보안 아키텍처 디자인 시작

보안은 아키텍처에서 가장 중요한 요소입니다. 효과적인 보안 조치는 고의적인 공격 및 남용으로부터 데이터 및 시스템의 기밀성, 무결성 및 가용성을 보호합니다.

Azure 다음 주요 서비스를 포함하여 많은 보안 도구와 기능을 제공합니다.

• 클라우드용 Microsoft Defender는 CSPM(클라우드 보안 상태 관리) 및 CWP(클라우드 워크로드 보호)를 제공합니다. 보안 준수를 위해 리소스를 평가하고, 자세를 추적하는 보안 점수를 제공하며, Azure, 온-프레미스 및 다중 클라우드 워크로드에서 위협 방지를 제공합니다.

• Microsoft Entra ID는 Microsoft 클라우드 기반 ID 및 액세스 관리(IAM) 서비스입니다. SSO(Single Sign-On), MFA(다단계 인증) 및 ID 기반 공격 방지를 위한 조건부 액세스를 제공합니다.

• Azure Front Door 웹 애플리케이션의 전역 진입점입니다. 기본 제공된 WAF(웹 애플리케이션 방화벽)를 통해 일반적인 악용 및 취약성으로부터 보호하며, DDoS 보호 및 에지에서의 TLS(전송 계층 보안) 종료를 제공하여 보안을 강화합니다.

• Azure Firewall 프리미엄 계층, TLS 검사 및 FQDN(정규화된 도메인 이름) 기반 규칙에서 위협 인텔리전스 기반 필터링, IDPS(침입 탐지 및 방지)를 지원하는 클라우드 네이티브 네트워크 방화벽입니다.

• Azure Key Vault 중앙 집중식 비밀 관리, 키 관리 및 인증서 관리를 제공합니다. 프리미엄 계층은 FIPS(Federal Information Processing Standards) 140-3 수준 3에 유효성을 검사하는 HSM(하드웨어 보안 모듈) 보호 키를 제공합니다.

• Azure Private Link 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS(Platform as a Service) 솔루션에 액세스할 수 있습니다. 이 방법은 Microsoft 백본 네트워크에서 트래픽을 유지하고 공용 인터넷에 대한 노출을 제거합니다.

• Azure Application Gateway OWASP(Open Worldwide Application Security Project) 상위 10개 취약성, 봇 완화 및 사용자 지정 규칙으로부터 보호하는 WAF를 포함하는 지역 웹 트래픽 부하 분산 장치입니다.

• Azure Policy을 사용하면 조직 표준을 적용하고, 대규모 규정 준수를 평가하고, 비준수 리소스 구성을 방지하는 가드레일을 적용할 수 있습니다.

Azure 보안 도구 및 기능에 대한 자세한 내용은 Azure.

아키텍처

왼쪽에서 사용자(사용자, 관리자 및 개발자)가 Azure 연결합니다. 센터에는 보안 허브 가상 네트워크가 있으며, 여기에는 자체 서브넷에 Azure Firewall Premium, Azure VPN Gateway 서브넷의 VPN 게이트웨이, Azure Bastion 서브넷의 Azure Bastion, 그리고 Azure DDoS Protection이 포함되어 있습니다. 이 허브는 3계층 애플리케이션 아키텍처를 포함하는 오른쪽의 워크로드 스포크 가상 네트워크에 연결합니다. 애플리케이션 아키텍처는 APPGw(WAF)가 있는 Application Gateway 서브넷, ASG(애플리케이션 보안 그룹)로 보호되는 두 개의 VM(가상 머신)이 있는 프런트 엔드 계층 서브넷, NSG(네트워크 보안 그룹), ASG 및 NSG로 보호되는 두 개의 VM이 있는 앱 계층 서브넷, ASG 및 NSG로 보호되는 두 개의 VM이 있는 데이터 계층 서브넷으로 구성됩니다. 스포크에 있는 점선은 보안 계층을 통해 요청된 VM에 대한 액세스를 나타냅니다. 허브 및 스포크 아키텍처 아래에는 Azure 스토리지 서비스 섹션에 Azure Blob Storage 및 Azure Files 포함되어 있습니다. 오른쪽의 일반적인 PaaS 서비스 섹션에는 Microsoft Entra ID, 클라우드용 Microsoft Defender, RBAC(역할 기반 액세스 제어), Azure Monitor 및 Azure Key Vault 포함됩니다. 아래쪽에 온-프레미스 데이터 센터 섹션에는 라우터, 관리자 사용자, AD DS(Active Directory Domain Services), Microsoft Entra Connect 및 온-프레미스 앱이 표시됩니다. 다이어그램 전체의 화살표는 모든 구성 요소 간의 트래픽 흐름 및 보안 연결 경로를 보여 줍니다.

이 아키텍처의 Visio 파일을 다운로드하십시오.

이전 다이어그램은 일반적인 기준 보안 구현을 보여 줍니다. 이 아키텍처는 Azure 보안 서비스가 함께 작동하여 ID, 네트워킹, 데이터 및 애플리케이션 계층에서 워크로드를 보호하는 방법을 보여 줍니다. Azure 빌드할 수 있는 실제 솔루션은 Example 솔루션 참조하세요.

Azure 보안에 대해 알아보기

Microsoft Learn은 Azure 보안 기술에 대한 무료 온라인 교육을 제공합니다. 이 플랫폼은 특정 제품 및 서비스에 대한 비디오, 자습서 및 대화형 랩과 작업 역할별로 구성된 학습 경로를 제공합니다.

다음 리소스는 Azure 보안 구현에 대한 기본 지식을 제공합니다.

보안 기본 사항: 다음 학습 경로는 핵심 보안 개념 및 Azure 보안 기능을 다룹니다.

• 보안, 규정 준수 및 ID 개념 소개
• Microsoft Entra 소개
• Microsoft 보안 솔루션에 대한 소개

네트워크 보안: 다음 학습 경로에서는 가상 네트워크 보안, 네트워크 세분화 및 보안 연결을 다룹니다.

• Azure 가상 네트워킹을 사용하여 워크로드에 대한 보안 액세스 구성

데이터 보호: 다음 학습 경로에는 암호화, 키 관리 및 애플리케이션 보안이 설명되어 있습니다.

• Azure

위협 방지: 다음 학습 경로에서는 위협 탐지, 조사 및 대응을 다룹니다.

• 클라우드용 Microsoft Defender

역할별 학습 경로

Microsoft Learn은 보안 전문가를 위한 역할 기반 인증 경로를 제공합니다.

• Microsoft Certified: Azure Security Engineer Associate(AZ-500)

  Note

  AZ-500 인증은 2026년 8월 31일에 사용 중지됩니다. 인증 페이지에서 최신 정보를 확인합니다.

• Microsoft 인증됨: 보안 운영 분석가 전문가(SC-200)

• Microsoft 인증: 사이버 보안 설계자 전문가(SC-100)

조직 준비

클라우드 채택을 시작하는 조직은 Azure용 클라우드 채택 프레임워크 를 사용하여 클라우드 채택을 가속화하는 입증된 지침에 액세스할 수 있습니다. 클라우드 채택 프레임워크 보안 방법론은 Azure 클라우드 자산을 보호하기 위한 구조화된 접근 방식을 제공합니다. 전략, 계획, 준비, 채택, 거버넌스 및 운영 전반에 걸쳐 보안 지침을 제공합니다.

Azure 거버넌스는 클라우드 거버넌스, 규정 준수 감사 및 자동화된 가드레일을 지원하는 데 필요한 도구를 설정합니다. 자세한 내용은 Azure 거버넌스 디자인 영역 지침 참조하세요.

Azure 보안 솔루션의 품질을 보장하려면 Azure Well-Architected Framework 따릅니다. Well-Architected Framework는 아키텍처 우수성을 추구하는 조직에 대한 규범적인 지침을 제공하고 비용 최적화 Azure 솔루션을 설계, 프로비전 및 모니터링하는 방법을 설명합니다. 자세한 내용은 Well-Architected Framework 보안 핵심 요소를 참조하세요.

보안 관련 지침은 다음 Well-Architected Framework 서비스 가이드를 참조하세요.

• Azure Firewall
• Azure Application Gateway
• Azure Front Door

모범 사례

다음 모범 사례를 따라 Azure 보안 워크로드의 보안, 안정성, 성능 및 운영 품질을 개선합니다.

• 보안 디자인 원칙: 제로 트러스트 모델 및 CIA 기밀성, 무결성 및 가용성에 따라 Azure 보안 워크로드를 설계하는 데 도움이 되는 원칙을 안내합니다.

• 보안 빠른 링크: 보안 지침, 디자인 패턴 및 모범 사례에 대한 링크를 제공하는 Well-Architected Framework 보안 핵심 요소의 허브 페이지입니다.

• 보안에 대한 디자인 검토 검사 목록: ID, 네트워킹, 데이터 보호 및 거버넌스를 다루는 보안 디자인 검토에 대한 권장 사항의 검사 목록입니다.

• 가상 네트워크에 대한 Azure Firewall 및 Azure Application Gateway: Azure Firewall 인증, 암호화 및 네트워크 보안 계층을 사용하여 Azure 애플리케이션 워크로드를 보호하는 데 도움이 되는 지침 Azure Application Gateway.

• Azure Firewall 및 Azure Application Gateway: 제로 트러스트 원칙 및 엔드투엔드 TLS 암호화 및 검사를 사용하여 모든 계층에서 보안에 대한 사전 예방적이고 통합된 접근 방식입니다.

• Microsoft 클라우드 보안 벤치마크: Azure 및 다중 클라우드 환경에서 워크로드, 데이터 및 서비스의 보안을 개선하는 데 도움이 되는 규범적 모범 사례 및 권장 사항입니다.

보안을 사용하여 최신 상태 유지

Azure 보안 서비스는 최신 보안 문제를 해결하기 위해 진화합니다. 최신 업데이트 및 기능에 대한 정보를 계속 확인하세요.

주요 보안 서비스를 최신 상태로 유지하려면 다음 문서를 참조하세요.

• 클라우드용 Microsoft Defender 새로운 기능
• Microsoft Entra 릴리스 및 공지사항
• Azure Key Vault의 새로운 기능
• Microsoft Sentinel의 새로운 기능
• Azure Firewall
• Azure Application Gateway

기타 리소스

보안 범주에는 다양한 솔루션이 있습니다. 다음 리소스는 Azure 대한 자세한 내용을 검색하는 데 도움이 될 수 있습니다.

예제 솔루션

다음 아키텍처 솔루션은 Azure 보안 패턴 및 구현을 보여 줍니다.

• 온-프레미스 네트워크에서 Azure App Service 웹 앱에 대한 개선된 보안 액세스
• 안전하게 관리되는 웹 애플리케이션
• 기본 고가용성 영역 중복 웹 애플리케이션
• 모든 보안 아키텍처 찾아보기

제품 설명서

• Azure: 보호, 검색 및 응답 기능별로 구성된 Azure 보안 서비스에 대한 소개입니다.

• Microsoft 사이버 보안 참조 아키텍처: Microsoft 보안 기능이 제로 트러스트 원칙을 사용하여 Microsoft 플랫폼 및 파트너 플랫폼과 통합되는 방법을 설명하는 다이어그램입니다.

하이브리드 및 다중 클라우드

대부분의 조직은 워크로드, ID 및 데이터가 온-프레미스 데이터 센터, Azure 및 기타 클라우드 플랫폼에 걸쳐 있기 때문에 보안에 대한 하이브리드 접근 방식이 필요합니다. 보안 정책, 위협 탐지 및 규정 준수 제어는 공격자가 악용할 수 있는 격차를 방지하기 위해 이러한 모든 환경에서 확장되어야 합니다. 조직은 일반적으로 온-프레미스 보안 솔루션을 클라우드로 확장하고 Azure Arc를 사용하여 비Azure 리소스를 Azure 제어 평면에 프로젝션하여 중앙 집중식 거버넌스를 수행합니다. 환경을 연결하려면 조직은 하이브리드 네트워크 아키텍처를 선택해야 합니다.

다음 주요 하이브리드 및 다중 클라우드 보안 시나리오를 검토합니다.

• 보안 하이브리드 네트워크 추가: 온-프레미스 네트워크를 Azure 확장하는 참조 아키텍처입니다. 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷라고도 함) 및 Azure Firewall 사용하여 온-프레미스와 Azure 환경 간의 인바운드 및 아웃바운드 트래픽을 제어합니다.

• Azure에 온-프레미스 네트워크 연결: Azure VPN Gateway, Azure ExpressRoute, 및 VPN 장애 조치를 통한 Azure ExpressRoute를 포함하여, 하이브리드 배포를 위한 보안 네트워크 기반을 설정하는 하이브리드 네트워크 연결 옵션을 비교합니다.

• Hybrid 아키텍처 디자인: 하이브리드 네트워크 연결, 모범 사례 및 온-프레미스 및 Azure 환경에서 워크로드를 실행하는 참조 아키텍처를 다루는 Azure 하이브리드 아키텍처의 허브 페이지입니다.

• Azure를 사용하여 하이브리드 DNS(도메인 이름 시스템) 솔루션을 설계합니다: 이는 온-프레미스 및 Azure에 호스팅된 워크로드의 이름을 확인하는 하이브리드 DNS 솔루션을 구현하기 위한 참조 아키텍처입니다. 이 아키텍처는 Azure DNS Private Resolver 및 Azure Firewall 사용합니다.

• Azure Arc 및 Azure 랜딩 존을 사용하여 하이브리드 및 다중 클라우드 채택: Azure Arc 사용하여 온-프레미스 서버, Kubernetes 클러스터 및 다중 클라우드 서비스를 Azure 제어 평면에 온보딩하는 지침입니다. 이 아키텍처는 클라우드용 Microsoft Defender 사용하여 중앙 집중식 정책 적용, 모니터링 및 위협 방지를 사용하도록 설정합니다.

• Azure 및 Microsoft Defender XDR 보안 서비스 통합: Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Microsoft Defender XDR 통합하는 솔루션 아이디어입니다. 온-프레미스 및 클라우드 환경에서 보안 모니터링 및 위협 대응을 통합합니다.

ID 및 액세스 관리

ID는 클라우드 환경의 기본 보안 경계입니다. Azure IAM은 클라우드 기반 ID 공급자로 Microsoft Entra ID 중심으로 합니다. Microsoft Entra 조건부 액세스 제로 트러스트 정책 엔진 역할을 합니다. 다음 아키텍처 및 가이드는 Azure 및 다중 클라우드 환경에 대한 IAM 디자인 패턴을 다룹니다.

• Microsoft Entra ID를 사용하여 온프레미스 Active Directory 도메인을 통합하기: 참조 아키텍처는 온프레미스 Active Directory를 Microsoft Entra ID와 통합하여 클라우드 기반 ID 인증을 제공하며, Microsoft Entra Connect Sync, Microsoft Entra 애플리케이션 프록시, 및 Microsoft Entra 조건부 액세스를 포함합니다.

• Identity 아키텍처 디자인: 학습 경로, 디자인 옵션, 구현 지침 및 기준 ID 구현을 다루는 Azure ID 아키텍처의 허브 페이지입니다.

• Azure에서 Active Directory Domain Services(AD DS) 리소스 포리스트 생성: 온프레미스 Active Directory 포리스트의 도메인이 신뢰하는 Azure 내 별도의 Active Directory 도메인을 생성하는 참조 아키텍처입니다.

• Azure 가상 네트워크의 AD DS 배포: 온-프레미스 Active Directory 도메인을 Azure 확장하여 분산 인증 서비스를 제공하는 참조 아키텍처입니다.

• Azure: 보안 하이브리드 네트워크의 일부로 Azure AD FS(Active Directory Federation Services) 권한 부여를 구현하는 참조 아키텍처입니다.

위협 방지

위협 방지는 Azure 워크로드에서 보안 위협을 감지, 방지 및 대응하는 도구, 패턴 및 사례를 포함합니다. Azure 클라우드용 Microsoft Defender, Microsoft Sentinel 및 Microsoft Entra ID Protection 같은 서비스를 통해 계층화된 위협 방지를 제공합니다. 이러한 서비스는 동작 분석, 기계 학습 및 위협 인텔리전스를 사용하여 컴퓨팅, 스토리지, 네트워킹, ID 및 애플리케이션 계층에서 위협을 감지합니다.

다음 아키텍처 및 가이드는 Azure 위협 방지 패턴을 해결합니다.

• Azure 가상 머신(VM) 액세스를 위한 다층 보호: Microsoft Entra Privileged Identity Management(PIM), 클라우드용 Microsoft Defender의 JIT(Just-In-Time) VM 액세스, Azure Bastion 및 Azure 역할 기반 액세스 제어(Azure RBAC) 사용자 지정 역할을 결합하여 가상 머신 관리의 공격 표면을 최소화하는 심층 방어 솔루션입니다.

• Azure 보안 서비스를 활용한 최초 방어 계층 구축: MITRE ATT&CK 프레임워크를 사용하여 Azure 보안 서비스를 리소스와 위협 유형에 매핑하는 솔루션 아이디어입니다. 이 문서에서는 네트워크, 인프라, 애플리케이션, 데이터 및 ID 계층별로 Azure 보안 서비스를 구성합니다.

• IT 환경에 위협 매핑: MITRE ATT&CK 프레임워크를 사용하여 IT 환경을 다이어그램하고 위협 맵을 만드는 데 도움이 되는 지침입니다. 온-프레미스, Azure 및 Microsoft 365 환경을 다룹니다.

• Azure 및 Microsoft Defender XDR 보안 서비스 통합: Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Microsoft Defender XDR 통합하는 방법을 보여 주는 솔루션 아이디어입니다. 온-프레미스 및 클라우드 환경에서 통합 보안 모니터링 및 위협 대응을 위한 것입니다.

• Microsoft Sentinel 자동화된 응답: Microsoft Sentinel 플레이북과 Azure Logic Apps 사용하여 손상된 사용자 차단 및 엔드포인트 격리를 비롯한 위협 대응을 자동화하는 솔루션 아이디어입니다.

• Azure에서의 VM에 제로 트러스트 원칙 적용: 논리적 격리, RBAC, 보안 부팅, 암호화, Azure Bastion을 통한 보안 액세스, 서버용 Microsoft Defender를 통한 고급 위협 탐지를 포함한 Azure VM에 대한 제로 트러스트 원칙을 단계별로 적용하는 지침.

• Azure 위협 방지: 클라우드용 Microsoft Defender, Microsoft Sentinel, Microsoft Entra ID Protection 등 Azure 위협 방지 서비스의 개요입니다. Microsoft Defender for Cloud Apps Azure Firewall.

AWS(Amazon Web Services) 또는 Google Cloud 전문가

빠르게 시작할 수 있도록 다음 문서에서는 Azure 보안 옵션을 다른 클라우드 서비스와 비교합니다.

서비스 비교

• AWS 및 Azure ID 관리 솔루션: 핵심 ID, 인증, 액세스 제어, 권한 있는 액세스 관리 및 애플리케이션 ID 패턴을 포함한 AWS 및 Azure ID 서비스의 자세한 비교입니다.

• AWS에서 Azure 서비스 비교 - 보안, ID 및 액세스: IAM, 암호화, 방화벽, 위협 탐지, SIEM(보안 정보 및 이벤트 관리) 및 DDoS 보호를 비롯한 AWS 및 Azure 보안 서비스의 비교입니다.

• 구글 클라우드에서 Azure 서비스 비교 - 보안 및 ID: Google Cloud 및 Azure 보안 서비스의 비교입니다. 인증, 암호화, 키 관리, 위협 감지, SIEM, 컨테이너 보안 및 DLP(데이터 손실 방지)를 다룹니다.

• Microsoft Entra AWS용 ID 관리 및 액세스 관리: AWS 계정용 SSO, MFA, Microsoft Entra 조건부 액세스 및 Microsoft Entra PIM을 포함하여 AWS용 Microsoft Entra IAM 솔루션을 배포하기 위한 지침입니다.

마이그레이션 지침

다른 클라우드 플랫폼에서 마이그레이션하는 경우 다음 문서를 참조하세요.

• AWS에서 보안 서비스 마이그레이션: MICROSOFT SENTINEL SIEM 마이그레이션 및 Microsoft Entra 외부 ID 고객 ID 마이그레이션을 포함하여 AWS 보안 서비스를 Azure 마이그레이션하기 위한 지침입니다.

• 다른 클라우드 플랫폼에서 Azure 워크로드를 마이그레이션합니다: 계획, 준비 및 실행 단계를 포함하여 AWS 및 Google Cloud에서 Azure 엔드 투 엔드 워크로드 마이그레이션 프로세스의 개요입니다.