최신 리포트 다운로드 지금 바로 문의하기
최신 리포트 다운로드 지금 바로 문의하기
Author

Miyeon. Jo

러쉬코리아

by Miyeon. Jo

러쉬코리아

산업 분야화장품

 

국가대한민국

상품 및 서비스

Company Overview

프레쉬 핸드메이드 코스메틱 브랜드 러쉬(Lush)는 영국에 본사를 두고 있으며 한국을 비롯한 51개 국가에 930여 개 매장을 운영 중인 세계적인 화장품 기업입니다. 자연으로부터 얻은 신선한 재료와 동물 실험을 하지 않은 정직한 재료를 사용해 모든 제품을 손으로 만드는 것이 특징입니다. 더불어 공정 거래, 인권 보호, 포장 최소화 등 다양한 캠페인 활동을 통해 기업 윤리와 신념을 알리고 있습니다. 러쉬코리아(Lush Korea)는 러쉬의 한국 파트너 기업으로 2002년 설립되었습니다. 현재 전국 약 70개 직영 매장과 온라인 스토어를 운영하고 있으며 2022년 기준 매출액 1,200억 원을 달성하는 등 지속적인 성장을 이어가고 있습니다

Challenge

러쉬코리아는 오프라인 매장에서의 고객 경험에 강점을 지닌 기업입니다. 그러나 비즈니스가 성장하고 러쉬 제품에 대한 수요가 증가하면서 오프라인 매장뿐 아니라 온라인 스토어에서의 경험에도 함께 중점을 두게 되었습니다. 이에 따라 고객 편의성을 높이고 데이터 처리 및 분석 과정을 효율화하기 위해 본격적인 디지털 리뉴얼 프로젝트를 시작하였고, 클라우드 도입을 고려하게 되었습니다.

 

러쉬의 영국 본사에서 먼저 Google Cloud를 도입해 사용하고 있었습니다. 러쉬코리아는 본사와의 원활한 협업을 위해 자연스럽게 Google Cloud를 사용해 볼 기회가 있었습니다. 직접 사용하면서 인프라 관리 및 서비스의 안정성을 경험해 보니 Google Cloud를 도입하지 않을 이유가 없었습니다. 대규모 트래픽에 실시간으로 대응할 수 있고, 서비스 구성이나 제거를 쉽고 빠르게 진행할 수 있다는 점이 가장 편리했습니다. 이에 러쉬코리아는 기존의 온프레미스 서버에서 Google Cloud로의 전환을 결정했습니다. 디지털 리뉴얼 프로젝트의 주요 목표 중 하나인 데이터 처리에 강점이 있다는 것도 Google Cloud를 선택한 이유 중 하나입니다.

Solution

“인프라 엔지니어라면 갑작스러운 장애로 인해 새벽에 IDC로 뛰어간 경험이 한 번씩은 있으실 겁니다. 클라우드의 장점은 장애가 발생하더라도 빠르게 인지하고 대응할 수 있다는 것입니다. 장비가 노후화되는 것을 신경 쓸 필요도 없습니다. 또한 사용과 관리도 매우 편리합니다. 특히 Google Cloud는 어려운 기술도 쉽게 사용할 수 있는 매니지드 서비스들이 잘 되어있어 있어 유용하게 활용하고 있습니다.”

– 러쉬코리아 하이테크 개발 본부 차장 Berry 님

현재 러쉬코리아의 많은 인프라 시스템을 Google Cloud로 마이그레이션하고 있습니다. Google Cloud 특유의 확장성과 편리한 연동 기능, 합리적인 가격 덕분에 인프라 환경을 더 효율적으로 구성하고 운영하고 있습니다. 러쉬코리아는 빠른 테스트와 배포를 위해 대부분의 시스템을 컨테이너 기반으로 구성하고 있는데, 이 과정에서 GKE(Google Kubernetes Engine)를 사용하고 있습니다. 이 외에도 가상 머신 생성 및 실행에는 GCE(Google Compute Engine)를, 데이터베이스 관리에는 Cloud SQL을 활용하고 있습니다. 또한 사내 커뮤니케이션과 협업을 위해서는 Google Workspace를 함께 사용 중입니다.

 

Google Cloud를 도입하면서 클라우드의 장점을 몸소 경험하고 있습니다. 관리의 안정성, 투입 리소스 등의 측면에서 기존의 온프레미스 환경과 비교해 본다면 클라우드로 넘어가는 것은 당연하다고 생각합니다. 따라서 앞으로 러쉬코리아 비즈니스에 다양한 Google Cloud 서비스 도입을 시도할 예정입니다. 그 일환으로 BigQuery를 통한 데이터 기반의 인사이트 도출 및 리포트 자동화 프로세스를 만드는 것을 고려 중입니다.

Benefit

“대세는 클라우드입니다. 편의성과 안정성 면에서 클라우드를 쓰지 않을 이유가 전혀 없습니다. 전문 엔지니어를 배치하기 어려운 기업이나 클라우드에 대한 경험이 없어 파트너가 필요한 기업, 클라우드에 대한 든든한 지원자가 필요한 기업이라면 베스핀글로벌을 추천합니다.”

– 러쉬코리아 하이테크 개발 본부 차장 Berry 님

1) Google Cloud 파트너 베스핀글로벌

러쉬코리아는 처음 Google Cloud를 도입할 때부터 클라우드 파트너 베스핀글로벌과 함께해 왔습니다. 베스핀글로벌은 Google Cloud의 프리미어 파트너이자 국내 최초 MSP 파트너라는 점에서 믿고 선택했습니다. Google Cloud 도입 초기에는 클라우드 경험이 없어 베스핀글로벌로부터 많은 도움을 받았습니다. 전문 엔지니어의 기술 지원이 필요하거나 놓치고 있던 부분들에 대한 가이드가 필요할 때마다 베스핀글로벌의 지원을 통해 신속하게 대응할 수 있었습니다.

 

베스핀글로벌은 디지털 리뉴얼 프로젝트를 진행하는 과정에서도 아키텍처 설계, 트러블 슈팅 등을 적극 지원해 주었습니다. 특히 대규모 마케팅 프로모션 기간에 고객 유입 및 트래픽 급증에 대비하는 것이 필요했는데, 베스핀글로벌을 통해 부하 테스트를 진행하고 적절한 수준의 아키텍처를 구현할 수 있었습니다. 더불어 보안에 대한 고려도 필수적이었는데, 베스핀글로벌을 통해 IPS와 WAF를 비롯한 여러 가지 보안 솔루션들을 도입함으로써 안전한 보안 환경을 구성할 수 있었습니다.

2) 안정적인 Google Cloud 운영 및 관리

이 과정에서 인시던트 관리 솔루션 얼럿나우(AlertNow)를 통해 24시간 365일 지속적인 모니터링 시스템을 구축했습니다. 이슈가 발생하면 빠르게 인지하고 원인을 파악할 수 있어 더욱 안정적인 서비스 운영이 가능합니다. 더불어 베스핀글로벌의 추천으로 클라우드 비용과 자원을 간편하게 관리할 수 있는 멀티 클라우드 관리 플랫폼 옵스나우360(OpsNow360)을 도입했습니다. 세부적인 비용 내역 확인과 클라우드 자원 최적화 및 통합 관리 등을 손쉽게 진행할 수 있어 만족스럽습니다.

Market Overview

글로벌 뷰티 시장 규모는 2023년 5,700억 달러에 달하며 2027년까지 매년 3.8%씩 성장할 것으로 전망됩니다. 엔데믹 효과로 뷰티 제품에 대한 수요가 증가하면서 오프라인은 물론 온라인 커머스도 수혜를 볼 것이라는 분석입니다. 더불어 D2C(Direct to Consumer) 전략도 뷰티 업계를 비롯한 온라인 이커머스 산업의 메가 트렌드로 떠오르고 있습니다. D2C는 중간 유통 업체를 거치지 않고 자사몰에서 직접 제품을 판매하는 것으로, 2022년 기준 전 세계 소비자의 약 64%는 D2C를 이용해 정기적으로 구매하고 있다고 응답했습니다. 유통 비용을 줄일 뿐 아니라 고객 데이터를 직접 확보해 소비자의 니즈와 트렌드를 반영한 맞춤형 제품과 서비스를 출시하는 것이 가능합니다.

러쉬코리아는 오프라인 매장에서의 특별한 고객 경험을 자사 온라인 스토어에서도 제공하기 디지털 리뉴얼 프로젝트를 시작했습니다. Google Cloud를 기반으로 인프라의 민첩성과 유연성, 확산성을 확보했습니다. 그리고 이 과정에서 베스핀글로벌의 클라우드 운영 관리 서비스를 통해 전담 인력이 없이도 클라우드 환경을 더욱 안정적으로 운영하고 관리하고 있습니다. 러쉬코리아 하이테크 개발 본부 Berry 차장은 “베스핀글로벌의 적극적인 지원으로 Google Cloud 도입은 물론 디지털 리뉴얼 프로젝트에 필요한 아키텍처 설계, 트러블 슈팅, 부하 테스트 등을 원활하게 진행할 수 있었다”고 말합니다. 앞으로도 클라우드를 기반으로 고객들에게 러쉬만의 철학이 담긴 멋진 경험을 선사해 나갈 러쉬코리아의 모습을 기대합니다.

구글 클라우드 문의하기

BigQuery Dynamic Data Masking

구글 인사이트
by Miyeon. Jo

구글 PS1팀 오현섭

목차
  1. 개요
  2. Data Masking 장점
  3. Data Masking 설정
  4. Fine-Grained Reader 권한 설정
  5. Table Column Schema와 Policy Tag 맵핑
  6. 데이터 조회 결과
1. 개요

Column에 대한 접근을 허용하면서 그 안의 데이터를 노출시키면 안되는 경우 Data Masking 기능을 사용하면 유용합니다. Data Masking을 사용하면 Column 데이터를 실제값(평문) 대신 null, default 또는 hashed content 등과 같은 마스킹된 데이터로 대체하여 민감 데이터를 보호할 수 있습니다. Data Masking은 Policy Tag와 같은 Column-Level Access Control 위에서 구현가능하기에 해당 기능에 대해서도 숙지해야 합니다.
본 글에서는 Data Masking 설정부터 데이터 조회 결과 확인까지의 과정을 설명드리겠습니다.

[그림 1]

2. Data Masking 장점
  1. 더 쉽게 데이터를 공유할 수 있습니다. 민감한 열을 마스킹하여 대규모 그룹과 테이블을 공유할 수 있습니다.
  2. Policy Tag와 같은 Column-Level Access Control의 경우 사용자가 액세스할 수 없는 열은 제외하고 쿼리해야하지만, Data Masking의 경우 마스킹이 적용된 열을 제외할 필요가 없습니다. 데이터 마스킹이 구성될 때 사용자에게 부여된 역할에 따라 열 데이터를 자동으로 마스킹합니다.
  3. 데이터 액세스 정책을 대규모로 쉽게 적용할 수 있습니다. 데이터 정책을 한 번만 작성하여 정책 태그와 연결하고 정책 태그를 원하는 수의 열에 적용할 수 있습니다.
  4. 속성 기반 액세스 제어를 사용 설정합니다. 열에 연결된 정책 태그는 데이터 정책 및 해당 정책 태그와 연결된 주 구성원에 의해 결정되는 컨텍스트 데이터 액세스를 제공합니다.
3. Data Masking 설정

Data Masking은 Policy Tag같은 Column-Level Access Control 위에서 구현 가능하기에 먼저 Policy Tag를 생성해주고 그 위에 Data Masking을 설정해줘야 합니다.

1) Policy tag 생성

“Dataplex > Manage Catalog > Policy tags” 메뉴로 이동합니다.
아래 그림과 같이 taxonomy 생성 후 Policy tag를 hierarchy하게 구성해줍니다.

[그림 2]

2) Masking Rule 설정

Masking 적용할 tag를 선택 후, “MANAGE DATA POLICIES” 버튼을 클릭합니다.

[그림 3]

생성된 팝업에서 Masking Rule을 선택하고, 적용할 User Group을 지정해 줍니다.
※ 아래는 security_pii 그룹에 속한 모든 Member(사용자)는 Postcode Tag가 붙은 칼럼 데이터를 조회시 Hash값으로 보이게하는 설정 예시입니다. (단, 해당 tag에 security_pii 그룹이 Find-Grained Reader 권한을 가지고 있지 않은 경우 限)

[그림 4]

Masking Rule에는 다양한 방식의 마스킹 규칙이 지원됩니다.

(1) Hash (SHA-256)

SHA-256 hash 함수 실행 결과 값을 보여줍니다. 평문은 아니어도 hash된 결과값은 볼 수 있기에 쿼리 JOIN 작업시 해당 Column을 사용할 수 있습니다. 단, Data Type이 STRING 또는 BYTES 인 경우만 사용가능하며, hash된 결과값의 Data Type은 원래 Column의 Data Type과 동일하게 설정됩니다.

(2) Email mask

이메일 주소가 유효한 값이면 사용자 이름을 XXXXX로 바꾼 후 결과값을 반환합니다.
유효한 이메일 주소가 아닌 경우 SHA-256 해시 함수의 실행 결과값이 반환됩니다.
단, Column Data Type이 STRING Type인 경우에만 사용 가능합니다.

[그림 5]

(3) Last four characters

열 값의 마지막 4자를 반환하고 나머지 문자열을 XXXXX로 바꿉니다. 만약, 길이가 4자 이하면 SHA-256 해시 함수 실행 결과값이 반환됩니다. 단, Column Data Type이 TRING Type인 경우에만 사용 가능합니다.

(4) First four characters

열 값의 처음 4자를 반환하고 나머지 문자열을 XXXXX로 바꿉니다. 만약, 길이가 4자 이하면 SHA-256 해시 함수 실행 결과값이 반환됩니다. 단, Column Data Type이 STRING Type인 경우에만 사용 가능합니다.

(5) Date year mask

해당 연도의 시작 날짜를 반환합니다. 단, Column Data Type이 DATE, DATETIME, TIMESTAMP Type인 경우에만 사용 가능합니다.

[그림 6]

(6) Default masking value

열의 데이터 유형에 따라 열의 기본 마스킹 값을 반환합니다. 열의 값을 숨기고 데이터 유형을 표시하려면 이 옵션을 사용합니다.

[그림 7]

(7) Nullify

NULL을 반환합니다. 열의 값과 데이터 유형을 모두 숨기려는 경우에 사용합니다.

3) Data Masking 설정 확인

아래와 같이 설정 여부 확인 가능합니다. 이번 예시에서는 PII tag에 속한 5개의 하위 tag에 대해 모두 Hash(SHA256) Masking Rule을 적용하였습니다.

[그림 8]

4. Fine-Grained Reader 권한 설정

Data Masking 의 장점은 민감 데이터를 사용자 그룹에 따라 접근 못하게도 할 수 있고, 마스킹된 값을 보여줄 수도 있고, 실제값(평문)이 보이게도 할 수 있다는 점 입니다. 앞 단계에서 security_pii 그룹에 대해 마스킹된 Hash 결과값이 보이도록 설정하였으니, 이번에는 security_pii_plain 그룹에 대해 실제값(평문)이 보이도록 설정해보겠습니다.

1) 권한 설정

[그림 9]

2) 결과 확인

※ 본 예시에서는 Data Masking 설정된 PII 하위 5개 tag에 대해 모두 security_pii_plain 그룹에게 Fine-Grained Reader 권한을 부여하였습니다.

[그림 10]

5. Table Column Schema와 Policy Tag 맵핑

Policy Tag와 Data Masking 설정을 완료했으면, 마스킹 설정 적용할 Table Column에 tag를 맵핑해줘야 합니다. 이 단계까지 완료되면 앞서 설명드린대로 사용자 그룹에 따라 Column에 접근 못하게도 할 수 있고, 마스킹 값을 보여줄 수도 있고, 실제값(평문)을 보여줄 수도 있습니다.

1) Policy Tag 맵핑

※ 아래는 “user_name” Column과 “Name” Policy Tag를 맵핑한 예시입니다.

Table SCHEMA 화면 “EDIT SCHEMA”를 통해 Column과 Policy Tag를 맵핑합니다.

[그림 11]

2) 결과 확인

[그림 12]

6. 데이터 조회 결과

1) security_pii 그룹 Member

security_pii 그룹은 Masking Rule이 적용된 5개의 Policy Tag에 대해 Fine-Grained Reader 권한이 없고, Masked Reader 권한만 가지고 있습니다. 따라서 security_pii 그룹의 Member는 아래와 같이 Masking Rule이 적용된 칼럼의 경우 마스킹된 Hash 결과값이 보이게 됩니다.

[그림 13]

2) security_pii_plain 그룹 Member

security_pii_plain 그룹은 Masking Rule이 적용된 5개의 Policy Tag에 대해 Fine-Grained Reader 권한이 있습니다. 이런 경우 Masked Reader 권한 유무에 상관없이 실제값(평문)이 보이게 됩니다. 따라서 security_pii_plain 그룹의 Member는 아래와 같이 Masking Rule이 적용된 칼럼의 데이터도 실제값(평문)이 보이게 됩니다.

[그림 14]

3) security_pii, security_pii_plain 어느 그룹에도 속하지 않은 사용자

Column-Level Access Control에 의해 칼럼 접근시 아래와 같은 에러가 발생됩니다.
아래는 user_name 칼럼에 접근했을 때의 에러 예시입니다.

[그림 15]

4) 기타 Case

  • 동일한 Policy Tag에 Masked Reader와 Fine-Grained Reader 권한 모두 가진 경우 Fine-Grained Reader 권한이 우선되어 실제값(평문)이 보입니다.
  • 상위 Tag에는 Fine-Grained Reader, 하위 Tag에는 Masked Reader 권한 가진 경우 권한 체크시 가장 하위 Tag의 권한을 먼저 체크합니다. 하위 Tag에 Masked Reader 권한을 가지고 있기 때문에, 상위 Tag의 권한 여부에 상관없이 Masked Reader 권한 설정에 따라 마스킹된 데이터가 보여집니다.

출처

Log Analytics를 사용하여 감사 로그에서 보안 인사이트 수집

구글 인사이트
by Miyeon. Jo
목차
  1. 개요
  2. From logs to insights
  3. Community Security Analytics
  4. Detect suspicious activity based on audit logs
  5. Visualize audit logs using Looker Studio
  6. Visualize audit logs using Looker
개요

Cloud 감사 로그는 고객이 규정 준수 및 보안 요구사항을 충족하도록 지원함으로써 Google Cloud에서 중요한 역할을 합니다. Cloud Logging에 최근 추가된 기능인 Log Analytics는 SQL의 힘을 사용하여 쿼리 시간에 로그를 검색, 집계, 변환하는 새로운 기능을 제공합니다. Community Security Analytics 의 사전 정의된 쿼리와 함께 Log Analytics를 사용하면 Cloud 감사 로그에서 실행 가능한 인사이트를 그 어느 때보다 쉽게 ​​얻을 수 있습니다.

From logs to insights

[그림 1]

  1. 로그 수집 사용 설정 : Cloud Logging은 기본적으로 추가 비용 없이 모든 관리자 활동 감사 로그를 수집합니다. 사용자는 요구 사항을 충족하기 위해 특정 서비스에 대한 데이터 액세스 감사 로그를 활성화할 수 있습니다.
  2. 중앙 집중식 로그 저장소로 집계 : 로그 라우터는 규정을 준수하고 안전하며 확장 가능하고 신뢰할 수 있는 로그 수집 및 라우팅 플랫폼을 제공합니다. 전용 로그 버킷에 감사 로그 데이터를 수집하고 중앙 집중식으로 저장함으로써 보안 팀은 여러 프로젝트에서 집계된 감사 로그를 쿼리하여 전체 부서 또는 조직에 필요한 가시성을 확보할 수 있습니다.
  3. 임시 및 집계된 인사이트로 분석 : 전체 텍스트 검색 색인을 사용하여 임시 쿼리 시간 감사 로그 분석을 지원함으로써 보안 팀은 IP 주소 또는 사용자 이름과 같은 특정 액세스 속성에 대한 로그를 신속하게 검색할 수 있습니다. 조사. 시간이 지남에 따라 감사 로그를 집계하고 필터링하면 액세스 패턴 및 이상에 대한 통찰력을 얻을 수 있습니다. 여기에는 관리자 활동, 사용자 데이터 액세스 또는 네트워크 활동이 포함될 수 있습니다.
  4. 로그 및 인사이트 시각화 – 시간 경과에 따른 데이터를 시각화하면 더 쉽게 중요한 추세에 대한 인사이트를 얻고 이상 징후를 감지할 수 있습니다.
Community Security Analytics

Log Analytics는 분석을 위해 로그를 다른 도구로 보낼 때 발생하는 많은 운영 및 인프라 오버헤드를 줄이는 데 도움이 될 수 있습니다. 로그는 ‘인플레이스’에서 분석할 수 있으며 최소 지연 시간으로 쿼리 시간에 변환할 수 있습니다. 그러나 어떤 이벤트를 찾아야 하고 어디서 찾을 수 있는지 아는 것은 여전히 ​​어려울 수 있습니다. 여기서 CSA(Community Security Analytics)가 등장합니다.

CSA는 일반적인 클라우드 기반 위협을 감지하는 데 도움이 되는 셀프 서비스 보안 분석용으로 설계된 오픈 소스 쿼리 및 규칙 세트입니다. 사전 구축된 일련의 쿼리를 제공함으로써 CSA는 다양한 유형의 감사 로그 및 해당 스키마에 대해 깊이 알고 있지 않아도 감사 로그에서 통찰력을 얻을 수 있도록 도와줍니다.

Detect suspicious activity based on audit logs

정책 위반 또는 비정상적인 동작에 대한 감사 로그를 쿼리하여 잠재적인 클라우드 기반 위협 또는 잘못된 보안 구성을 식별할 수 있습니다. 이러한 감사 로그의 예는 다음과 같습니다.

  1. 잠재적으로 도난당한 자격 증명을 나타내는 VPC 서비스 제어 액세스 시도 위반을 보여주는 Policy Denied 감사 로그
  2. IAM(Identity Access Management)을 통한 잠재적 권한 에스컬레이션 또는 로깅 비활성화를 통한 방어 회피를 보여주는 관리자 활동 감사 로그
  3. API 남용 가능성 또는 Google Cloud Storage(GCS) 또는 BigQuery와 같은 서비스에서 호스팅되는 데이터 오용 가능성을 보여주는 데이터 활동 감사 로그
예제 #1: SQL을 사용하여 위협 탐지

[그림 2] Log Analytics에서 SQL을 사용하여 감사 로그를 기반으로 위협 감지

이 쿼리는 서비스 계정을 가장하거나 해당 서비스 계정에 대한 키를 생성할 수 있는 승인되지 않은 ID에 민감한 서비스 계정에 부여된 권한을 검색합니다. 악의적인 사용자나 일반 사용자가 이 작업을 수행했는지 여부에 관계없이 이 잠재적 위협에 플래그를 지정하고 수정해야 합니다.

이 쿼리는 서비스 계정 리소스 수준이나 상위 프로젝트, 폴더 또는 조직 수준에서 직접 추가할 수 있는 IAM 정책 바인딩을 설명합니다. 이 쿼리에는 승인된 ID(또는 피부여자)를 제외할 수 있는 제외도 포함됩니다.

예를 들어 SRE(Site Reliability Engineer)가 중단에서 복구하기 위해 프로덕션 서비스 계정에 대한 임시 액세스 권한을 부여받는다고 가정합니다. 이는 승인된 유리 깨기 절차의 일부이므로 그러한 행동을 위협으로 표시하고 잠재적으로 운영자의 액세스 권한을 취소하여 대응하는 것을 원하지 않을 것입니다. 개발자 프로젝트의 계정과 같이 민감하지 않은 서비스 계정을 필터링하거나 특정 기간(예: 이전 24시간)에 집중하도록 쿼리를 더 세분화할 수 있습니다.

Log Analytics를 사용하면 위협 및 정책 드리프트를 감지하는 중요 규칙을 만드는 강력하고 유연한 방법을 제공합니다.

예 #2: SQL 통계 분석을 사용하여 이상 항목 식별

[그림 3] Log Analytics에서 SQL을 사용하여 감사 로그를 기반으로 이상 항목 찾기

이 쿼리는 지난 주의 특정 날짜에 보안 주체의 비정상적으로 높은 API 사용량을 식별하여 잠재적인 API 남용 또는 스캐닝 및 열거 공격을 나타냅니다. 다시 말하지만, 그러한 잠재적인 위협은 표시되고 해결되어야 합니다.

이 쿼리는 모든 감사 로그를 기반으로 각 보안 주체가 매일 수행하는 API 작업 수를 계산합니다. 집계 함수를 사용하여 주체당 일일 수를 계산할 뿐만 아니라 최대 90일 전환 확인 기간(사용자 구성 가능)까지 이전 일일 수를 다시 살펴봄으로써 이러한 ID당 롤링 일일 평균 수와 표준 편차도 계산합니다. 이 쿼리에는 무해하거나 자세한 API 작업을 무시할 수 있는 제외도 포함됩니다. 기본적으로 이 쿼리 논리는 임의의 보안 주체의 일일 작업 수가 평균(해당 보안 주체에 대한)보다 표준 편차의 두 배 이상 높은 모든 인스턴스를 비정상적인 활동으로 간주합니다.

그림을 보면, 테스트 환경에서 Compute Engine 기본 서비스 계정이 하루(2023년 2월 7일)에 515개의 작업을 실행한 이상 현상을 감지했습니다. 이 인스턴스를 조사하고 실제로 악의적인 활동이 있는지 확인하는 데 도움이 되도록 이 쿼리는 그날 수행된 특정 작업도 보고합니다.

Log Analytics로 검색할 수 있는 다른 많은 보안 위협이 있습니다. 다음은 몇 가지 예입니다.

  • 내 VPC 서비스 제어를 위반하는 액세스 시도가 있습니까? ( CSA 1.10 )
  • 높은 권한을 가진 Google 그룹에 추가된 사용자가 있습니까? ( CSA 2.02 )
  • 민감한 서비스 계정에 부여된 권한이 있습니까? ( CSA 2.20 )
  • 내 로깅 설정이 변경되었습니까? ( CSA 3.01 )
  • 매우 큰 스캔을 수행하는 BigQuery 쿼리가 있습니까? ( CSA 5.07 )
Visualize audit logs using Looker Studio

Looker Studio는 BigQuery에 저장된 데이터에 대한 차트 작성 및 대시보드 기능을 제공하는 도구입니다. 아래의 Data Access Audit Log Trends 대시보드는 IP, 사용자 주체, 방법 및 서비스별 로그 추세에 대한 인사이트를 제공합니다. Looker Studio report gallery에서 Log Analytics에 저장된 데이터 액세스, 관리 작업, 정책 거부 및 시스템 이벤트에 대한 Looker Studio 템플릿을 찾을 수 있습니다.

[그림 4]

Visualize audit logs using Looker

Looker는 데이터 모델링 및 분석 기능을 제공하는 고급 데이터 분석 플랫폼입니다. Looker의 가장 강력한 기능 중 하나는 사전 구축된 데이터 모델을 제공하는 Looker 블록으로 구동되는 데이터 모델링으로, 더 빠르게 시작하고 최적화된 SQL과 내장된 대시보드를 제공합니다. Looker를 사용하는 경우 Log Analytics 블록을 사용하여 감사 로그를 분석할 수 있습니다.

예를 들어 아래의 데이터 액세스 대시보드는 모든 GCP 서비스의 데이터 액세스 감사 로그에 대한 개요를 제공합니다. 서비스 및 사용자별 액세스 분석( CSA 5.* 참조) 외에도 이 대시보드에는 이 데이터 액세스 트래픽의 소스 및 상대적 볼륨을 나타내는 지리적 열 지도가 포함되어 있습니다.

[그림 5] 로그를 기반으로 서비스, 사용자, 원본별 데이터 액세스 트래픽 분석

또 다른 예는 최근 특정 사용자의 비정상적으로 높은 API 사용량을 강조 표시하는 ‘비정상적인 API 사용량’ 대시보드입니다. 이 대시보드를 사용하면 샘플 크기와 같은 이상값에 대한 임계값을 결정하기 위한 표준 편차 수를 노출하여 분석의 민감도를 쉽게 조정할 수 있습니다.

[그림 6] 감사 로그를 기반으로 특정 날짜에 보안 주체의 비정상적인 API 사용을 강조 표시합니다.

출처

팀스파르타

by Miyeon. Jo

팀스파르타

산업 분야교육 및 서비스

 

국가대한민국

상품 및 서비스

Company Overview

팀스파르타는 ‘모두가 큰일 내는 세상을 만드는 것’을 목표로 소프트웨어(SW) 교육을 제공하는 스타트업입니다. 대한민국 코딩 교육 1위 ‘스파르타코딩클럽’, 개발자로 성장하고 싶은 사람들을 위한 온라인 코딩 교육 부트캠프 ‘항해99’, 창업을 해서 스스로의 일을 만들고 싶은 분들을 위한 창업 부트캠프 {창} 등 다양한 교육 서비스를 제공하고 있습니다. 2022년 상반기에는 신규 회원 수가 10만 명을 돌파하며 184% 증가, 매출은 105억 원을 돌파하며 243% 증가하는 등 가파른 성장을 이어가고 있습니다.

 

팀스파르타는 개발 인재 양성부터 채용까지의 전 과정을 지원합니다. 그 일환으로 개발자 채용 전문 플랫폼 ‘인텔리픽’도 운영하고 있습니다. 기업 입장에서는 복잡한 절차 없이 지원자를 간편하게 관리할 수 있으며, 지원자 입장에서는 이력서 피드백, 1:1 모의 기술면접 서비스 등을 제공받을 수 있는 것이 특징입니다. 현재 1,000 개 이상의 기업이 활발하게 이용 중입니다.

Challenge

팀스파르타는 처음부터 AWS를 비롯한 클라우드와 SaaS를 적극적으로 사용해 인프라와 개발 환경을 구성하고 있습니다. 클라우드를 사용하는 가장 큰 이유는 비즈니스 속도입니다. 온프레미스 환경에서는 서비스 기획부터 실제 배포까지 최소 1주일 이상 걸릴 수밖에 없습니다. 하지만 클라우드 환경에서는 개발 속도만 받쳐준다면 기획한 당일에 배포하는 것도 가능합니다. 또한 교육 플랫폼의 특성상 추석, 새해 등 고객이 몰리는 시즌이 있습니다. 적게는 평소의 10배, 많게는 50배 이상 고객이 유입되는 상황에서 온프레미스 환경이라면 빠른 인프라 확장과 대응이 어렵습니다. 클라우드를 사용하기 때문에 그러한 걱정과 우려에서 해방되어 안정적인 서비스를 제공하는 것이 가능합니다. 그래서 지금은 클라우드를 사용하지 않고 일하는 것은 상상도 할 수 없습니다.

 

비즈니스가 커지면서 인프라 측면에서 가장 큰 니즈 중 한 가지는 ‘토론을 할 수 있는 선생님이 옆에 있었으면 좋겠다’였습니다. 빠르게 성장하다 보니 인프라가 점점 복잡해지고 고려해야 할 점이 더 많아졌습니다. 하지만 아무리 자체적으로 확인을 한다고 하더라도 놓치는 부분이 생기기 마련입니다. 따라서 보안을 포함한 클라우드 운영 관리 전반을 누군가 크로스 체크를 해줬으면 하는 필요성을 느끼게 되었고, 함께 고민하고 토론하고 해결해 줄 수 있는 클라우드 파트너를 찾게 되었습니다.

Solution

“회사가 커지면서 인프라가 복잡해지고 고려해야 할 것들도 점점 많아졌습니다. 위험한 점들을 같이 고민하고 토론할 수 있는 클라우드 파트너가 필요했습니다. 다양한 산업 분야에서의 풍부한 경험과 클라우드 운영 관리부터 보안, 비용 절감에 이르기까지 모든 영역에서 조언을 해줄 수 있는 파트너를 찾고자 노력했고 그 결과 베스핀글로벌을 만나게 되었습니다.”

– 팀스파르타 CTO 남병관 님

인프라 규모가 커지고 복잡해질수록 추상화가 많이 진행되기 때문에 인프라에 부정적인 영향을 미치는 사소한 변수들을 모두 알기 어렵습니다. 직접 찾아보더라도 많은 비용과 시간, 인력이 필요합니다. 하지만 팀스파르타는 베스핀글로벌을 통해 AWS를 이용하면서 필요한 기술 지원이나 인프라 설계에 관한 베스트 프랙티스 등 궁금한 사항들을 빠르게 안내받고 있습니다. 베스핀글로벌은 풍부한 경험과 전문성을 바탕으로 클라우드 보안부터 비용 절감까지 클라우드를 운영하고 관리하는 데 필요한 다양한 컨설팅과 서비스를 제공합니다.

클라우드를 이용하다 보면 어떤 자원을 어디에 얼마나 사용하고 있는지 여러 가지 뷰로 보고 싶을 때가 많습니다. 클라우드 자원을 잘 관리하지 않을 경우, 갑자기 비용이 과다 청구되는 등의 이슈가 발생할 수 있기 때문입니다. 팀스파르타는 멀티 클라우드 관리 통합 플랫폼 옵스나우360(OpsNow360)를 도입해 클라우드를 자원과 비용을 안정적으로 관리하고 있습니다.

Benefit

“빠르게 성장하는 스타트업이라면 인프라 측면에서 본격적인 체질 개선이 필요한 시기가 반드시 찾아올 것입니다. 이때 혼자서 진행하기보다는 베스핀글로벌과 같은 전문 클라우드 파트너의 도움을 꼭 받으시기를 추천합니다. 팀스파르타 역시 베스핀글로벌을 통해 클라우드 보안, 비용 관리, 인프라 최적화에 필요한 베스트 프랙티스 등 다양한 부분에서 도움을 받고 있습니다.”

– 팀스파르타 CTO 남병관 님

1) 클라우드 보안 컨설팅

베스핀글로벌이 제공하는 여러 가지 서비스 중에서 클라우드 보안 리포트와 체크리스트가 정말 큰 도움이 되었습니다. 클라우드 보안은 서비스를 운영하는 데 있어 매우 중요하고 기본적인 영역이지만 직접 챙기기란 쉽지 않습니다. 하지만 지금은 베스핀글로벌에서 제공한 클라우드 보안 체크리스트를 참고해 하나씩 반영해 나가고 있습니다. 어느 부분을 보완해야 하는지 다양한 경험을 지닌 파트너사가 일목요연하게 짚어주기 때문에 기민하게 대응할 수 있어 매우 만족스럽습니다.

2) 간편한 클라우드 자원 및 비용 관리

옵스나우360의 ‘클라우드 자원 통합 관리’ 기능을 통해 기간별, 영역별로 클라우드 현황을 모니터링하고 있습니다. 스타트업이라면 비용에 대한 걱정도 빼놓을 수가 없는데 옵스나우360은 클라우드 비용을 절감할 수 있는 방안을 함께 제공하기 때문에 간편한 비용 관리도 가능합니다. 특히 AI를 기반으로 예상 비용을 제공하고, 예측 범위를 벗어날 경우 얼럿(알림)을 주는 ‘AI 기반 이상 비용 탐지’ 기능을 굉장히 유용하게 사용 중입니다.
팀스파르타는 코딩 교육부터 채용 플랫폼까지 서비스 범위를 넓혀가고 있으며 본격적인 글로벌 진출도 계획하고 있습니다. 이 과정에서 CDN, 멀티 리전 등 클라우드의 여러 기능들을 적극적으로 활용하려고 합니다. 또한 인프라가 다변화되면서 멀티 클라우드 환경을 구축하는 것도 고려 중입니다. 앞으로도 다양한 부분에서 베스핀글로벌로부터 많은 도움을 받을 예정입니다.

Market Overview

디지털 전환이 가속화되면서 IT 전문 인력 수요가 빠르게 증가하고 있습니다. 소프트웨어 개발, 클라우드 인프라, 빅데이터, 정보보호 등 수요가 발생하는 분야도 다양합니다. 하지만 급증하는 수요를 공급이 따라가지 못하는 실정입니다. 한 조사에 따르면 향후 5년간 소프트웨어 분야 신규 인력 수요는 35만 3천 명에 달하는 데 반해 실제 공급 인력은 32만 4천 명에 불과합니다. 이러한 가운데 코딩 교육 스타트업들이 주목받고 있습니다. 가장 대표적인 곳이 ‘스파르타코딩클럽’, ‘항해99’ 등을 운영하는 팀스파르타입니다. 비전공자를 위한 입문용 강의를 중심으로 개발 인재 양성을 위한 다양한 교육 서비스를 제공하며, 채용 플랫폼 ‘인텔리픽’을 통해 개발자 채용까지 지원합니다. 팀스파르타는 누적 수강생 54만 명을 기록하며 연간 3천 명 이상의 우수한 개발 인재를 양성하고 있습니다.

팀스파르타의 모든 서비스는 클라우드 상에서 제공되고 있습니다. 하지만 비즈니스가 가파르게 성장하면서 클라우드 인프라가 더욱 복잡해지고, 고려해야 할 점도 점점 많아졌는데요. 더욱 안정적인 클라우드 인프라 관리를 위해 팀스파르타는 클라우드 파트너 베스핀글로벌과 함께 했습니다. 팀스파르타 남병관 CTO는 베스핀글로벌을 ‘함께 토론하고 고민할 수 있는 클라우드 선생님’에 비유합니다. 그동안 쌓아온 다양한 경험과 전문성을 바탕으로 클라우드 보안부터 비용에 이르기까지 클라우드 관리에 필요한 모든 영역에서의 도움을 제공하기 때문입니다. 또한 멀티 클라우드 관리 플랫폼 옵스나우360을 통해 클라우드 자원과 비용을 안정적으로 관리하고 있다고 말합니다. 앞으로도 클라우드 위에서 더욱 빠르게 성장해 나갈 팀스파르타의 모습을 기대합니다.

문의하기

Cloud Build로 자동화된 서버리스 배포 파이프라인 빌드

구글 인사이트
by Miyeon. Jo
목차
  1. 개요
  2. 수동 파이프라인
  3. 빌드 자동화
  4. 배포 자동화
  5. 마무리
1. 개요

클라우드에 배포할 준비가 된 애플리케이션이 있습니다. 옵션을 조사한 후 Cloud Build와 함께 Cloud Run을 사용하여 컨테이너화된 애플리케이션 코드를 빌드하고 Artifact Registry 저장소에 푸시합니다. 세 단계로 Dockerfile 및 Cloud Build 구성을 사용하여 컨테이너를 빌드하고 Artifact Registry에 푸시하고 Cloud Run에 배포합니다.

steps:
# Build the container image
- name: 'gcr.io/cloud-builders/docker'
  args: ['build', '-t', 'us-central1-docker.pkg.dev/my-project/my-app-repo/shiny-new-app', '.']

# Push the container image to Artifact Registry
- name: 'gcr.io/cloud-builders/docker'
  args: ['push', 'us-central1-docker.pkg.dev/my-project/my-app-repo/shiny-new-app']

# Deploy container image to Cloud Run
- name: 'gcr.io/google.com/cloudsdktool/cloud-sdk'
  entrypoint: gcloud
  args: ['run', 'deploy', 'my-serverless-app', '--image', 'us-central1-docker.pkg.dev/my-project/my-app-repo/shiny-new-app', '--region', 'us-central1']

images:
- us-central1-docker.pkg.dev/my-project/my-app-repo/shiny-new-app

위의 예는 빌드, 푸시 및 배포 단계를 하나의 Cloud Build 작업으로 결합합니다. 이 블로그에서는 이것이 일련의 수동 배포 단계로 어떻게 보일 수 있는지, 그리고 이를 보다 복잡한 솔루션의 출발점으로 사용할 수 있는 자동 서버리스 배포 파이프라인으로 개발할 수 있는 방법을 보여줍니다. Cloud Build , Artifact Registry , Pub/Sub 및 Cloud Run 을 사용할 것입니다.

2. 수동 파이프라인

컨테이너화된 애플리케이션을 Cloud Run에 배포하는 수동 단계를 살펴보는 것으로 시작하겠습니다.

  1. 먼저 리포지토리의 기본 브랜치에 대한 애플리케이션 코드를 변경합니다.
  2. 애플리케이션 변경이 병합되면 Cloud Build를 사용하여 새 컨테이너를 빌드합니다.
  3. 성공적인 빌드 후 Cloud Build는 새로 빌드된 컨테이너를 Artifact Registry로 푸시합니다.
  4. 새 빌드를 가리키는 새 구성으로 Cloud Run을 업데이트합니다.
  5. Cloud Run은 서비스의 새 버전을 배포합니다. 이제 코드 변경 사항이 배포되었습니다.

물론 애플리케이션 코드가 변경될 때마다 이러한 단계를 거쳐야 합니다. 이는 실용적이지 않으며 코드를 지속적으로 업데이트하는 팀에게 물류상의 악몽이 될 수 있습니다. 여러 환경에 대한 스테이징 변경 또는 체계적인 테스트 또는 증분 롤아웃 통합의 추가 복잡성은 말할 것도 없습니다. 빌드와 배포의 두 부분으로 살펴봄으로써 멋진 ​​작은 파이프라인을 자동화하는 방법을 살펴보겠습니다.

3. 빌드 자동화

파이프라인의 빌드 단계를 자동화하려면 저장소의 애플리케이션 코드에 변경 사항이 커밋될 때 Cloud Build가 빌드하고 푸시해야 합니다. 이렇게 하려면 다음이 필요합니다.

1. GitHub 리포지토리를 Cloud 프로젝트에 연결

GitHub 저장소를 프로젝트에 연결하면 Cloud Build가 저장소 이벤트를 사용하여 Cloud Build 트리거를 시작할 수 있습니다. 특정 브랜치로 푸시, 새 태그 푸시 및 풀 요청 생성을 포함하여 일반적인 리포지토리 이벤트가 지원됩니다.

2. 리포지토리에 Cloud Build yaml 구성 포함

빌드 구성 파일을 사용하여 Cloud Build 작업을 구성할 수 있습니다. 이 YAML 파일은 Cloud Build에 작업 수준 지침을 제공합니다. 이 파일은 애플리케이션의 Dockerfile과 함께 또는 리포지토리의 별도 디렉터리에 있을 수 있습니다. 자동 빌드의 경우 구성 파일은 컨테이너 이미지를 빌드하고 Artifact Registry에 푸시하도록 Cloud Build에 지시합니다.

3. Cloud Build 트리거 생성

Cloud Build 트리거는 기본 브랜치에 변경사항이 푸시될 때마다 호출될 수 있습니다. 해당 구성에는 GitHub 저장소가 Google Cloud 프로젝트에 연결되어 있어야 하고, 사용하려는 브랜치의 이름과 저장소에 있는 Cloud Build 구성 파일의 경로가 필요합니다. 포함하거나 무시할 파일 및 디렉터리를 지정하여 Cloud Build 트리거의 호출 범위를 더 좁힐 수 있으므로 특정 파일이 변경된 경우에만 새 빌드를 만들 수 있습니다.

steps:
  # Docker Build 
  - name: 'gcr.io/cloud-builders/docker'
    args: 
      - 'build'
      - '-t'
      - '${_REGION}-docker.pkg.dev/${PROJECT_ID}/content-api/content-api:${_IMAGE_TAG}'

# Default to us-central1
substitutions:
  _REGION: us-central1
  _IMAGE_TAG: $SHORT_SHA

# Store in Artifact Registry
images:
  - '${_REGION}-docker.pkg.dev/${PROJECT_ID}/content-api/content-api:${_IMAGE_TAG}'

밑줄(_) 접두사가 있는 변수를 사용하면 Cloud Build 트리거를 구성할 때 대체 항목을 제공할 수 있습니다. 위의 예에서 _REGION을 재정의하여 컨테이너 레지스트리를 새 위치로 이동하더라도 이 구성을 변경하지 않고 사용할 수 있습니다. $PROJECT_ID와 같이 밑줄이 없는 대체 항목은 기본 제공되며 Cloud Build에서 값을 제공합니다. 문서에서 기본 제공 대체 목록을 볼 수 있습니다 . 이것은 유사한 기능을 가진 여러 트리거에 대해 단일 Cloud Build 구성을 사용하는 데 유용합니다.

4. 배포 자동화

수동 파이프라인을 사용하면 새 빌드가 푸시되는 시점을 알 수 있으므로 Cloud Run 서비스를 직접 충실하게 업데이트할 수 있습니다. 이것이 자동으로 작동하려면 새 빌드를 사용할 수 있음을 Cloud Run에 알릴 수 있는 방법이 있어야 합니다. Pub/Sub 및 다른 Cloud Build 트리거의 약간의 도움으로 이 작업을 수행할 수 있습니다. 좀 더 자세히 살펴보겠습니다.

1. “gcr” 게시/구독 주제

Google Cloud 프로젝트에 ‘gcr’이라는 Pub/Sub 주제가 포함된 경우 Artifact Registry는 저장소의 변경사항에 대한 메시지를 게시합니다 . 이미지 빌드가 푸시, 태그 지정 또는 삭제될 때마다 메시지가 게시됩니다. 이러한 메시지는 애플리케이션에 대한 해당 Pub/Sub 구독 또는 우리의 경우 Cloud Build 트리거에 의해 전달됩니다.

2. 다른 Cloud Build 트리거 생성

두 번째 Cloud Build 트리거는 Cloud Run 서비스의 새 버전을 배포하도록 구성됩니다. 저장소 이벤트 외에도 Cloud Build 트리거는 Pub/Sub 이벤트를 지원합니다 . gcr Pub/Sub 주제를 트리거 이벤트로 선택하여 해당 구독을 생성할 수 있습니다. 그러면 Artifact Registry가 Pub/Sub에 메시지를 게시할 때 Cloud Run 서비스가 자동으로 업데이트됩니다.

단일 Cloud Build 트리거 빌드, 푸시 및 애플리케이션 배포가 가능하지만 빌드와 푸시에서 배포를 분리하면 각 단계가 별도의 Cloud Build 작업에서 실행되고 파이프라인의 각 부분을 더 쉽게 개발할 수 있습니다.

steps:
  # Print the full Pub/Sub message for debugging.
  - name: gcr.io/cloud-builders/gcloud
    entrypoint: /bin/bash
    args:
      - '-c'
      - |
        echo ${_BODY}
  # Cloud Run Deploy
  - name: gcr.io/cloud-builders/gcloud
    args:
      - run
      - deploy
      - ${_SERVICE}
      - --image=${_IMAGE_NAME}
      - --region=${_REGION}
      - --revision-suffix=${_REVISION}
      - --project=${_TARGET_PROJECT}
      - --allow-unauthenticated

다시 한 번 구성 파일은 트리거의 대체 변수 설정을 통해 값이 제공되는 변수를 사용합니다. _BODY, _IMAGE_NAME, _REVISION과 같은 특정 변수의 값은 gcr Pub/Sub 주제에서 수신된 메시지를 사용하여 평가되지만 다른 변수는 하드코딩됩니다.

5. 마무리

이 파이프라인의 가치는 단순성에 있는 것이 아니라 별도의 Google Cloud 프로젝트에서 변경사항 준비, 애플리케이션의 각 변경사항에 대한 자동 테스트 통합, Cloud Run 서비스. 이는 추가 Cloud Build 트리거와 Pub/Sub 주제의 조합으로 모두 달성할 수 있습니다. 또는 최근 Cloud Run 지원이 추가되어 Cloud Deploy를 롤백, 승인, 감사 및 전달 측정항목이 포함된 Cloud Run 대상에 배포하는 전달 파이프라인으로 사용할 수 있습니다.

출처

아웃스탠딩

by Miyeon. Jo

아웃스탠딩

산업 분야미디어

 

국가대한민국

상품 및 서비스

  • AWS
  • 클라우드 비용 최적화 컨설팅

Company Overview

‘쉽고 재미있는 IT 뉴스’ 아웃스탠딩은 IT 업계, 스타트업, 조직관리∙운영, 커리어, 마케팅 등 다양한 분야의 트렌드와 지식 콘텐츠를 발행하는 IT 전문 언론사입니다. 기성 매체와 달리 콘텐츠 제작부터 콘텐츠 유통, 비즈니스 모델까지 온라인에 최적화된 서비스를 제공하는 것이 특징입니다. 아웃스탠딩은 독자들이 친근하게 읽을 수 있는 완성도 높은 콘텐츠 제작하기 위해 독자 우선주의, 온라인 콘텐츠, 창작자 존중이라는 3가지 가치를 바탕으로 합니다. 이렇게 만든 콘텐츠는 지면이나 외부 플랫폼이 아닌 아웃스탠딩 자체 웹 페이지와 모바일 앱을 활용해 유통됩니다. 비즈니스 모델 측면에서는 2015년 서비스 오픈 당시부터 유료 구독 모델을 도입해 지금까지 제공하고 있습니다. 개인은 물론 단체 구독이 가능하며 멤버십 회원은 일반 기사부터 뉴스레터, 기업 분석 자료 DB, 커뮤니티, 오프라인 행사 등 다양한 서비스를 이용할 수 있습니다. 이와 같이 아웃스탠딩은 양질의 콘텐츠 제공, 디지털 환경에 알맞은 콘텐츠 유통 및 비즈니스 모델 창출을 통해 재구독률 90% 이상에 달하는 등 지속적인 성장을 이어가고 있습니다.

Challenge

대부분의 독자들이 PC, 모바일로 뉴스를 소비하는 흐름을 반영해 아웃스탠딩은 처음부터 철저하게 ‘온라인스러움’을 지향해 왔습니다. 다양한 이모티콘이나 이미지, 영상 등을 활용한 온라인 콘텐츠를 자체 웹 페이지와 모바일 앱을 통해서만 발행하고 있습니다. 따라서 아웃스탠딩의 서비스를 안정적으로 제공하기 위해서는 온라인 콘텐츠의 기반이 되는 IT 인프라를 잘 관리하는 것이 중요합니다. 특히 아웃스탠딩은 1명의 개발자가 웹 페이지, 관리자 페이지, 구독∙결제 시스템, 사내 시스템, 인프라 등 모든 IT 영역의 개발과 운영을 담당하고 있기 때문에 더욱더 효율적으로 인프라를 관리하는 방법이 필요했습니다.

 

AWS는 전 세계적으로 가장 많이 사용되는 클라우드 플랫폼이라는 점에서 믿고 선택했습니다. 레퍼런스나 가이드가 많아서 문제 상황이나 궁금한 것이 있을 때도 필요한 자료를 금방 찾을 수 있다는 점도 AWS를 사용하는 이유 중 하나입니다. 이 외에도 생산성을 높이기 위해 Google Workspace, Datadog, Zapier, 잔디 등 다양한 SaaS(Software as a Service)를 활용하고 있습니다.

Solution

“AWS는 전 세계적으로 가장 많이 사용되는 클라우드 플랫폼이라는 점에서 믿고 선택했습니다. AWS가 제공하는 다양한 클라우드 서비스를 활용해 인프라 운영에 들어가는 시간과 비용을 줄이고 아웃스탠딩의 핵심 역량인 미디어 콘텐츠에 집중할 수 있게 되었습니다.”

– 아웃스탠딩 CTO 박주현님

아웃스탠딩의 모든 인프라 환경은 AWS로 구성되어 있습니다. AWS가 제공하는 다양한 클라우드 서비스를 활용해 인프라 운영에 들어가는 시간과 비용을 절감했습니다. 웹 서버 구축을 위해 Amazon EC2와 AWS ElasticBeanstalk를, 데이터베이스 관리에는 Amazon Aurora를 사용 중입니다. AWS Elastic Beanstalk를 통해 AWS 클라우드에서 애플리케이션을 신속하게 배포하고 관리할 수 있으며, Amazon Aurora와 AWS ElasticBeanstalk 모두 장애 발생 시에도 자동으로 복구되며 성능 확장이 필요할 때 컴퓨팅 교체도 바로 할 수 있습니다. 이미지 관리에는 Amazon Elastic File System(EFS)과 Amazon CloudFront를 사용하고 있습니다. Amazon EFS 역시 스토리지가 자동으로 확장되거나 축소되어 이미지 용량 걱정 없이 편리하고 효율적으로 관리할 수 있습니다.

Benefit

“베스핀글로벌은 클라우드 파트너로서 합리적인 가격 정책뿐 아니라 기술 지원, 문의사항 응대, 서비스 도입 검토, 클라우드 교육 등 다양한 서비스를 제공합니다. 또한 클라우드 비용 최적화 컨설팅을 통해 클라우드 운영을 위한 인사이트도 제공했습니다. 클라우드를 더 안정적으로 관리하기 위해 향후 옵스나우360 도입을 긍정적으로 검토 중에 있습니다.”

– 아웃스탠딩 CTO 박주현님

사실 처음에 클라우드 파트너를 선택하면서 가장 크게 기대했던 점은 클라우드 비용 절감이었습니다. 하지만 베스핀글로벌을 통해 AWS를 이용함으로써 비용 절감뿐 아니라 필요한 기술 지원이나 문의사항에 대해 빠르게 답변을 받을 수 있어 훨씬 더 만족스럽습니다. 이 외에도 베스핀글로벌은 전문 어드바이저가 AWS 신규 기능이나 서비스를 도입할 때도 같이 검토해 주며, 베스핀 아카데미를 통해 필요한 경우 체계적인 교육도 받을 수 있다는 점이 큰 장점입니다.

베스핀글로벌은 클라우드 비용 최적화 컨설팅도 진행해 클라우드 자원과 비용을 어떻게 최적화할 수 있는지에 관한 다양한 방안을 제시했고, 클라우드 관리 플랫폼 옵스나우360(OpsNow360)을 소개했습니다. 앞으로 비즈니스가 성장하고 클라우드 인프라 규모가 늘어나면 옵스나우360을 통해 클라우드 비용과 자원을 더 효율적이고 체계적으로 관리할 예정입니다.

Market Overview

언론사의 디지털 전환은 세계적인 흐름입니다. 한 조사에 따르면 전 세계 44% 이상의 언론사가 앞으로 나아가기 위해 필요한 가장 중요한 변화로 ‘디지털 트랜스포메이션 가속화’를 꼽았습니다. 언론사들이 디지털 전환에 주목하는 이유는 지속 가능한 비즈니스 모델을 구축하기 위함입니다. 이에 따라 앞으로는 기존의 지면 광고, 지면 구독보다 디지털 광고, 디지털 구독의 성장률이 더욱 높을 것으로 예상됩니다.

아웃스탠딩은 국내에서 일찍부터 유료 구독모델을 도입해 성공적으로 안착시킨 대표적인 언론사입니다. 유료 구독모델을 도입했기 때문에 높은 전문성과 구독자들에게 도움을 줄 수 있는 높은 콘텐츠 퀄리티를 유지할 수 있다고 하는데요. 이처럼 아웃스탠딩이 미디어 콘텐츠라는 핵심 역량에 집중할 수 있었던 또 다른 비결에는 바로 클라우드가 있습니다. 아웃스탠딩 박주현 CTO는 다양한 클라우드 기능을 통해 적은 IT 인력으로도 효율적으로 인프라를 운영할 수 있다고 말합니다. 그리고 이 과정에서 베스핀글로벌과의 파트너십을 통해 클라우드 비용을 최적화하고 그 효과를 극대화하고 있습니다. 앞으로 클라우드 위에서 더 빠르게 성장해 갈 아웃스탠딩의 행보를 기대합니다.

문의하기

개인정보처리방침

by Miyeon. Jo

개인정보처리방침

‘베스핀글로벌 주식회사’(이하 ‘회사’)는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립•공개합니다. ○ 이 개인정보처리방침은 2023년 2월 26부터 적용됩니다.
제1조(개인정보의 처리 항목, 목적, 보유기간)
① 회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다. ② 회사는 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용기간 내에서 개인정보를 처리·보유 후 파기합니다. ③ 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다. ④ ‘개인정보 유효기간제’에 따라 1년간 서비스를 이용하지 않은 회원의 개인정보는 별도로 1년 동안 분리 보관 후 파기합니다. ⑤ 각각의 개인정보 처리 항목, 목적 및 보유 기간은 다음과 같습니다.
구분 처리 항목 처리목적 보유 기간
베스핀글로벌 홈페이지 고객문의 (Contact Us) [필수] 문의 분야, 문의 내용, 성명, 회사명, 산업군, 이메일, 부서명, 휴대전화번호 문의사항 상담, 서비스 관련 민원처리 및 처리결과 고지 3년
베스핀 뉴스레터 구독 [필수] 성명, 회사명, 이메일 홍보성 뉴스레터 제공 수신 동의 철회 시
컨텐츠 다운로드 [필수] 성명, 직함, 부서명, 회사명, 휴대전화번호, 이메일 홍보성 기술자료 제공 6개월
프로모션(이벤트), 무료 컨설팅 신청 [필수] 성명, 직함, 회사명, 부서명, 이메일, 휴대전화번호, 산업군, 회사 규모(인원) [선택] 문의사항 홍보성 교육(세미나, 웨비나 등) 및 문의사항 상담 1년
홍보 및 마케팅 동의 고객 [필수] 휴대전화번호 또는 이메일(1가지 이상) 신규 서비스 및 제품, 이벤트, 프로모션 안내 수신 동의 철회 시
OpsNow360 회원 정보 [필수] 이메일, 성명, 회사명, 비밀번호, 사용언어, 휴대 전화 번호 OpsNow360 서비스 제공, 본인확인 회원 탈퇴 시 * Trial 회원은 체험 종료 후 1년 ** 가입 미완료 정보는 3개월
고객지원 [필수] 기술지원 지원 요청자 이메일, 회사명, 기술지원 요청 사항 OpsNow360 서비스의 기술 지원, 서비스 관련 불만처리 3년
빌링포털 [필수] 담당자 ID(이메일 ID), 비밀번호, 회사명, 이메일 [선택] 계좌번호(CMS 등록) 또는 카드 정보 계약서·청구서 발송, 요금결제·정산, 채권추심, 법인 회원 식별 회원 탈퇴 후 6개월 (거래 내역은 5년)
시연(데모) 요청 [필수] 이름, 이메일, 회사명, 직책, 휴대 전화 번호, 클라우드 지출 비용, 관심사 OpsNow360 서비스 체험 및 상담 3개월
OpsNow360 뉴스레터 구독 [필수] 이메일, 이름, 회사명, 부서, 휴대 전화 번호 홍보성 뉴스레터 제공 수신 동의 철회 시
컨텐츠 다운로드 [필수] 이메일, 성함, 산업분야, 회사명, 부서, 직급, 휴대 전화 번호, 코멘트 홍보성 기술자료 제공 1년
홍보 및 마케팅 동의 고객 [필수] 휴대 전화 번호 또는 이메일(1가지 이상) 광고성 교육(세미나, 웨비나 등), 문의사항 상담 수신 동의 철회 시
채용 채용 지원자 [필수] 이메일, 휴대폰번호, 비밀번호, 본인 인증시 본인확인값(CI, DI), 이름, 지원분야, 생년월일, 영문이름, 추천인, 지원경로, 사진, 주소, 연락처, 병역사항, 고등학교, 대학교, 대학원, 직장경력, 경험 및 경력기술서, 포트폴리오 첨부, 경력기술서 첨부, 공인외국어시험, 자격증, 자기소개서 [선택 – 민감정보] 국적, 장애여부, 보훈여부 인재 채용 전형의 진행 및 전형 단계별 안내 해당 채용건의 종료 시
채용 지원 중 문의 [필수] 성명, 전화번호, 이메일, 문의내용 문의사항 접수 시 민원처리 및 처리결과 고지 3년
채용 합격자 채용 지원 시 수집 정보 외 [필수] 통장사본 [필수 – 고유식별정보] 주민등록등본(주민등록번호), 외국인등록번호 [선택 – 교유식별정보] 피부양자 등록시 가족관계증명서(주민등록번호), 외국인등록번호 급여 및 복리후생 제공, 4대보험, 경력확인 등 인사 서비스 제공 퇴사 후 5년
제2조(개인정보의 보존)
① 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.
보존 항목 근거법령 보존기간
계약 또는 청약철회 등에 관한 기록 전자상거래 등에서의 소비자 보호에 관한 법률 5년
대금결제 및 재화 등의 공급에 관한 기록 5년
소비자의 불만 또는 분쟁처리에 관한 기록 3년
표시/광고에 관한 기록 6개월
세법이 규정하는 모든 거래에 관한 장부 및 증빙서류 국세기본법 5년
전자금융 거래에 관한 기록 전자금융거래법 5년
서비스 방문 기록 통신비밀보호법 3개월
② 개인정보 파기의 절차 및 방법은 다음과 같습니다. 1. 파기절차 회사는 파기 사유가 발생한 개인정보를 선정하고, 회사의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다. 2. 파기방법 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용합니다. 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다
제3조(개인정보의 제3자 제공)
회사는 개인정보를 제1조(개인정보의 처리 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.
제4조(개인정보처리 위탁)
① 회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
수탁사 처리위탁 업무 내용
스파크플러스 사무실 관리
메이크플로우 빌링 포털의 개발 유지보수
토스페이먼츠 카드결제서비스
NHN KCP 카드결제서비스
아이엠포트 카드결제서비스
효성에프앰에스 자동이체서비스 제공 및 자동이체 동의 사실 통지
나이스평가정보 고객 본인 확인 서비스
Freshworks Inc. 고객 문의 및 안내 관리 플랫폼 운영
salesforce.com inc CRM 플랫폼 운영
(주)마이다스인 채용홈페이지 및 채용관리 전산시스템의 운영 및 관련 민원처리
베네피아 복지몰 위탁 운영
휴넷 임직원 교육 위탁 운영
② 개인정보처리 위탁 중 국외에서 처리하는 위탁업무는 아래와 같습니다.
수탁업체 정보관리책임자 및 연락처 이전목적 이전되는 개인정보 항목 이전되는 국가 이전일시 및 방법 개인정보이용기간
Salesforce.com inc. Data Protection Officer / privacy@salesforce.com​​​​ 홍보 및 마케팅 관리 도구 사용 성명, 회사명, 산업군, 이메일, 부서명, 직함, 휴대 전화 번호, 산업군, 회사 규모, 문의사항 미국 서비스 이용 시점에 네트워크를 통한 전송 위탁업무 종료 시까지
Freshworks Inc. Data Protection Officer / dpo@freshworks.com OpsNow 서비스의 기술 지원, 서비스 관련 불만처리 도구 사용 이메일, 회사명, 휴대 전화 번호, 기술지원 요청 사항 미국 서비스 이용 시점에 네트워크를 통한 전송 위탁업무 종료 시까지
③ 회사는 위탁계약 체결시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적․관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리․감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다. ④ 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.
제5조(정보주체와 법정대리인의 권리•의무 및 그 행사방법)

① 정보주체는 베스필글로벌 주식회사에 대해 언제든지 개인정보 열람·정정·삭제·처리정지 요구 등의 권리를 행사할 수 있습니다.
② 제1항에 따른 권리 행사는 회사에 대해 「개인정보 보호법」 시행령 제41조제1항에 따라 서면, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며 회사는 이에 대해 지체 없이 조치하겠습니다.
③ 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다.이 경우 “개인정보 처리 방법에 관한 고시(제2020-7호)” 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
④ 개인정보 열람 및 처리정지 요구는 「개인정보 보호법」 제35조 제4항, 제37조 제2항에 의하여 정보주체의 권리가 제한될 수 있습니다.
⑤ 개인정보의 정정 및 삭제 요구는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.
⑥ 회사는 정보주체 권리에 따른 열람의 요구, 정정·삭제의 요구, 처리정지의 요구 시 열람 등 요구를 한 자가 본인이거나 정당한 대리인인지를 확인합니다.

제6조(개인정보의 안전성 확보 조치)

회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.

 

1. 정기적인 자체 감사 실시

개인정보 처리 관련 안정성 확보를 위해 정기적으로 자체 감사를 실시하고 있습니다.

 

2. 개인정보 처리 직원의 최소화 및 교육

개인정보를 처리하는 직원을 지정하고 담당자에 한정시켜 최소화 하여 개인정보를 관리하는 대책을 시행하고 있습니다.

 

3. 내부관리계획의 수립 및 시행

개인정보의 안전한 처리를 위하여 내부관리계획을 수립하고 시행하고 있습니다.

 

4. 해킹 등에 대비한 기술적 대책

회사는 해킹이나 컴퓨터 바이러스 등에 의한 개인정보 유출 및 훼손을 막기 위하여 보안프로그램을 설치하고 주기적인 갱신·점검을 하며 외부로부터 접근이 통제된 구역에 시스템을 설치하고 기술적/물리적으로 감시 및 차단하고 있습니다.

 

5. 개인정보의 암호화

이용자의 개인정보는 비밀번호는 암호화 되어 저장 및 관리되고 있어, 본인만이 알 수 있으며 중요한 데이터는 파일 및 전송 데이터를 암호화 하거나 파일 잠금 기능을 사용하는 등의 별도 보안기능을 사용하고 있습니다.

 

6. 접속기록의 보관 및 위변조 방지

개인정보처리시스템에 접속한 기록을 최소 1년 이상 보관, 관리하고 있으며,다만, 5만명 이상의 정보주체에 관하여 개인정보를 추가하거나, 고유식별정보 또는 민감정보를 처리하는 경우에는 2년이상 보관, 관리하고 있습니다. 또한, 접속기록이 위변조 및 도난, 분실되지 않도록 보안기능을 사용하고 있습니다.

 

7. 개인정보에 대한 접근 제한

개인정보를 처리하는 데이터베이스시스템에 대한 접근권한의 부여,변경,말소를 통하여 개인정보에 대한 접근통제를 위하여 필요한 조치를 하고 있으며 침입차단시스템을 이용하여 외부로부터의 무단 접근을 통제하고 있습니다.

 

8. 문서보안을 위한 잠금장치 사용

개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하고 있습니다.

 

9. 비인가자에 대한 출입 통제

개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 이에 대해 출입통제 절차를 수립, 운영하고 있습니다.

제7조(개인정보 자동 수집 장치의 설치•운영 및 거부에 관한 사항)

① 회사는 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 ‘쿠키(cookie)’를 사용합니다.

② 쿠키는 웹사이트를 운영하는데 이용되는 서버(http)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC 컴퓨터내의 하드디스크에 저장되기도 합니다.

가. 쿠키의 사용 목적 : 이용자가 방문한 각 서비스와 웹 사이트들에 대한 방문 및 이용형태, 인기 검색어, 보안접속 여부, 등을 파악하여 이용자에게 최적화된 정보 제공을 위해 사용됩니다.

나. 쿠키의 설치•운영 및 거부 : 웹브라우저 상단의 도구>인터넷 옵션>개인정보 메뉴의 옵션 설정을 통해 쿠키 저장을 거부 할 수 있습니다.

다. 쿠키 저장을 거부할 경우 맞춤형 서비스 이용에 어려움이 발생할 수 있습니다.

제8조 (개인정보 보호책임자)
① 베스핀글로벌 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
▶ 개인정보 보호책임자
성명 정현석
직책 CPO / CISO
직급 상무
연락처 1688-1280, internalsec_bgk@bespinglobal.com
※ 개인정보 보호 담당부서로 연결됩니다.
② 정보주체께서는 베스필글로벌 주식회사 의 서비스(또는 사업)을 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의하실 수 있습니다. 베스필글로벌 주식회사 은(는) 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.
제9조(개인정보 열람청구)
정보주체는 「개인정보 보호법」 제35조에 따른 개인정보의 열람 청구를 아래의 부서에 할 수 있습니다. 회사는 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력하겠습니다.
▶ 개인정보 열람청구 접수·처리 부서
부서명 내부보안팀
담당자 정현석
연락처 1688-1280, internalsec_bgk@bespinglobal.com
제10조(권익침해 구제방법)

정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다.

1. 개인정보분쟁조정위원회 : (국번없이) 1833-6972 (www.kopico.go.kr)

2. 개인정보침해신고센터 : (국번없이) 118 (privacy.kisa.or.kr)

3. 대검찰청 : (국번없이) 1301 (www.spo.go.kr)

4. 경찰청 : (국번없이) 182 (ecrm.cyber.go.kr)

「개인정보보호법」제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대 하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.
※ 행정심판에 대해 자세한 사항은 중앙행정심판위원회(www.simpan.go.kr) 홈페이지를 참고하시기 바랍니다.

제11조(개인정보 처리방침 변경)
① 이 개인정보처리방침은 2023년 2월 26일부터 적용됩니다. ② 이전의 개인정보 처리방침은 아래에서 확인하실 수 있습니다. 이전 이력보기(2022.06.01)

BeyondCorp Enterprise를 이용한 GCP 웹콘솔 통제

구글 인사이트
by Miyeon. Jo
목차
  1. 문서 개요
  2. GCP 웹 콘솔 제어
  3. 구현 방법
  4. 결과 확인
  5. 출처
1. 문서 개요

구글 클라우드의 애플리케이션 및 리소스에 대한 보안 액세스를 지원하는 제로 트러스트 솔루션 BeyondCorp Enterprise의 많은 기능 중 GCP 웹 콘솔 로그인 시도시 사용자의 IP 주소와 위치정보를 통한 제어 방법을 안내하는 문서입니다.

2. GCP 웹 콘솔 제어

사용자가 GCP 웹 콘솔 (https://console.cloud.google.com)을 접근할 때 일부 기업에서는 지정된 회사의 네트워크에서만 사용자가 GCP 웹 콘솔을 접근할 수 있도록 보안 통제를 하고 싶어하는 요구가 있습니다. 이 때 BeyondCorp Enterprise에서 다양한 조건에 의해서 사용자의 웹 콘솔 접근 제어를 수행할 수 있습니다. 다만, BeyondCorp Enterprise는 무료 버전의 기능과 일부 Premium 버전에서의 기능적 차이가 있습니다. 무료 버전에서는 IP 조건에 의한 통제 그리고 지리적 위치 조건에 대한 통제를 기본적으로 제공합니다.
반면, 유료 버전인 Premium 버전에서는 사용자의 Device Policy(기업 관리 기기, 개인 소유 기기, 휴대기기)를 통해 접근 가능한 OS를 제한한다는 등의 다양한 조건으로 구글 클라우드의 애플리케이션 및 리소스에 대한 보안 액세스를 지원합니다.
Premium 버전에서 제공하는 다양한 기능은 아래 링크를 통해 확인할 수 있습니다.
BeyondCorp Enterprise와 Google Cloud 비교

3. 구현 방법

구글 관리 콘솔(https://admin.google.com)에서 BeyondCorp Enterprise를 통해 GCP 웹 콘솔에 접근을 통제할 사용자의 그룹을 만들어 주고 사용자를 추가합니다.
이후 GCP에서 Access Context Manager를 통한 접근 기준을 생성하고 BeyondCorp Enterprise 메뉴에서 웹 콘솔 접근제어 규칙을 생성합니다.
규칙은 관리 콘솔을 통해 만든 그룹 + GCP에서 만든 ACM의 조건을 AND조건으로 매칭하여 생성됩니다.

  • 관리 콘솔에서 Cloud ID를 사용하여 사용자, 앱, 기기를 관리할 수 있습니다.
    이 때, 관리 콘솔에 접근할 수 있는 관리자의 권한이 필요합니다.
  • 관리 콘솔 로그인 -> 디렉터리 -> 그룹 -> 그룹 만들기
  • 그 후 그룹의 세부 정보를 입력해 줍니다.
  • 액세스 유형에 대한 설정을 완료합니다.
  • 그룹에 Cloud ID 사용자를 추가합니다.
  • 만들어진 그룹에 Cloud ID 사용자를 추가합니다.
  • 웹 콘솔을 제어할 사용자가 그룹에 추가된 결과 확인 (구글 관리 콘솔 작업 끝)
  • 적절한 권한이 있는 계정으로 GCP에 로그인 합니다.
    Security -> Access Context Manager 메뉴에서 Create Access Level을 클릭합니다.
  • 새로운 Access Level을 생성합니다.
    • Basic Mode : 기본 모드이며 무료 버전에서 사용할 수 있습니다.
    • Advanced Mode : Beyondcorp Enterprise의 Premium 버전에서 사용할 수 있습니다.
    • 조건 중 IP subnetworks를 클릭한 후 아래와 같이 GCP 웹콘솔에 접근을 허용할 사용자의 IP대역을 지정해주고 저장을 합니다.
  • 생성된 Access Context Manager 조건을 확인합니다.
  • 다음으로 Beyondcorp Enterprise 메뉴로 넘어갑니다.
    • GCP -> Security -> Zero Trust -> BeyondCorp Enterprise
  • 우측의 BeyondCorp Enterprise를 적용할 조직을 확인하고 SELECT를 클릭
  • 웹콘솔에 대한 제어메뉴 ‘Secure Cloud Console & APIs’ 의 MANAGE ACCESS 클릭
  • 상단의 ADD 클릭
  • ADD Principals to GCP console & APIs 창이 나오면 만들어 놓은 Google Groups와 Access Context Manager에서 만든 조건을 선택
  • 등록 결과 확인
4. 결과 확인
  • 위에서 지정한 네트워크 외에서 접속 시도시
    • 액세스 거부됨으로 표시 되며 GCP 웹콘솔 로그인 불가
  • 추가로 지리적 위치에 대한 접근제어도 가능
    • Access Context Manager에서 Geographic Locations 조건을 North Korea로 주고 조건 만족시 FALSE로 설정Access Context Manager에서 Geographic Locations 조건을 North Korea로 주고 조건 만족시 FALSE로 설정
    • Locations 조건은 만족시 False로 하여 복수의 국가 지정 가능
      • 단 VPN을 통하여 IP 우회시 해당 조건으로는 통제 불가
  • 마찬가지로 사용자가 접근하는 IP의 위치를 보고 차단 가능

출처

Terraform을 사용하여 GKE 생성하기

구글 인사이트
by Miyeon. Jo
목차
  1. 준비하기
  2. Terraform 파일 작성하기
  3. Terraform workspace 초기화하기
  4. GKE Cluster 생성
  5. 생성자원 확인
  6. 변경하기
  7. 삭제하기
준비하기
1. API 활성화하기

GKE를 생성하기 위해 아래 API를 활성화합니다.

  • Compute Engine API
  • Kubernetes Engine API
    $ gcloud services enable compute.googleapis.com container.googleapis.com
2. Service account 생성하기

아래 역할(Role)을 가지고 있는 Service account를 생성합니다.

  • Kubernetes Engine Admin
  •  Compute Network Admin
  •  Service Account User
3. Install
Terraform 파일 작성하기

GKE를 생성하기 위한 Terraform 파일을 작성

1. 자원 정의

terraform-gke 디렉토리를 생성
main.tf 파일을 생성합니다.

$ mkdir terraform-gke
$ cd terraform-gke
$ vi main.tf

1.1. Provider 선언
provider name: google
provider version: “~> 3.46”
project: var.project_id (GCP의 project 이름, “variables.tf”에 정의)
region: var.region (GCP의 region 이름, “variables.tf”에 정의)
provider "google" {
  version = "~> 3.400"
  project = var.project_id
  region  = var.region
}
1.2. Network : GKE를 생성할 network를 선언

1) VPC network

resource type: google_compute_network (생성할 resource type)
local name: vpc (local에서 참조할 이름)
auto_create_subnetworks: false (subnet 자동 생성 옵션)
resource "google_compute_network" "vpc" {
  name = "${var.project_id}-vpc"
  auto_create_subnetworks = "false"
}

2) Subnet network

ip_cidr_range: “10.10.0.0/24” (CIRD 범위)
resource "google_compute_subnetwork" "subnet" {
  name = "${var.project_id}-subnet"
  region = var.region
  network = google_compute_network.vpc.name
  ip_cidr_range = "10.10.0.0/24"
}
1.3. GKE cluster

1) GKE cluster

min_master_version: “1.23” (Master의 최소 버전)
remove_default_node_pool: true (Default node pool 삭제 여부)
initial_node_count: 1 (각 zone에 생성할 node 수)
resource "google_container_cluster" "primary" {
  name = "${var.project_id}-gke"
  location = var.region
  min_master_version = "1.23"
  remove_default_node_pool = true
  initial_node_count       = 1
  network    = google_compute_network.vpc.name
  subnetwork = google_compute_subnetwork.subnet.name
}

참고
“remove_default_node_pool”
Cluster는 default node pool 없이 생성이 불가능합니다 (일종의 template).
그래서 remove_default_node_pool 값을 “true”로 설정하면 default node pool을 작게 생성한 뒤 바로 삭제합니다.

2) Separately Managed Node Pool

node_count: var.gke_num_nodes (각 zone에 생성할 node 수, “variables.tf”에 정의)
node_config.oauth_scopes: API 접근 권한
node_config.metadata.disable-legacy-endpoints: true (Legacy endpoint 비활성화 여부)
resource "google_container_node_pool" "primary_nodes" {
  name       = "${google_container_cluster.primary.name}-node-pool"
  location   = var.region
  cluster    = google_container_cluster.primary.name
  node_count = var.gke_num_nodes
  node_config {
    oauth_scopes = [
      "https://www.googleapis.com/auth/logging.write",
      "https://www.googleapis.com/auth/monitoring",
    ]
    labels = {
      env = var.project_id
    }
    machine_type = var.gke_machine_type
    tags         = ["gke-node", "${var.project_id}-gke"]
    metadata = {
      disable-legacy-endpoints = "true"
    }
  }
}

[참고]
“node_count”는 각 zone에 생성할 node의 수입니다.
만약 이 값을 3으로 설정하고 region이 “asia-northeast3″라면 3개의 zone에 각각 3개의 node가 생성되어 총 9개의 node가 생성됩니다.

[참고]
GKE 1.12 버전 이상부터 “disable-legacy-endpoints” 값은 “true”가 기본으로 설정됩니다.
만약 metadata를 설정하고 “disable-legacy-endpoints”의 기본값을 선언하지 않으면, terraform은 이 값을 해제합니다. 이를 방지하기 위해서 “disable-legacy-endpoints” 값을 “true”로 설정해야합니다.

2. 변수 정의하기

variables.tf 파일을 생성
project_id, region, gke_num_nodes, gke_machine_type 변수를 선언

default 값이 있는 경우 정의해주고,
description 값에 변수에 대한 주석을 작성합니다.
이 변수는 terraform 명령 실행 시 다른 값으로 치환할 수 있습니다.

$ vi variables.tf
variable "project_id" {
  description = "project id"
}

variable "region" {
  description = "region"
}

variable "gke_num_nodes" {
  default     = 3
  description = "number of gke nodes"
}

variable "gke_machine_type" {
  default     = "n1-standard-4"
  description = "machine type of gke nodes"
}
3. 결과 정의하기

자원을 생성한 후 추출해야하는 값이 있는 경우 “output” block에 선언합니다.
이 값은 terraform apply 실행 시 사용자에게 보여집니다.
“kubernetes_cluster_name”는 이 output의 식별자이고 value는 생성한 자원의 이름입니다.

$ vi outputs.tf
output "kubernetes_cluster_name" {
  value = google_container_cluster.primary.name
  description = "GKE Cluster Name"
}
4. 버전 정의하기

필요한 버전을 선언합니다.

$ vi version.tf
terraform {
  required_version = ">= 0.12"
}
Terraform workspace 초기화하기
$ terraform init
...
Terraform has been successfully initialized!

$ ls -al
drwxr-xr-x  4 ...  ... .terraform

$ cat .terraform/environment 
default

workspace를 초기화하면 기본값으로 “default 값이 생성됩니다.

workspace 목록을 조회

$ terraform workspace list
* default

“*” 표시(활성화된 workspace)를 확인

$ cat .terraform/plugins/selections.json 
{
  "registry.terraform.io/hashicorp/google": {
    "hash": "h1:UIugsEPd4efky7G86YVdjkW5wwMIIW/WWeFod7RsbbQ=",
    "version": "3.47.0"
  }
}

“main.tf”의 “provider.version”에 선언한 대로 plugin을 설치한 것을 확인할 수 있습니다.

모듈을 불러오기 위한 설정

$ ls -all .terraform/plugins/registry.terraform.io/hashicorp/google/3.47.0/darwin_amd64
...
-rwxr-xr-x  1 ...  ... terraform-provider-google_v3.47.0_x5
GKE cluster 생성하기
1. 환경 변수 설정하기

variabes.tf 파일을 작성
terraform.tf vars파일에 아래와 같이 선언

project_id = "my-project-gke"
region     = "asia-northeast3"

민감한 정보가 있는 경우 OS 환경변수에 정의 (git 에 업로드 하지 않는게 보안상 좋음)

GOOGLE_APPLICATION_CREDENTIALS: 생성한 service account json file의 경로 입력

## "GOOGLE_APPLICATION_CREDENTIALS" is a file's path exported from service account.
export GOOGLE_APPLICATION_CREDENTIALS="REPLACE_ME"
export PROJECT_ID="REPLACE_ME"
export REGION="REPLACE_ME"

## e.g
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/.gcp/gke-service-account.json"
export PROJECT_ID="my-project"
export REGION="asia-northeast3"
2. 검증하기

자원을 생성하기전 먼저 검증을 할 수 있습니다.
인프라 자원을 변경하는 것은 매우 조심스러운 작업인데 실수로 지워버린다던가 하는
위험성을 줄여주는 좋은 기능입니다. main.tf에서 정의한대로 vpc network, subnet network, gke cluster, gke node pool이 어떤식으로 생성될지 미리 보여줍니다.

$ terraform plan \
    -var "project_id=$PROJECT_ID" \
    -var "region=$REGION" \
    -var "gke_num_nodes=1"
...
Terraform will perform the following actions:
  ...
  # google_compute_network.vpc will be created
  + resource "google_compute_network" "vpc" {
  ...
  # google_container_cluster.primary will be created
  + resource "google_container_cluster" "primary" {
  ...
  # google_container_node_pool.primary_nodes will be created
    + resource "google_container_node_pool" "primary_nodes" {
  …
Plan: 4 to add, 0 to change, 0 to destroy.
3. 생성하기
$ terraform apply \
    -var "project_id=$PROJECT_ID" \
    -var "region=$REGION" \
    -var "gke_num_nodes=1"
...
Plan: 4 to add, 0 to change, 0 to destroy.

##plan 명령과 다른 점은 실제로 이 명령을 수행할 것인지 한번 더 물어봅니다.
Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value: yes

##인프라 자원 생성 시작
google_compute_network.vpc: Creating...
google_compute_network.vpc: Still creating... [13s elapsed]
google_compute_network.vpc: Creation complete after 22s
...
google_compute_subnetwork.subnet: Creation complete after 15s
...
##전체 단계가 완료되면 outputs.tf 정의한 값이 출력됩니다.
Outputs:
  + kubernetes_cluster_name = "my-project-gke"
  + region                  = "asia-northeast3"

Apply complete! Resources: 4 added, 0 changed, 0 destroyed.
생성한 자원 확인하기

gcloud CLI를 통해 credential 정보를 저장합니다.

$ gcloud container clusters get-credentials my-project-gke \
  --region asia-northeast3 \
  --project my-project
Fetching cluster endpoint and auth data.
kubeconfig entry generated for my-project-gke.

node-pools의 정보 조회

$ gcloud container node-pools list \
  --cluster=$PROJECT_ID-gke \
  --project=$PROJECT_ID \
  --region=$REGION
NAME                         MACHINE_TYPE  DISK_SIZE_GB  NODE_VERSION
my-project-gke-node-pool     n1-standard-4     100           1.23.13-gke.900

3개의 node 정보를 정상적으로 가져오는것을 확인할 수 있습니다.

$ kubectl get nodes
NAME                                    STATUS   ROLES    AGE   VERSION
gke-asia--default-pool-23b72450-009z    Ready    <none>   10d   v1.22.15-gke.2500
gke-asia--default-pool-23b72450-7f6p    Ready    <none>   10d   v1.22.15-gke.2500
gke-asia--default-pool-23b72450-7xsi    Ready    <none>   10d   v1.22.15-gke.2500
변경하기

이번에는 GKE cluster의 설정을 변경해보겠습니다.
Machine type : n1-standard-4 -> n1-highmem-4

적용전에 검증을 합니다.
기존 machine type의 node_pool을 삭제하고 새로운 node_pool이 추가되는 것을 확인.

$ terraform plan \
    -var "project_id=$PROJECT_ID" \
    -var "region=$REGION" \
    -var "gke_num_nodes=1" \
    -var "gke_machine_type=n1-highmem-4"
...
Terraform will perform the following actions:
  # google_container_node_pool.primary_nodes must be replaced
  ~ machine_type      = "n1-standard-4" -> "n1-highmem-4" # forces replacement

Plan: 1 to add, 0 to change, 1 to destroy.
$ terraform apply \
    -var "project_id=$PROJECT_ID" \
    -var "region=$REGION" \
    -var "gke_num_nodes=1" \
    -var "gke_machine_type=n1-highmem-4"
...
Plan: 1 to add, 0 to change, 1 to destroy.

Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value: yes

google_container_node_pool.primary_nodes: Destroying... [id=projects/my-project/locations/asia-northeast3/clusters/my-project-gke/nodePools/my-project-gke-node-pool]
...
google_container_node_pool.primary_nodes: Creation complete after 1m22s [id=projects/my-project/locations/asia-northeast3/clusters/my-project-gke/nodePools/my-project-gke-node-pool]
...
Apply complete! Resources: 1 added, 0 changed, 1 destroyed.

Outputs:

kubernetes_cluster_name = my-project-gke

기존 node pool을 삭제하고 새로운 node pool을 생성하는것이 확인됩니다.

참고
node pool이 삭제되면서 실행중인 pod도 전부 삭제됩니다.
실제 개발/운영 환경이라면 node pool을 여러개 만들어 놓고 변경 작업이 일어나는 node의 pod를 모두 다른 node로 migration하는 작업이 선행되어야 합니다.

변경 작업이 완료되면 node pool을 다시 조회해봅니다.
Machine type이 n1-highmem-4로 변경되었습니다.

$ gcloud container node-pools list \
  --cluster=$PROJECT_ID-gke \
  --project=$PROJECT_ID \
  --region=$REGION
NAME                        MACHINE_TYPE   DISK_SIZE_GB    NODE_VERSION
my-project-gke-node-pool    n1-highmem-4       100       1.23.13-gke.900
삭제하기

## cluster삭제

$ terraform destroy \
    -var "project_id=$PROJECT_ID" \
    -var "region=$REGION"
...
Do you really want to destroy all resources?
  Terraform will destroy all your managed infrastructure, as shown above.
  There is no undo. Only 'yes' will be accepted to confirm.

  Enter a value: yes
  ...
Destroy complete! Resources: 4 destroyed.

출처

2023년 10대 Google Cloud Platform 트렌드

구글 인사이트
by Miyeon. Jo

Vinay Padegaonkar , LTIMindtree Google Cloud Practice 선임 이사

클라우드 컴퓨팅은 지난 몇 년 동안 핵심 컴퓨팅 패러다임으로 부상하면서 경이로운 속도로 발전했습니다. 업계 조사 에서는 클라우드 시장이 2022년 5,458억 달러에서 2027년에는 1조 2,410억 달러에 이를 것으로 예상합니다. 이러한 성장은 자동화 및 민첩성에 대한 요구 증가, 탁월한 고객 경험 제공에 대한 집착, 원격 근무의 증가, 비즈니스 중단이 발생하더라도 비즈니스 연속성을 보장하는 데 중점을 둡니다. 이번 인사이트에서는 상위 10가지 GCP 트렌드, 특히 2023년 GCP 트렌드에 초점을 맞춥니다.
오늘날 우리는 변곡점에 있습니다. 데이터와 AI를 기반으로 하는 신기술이 우리 주변의 모든 것을 변화시키고 연결된 생태계가 우리가 하는 모든 일에 중요해집니다. 역동적인 시장에 대한 수요를 해결하고 미래의 비즈니스 및 기술 과제를 해결하기 위해 Google Cloud Platform(GCP)은 지속적으로 새로운 서비스와 개선 사항을 추가하고 있습니다. 디지털 혁신 이니셔티브에서 여러 고객과 함께 일한 경험을 바탕으로 2023년에는 다음 영역이 기업의 초점이 될 것으로 예상합니다. 이 문서에서는 GCP Trends 2023의 고유한 기능과 가치 제안에 대한 통찰력을 제공합니다.

주요 트렌드에 대해 알아보기 전에 Google Cloud Platform에 대한 다음 통계를 참고하세요.

1. 데이터와 AI가 대규모로 채택될 것입니다.

조직은 데이터 및 AI 기반 솔루션을 활용하고 구현하여 고객 경험 향상, 운영 최적화, 일상적인 작업 자동화와 같은 문제를 해결할 것입니다. 그리고 AI가 우리가 운영하는 방식을 바꿀 수 있는 잠재력은 엄청납니다. PwC 보고서 에 따르면 AI는 2030년까지 세계 경제에 15조 7000억 달러의 영향을 미칠 것이라고 합니다. 그러나 데이터 및 AI 솔루션을 구현하는 데는 데이터 복잡성, 기술 격차 및 데이터 과학자 부족과 같은 몇 가지 공통적인 문제가 있습니다.

GCP가 도움이 되는 방식: 더 높은 예측 정확도로 AI를 대규모로 구현하려는 조직은 GCP로 전환할 수 있습니다. 조직에서 활용할 수 있는 몇 가지 중요한 상위 10개 GCP 트렌드가 있습니다. Google Cloud는 ML 사용 사례 개발을 위한 4가지 정교한 접근 방식으로 AI 개발 및 구현 문제를 해결하는 데 도움이 되는 업계 최고의 솔루션을 제공합니다. GCP는 다양한 사용 사례에 대해 가속화된 방식으로 AI를 주입할 수 있는 포괄적인 기능을 제공합니다.

a) 사전 훈련된 API: 코드가 필요 없는 Google 데이터에서 사전 훈련된 모델을 사용할 준비가 되었습니다.

b) AutoML을 사용한 사용자 지정 AI: 구조화 및 비구조화 데이터에 대한 예측 모델링, 코드가 필요하지 않습니다.

c) 핵심 도구가 포함된 엔드 투 엔드 AI : 사전 빌드된 프레임워크의 사용자 정의 모델, 작업이 없는 서버리스 교육

d) BigQuery M: 구조화된 데이터에 대한 설명 및 예측 모델링, 간단한 SQL 코드

2. 하이브리드 및 멀티 클라우드 간 상호 운용성 증가

지난 10년 동안 클라우드 채택이 견인력을 얻었지만. Forbes 보고서 에 따르면 기업의 90% 이상이 계속해서 여러 온프레미스 애플리케이션을 운영하고 있습니다. 그러나 지난 2~3년 동안 조직은 위험을 완화하고 비용을 절감하기 위해 멀티 클라우드를 보다 적극적으로 채택했습니다. 실제로 업계 조사 에 따르면 기업 의 약 95%가 2022년에 멀티 클라우드를 전략적 우선순위로 삼았습니다. 하이브리드 및 멀티 클라우드 시나리오 모두에서 클라우드 전략을 수립하는 동안 상호 운용성이 중요합니다. 플랫폼, 애플리케이션, 데이터 수준의 상호 운용성은 2023년 기업의 초점 영역이 될 것이며 이는 GCP Trends 2023에서도 분명합니다.

GCP 지원 방식: 기업에서 상호 운용성 요구사항을 해결하는 방법에는 두 가지가 있습니다. 하나는 멀티 및 하이브리드 클라우드에 대한 상호 운용성을 제공하는 Openstack, Openshift, Cloud Foundry, Snowflake와 같은 플랫폼을 사용하는 것이고, 두 번째는 CSP의 클라우드 네이티브 서비스를 사용하여 멀티 및 하이브리드 클라우드를 지원하는 것입니다. 예를 들어 Google Cloud에서 Anthos, BigLake 및 BigQuery Omni는 공급업체 또는 플랫폼 종속을 피하면서 상호 운용성 요구 사항을 해결하는 다중 및 하이브리드 클라우드 서비스입니다. GCP를 통해 기업은 플랫폼에 구애받지 않는 애플리케이션을 개발 및 배포하고 멀티 및 하이브리드 클라우드를 지원할 수 있습니다.

3. 미래 지향적인 인프라가 성장할 것입니다.

기업이 애플리케이션과 데이터 인프라를 어떻게 설계하느냐에 따라 2023년에 어떻게 성장하고 경쟁할지 결정됩니다. GCP는 모든 워크로드와 규모에 맞는 다양한 가속기를 제공하므로 저비용, 저비용, 처리량 추론 및 기존 ML 워크로드. 조직에서 워크로드 확장을 고려할 때 병렬 아키텍처를 사용하여 ML 워크로드에서 매우 효과적인 GPU를 볼 수 있습니다. GCP는 추론에 중점을 둔 P4 및 T4에 이르기까지 Google Compute Engine(GCE)에 다양한 NVIDIA GPU를 보유하고 있습니다.

GCP 지원 방법: GCE는 기업을 위한 비용 효율적인 옵션인 온디맨드, 선점 가능, 약정 사용 할인 및 지속 사용 할인 공간 예약을 통해 사용할 수 있는 도구 및 워크플로 지원을 통해 맞춤형 VM 구성을 제공합니다. GCP는 C2 VM보다 10배 더 높은 IOPS와 4배 더 높은 처리량을 제공하는 AI/ML 모델을 실행하기 위한 향후 요구사항을 해결할 수 있는 강력한 컴퓨팅 엔진을 제공합니다.

소비 및 활용에서 견인력을 얻고 있는 또 다른 영역은 Kubernetes Engine(GKE)을 사용하는 AI 인프라입니다. GKE는 컨테이너화된 애플리케이션 배포를 위한 관리형 환경을 제공합니다. 이 경우 조직은 GCE 인프라의 일부로 GPU 및 TPU를 사용하여 워크로드를 즉시 확장 및 축소할 수 있습니다. GKE는 컨테이너를 사용하여 자동 확장을 활용할 수 있는 기능도 제공합니다.

4. 운영 및 분석 데이터베이스가 수렴될 것입니다.

조직에서는 운영 데이터와 분석 데이터라는 두 가지 유형의 데이터를 사용합니다. 운영 데이터는 애플리케이션 또는 마이크로서비스와 함께 제공되는 비즈니스 기능을 위한 데이터베이스에 상주합니다. 이 데이터는 본질적으로 트랜잭션이며 현재 상태를 유지하고 비즈니스 애플리케이션의 요구 사항을 충족합니다. 분석 데이터는 시간이 지남에 따라 기업의 사실에 대한 일시적이고 집계된 보기이며 종종 회고적 또는 미래적 통찰력을 제공하기 위해 모델링됩니다. ML 모델을 교육하거나 분석 보고서를 생성하는 데 사용됩니다. 운영 및 분석 데이터 관점이 가까워짐에 따라 데이터 아키텍처와 관리 모두에서 변화를 주도하고 있습니다.

GCP가 도움이 되는 방법: 현재 기술, 아키텍처, 설계는 이 두 가지 데이터 영역(두 가지 존재 수준, 통합되어 있지만 분리되어 있음)의 차이를 반영하며, 이로 인해 항상 조각난 아키텍처가 발생했습니다. ETL(Extract, Transform, Load) 작업과 계속해서 증가하는 데이터 파이프라인의 복잡성은 이 두 평면을 연결하는 일반적인 문제입니다. GCP는 운영 및 분석 데이터 처리에 사용할 수 있는 다양한 데이터베이스 솔루션을 제공합니다. 이제 Cloud Bigtable, Alloy DB, DataStream for BigQuery가 데이터베이스 관점에서 운영 및 분석 요구사항을 해결하도록 개선되었습니다.

5. 보이지 않는 보안이 가장 중요합니다.

디지털화가 전 세계적으로 급증하면서 사이버 공격과 랜섬웨어 사건이 급증함에 따라 기업은 보안을 강화하고 제로 트러스트 아키텍처를 대규모로 수용하는 데 집중할 것입니다. 여기에는 기업 보안을 모든 결정의 중심에 놓고 각 트랜잭션에 대한 명시적 신뢰를 위해 암시적 신뢰 관계를 제거하는 것이 포함됩니다. 컨텍스트와 가시성은 강력한 보안 조치를 성공적으로 구현하는 데 매우 중요하며 보안 솔루션은 기술 가용성에 대한 종속성을 줄이기 위해 계속 발전하고 자동화될 것입니다.

GCP가 지원하는 방식: 보안 솔루션 제공업체와의 파트너십을 확대하려는 Google Cloud의 접근 방식을 통해 기업은 동급 최고의 보안을 일관되게 구현할 수 있습니다. 사일로화된 SIEM, SOAR 및 위협 정보 솔루션 대신 새로운 Google Cloud 보안 운영 솔루션은 보안 운영 기능을 통합하여 보안 팀이 더 빠르게 방향을 전환하고 알림을 보다 효과적으로 관리할 수 있도록 합니다. Google Cloud Chronicle SIEM, SOAR, GCP의 동급 최고의 위협 정보는 보안 위협 감지 및 작업을 원활하게 자동화합니다.

6. 소프트웨어 공급망의 변화

소프트웨어 공급망의 미래는 애플리케이션을 개발하고 배포하는 동안 보안, 지속 가능성 및 신경 포괄성 측면을 포함할 것입니다.

Security Inclusion

DevSecOps의 채택이 증가하고 있음에도 불구하고 해커가 공급망 취약성을 노리는 사이버 보안 위험이 여전히 만연해 있습니다. Gartner 는 2025년까지 글로벌 기업의 45%가 소프트웨어 공급망 공격을 경험할 것으로 예측합니다. 또한 더 많은 조직이 분산 애플리케이션, 데이터 주권 및 보안 규정 준수를 보장하기 위해 멀티 클라우드를 채택하고 있습니다.

Sustainability Inclusion

기후 변화와 글로벌 지속 가능성에 중점을 둔 조직은 탄소 배출 목표에 기여하고 이를 달성할 수 있는 방법을 찾고 있습니다. 미래의 공급망은 조직의 지속 가능성 목표를 달성하기 위해 배치된 워크로드의 탄소 배출 지수를 포함할 것입니다.기후 변화와 글로벌 지속 가능성에 중점을 둔 조직은 탄소 배출 목표에 기여하고 이를 달성할 수 있는 방법을 찾고 있습니다. 미래의 공급망은 조직의 지속 가능성 목표를 달성하기 위해 배치된 워크로드의 탄소 배출 지수를 포함할 것입니다.

Neuro-inclusive Design

애플리케이션 사용성과 고객 경험을 개선하려면 소음 진동이나 팝업이 디자인에 표시되는 방식을 고려하여 주의를 산만하게 하는 감각 자극을 생성하는 신경 포함 디자인이 필요합니다. 상호 작용 및 시각적 기능을 개발할 때 균형, 비율, 단일성, 빛, 색상, 공간 및 패턴에 초점을 맞춘 신경 포함 원칙을 활용하는 것이 필수적입니다.

7. 애플리케이션 현대화가 탄력을 받을 것입니다.

엔터프라이즈 디지털 혁신 이니셔티브가 CIO와 기술 리더에게 점점 더 민첩하고 혁신적이면서 비용을 낮추라는 압력을 가함에 따라 조직이 인프라 개선에 집중하는 것이 중요해졌습니다. 지난 몇 년 동안 조직은 기술 혁신에 막대한 투자를 했으며 변화의 약 60%는 인프라 현대화에 있었습니다. 2023년에는 조직이 애플리케이션 혁신에 더 집중하고 비즈니스 프로세스에 혁신을 가져올 것으로 기대합니다. 혁신은 최신 기술과 도구를 구현하는 것뿐만 아니라 특정 사용 사례에 맞게 조정된 새로운 솔루션을 찾는 데 중점을 둡니다.

GCP의 지원 방식: Google Cloud는 애플리케이션을 현대화하기 위한 포괄적인 기능 세트를 제공합니다. Anthos는 사용자가 새 애플리케이션을 빠르게 빌드하고 기존 앱을 업그레이드하여 민첩성을 높일 수 있도록 지원합니다. 또한 GCP는 컨테이너로의 마이그레이션을 사용하여 현대화를 위한 가속화된 수단을 제공하여 기존 앱을 네이티브 컨테이너로 빠르게 현대화합니다. 워크로드를 현대화하고 입증된 고객 성공 사례를 보여주는 진정한 가치가 있습니다. 그러나 컨테이너화 자동화는 아직 현대화 프로그램을 시작하지 않은 조직에 절실히 필요한 점프 스타트를 제공할 것입니다.

8. 개발자 속도가 향상됩니다.

개발자는 애플리케이션을 개발, 구축 및 배포하는 동안 여러 기술을 관리해야 합니다. 앱 개발자, 데이터 엔지니어 및 데이터 과학자는 새로운 기능을 개발하기 위해 다양한 도구/통합 개발 환경(IDE)이 필요합니다. 모든 프로젝트의 첫 번째 단계는 개발 환경에서 개발자에게 권한을 부여하고 기업 보안 정책이 포함된 올바른 도구를 제공하는 것입니다.
GCP의 지원 방식: Google Cloud Workstation은 브라우저 또는 로컬 IDE를 통해 언제 어디서나 액세스할 수 있는 안전하고 빠른 개발 환경을 통해 개발자 생산성을 향상하는 동시에 널리 사용되는 여러 IDE 및 맞춤설정 가능한 개발자 도구를 지원합니다. 2023년에 급등할 개발자 속도 향상 관행의 다른 수단은 다음과 같습니다.

  • 앱 개발자의 역량을 강화하는 자동화된 컨테이너화
  • Spanner 및 PostgreSQL의 ML 모델을 사용하여 데이터베이스 개발자의 생산성 향상
  • Cloud SQL 및 Cloud Ops와 같은 PaaS 서비스에서 AI를 사용하면 모니터링 및 로깅이 자동화됩니다.
  • Google Cloud에서 애플리케이션을 개발하기 위한 IDE용 Cloud Code 플러그인
  • DevOps 파이프라인 개발을 가속화하는 Cloud Build 및 Cloud Deploy
9. SAP On GCP가 관심을 끌 것입니다.

SAP 워크로드용 마이그레이션 및 현대화 프로그램을 통한 ERP 전환에 대한 관심이 높아질 것입니다.

GCP의 지원 방식: 조직은 AI/ML 구성 요소와 쉽게 통합할 수 있는 Google의 AI, ML 및 고급 분석 기능을 사용하여 SAP 데이터에서 얻은 통찰력을 극대화합니다. 블록에는 비전, 번역 및 텍스트 음성 변환이 포함되며 민첩한 의사 결정을 활용하여 프로세스를 자동화하고 지능적으로 예측하며 운영을 간소화할 수 있습니다.

10. GCP를 통한 메인프레임 현대화 속도 향상

조직에는 온프레미스에서 실행되는 중요한 워크로드가 있어 지난 10년 동안 메인프레임 현대화가 뜨거운 주제가 되었습니다. CIO 보고서에 따르면 많은 사람들이 메인프레임의 종말을 예견했습니다. 그러나 그것은 우뚝 서 있고, 강하고, 성장하고 있습니다. 시간이 지남에 따라 “현대화”라는 용어는 여러 가지 방식으로 나타났습니다. 그러나 조직에서 메인프레임을 현대화하기 위한 전략을 수립하는 두 가지 기본 방법이 있습니다.

리프트 앤 시프트: 데이터와 애플리케이션 계층의 긴밀한 결합을 고려할 때 메인프레임을 클라우드로 마이그레이션하는 것은 어려운 일입니다. 기업은 기술 아키텍처를 이동, 현대화 또는 변환하기 위해 약간의 비즈니스 중단을 경험하게 됩니다.

GCP 지원 방식: Dual Run은 병렬 처리를 지원합니다. 즉, 고객은 기존 메인프레임과 Google Cloud에서 동시 작업 부하를 실행하여 실시간 테스트를 수행하고 비즈니스 중단 없이 성능 및 안정성 데이터를 신속하게 수집할 수 있습니다.

클라우드 네이티브에서 재설계하여 현대화: 이 접근 방식을 사용하려면 메인프레임에서 실행되는 애플리케이션 코드 베이스에 대한 깊은 이해가 필요합니다.

GCP의 지원 방식: Google은 G4라는 자동 검색 및 리팩터링 도구를 제공합니다. GCP 메인프레임 현대화 솔루션은 저위험 마이그레이션을 위해 산업화되고 검증된 프로세스와 도구를 제공합니다. 이를 통해 기업은 데이터 우선 접근 방식, 전체 워크로드 마이그레이션 또는 둘 다에서 전체 마이그레이션을 쉽게 처리할 수 있습니다.

출처

Load More Posts
문의하기 베스픽 구독하기
궁금한 점이 있다면 클릭해주세요.