Resource Guard를 사용한 다중 사용자 권한 부여 정보
Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 사용하면 Recovery Services 및 Backup 자격 증명 모음의 중요한 작업에 추가 보호 계층을 추가할 수 있습니다. MUA의 경우 Azure Backup은 Resource Guard라는 다른 Azure 리소스를 사용하여 해당 권한 부여를 통해서만 중요한 작업이 수행되도록 합니다.
참고 항목
이제 백업 자격 증명 모음에 리소스 가드를 사용한 다중 사용자 권한 부여가 일반 공급됩니다.
Backup용 MUA는 어떻게 작동하나요?
Azure Backup은 Resource Guard를 Recovery Services 자격 증명 모음 또는 Backup 자격 증명 모음에 대한 추가 권한 부여 메커니즘으로 사용합니다. 따라서 중요한 작업(아래 설명)을 성공적으로 수행하려면 연결된 Resource Guard에 대한 충분한 권한도 있어야 합니다.
Important
의도한 대로 작동하려면 Resource Guard는 다른 사용자가 소유해야 하며 자격 증명 모음 관리자는 Resource Guard에 대해 기여자, Backup MUA 관리자 또는 Backup MUA 운영자 권한이 없어야 합니다. 더 나은 보호를 제공하기 위해 자격 증명 모음을 포함하는 것과 다른 구독 또는 테넌트에 Resource Guard를 배치할 수 있습니다.
중요한 작업
다음 표는 중요한 작업으로 정의되고 Resource Guard로 보호할 수 있는 작업을 나열합니다. 자격 증명 모음을 연결할 때 Resource Guard를 사용하여 보호되지 않도록 특정 작업을 제외할 수 있습니다.
참고 항목
필수로 표시된 작업은 연결된 자격 증명 모음에 대해 Resource Guard를 사용하여 보호 대상에서 제외할 수 없습니다. 또한 제외된 중요 작업은 Resource Guard와 연결된 모든 자격 증명 모음에 적용됩니다.
자격 증명 모음 선택
| 연산 | 필수/선택 사항 | 설명 |
|---|---|---|
| 일시 삭제 또는 보안 기능 사용 안 함 | 필수 | 자격 증명 모음에서 일시 삭제 설정을 사용하지 않도록 설정합니다. |
| MUA 보호 제거 | 필수 | 자격 증명 모음에 대해 MUA 보호를 사용하지 않도록 설정합니다. |
| 보호 삭제 | 선택 사항 | 백업을 중지하고 데이터 삭제를 수행하여 보호를 삭제합니다. |
| 보호 수정 | 선택 사항 | 보존이 감소된 새 백업 정책을 추가하거나 정책 빈도를 변경하여 RPO를 늘립니다. |
| 정책 수정 | 선택 사항 | 백업 정책을 수정하여 보존을 줄이거나 정책 빈도를 변경하여 RPO를 늘립니다. |
| 백업 보안 PIN 받기 | 선택 사항 | MARS 보안 PIN을 변경합니다. |
| 백업 중지 및 데이터 보존 | 선택 사항 | 백업을 중지하고 데이터 영구 보존을 수행하거나 정책에 따라 보존하여 보호를 삭제합니다. |
| 불변성 사용 안 함 | 선택 사항 | 자격 증명 모음에서 불변성 설정을 사용하지 않도록 설정합니다. |
개념 및 프로세스
Azure Backup에 MUA를 사용할 때 관련된 개념과 프로세스는 아래에 설명되어 있습니다.
프로세스와 책임에 대한 명확한 이해를 위해 다음 두 가상 사용자를 고려해 보겠습니다. 이 두 가상 사용자는 이 문서 전체에서 참조됩니다.
백업 관리자: Recovery Services 자격 증명 모음 또는 Backup 자격 증명 모음의 소유자이며 자격 증명 모음에 대한 관리 작업을 수행합니다. 우선 백업 관리자는 Resource Guard에 대한 권한이 없어야 합니다. Recovery Services 자격 증명 모음에 대해 Backup 운영자 또는 백업 기여자 RBAC 역할일 수 있습니다.
보안 관리자: Resource Guard의 소유자이며 자격 증명 모음에서 중요한 작업의 게이트키퍼 역할을 합니다. 따라서 보안 관리자는 백업 관리자가 자격 증명 모음에서 중요한 작업을 수행하는 데 필요한 권한을 제어합니다. Resource Guard에 대해 Backup MUA 관리자 RBAC 역할일 수 있습니다.
다음은 Resource Guard를 사용하여 구성된 MUA가 있는 자격 증명 모음에서 중요한 작업을 수행하기 위한 다이어그램 표현입니다.
다음은 일반적인 시나리오의 이벤트 흐름입니다.
Backup 관리자가 Recovery Services 자격 증명 모음 또는 Backup 자격 증명 모음을 만듭니다.
보안 관리자는 Resource Guard를 만듭니다.
Resource Guard는 자격 증명 모음에 대해 다른 구독 또는 다른 테넌트에 있을 수 있습니다. Backup 관리자에게 Resource Guard에 대해 기여자, Backup MUA 관리자 또는 Backup MUA 운영자 권한이 없는지 확인합니다.
보안 관리자는 Resource Guard(또는 관련 범위)의 백업 관리자에게 읽기 권한자 역할을 부여합니다. 백업 관리자는 자격 증명 모음에서 MUA를 사용하도록 설정하기 위해 읽기 권한자 역할이 필요합니다.
이제 Backup 관리자는 Resource Guard를 통해 MUA로 보호되도록 자격 증명 모음을 구성합니다.
이제 Backup 관리자 또는 자격 증명 모음에 대한 쓰기 권한이 있는 사용자가 자격 증명 모음에서 Resource Guard로 보호되는 중요한 작업을 수행하려는 경우 Resource Guard에 대한 액세스를 요청해야 합니다. Backup 관리자는 이러한 작업을 수행하기 위한 액세스 권한을 얻는 방법에 대한 세부 정보를 보안 관리자에게 문의할 수 있습니다. PIM(Privileged Identity Management) 또는 조직에서 요구하는 기타 프로세스를 사용하여 이 작업을 수행할 수 있습니다. 사용자가 Resource Guard로 “보호되는 중요한 작업만 수행하도록 허용하고 Resource Guard 삭제를 허용하지 않는 “Backup MUA 운영자” RBAC 역할을 요청할 수 있습니다.
보안 관리자는 중요한 작업을 수행하기 위해 백업 관리자에게 Resource Guard에 대한 “Backup MUA 운영자” 역할을 일시적으로 부여합니다.
그런 후 Backup 관리자가 중요한 작업을 시작합니다.
Azure Resource Manager는 백업 관리자에게 충분한 권한이 있는지 확인합니다. 이제 Backup 관리자에게 Resource Guard에 대한 “Backup MUA 운영자” 역할이 있으므로 요청이 완료됩니다. Backup 관리자에게 필요한 권한/역할이 없으면 요청이 실패합니다.
보안 관리자는 승인된 작업이 수행된 후 또는 정의된 기간 후에 중요한 작업을 수행할 수 있는 권한이 취소되도록 합니다. JIT 도구 Microsoft Entra Privileged Identity Management를 사용하여 동일한 사항을 확인할 수 있습니다.
참고 항목
- Backup 관리자에게 Resource Guard에 대한 기여자 또는 Backup MUA 관리자 역할을 일시적으로 부여하면 Resource Guard에 대한 삭제 권한도 제공됩니다. Backup MUA 운영자 권한만 제공하는 것이 좋습니다.
- MUA는 자격 증명 모음 백업에서만 수행되는 위에 나열된 작업에 대한 보호를 제공합니다. 데이터 원본(즉, 보호되는 Azure 리소스/워크로드)에서 직접 수행되는 모든 작업은 Resource Guard의 범위를 벗어납니다.
사용 시나리오
다음 표에서는 각각에서 제공하는 상대적 보호와 함께 Resource Guard 및 자격 증명 모음(Recovery Services 자격 증명 모음 및 Backup 자격 증명 모음)을 만드는 시나리오를 설명합니다.
Important
Backup 관리자는 모든 시나리오에서 Resource Guard에 대해 기여자, Backup MUA 관리자 또는 Backup MUA 운영자 권한이 있어야 합니다. 그러면 자격 증명 모음에 대한 UA 보호 추가가 재정의됩니다.
| 사용 시나리오 | MUA로 인한 보호 | 구현 용이성 | 참고 |
|---|---|---|---|
| 자격 증명 모음 및 Resource Guard는 동일한 구독에 있습니다. Backup 관리자는 Resource Guard에 액세스할 수 없습니다. |
백업 관리자와 보안 관리자 간의 최소 격리. | 하나의 구독만 필요하므로 구현하기가 상대적으로 쉽습니다. | 리소스 수준 권한/역할이 올바르게 할당되었는지 확인해야 합니다. |
| 자격 증명 모음 및 Resource Guard는 테넌트는 같지만 다른 구독에서 입니다. Backup 관리자는 Resource Guard 또는 해당 구독에 대해 액세스 권한이 없습니다. |
백업 관리자와 보안 관리자 간의 중간 격리. | 두 개의 구독(단 하나의 테넌트)이 필요하기 때문에 구현이 비교적 쉽습니다. | 리소스 또는 구독에 권한/역할이 올바르게 할당되었는지 확인합니다. |
| 자격 증명 모음 및 Resource Guard는 다른 테넌트에 있습니다. Backup 관리자는 Resource Guard, 해당 구독 또는 해당 테넌트에 대해 액세스 권한이 없습니다. |
백업 관리자와 보안 관리자 간의 최대 격리, 따라서 최대 보안입니다. | 테스트하려면 두 개의 테넌트 또는 디렉터리가 필요하므로 테스트하기가 상대적으로 어렵습니다. | 리소스, 구독 또는 디렉터리에 대한 권한/역할이 올바르게 할당되었는지 확인합니다. |