ID 및 액세스 관리 디자인 영역

ID 및 액세스 관리 디자인 영역은 안전하고 완전히 규정을 준수하는 퍼블릭 클라우드 아키텍처의 기초를 설정하는 데 사용할 수 있는 모범 사례를 제공합니다.

기업은 복잡하고 이질적인 기술 환경을 가질 수 있으므로 보안이 중요합니다. 강력한 ID 및 액세스 관리는 퍼블릭 클라우드에서 보안 경계를 만들어 최신 보호의 기초를 형성합니다. 권한 부여 및 액세스 제어를 통해 확인된 디바이스를 사용하는 인증된 사용자만 애플리케이션 및 리소스에 액세스하고 관리할 수 있습니다. 적절한 개인이 적절한 이유로 적절한 시간에 적절한 리소스에 액세스할 수 있도록 합니다. 또한 신뢰할 수 있는 감사 로깅 및 사용자 또는 워크로드 ID 작업의 비구제도를 제공합니다. 생산성을 향상시키고 무단 권한 상승 또는 데이터 반출의 위험을 완화하기 위해 사용자 액세스, 제어 및 관리 평면, 외부 액세스 및 권한 있는 액세스를 포함하여 일관된 엔터프라이즈 액세스 제어를 제공해야 합니다.

Azure는 조직에서 매우 안전하고 운영 효율적인 환경을 만드는 데 도움이 되는 포괄적인 서비스, 도구 및 참조 아키텍처 집합을 제공합니다. 클라우드 환경에서 ID를 관리하기 위한 몇 가지 옵션이 있습니다. 각 옵션은 비용과 복잡성에 따라 다릅니다. 기존 온-프레미스 ID 인프라와 통합하는 데 필요한 양에 따라 클라우드 기반 ID 서비스를 결정합니다. 자세한 내용은 ID 결정 가이드를 참조 하세요.

Azure 랜딩 존의 ID 및 액세스 관리

ID 및 액세스 관리는 플랫폼 및 애플리케이션 랜딩 존 모두에서 핵심 고려 사항입니다. 구독 민주화의 디자인 원칙에 따라 애플리케이션 소유자는 플랫폼 팀의 개입을 최소화하면서 자체 애플리케이션 및 리소스를 관리할 수 있는 자율성을 가져야 합니다. 랜딩 존은 보안 경계이며 ID 및 액세스 관리는 네트워킹 및 Azure Policy와 같은 구성 요소와 함께 한 랜딩 존과 다른 랜딩 존의 분리를 제어하는 방법을 제공합니다. 강력한 ID 및 액세스 관리 디자인을 적용하여 애플리케이션 랜딩 존 격리를 달성합니다.

플랫폼 팀은 Microsoft Entra ID, Microsoft Entra Do기본 Services 및 AD DS(Active Directory 도메인 Services)와 같은 중앙 집중식 디렉터리 서비스 배포 및 관리를 포함하여 ID 및 액세스 관리의 기초를 담당합니다. 애플리케이션 랜딩 존 관리자 및 애플리케이션에 액세스하는 사용자는 이러한 서비스를 사용합니다.

애플리케이션 팀은 애플리케이션에 대한 사용자 액세스 및 Azure SQL Database, 가상 머신 및 Azure Storage와 같은 애플리케이션 구성 요소 간의 보안 유지를 포함하여 애플리케이션의 ID 및 액세스 관리를 담당합니다. 잘 구현된 랜딩 존 아키텍처에서 애플리케이션 팀은 플랫폼 팀이 제공하는 서비스를 손쉽게 사용할 수 있습니다.

ID 및 액세스 관리의 기본 개념 중 대부분은 RBAC(역할 기반 액세스 제어) 및 최소 권한 원칙과 같은 플랫폼 및 애플리케이션 랜딩 존 모두에서 동일합니다.

디자인 영역 검토

함수: ID 및 액세스 관리에는 다음 함수 중 하나 이상을 지원해야 합니다. 이러한 기능을 수행하는 역할은 의사 결정을 내리고 구현하는 데 도움이 될 수 있습니다.

• 클라우드 플랫폼 함수
• 탁월한 기능의 클라우드 센터
• 클라우드 보안 팀 기능

범위: 이 디자인 영역의 목표는 ID 및 액세스 기반에 대한 옵션을 평가하는 데 도움이 되는 것입니다. ID 전략을 디자인할 때 다음 작업을 수행해야 합니다.

• 사용자 및 워크로드 ID를 인증합니다.
• 리소스에 대한 액세스 권한을 할당합니다.
• 의무 분리에 대한 핵심 요구 사항을 결정합니다.
• 하이브리드 ID를 Microsoft Entra ID와 동기화합니다.

범위를 벗어났습니다. ID 및 액세스 관리는 적절한 액세스 제어를 위한 토대를 형성하지만 다음과 같은 고급 측면을 다루지는 않습니다.

• 제로 트러스트 모델입니다.
• 상승된 권한의 운영 관리입니다.
• 일반적인 ID 및 액세스 실수를 방지하기 위한 자동화된 가드레일입니다.

보안 및 거버넌스를 위한 규정 준수 디자인 영역은 범위를 벗어난 측면을 다룹니다. ID 및 액세스 관리에 대한 포괄적인 권장 사항은 Azure ID 관리 및 액세스 제어 보안 모범 사례를 참조 하세요.

디자인 영역 개요

ID는 다양한 보안 보증에 대한 기초를 제공합니다. 클라우드 서비스에서 ID 인증 및 인증 제어를 기반으로 액세스 권한을 부여합니다. 액세스 제어는 데이터 및 리소스를 보호하고 허용해야 하는 요청을 결정하는 데 도움이 됩니다.

ID 및 액세스 관리는 퍼블릭 클라우드 환경의 내부 및 외부 경계를 보호하는 데 도움이 됩니다. 완벽하게 규정을 준수하는 안전한 퍼블릭 클라우드 아키텍처의 기반입니다.

다음 문서에서는 클라우드 환경에서 ID 및 액세스 관리에 대한 디자인 고려 사항 및 권장 사항을 검토합니다.

• Active Directory 및 Microsoft Entra ID를 사용하는 하이브리드 ID
• 랜딩 존 ID 및 액세스 관리
• 애플리케이션 ID 및 액세스 관리

설정된 패턴 및 사례를 사용하여 Azure에서 솔루션을 디자인하는 방법에 대한 지침은 ID 아키텍처 디자인을 참조하세요.

팁

여러 Microsoft Entra ID 테넌트가 있는 경우 Azure 랜딩 존 및 여러 Microsoft Entra 테넌트 참조

다음 단계

Active Directory 및 Microsoft Entra ID를 사용하는 하이브리드 ID