[Azure Management & Governance] Azure Policy 란 ? #1

Azure를 운영하다 보면 리소스가 늘어날수록 보안 규정 준수(Compliance), 표준화(Standardization), 비용 관리 (Cost Control) 등 다양한 관리 포인트가 생기게 됩니다. 이러한 문제를 해결하는 가장 강력한 기능이 바로 "Azure Policy"입니다.

"Azure Policy"는 Azure 환경 전체에 규칙(정책)을 정의하고, 이를 관리 그룹(Management Groups) → 구독(Subscriptions) → 리소스 그룹(Resource Groups) → 리소스(Resources) 계층으로 할당하여 규정 준수 상태를 모니터링할 수 있게 하는 서비스입니다.

1. Azure Policy의 동작 흐름 

Azure Policy의 전체 흐름은 크게 3단계로 구성됩니다.

정책 정의 (Policy Definition) → 정책 할당 (Policy Assignment) → 정책 평가 (Policy Evaluation)

 

2. 정책 정의 (Policy Definition)
정책 정의 단계는 “Azure 리소스가 어떤 기준을 따라야 하는가?”를 결정하는 과정입니다.
Azure Policy는 이러한 기준을 JSON 기반의 Policy Definition으로 작성하며, 두 가지 방식으로 활용할 수 있습니다.

Built‑in Policy: Microsoft에서 제공하는 기본 정책
Custom Policy: 조직 요구사항에 맞게 직접 작성한 정책
ex) 
- 특정 Region(지역)에서만 VM을 생성하도록 제한
- 모든 리소스에 특정 태그(Tag) 강제 적용
- Public IP 주소 생성 금지
- Storage Account에서 HTTPS 통신만 허용
- Key Vault 방화벽 규칙 설정 필수

3. 정책 할당 (Policy Assignment)
정의된 정책은 실제 Azure 환경에 할당(Assignment) 되어야 적용됩니다.
정책은 Azure의 계층적 구조 어디에서든 지정할 수 있습니다.

Management Group
Subscription
Resource Group
개별 리소스

상속(Inheritance)의 특징
Azure Policy는 계층 구조 기반으로 적용되기 때문에, 상위 계층에 정책을 설정하면 자동으로 하위 계층까지 상속됩니다.
ex)
Management Group에 “필수 태그 정책”을 적용하면
→ 해당 MG 아래 모든 Subscription 및 Resource Group에 동일 정책이 그대로 적용됩니다.

4. 정책 평가 (Policy Evaluation)
정책이 할당되면 Azure는 환경 전체 리소스를 주기적으로 스캔하여 준수 여부를 평가합니다.
평가 결과는 Azure Portal의 Policy 대시보드에서 시각적으로 확인할 수 있습니다.

전체 규정 준수 점수(Compliance Score)
준수/미준수 리소스 수
미준수 리소스의 상세 원인
자동 수정이 필요한 항목

이 단계는 운영자가 정책 위반 사항을 빠르게 파악하고 조치하도록 돕습니다.


5. Azure Policy를 사용하면 얻는 효과
✔ 조직 표준 및 규정 준수 자동화
수동 검토 없이 환경 전체에서 표준을 강제할 수 있습니다.
✔ 보안 강화
비정상적이거나 위험한 설정을 사전에 차단합니다.
✔ 리소스 운영 관리 최적화
팀/부서마다 설정이 달라지는 문제를 해결합니다.
✔ 자동 수정(Remediation) 지원
태그 자동 추가, 설정 변경 등 일부 정책은 자동으로 보정 가능합니다.

Next > 실습