Azure에서 매우 중요한 IaaS 앱에 대한 보안 고려 사항

Azure에 IaaS(Infrastructure-as-a-Service) 앱을 배포하기 위한 많은 보안 고려 사항이 있습니다. 이 문서에서는 Azure 보안 기본 사항에 따라 Azure에서 매우 중요한 IaaS 워크로드 보안에 초점을 맞추기 위해 가상 머신 기반 워크로드 및 하이브리드 네트워크 인프라에 대한 참조 아키텍처를 기반으로 합니다.

또한 Azure의 IaaS 워크로드에 대한 Azure가상 머신 보안 개요 및 보안 모범 사례를 참조하세요.

Azure VM

Azure의 컴퓨팅 플랫폼은 머신 가상화를 기반으로 합니다. 하이퍼바이저는 각 Azure 노드 또는 네트워크 엔드포인트의 물리적 하드웨어에서 실행되며 노드에 다양한 수의 게스트 Hyper-V VM(가상 머신)을 만듭니다. 모든 사용자 코드는 VM에서 실행됩니다. 기본 Azure VM 배포 지침은 Azure에서 Linux VM 실행 또는 Azure에서 Windows VM 실행을 참조하세요. 대부분의 배포 프로세스는 두 OS(운영 체제)에 대해 동일하지만 디스크 암호화와 같은 OS 관련 도구는 다를 수 있습니다.

VM 패치 관리에 클라우드용 Microsoft Defender를 사용하고 맬웨어 방지 도구를 배포 및 모니터링할 수 있습니다. 또는 기존 인프라를 Azure로 확장하거나 마이그레이션할 때 일반적인 고유한 또는 타사 패치 및 맬웨어 방지 도구를 관리할 수 있습니다.

Microsoft는 Azure 플랫폼의 일부로 기본 DDoS(분산 서비스 거부) 보호를 제공합니다. 퍼블릭 엔드포인트가 있는 앱은 추가 보호를 위해 표준 Azure DDoS Protection을 사용할 수 있습니다. 그러나 매우 중요한 워크로드에는 일반적으로 퍼블릭 엔드포인트가 없으며 VPN(가상 사설망) 또는 임대 라인을 통해 특정 위치에서만 액세스할 수 있습니다.

N 계층 아키텍처

많은 IaaS 애플리케이션이 여러 VM에서 호스트되는 웹 계층, 비즈니스 계층 및 데이터 계층과 같은 여러 계층으로 구성됩니다. Azure VM에 N 계층 앱 아키텍처를 배포하는 주요 측면은 다음과 같습니다.

• HA(고가용성) HA 앱은 시간의 99.9% 이상을 사용할 수 있어야 합니다. 다른 AZ(Azure 가용성 영역)에 계층 내 VM을 배치하면 AZ가 하나 이상의 데이터 센터에 걸쳐 데이터 센터 오류에 대한 저항을 통해 복원력을 제공하기 때문에 HA가 보장됩니다. AZ를 지원하지 않는 지역은 여러 격리된 하드웨어 노드에 VM을 배포하는 AS(가용성 집합)를 사용할 수 있습니다.
• 부하 분산. 부하 분산 장치는 VM 간에 트래픽을 분산하여 부하를 분산하여 VM이 실패할 경우 부하를 분산시키고 복원력을 보장합니다. 애플리케이션이 부하 분산을 관리하고 개별 VM이 호출자에게 알려진 경우 부하 분산 장치가 필요하지 않습니다.
• 가상 네트워크 가상 네트워크 및 서브넷은 네트워크를 분할하여 더 쉬운 보안 관리 및 고급 라우팅을 가능하게 합니다.
• DNS(Domain Name System) Azure DNS는 고가용성 보안 DNS 서비스를 제공합니다. Azure DNS의 프라이빗 영역을 사용하면 가상 네트워크 내에서 사용자 지정 도메인을 사용할 수 있습니다.

백업 및 복원

사용자 오류, 악의적인 데이터 삭제 및 랜섬웨어로부터 보호하려면 적어도 데이터 계층 VM을 백업해야 합니다. Azure Backup은 Azure Key Vault의 암호화 키에 액세스할 수 있는 경우 암호화된 VM을 백업하고 복원할 수 있습니다.

웹 및 비즈니스 계층의 경우 가상 머신 확장 집합 자동 크기 조정 규칙을 사용하여 자동으로 손상된 VM을 삭제하고 기본 이미지에서 새 VM 인스턴스를 배포할 수 있습니다.

컴퓨팅 격리

각 Azure 노드 또는 네트워크 엔드포인트에서 하이퍼바이저와 특수 루트 OS는 게스트 VM이 실제 호스트 서버에 액세스할 수 없도록 하고 사용자 코드는 게스트 VM에서만 실행됩니다. 이렇게 격리하면 사용자가 시스템에 원시 읽기/쓰기/실행 액세스를 가져오는 것을 방지하고 리소스를 공유할 위험을 완화합니다. Azure는 하이퍼바이저 및 고급 VM 배치 알고리즘을 통해 알려진 모든 부채널 공격 및 노이지 네이버로부터 보호합니다. 자세한 내용은 컴퓨팅 격리를 참조하세요.

매우 중요한 워크로드의 경우 격리된 VM 또는 전용 호스트를 사용하여 부채널 공격에 대한 다른 보호를 추가할 수 있습니다.

격리된 VM

격리된 VM은 특정 하드웨어 종류로 격리되며 단일 고객 전용인 대형 VM 크기입니다. 격리된 VM 크기를 사용하면 VM 하나만 해당 서버 인스턴스에서 실행되도록 보장됩니다. 중첩된 가상 머신에 대한 Azure 지원을 사용하여 격리된 VM의 리소스를 보다 세분화할 수 있습니다.

격리된 VM의 최소 크기는 가상 CPU 코어 64개와 메모리 256GiB입니다. 이러한 VM은 대부분의 N 계층 애플리케이션에 필요한 것보다 훨씬 크며 큰 비용 오버헤드가 발생할 수 있습니다. 오버헤드를 줄이기 위해 중첩된 가상화를 사용하는 단일 VM 또는 다른 프로세스나 컨테이너에서 여러 앱 계층을 실행할 수 있습니다. 복원력을 위해 AZ에 다른 VM을 배포하고 별도의 VM에서 DMZ(완역 영역) 어플라이언스를 실행해야 합니다. 경제적인 이유로 하나의 인프라에 여러 앱을 결합하면 조직 앱 분리 정책과도 충돌할 수 있습니다.

시간이 지남에 따라 Azure 지역 기능이 확장되면서 Azure는 1년 전에 특정 VM 크기에서 격리 보장을 제거할 수도 있습니다.

Azure 전용 호스트

Azure Dedicated Host는 매우 중요한 워크로드를 위한 기본 컴퓨팅 격리 솔루션입니다. 전용 호스트는 여러 VM을 호스팅하기 위한 1명의 고객만을 대상으로 하는 물리적 서버입니다. VM을 격리하는 것 외에도 전용 호스트를 사용하면 노이지 네이버를 방지하기 위해 유지 관리 및 VM 배치를 제어할 수 있습니다.

전용 호스트는 격리된 VM과 동일한 최소 크기 및 많은 크기 조정 고려 사항을 갖습니다. 그러나 전용 호스트는 애플리케이션 분리 정책을 충족하기 위해 다른 가상 네트워크에 있는 VM을 호스트할 수 있습니다. DMZ에서 손상된 VM의 부채널 공격을 방지하려면 다른 호스트에서 DMZ VM을 계속 실행해야 합니다.

암호화

데이터 암호화는 워크로드 보안의 중요한 구성 요소입니다. 암호화는 권한이 부여된 수신기만 키 또는 인증서를 사용하여 디코딩할 수 있도록 정보를 인코딩합니다. 암호화에는 디스크 암호화, 미사용 데이터 암호화, 네트워크를 통해 전송 중인 암호화에 대한 TLS(전송 수준 보안)가 포함됩니다.

Azure Key Vault

FIPS(Federal Information Processing Standards) 140-2 수준 2에 대해 검증된 클라우드 HSM(하드웨어 보안 모듈) 솔루션인 Azure Key Vault에 저장하여 암호화 키 및 인증서를 보호할 수 있습니다. 권한 있는 애플리케이션 및 사용자만 Key Vault에 액세스할 수 있도록 허용하는 모범 사례는 키 자격 증명 모음에 대한 보안 액세스를 참조하세요.

Key Vault에 있는 키를 보호하려면 일시 삭제를 사용하도록 설정하여 삭제된 키를 복구할 수 있도록 할 수 있습니다. 추가 보호를 위해 키를 복원하는 데 사용할 수 있는 암호화된 파일에 개별 키를 백업할 수 있으며, 잠재적으로 동일한 지역에 있는 다른 Azure 지역에 백업할 수 있습니다.

VM에서 SQL Server를 호스팅하는 경우 Microsoft Azure 주요 자격 증명 모음용 SQL Server 커넥터를 사용하여 TDE(투명한 데이터 암호화),CLE(열 수준 암호화) 및 백업 암호화에 대한 키를 가져올 수 있습니다. 자세한 내용은 Azure Virtual Machines에서 SQL Server에 대한 Azure Key Vault 통합 구성을 참조하세요.

Azure 디스크 암호화

Azure Disk Encryption은 BitLocker 외부 키 보호기를 사용하여 Azure VM의 데이터 디스크 및 OS에 볼륨 암호화를 제공하며, Azure Key Vault와 통합되어 디스크 암호화 키와 비밀을 제어하고 관리하는 데 도움을 줄 수 있습니다. 각 VM은 자체 암호화 키를 생성하고 Azure Key Vault에 저장합니다. Azure Disk Encryption을 사용하도록 Azure Key Vault를 구성하려면 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성을 참조하세요.

매우 중요한 워크로드의 경우 추가 보안 계층을 위해 KEK(키 암호화 키)도 사용해야 합니다. KEK를 지정하면 Azure Disk Encryption에서 해당 키를 사용하여 Key Vault에 쓰기 전에 암호화 비밀을 래핑합니다. Azure Key Vault에서 KEK를 생성할 수 있지만 더 안전한 방법은 온-프레미스 HSM에서 키를 생성하고 Azure Key Vault로 가져오는 것입니다. 이 시나리오를 흔히 BYOK( Bring Your Own Key)라고 합니다. 가져온 키는 HSM 경계를 벗어날 수 없으므로 HSM에서 키를 생성하면 암호화 키를 완전히 제어할 수 있습니다.

HSM 보호 키에 대한 자세한 내용은 Azure Key Vault에 대한 HSM 보호 키를 생성하고 전송하는 방법을 참조하세요.

네트워크 트래픽 암호화

HTTPS와 같은 네트워크 프로토콜은 전송 중인 데이터를 인증서로 암호화합니다. 클라이언트-애플리케이션 트래픽은 일반적으로 신뢰할 수 있는 CA(인증 기관)의 인증서를 사용합니다. 내부 앱은 내부 CA 또는 DigiCert 또는 GlobalSign과 같은 공용 CA의 인증서를 사용할 수 있습니다. 계층 간 통신은 일반적으로 내부 CA에서 발급한 인증서 또는 자체 서명된 인증서를 사용합니다. Azure Key Vault는 이러한 인증서 유형을 수용할 수 있습니다. 다른 인증서 유형을 만드는 방법에 대한 자세한 내용은 인증서 만들기 방법을 참조하세요.

Azure Key Vault는 계층-계층 트래픽에 대해 자체 서명된 인증서 CA 역할을 할 수 있습니다. Key Vault VM 확장은 사용 사례에 따라 프라이빗 키를 사용하거나 사용하지 않고 VM에서 지정된 인증서의 모니터링 및 자동 새로 고침을 제공합니다. Key Vault VM 확장을 사용하려면 Linux용 Key Vault 가상 머신 확장 또는 Windows용 Key Vault 가상 머신 확장을 참조하세요.

Key Vault는 인증서를 사용하지 않는 네트워크 프로토콜에 대한 키를 저장할 수도 있습니다. 사용자 지정 워크로드에는 Key Vault의 키를 검색하고 애플리케이션에서 사용할 수 있도록 저장하는 사용자 지정 스크립트 확장을 스크립팅해야 할 수 있습니다. 앱은 VM의 관리 ID를 사용하여 Key Vault에서 직접 비밀을 검색할 수도 있습니다.

네트워크 보안

NSG(네트워크 보안 그룹)는 Azure 가상 네트워크의 리소스 간 트래픽을 필터링합니다. NSG 보안 규칙은 IP 주소 및 포트에 따라 Azure 리소스를 오가는 네트워크 트래픽을 허용하거나 거부합니다. 기본적으로 NSG는 인터넷에서 인바운드 트래픽을 차단하지만 VM에서 인터넷으로의 아웃바운드 연결은 허용합니다. 실수로 인한 아웃바운드 트래픽을 방지하려면 가능한 가장 낮은 우선 순위인 4096으로 사용자 지정 규칙을 추가하여 모든 인바운드 및 아웃바운드 트래픽을 차단합니다. 그런 다음, 우선 순위가 높은 규칙을 추가하여 특정 트래픽을 허용할 수 있습니다.

NSG는 기존 연결에 대한 흐름 레코드를 만들고 흐름 레코드의 연결 상태에 따라 통신을 허용하거나 거부합니다. 흐름 레코드를 통해 NSG를 상태 저장할 수 있습니다. 예를 들어 포트 443을 통해 모든 주소에 대한 아웃바운드 보안 규칙을 지정하는 경우 응답에 대한 인바운드 보안 규칙을 지정하지 않아도 됩니다. 통신이 외부에서 시작된 경우 인바운드 보안 규칙을 지정하기만 하면 됩니다.

대부분의 Azure 서비스를 사용하면 NSG 대신 가상 네트워크 서비스 태그를 사용할 수 있습니다. 서비스 태그는 Azure 서비스의 IP 주소 접두사 그룹을 나타내며 빈번한 네트워크 보안 규칙 업데이트로 인한 복잡성을 최소화하는 데 도움이 됩니다. Azure Key Vault 서비스 태그를 사용하면 VM이 Azure Key Vault에서 인증서, 키 및 비밀을 검색할 수 있습니다.

네트워크 보안을 제어하는 또 다른 방법은 가상 네트워크 트래픽 라우팅 및 강제 터널링을 통해서입니다. Azure는 시스템 경로를 자동으로 만들고 가상 네트워크의 각 서브넷에 경로를 할당합니다. 시스템 경로는 만들거나 제거할 수 없지만, 일부 시스템 경로는 사용자 지정 경로를 사용하여 재정의할 수 있습니다. 사용자 지정 라우팅을 사용하면 방화벽 또는 프록시와 같은 NVA(네트워크 가상 어플라이언스)를 통해 트래픽을 라우팅하거나 원치 않는 트래픽을 삭제할 수 있습니다. 이는 NSG를 사용하여 트래픽을 차단하는 것과 유사한 영향을 미칩니다.

Azure Firewall과 같은 NVA를 사용하여 네트워크 트래픽을 허용, 차단 및 검사할 수 있습니다. Azure Firewall은 관리되는 고가용성 플랫폼 방화벽 서비스입니다. Azure Marketplace에서 타사 NVA를 배포할 수도 있습니다. 이러한 NVA를 고가용성으로 만들려면 고가용성 네트워크 가상 어플라이언스 배포를 참조하세요.

애플리케이션 보안 그룹

가상 네트워크 내의 애플리케이션 계층 간에 트래픽을 필터링하려면 ASG(애플리케이션 보안 그룹)를 사용합니다. ASG를 사용하면 네트워크 보안을 애플리케이션 구조의 확장으로 구성하여 VM을 그룹화하고 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다. 명시적 IP 주소를 수동으로 유지 관리하지 않고 대규모 보안 정책을 재사용할 수 있습니다.

ASG는 서브넷 대신 네트워크 인터페이스에 적용되므로 마이크로 세분화를 사용하도록 설정합니다. 어떤 VM이 서로 통신할 수 있는지 엄격하게 제어할 수 있으며, 동일한 계층의 VM 간 트래픽을 차단하고 해당 VM에서 ASG를 제거하여 VM을 쉽게 격리할 수 있습니다.

하이브리드 네트워크

하이브리드 아키텍처는 Azure와 같은 퍼블릭 클라우드와 온-프레미스 네트워크를 연결합니다. Azure에서 실행되는 애플리케이션에 온-프레미스 네트워크를 연결하는 방법에는 여러 가지가 있습니다.

• 인터넷을 통해 퍼블릭 엔드포인트 ID, HTTPS(전송 수준 보안) 및 애플리케이션 게이트웨이를 사용하여 잠재적으로 방화벽과 함께 애플리케이션을 보호할 수 있습니다. 그러나 매우 중요한 워크로드의 경우 인터넷을 통해 퍼블릭 엔드포인트를 노출하는 것은 권장되지 않습니다.
• Azure 또는 타사 VPN 게이트웨이. Azure VPN 게이트웨이를 사용하여 온-프레미스 네트워크를 Azure에 연결할 수 있습니다. 트래픽은 여전히 인터넷을 통해 이동하지만 TLS를 사용하는 암호화된 터널을 통해 이동합니다. Azure VPN 게이트웨이에서 지원되지 않는 특정 요구 사항이 있는 경우 VM에서 타사 게이트웨이를 실행할 수도 있습니다.
• ExpressRoute. ExpressRoute 연결은 타사 연결 공급자를 통해 프라이빗 전용 연결을 사용합니다. 프라이빗 연결은 온-프레미스 네트워크를 Azure로 확장하고 확장성 및 안정적인 SLA(서비스 수준 계약)를 제공합니다.
  • VPN 장애 조치(failover)를 사용하는 ExpressRoute 이 옵션은 정상적인 조건에서는 ExpressRoute를 사용하지만 ExpressRoute 회로에서 연결이 끊기면 VPN 연결로 장애 조치(failover)하여 고가용성을 제공합니다.
  • ExpressRoute를 통한 VPN 이 옵션은 매우 중요한 워크로드에 가장 적합합니다. ExpressRoute는 확장성과 안정성을 갖춘 프라이빗 회로를 제공하며, VPN은 특정 Azure 가상 네트워크에서 암호화된 연결을 종료하는 추가 보호 계층을 제공합니다.

다양한 유형의 하이브리드 연결 중에서 선택하는 방법에 대한 자세한 지침은 온-프레미스 네트워크를 Azure에 연결하기 위한 솔루션 선택을 참조하세요.

DMZ 배포

온-프레미스 및 Azure 환경을 연결하면 온-프레미스 사용자가 Azure 애플리케이션에 액세스할 수 있습니다. 경계 네트워크 또는 DMZ(완역 영역)는 매우 중요한 워크로드에 대한 추가 보호를 제공합니다.

Azure와 온-프레미스 데이터 센터 간의 네트워크 DMZ와 같은 아키텍처는 DMZ와 애플리케이션 서브넷을 격리하기 위해 NSG 규칙 및 사용자 정의 경로를 사용하여 동일한 가상 네트워크에 모든 DMZ와 애플리케이션 서비스를 배포합니다. 이 아키텍처는 공용 인터넷을 통해 관리 서브넷을 사용할 수 있도록 하여 온-프레미스 게이트웨이를 사용할 수 없는 경우에도 앱을 관리할 수 있습니다. 그러나 매우 중요한 워크로드의 경우 중단 시나리오에서 게이트웨이 무시만 허용해야 합니다. 더 나은 솔루션은 공용 IP 주소의 노출을 제한하면서 Azure Portal에서 직접 액세스할 수 있도록 하는 Azure Bastion을 사용하는 것입니다.

공용 IP 주소의 노출을 제한하면서 원격 관리에 JIT(Just-In-Time) VM 액세스를 사용할 수도 있습니다. JIT VM 액세스를 통해 NSG는 기본적으로 RDP(원격 데스크톱 프로토콜) 및 SSH(보안 셸)와 같은 원격 관리 포트를 차단합니다. 요청 시 JIT VM 액세스는 지정된 기간 및 특정 IP 주소 또는 범위에 대해서만 포트를 사용하도록 설정합니다. JIT 액세스는 개인 IP 주소만 있는 VM에서도 작동합니다. JIT VM 액세스를 사용하도록 설정할 때까지 Azure Bastion을 사용하여 VM에 대한 트래픽을 차단할 수 있습니다.

더 많은 애플리케이션을 배포하려면 허브 가상 네트워크의 DMZ 및 스포크 가상 네트워크의 애플리케이션과 함께 Azure에서 허브-스포크 네트워크 토폴로지를 사용할 수 있습니다. 허브 가상 네트워크에는 VPN 및/또는 ExpressRoute 게이트웨이, 방화벽 NVA, 관리 호스트, ID 인프라 및 기타 공유 서비스가 포함될 수 있습니다. 스포크 가상 네트워크는 가상 네트워크 피어링을 사용하여 허브에 연결됩니다. Azure 가상 네트워크는 허브를 통해 한 스포크에서 다른 스포크로 전이적 라우팅을 허용하지 않습니다. 스포크-스포크 트래픽은 허브의 방화벽 어플라이언스를 통해서만 가능합니다. 이 아키텍처는 애플리케이션을 서로 효과적으로 격리합니다.

다중 지역 배포

비즈니스 연속성 및 재해 복구를 위해서는 여러 Azure 지역에 애플리케이션을 배포해야 할 수 있으며, 이는 데이터 상주 및 보안에 영향을 줄 수 있습니다. 다중 지역 배포에 대한 참조 아키텍처는 고가용성을 위해 여러 Azure 지역에서 N 계층 애플리케이션 실행을 참조하세요.

지역 쌍

Azure 지리적 위치는 하나 이상의 Azure 지역을 포함하는 전 세계의 정의된 영역으로 각각에는 하나 이상의 데이터 센터가 있습니다. 각 Azure 지역은 동일한 지리적 위치 내에서 지역 쌍으로 다른 지역과 쌍을 이룹니다. 지역 쌍은 둘 다 동시에 업데이트되지 않으며 두 지역 모두에 재해가 발생하면 지역 중 하나가 먼저 온라인 상태가 되는 우선 순위가 지정됩니다. 비즈니스 연속성을 위해 여러 지역에 배포하는 경우 적어도 지역 쌍에 매우 중요한 앱을 배포해야 합니다.

자세한 내용은 BCDR(비즈니스 연속성 및 재해 복구): Azure 쌍을 이루는 지역을 참조하세요. Azure와 호환되는 데이터 상주 및 보안 달성 백서에서는 데이터 상주 및 데이터 상주 요구 사항을 충족하기 위해 수행할 작업을 설명합니다.

지역 간 복제

IaaS 아키텍처에서 지역 간에 데이터를 복제하는 것은 애플리케이션의 책임입니다. 가장 일반적인 복제 시나리오는 SQL Server Always On 가용성 그룹, Oracle Data Guard 또는 MySQL 복제와 같은 데이터베이스 서버 제품에 기본 제공되는 데이터베이스 복제 기술을 사용하는 것입니다.

IaaS 데이터베이스 서버 간에 복제를 설정하는 것은 간단하지 않으며 비즈니스 연속성 요구 사항을 고려해야 합니다. Azure SQL Database, Azure Database for MySQL 및 Azure Cosmos DB와 같은 Azure 데이터베이스 서비스는 지역 간 복제를 더 쉽게 만들지만 매우 중요한 워크로드에 대한 보안 요구 사항을 충족하지 못할 수 있습니다.

다중 지역 SQL Server 및 Oracle 배포에 대한 자세한 내용 및 참고 자료는 다음을 참조하세요.

• 여러 지역에서 SQL Server를 실행하는 Azure 가상 머신에 가용성 그룹 구성
• Azure 환경의 Oracle Database 12c 데이터베이스 재해 복구

지역 간 피어링

글로벌 가상 네트워크 피어링을 사용하여 다른 지역의 가상 네트워크 간에 보안 통신을 사용하도록 설정할 수 있습니다. 글로벌 피어링이 지역 내 피어링과 동일하게 작동합니다. 지역 간 트래픽은 Microsoft 백본을 통해 실행되고, 인터넷을 트래버스하지 않으며, 다른 트래픽과 격리됩니다. 보안을 강화하려면 두 지역에 VPN NVA를 배포하고 사용자 정의 경로를 사용하여 DMZ 배포와 유사하게 NVA를 통해 지역 간 트래픽을 강제 적용할 수 있습니다.

장애 조치(Failover) 트래픽 라우팅

공용 엔드포인트를 사용하면 Traffic Manager 또는 Azure Front Door를 사용하여 활성-활성 장애 조치(failover) 구성에서 활성 지역 또는 가장 가까운 지역으로 트래픽을 보낼 수 있습니다. 그러나 Traffic Manager와 Azure Front Door는 모두 가용성을 모니터링하기 위해 퍼블릭 엔드포인트가 필요하며 해당 DNS 항목은 공용입니다. 매우 중요한 워크로드의 경우 대체 솔루션은 DNS 온-프레미스를 배포하고 장애 조치(failover)를 위해 항목을 활성 지역으로 변경하는 것입니다.

관리 및 거버넌스

매우 중요한 IaaS 앱을 보호하려면 올바른 아키텍처를 배포하고 네트워크 보안 규칙을 구현하는 것 이상이 필요합니다. 클라우드 환경은 쉽게 변경되므로 특정 권한 및 보안 정책의 경계 내에서만 변경이 수행되도록 하는 것이 특히 중요합니다. 예를 들어 악의적인 행위자가 인터넷의 트래픽을 허용하도록 네트워크 보안 규칙을 변경할 수 없도록 해야 합니다.

Azure에서 워크로드를 배포하려면 하나 이상의 관리 계정이 필요합니다. 관리 계정 보안은 워크로드를 보호하는 데 중요합니다. 자세한 내용은 Microsoft Entra ID의 하이브리드 및 클라우드 배포에 대한 보안 권한 있는 액세스를 참조하세요.

관리 서브넷의 리소스를 사용하여 해당 계층을 관리해야 하는 사용자에게만 앱 계층 액세스 권한을 부여합니다. 예를 들어 Microsoft Entra ID와 함께 Microsoft Identity Manager를 사용할 수 있습니다. 그러나 클라우드 네이티브 시나리오의 경우 Microsoft Entra PIM(Privileged Identity Management )이 선호됩니다.

Azure 역할 및 정책을 제어하는 다른 몇 가지 방법이 있습니다.

• Azure 리소스에 대한 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 사용자에게 기본 제공 또는 사용자 지정 역할을 할당할 수 있으므로 사용자에게 필요한 권한만 가질 수 있습니다. Azure RBAC를 PIM과 결합하여 제한된 기간 동안 권한을 상승시키는 감사된 승인 워크플로를 구현할 수 있습니다.
• 정책은 회사 규칙, 표준 및 SLA를 적용합니다. Azure Policy는 정책을 만들고, 할당하고, 관리하고, 정책 준수를 위해 리소스를 평가하는 Azure 서비스입니다.
• Azure Blueprints는 역할 할당, 정책 할당 및 배포 템플릿을 결합하여 조직의 표준, 패턴 및 요구 사항을 구현하고 따르는 복제 가능한 Azure 리소스 집합을 정의합니다. 즉, Blueprints에서는 리소스 템플릿 및 기타 아티팩트의 배포를 명확하게 조정할 수 있습니다. 청사진을 직접 만들거나 기존 청사진을 활용할 수 있습니다. 예를 들어 ISO 27001 Shared Services 청사진은 조직의 요구 사항을 수정하고 확장할 수 있는 공유 서비스 허브를 배포합니다.

모니터링

클라우드용 Microsoft Defender는 환경의 보안을 유지하는 데 도움이 되는 모니터링 및 경고를 제공합니다. 무료 서비스는 OS 패치 누락, 보안 오류 및 기본 네트워크 보안과 같은 취약성을 자동으로 확인합니다. 표준 유료 버전은 동작 분석, 적응형 네트워크 강화 및 JIT VM 액세스와 같은 추가 기능을 제공합니다. 전체 기능 목록은 컴퓨터에 대한 기능 검사를 참조하세요. 또한 클라우드용 Defender는 Azure Key Vault와 같은 다른 리소스에 대한 위협 방지 기능을 제공합니다.

추가 모니터링 및 분석을 위해 Azure Monitor를 사용할 수 있습니다. ID 및 액세스를 모니터링하려면 Microsoft Entra 활동 로그를 Azure Monitor로 라우팅할 수 있습니다. 또한 VM, 네트워크 및 Azure Firewall을 모니터링하고 강력한 로그 쿼리 기능을 사용하여 가져온 로그를 분석할 수 있습니다. Azure Monitor를 타사 SIEM 또는 Microsoft Sentinel일 수 있는 SIEM(보안 정보 및 이벤트 관리자)과 통합할 수 있습니다.

관련 참고 자료

• n 계층 아키텍처에 대한 자세한 내용은 Apache Cassandra를 사용하는 Azure의 Linux n 계층 애플리케이션을 참조하세요.
• Azure Key Vault 가상 머신 확장을 사용하는 방법에 대한 엔드투엔드 자습서는 Key Vault에 저장된 SSL 인증서로 Azure에서 Windows 가상 머신의 웹 서버 보호를 참조하세요.
• Azure Disk Encryption에 대한 자세한 내용은 Linux VM용 Azure Disk Encryption 또는 Windows VM용 Azure Disk Encryption을 참조하세요.
• Azure 네트워크 보안에 대한 자세한 내용은 Azure 네트워크 보안 개요를 참조하세요.