클라우드 거버넌스는 조직이 가드레일을 설정하여 클라우드 서비스 사용을 제어하는 방법입니다. 이러한 가드레일은 허용 가능하고 허용되지 않는 클라우드 활동을 정의하는 정책, 절차 및 도구 집합입니다. 효과적인 클라우드 거버넌스는 클라우드 사용량을 비즈니스 목표에 맞게 조정하고, 위험을 완화하며, 규정 준수를 보장하며, 관리되지 않거나 권한이 없는 클라우드 작업을 방지합니다. 실제로 클라우드 거버넌스는 보안, 규정 준수, 운영, 비용 관리, 데이터 관리, 리소스 프로비저닝, AI와 같은 새로운 영역과 같은 주요 도메인을 다룹니다.
빠른 링크:Azure 거버넌스 도구 및 예제 거버넌스 RACI 매트릭스
거버넌스 프로세스: 클라우드 거버넌스는 일회성 프로젝트가 아니라 연속 프로세스입니다. 초기 설정 후에는 새로운 기술, 진화하는 위험 및 변화하는 요구 사항에 적응하기 위해 지속적인 모니터링, 평가 및 업데이트가 필요합니다. 1단계에서 거버넌스 기반을 설정한 후 2~5단계는 주기에 반복되어 시간이 지남에 따라 거버넌스를 유지하고 개선합니다.
첫 번째 단계는 조직 전체에서 클라우드 거버넌스를 감독하는 전용 클라우드 거버넌스 팀을 설정하는 것입니다. 이 팀은 클라우드 관련 위험을 관리하고, 거버넌스 정책을 개발 및 업데이트하고, 거버넌스 진행 상황을 보고할 책임이 있습니다. 팀 구성원은 다양한 사업부의 요구 사항을 이해하고 거버넌스 정책이 비즈니스 목표를 차단하지 않고 위험을 효과적으로 최소화하도록 해야 합니다. 이 단계의 결과는 클라우드 거버넌스 성공에 대한 명확한 소유권과 책임을 갖는 것입니다.
1. 팀의 기능 정의
클라우드 거버넌스 팀이 담당하는 대상과 거버넌스를 구현하기 위해 수행할 활동을 명확하게 설명합니다. 최소한 팀은 다음을 수행할 수 있어야 합니다.
이해 관계자 참여 클라우드 거버넌스 팀은 클라우드 거버넌스 정책 정의에 대한 입력을 수집하기 위해 조직 전체(IT, 재무, 운영, 보안 및 규정 준수)의 이해 관계자를 적극적으로 참여시켜야 합니다. 목표는 클라우드 거버넌스 정책이 팀이 비즈니스 목표를 달성하지 못하도록 방지하지 않고 위험을 최소화하는 것입니다.
클라우드 위험을 평가합니다. 클라우드 거버넌스 팀은 클라우드 관련 위험의 식별 및 평가를 감독해야 합니다. 팀은 위험 평가 프로세스를 구동하고 위험 결과를 전달합니다. 다른 사용자가 클라우드의 보안, 규정 준수 및 운영 위험을 평가할 수 있는 도구 또는 프레임워크를 제공할 수 있습니다.
거버넌스 정책을 개발하고 업데이트합니다. 클라우드 거버넌스 팀은 식별된 위험을 해결하는 클라우드 거버넌스 정책을 문서화해야 합니다. 팀은 이러한 정책이 다양한 그룹에 대해 발생하는 문제를 해결하고 정기적으로 정책을 검토하여 기술 변화와 새로운 요구 사항을 최신 상태로 유지합니다. 정책은 포괄적이고 적용 가능하며 현재 비즈니스 요구 사항에 부합해야 합니다.
규정 준수를 모니터링하고 검토합니다. 클라우드 거버넌스 팀은 거버넌스 정책이 얼마나 효과적인지 측정하기 위해 메트릭 및 보고 방법을 설정해야 합니다. 규정 준수 수준, 정책 위반, 인시던트 응답 시간 및 사용자 만족도를 추적합니다. 이러한 메트릭을 정기적으로 검토하여 개선 영역을 식별하고 조직의 클라우드 거버넌스 상태를 보고합니다.
2. 팀 구성원 선택
정책을 적용하고, 위험을 관리하고, 규정 준수를 보장할 수 있는 적절한 기술과 경험을 가진 클라우드 거버넌스 팀의 개인을 선택합니다. 팀 구성에 대한 몇 가지 권장 사항:
작은 팀을 유지합니다. 민첩성과 신속한 의사 결정을 장려하기 위해 작은 팀을 선택합니다.
다양한 표현을 보장합니다. 다른 부서 또는 도메인의 팀 구성원을 포함합니다. 예를 들어 IT 운영, 클라우드 아키텍처, 보안, 규정 준수, 재무 및 애플리케이션 개발 등이 있습니다. 기능 간 표현은 거버넌스 정책이 여러 관점을 고려하도록 합니다.
팀 구성원의 책임을 정의합니다. 클라우드 거버넌스 팀 내에서 역할 및 책임을 정의합니다. 조직의 크기, 복잡성 및 클라우드 완성도에 맞게 조정합니다. 주요 책임 영역에는 일반적으로 전반적인 클라우드 거버넌스 프로그램 성공, 클라우드 아키텍처 감독, 클라우드 보안, 규정 준수 및 클라우드 재무 관리(비용 최적화)가 포함됩니다.
3. 팀의 권한 정의
조직 전체에서 거버넌스를 구현하는 데 필요한 의무와 지원을 통해 클라우드 거버넌스 팀에 권한을 부여합니다. 이 작업을 수행하는 단계는 다음과 같습니다.
경영진의 후원을 보호합니다. 클라우드 거버넌스 이니셔티브를 지원하기 위해 CIO 또는 CTO와 같은 명명된 임원으로부터 지원을 받고 보고합니다. 경영진 스폰서는 과제에 대한 에스컬레이션 지점 역할을 하며 클라우드 거버넌스를 비즈니스 목표에 맞추는 데 도움이 됩니다.
권한 수준을 설정합니다. 임원 후원자는 팀에 클라우드 거버넌스 정책을 정의하고 비준수에 대한 시정 조치를 취할 수 있는 권한을 부여해야 합니다.
권위를 전달하다. 임원 후원자는 클라우드 거버넌스 팀의 권한을 전체 조직에 전달해야 합니다. 만드는 클라우드 거버넌스 정책을 준수하는 것의 중요성을 포함합니다.
4. 팀의 범위 정의
클라우드 거버넌스 팀의 책임 경계를 설정합니다. 목표는 클라우드 거버넌스 팀이 정의된 기능에 집중할 수 있도록 책임 영역을 명확히 하는 것입니다. 범위를 정의하려면 다음 권장 사항을 따릅니다.
다른 팀과의 관계를 정의합니다. 클라우드 거버넌스 팀이 기존 IT 거버넌스, 온-프레미스 인프라 팀 또는 애플리케이션 팀과 상호 작용하는 방법을 결정합니다. 예를 들어 하이브리드 환경에서 클라우드 거버넌스 팀이 처리하는 측면과 기존 IT 거버넌스를 지정합니다. 범위를 명확하게 구분하면 누가 무엇을 관리하는지에 대한 혼동을 방지할 수 있습니다.
RACI 매트릭스를 사용합니다. 거버넌스 관련 작업과 각 역할을 맡은 사람이 누구인지 나타내는 RACI(책임자, 책무자, 협의자, 정보제공자) 차트를 만드는 것이 유용할 수 있습니다. 예를 들어 클라우드 거버넌스 팀은 정책 개발에 대한 책임이 있을 수 있지만 클라우드 플랫폼 엔지니어는 특정 컨트롤을 구현하는 등의 작업을 담당합니다. RACI 매트릭스를 사용하면 모든 사용자가 클라우드 거버넌스에서 자신의 역할을 알고 거버넌스 팀이 다른 그룹과 공동 작업하는 방법을 알 수 있습니다.
클라우드 거버넌스 RACI 매트릭스 예제
다음 표는 클라우드 거버넌스를 위한 RACI 매트릭스의 예입니다. 행렬은 다양한 클라우드 거버넌스 작업에서 누가 책임자(R), 책임자(A), 자문(C), 통보받은(I)인지를 나타냅니다. 조직에 맞춰 특정 요구 사항을 충족하는 RACI 매트릭스를 만듭니다.
| 과업 | 클라우드 거버넌스 팀 | 임원 스폰서 | 클라우드 플랫폼 팀 | 워크로드 팀 |
|---|---|---|---|---|
| Engage 관련자 | R, A | I | C | C |
| 클라우드 위험 평가 | A | I | R | R |
| 거버넌스 정책 개발 및 업데이트 | R, A | I | C | C |
| 클라우드 거버넌스 진행률 보고 | R, A | I | C | C |
| 클라우드 아키텍처 계획 | A | I | R | R |
| 거버넌스 정책 적용 | A, C | I | R | R |
| 규정 준수 모니터링 | A, C | I | R | R |
이러한 매트릭스를 갖는 것은 무엇을 누가 명확히하는 데 도움이됩니다. 예를 들어 클라우드 거버넌스 팀은 클라우드 위험을 평가할 책임이 있지만 클라우드 플랫폼 및 워크로드 팀은 해당 영역에서 위험 평가를 수행할 책임이 있습니다(R). 클라우드 거버넌스 팀은 시행에 대해 컨설팅을 받거나 책임을 지며, 플랫폼 및 워크로드 팀이 실제로 이를 수행합니다.
팀의 기능, 멤버 자격, 권한 및 범위를 설정하여 클라우드 거버넌스를 위한 기반을 만들었습니다. 이제 이 팀은 정책 정의, 정책 적용 및 규정 준수 모니터링의 다음 단계를 진행합니다.