이 되는 세분화된 액세스 제어를 제공합니다.

보안 기능을 숙지하고 PoC 단계에서 테스트합니다.