편집

다음을 통해 공유

Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드

Azure
Microsoft Entra ID

솔루션 아이디어

이 문서는 솔루션 아이디어 설명입니다. 클라우드 설계자는 이 지침을 사용하여 이 아키텍처의 일반적인 구현을 위한 주요 구성 요소를 시각화할 수 있습니다. 이 문서를 시작점으로 사용하여 워크로드의 특정 요구 사항에 맞는 잘 설계된 솔루션을 디자인할 수 있습니다.

광범위한 Azure 서비스를 사용하여 조직을 위한 완전한 IT 인프라를 만들 수 있습니다. Azure는 이 인프라를 보호하기 위한 보안 서비스도 제공합니다. Azure의 보안 솔루션을 활용하면 잘 설계된 솔루션에 대한 Microsoft의 모범 사례 권장 사항에 따라 IT 환경의 보안 상태를 개선하고 취약성을 완화하며 위반을 방지할 수 있습니다. 일부 보안 서비스에는 관련 비용이 제공되지만 많은 서비스는 추가 비용 없이 사용할 수 있습니다. 무료 서비스에는 NSG(네트워크 보안 그룹), 스토리지 암호화, TLS/SSL, 공유 액세스 서명 토큰 등이 포함됩니다. 이 문서에서는 이러한 비용 없는 서비스에 중점을 둡니다.

일부 보안 서비스에는 추가 비용이 제공되지만 다른 서비스는 추가 비용 없이 사용할 수 있습니다. 무료 서비스에는 NSG(네트워크 보안 그룹), 스토리지 암호화, TLS/SSL, 공유 액세스 서명 토큰 등이 포함됩니다. 이 문서에서는 이러한 비용 없는 보안 서비스에 중점을 둡니다.

이 문서는 5개의 시리즈 중 세 번째입니다. IT 환경에 대한 위협을 매핑하는 방법에 대한 소개 및 검토를 포함하여 이 시리즈의 이전 두 문서를 검토하려면 다음 문서를 참조하세요.

잠재적인 사용 사례

이 문서에서는 각 Azure 리소스별로 Azure 보안 서비스를 구성하여 VM(가상 머신), 운영 체제, Azure 네트워크 또는 애플리케이션과 같은 리소스를 대상으로 하는 특정 위협과 사용자 및 암호를 손상시킬 수 있는 공격에 집중할 수 있도록 합니다. 제공된 다이어그램은 이러한 유형의 위협으로부터 리소스와 사용자 ID를 모두 보호하기 위해 적절한 Azure 보안 서비스를 식별하는 방법을 안내합니다.

아키텍처

온-프레미스 리소스, Microsoft 365 및 Azure의 서비스, MITRE ATTACK 행렬로 분류된 16가지 형식의 위협에 대한 다이어그램입니다.

이 아키텍처의 Visio 파일을 다운로드합니다.

©2021 The MITRE Corporation. 이 저작물은 The MITRE Corporation의 허가를 받아 복제 및 배포되었습니다.

이 다이어그램의 Azure 보안 계층은 Azure Policy를 통해 구현되는 보안 규칙 집합인 Azure ASB(보안 벤치마크) v3를 기반으로 합니다. ASB는 CIS 인터넷 보안 센터미국 국립표준기술원의 규칙 조합을 기반으로 합니다. ASB에 대한 자세한 내용은 Azure Security Benchmark v3 개요를 참조하세요.

다이어그램에는 사용 가능한 모든 Azure 보안 서비스가 포함되지 않지만 조직에서 가장 일반적으로 사용하는 서비스가 강조 표시됩니다. 아키텍처 다이어그램에 표시된 모든 보안 서비스는 IT 환경 및 조직의 특정 보안 요구 사항에 따라 함께 작동하도록 결합하고 구성할 수 있습니다.

워크플로

이 섹션에서는 다이어그램에 나타나는 구성 요소 및 서비스에 대해 설명합니다. 이들 중 다수는 약식 레이블 외에도 ASB 제어 코드로 레이블이 지정되어 있습니다. 컨트롤 코드는 컨트롤에 나열된 컨트롤 도메인에 해당합니다.

  1. AZURE SECURITY BENCHMARK

    각 보안 제어는 하나 이상의 특정 Azure 보안 서비스를 참조하세요. 이 문서의 아키텍처 참조는 ASB 설명서에 따라 이들 중 일부와 컨트롤 번호를 보여 줍니다. 컨트롤에는 다음이 포함됩니다.

    • 네트워크 보안
    • ID 관리
    • 권한 있는 액세스
    • 데이터 보호
    • 자산 관리
    • 로깅 및 위협 탐지
    • 사고 대응
    • 포스처 및 취약성 관리
    • 엔드포인트 보안
    • Backup 및 복구
    • DevOps 보안
    • 거버넌스 및 전략

    보안 컨트롤에 대한 자세한 내용은 Azure Security Benchmark(v3) 개요를 참조하세요.

  2. 네트워크

    다음 표에서는 다이어그램의 네트워크 서비스에 대해 설명합니다.

    레이블 설명 문서
    NSG 네트워크 인터페이스 또는 서브넷에 연결하는 무료 서비스입니다. NSG를 사용하면 인바운드 및 아웃바운드 연결에 IP 주소 범위 및 포트를 사용하여 TCP 또는 UDP 프로토콜 트래픽을 필터링할 수 있습니다. 네트워크 보안 그룹
    VPN IPSEC(IKE v1/v2) 보호 기능이 있는 터널을 제공하는 VPN(가상 사설망) 게이트웨이입니다. VPN Gateway
    AZURE FIREWALL 계층 4에서 보호를 제공하고 전체 가상 네트워크에 연결된 PaaS(서비스 제공 플랫폼)입니다. Azure Firewall이란?
    APP GW + WAF Azure Application Gateway(WAF(웹 애플리케이션 방화벽) 포함) Application Gateway는 계층 7에서 작동하는 웹 트래픽용 부하 분산 장치이며 HTTP 및 HTTPS를 사용하는 애플리케이션을 보호하기 위해 WAF를 추가합니다. Azure Application Gateway란?
    NVA NVA(네트워크 가상 어플라이언스)는 Azure의 VM에 프로비전되는 마켓플레이스의 가상 보안 서비스입니다. 네트워크 가상 어플라이언스
    DDOS 가상 네트워크에 구현된 DDoS 보호는 다양한 형식의 DDoS 공격을 완화하는 데 도움이 됩니다. Azure DDoS 네트워크 보호 개요
    TLS/SSL TLS/SSL은 Azure Storage 및 Web Apps와 같이 정보를 교환하는 대부분의 Azure 서비스에 대해 전송 중 암호화를 제공합니다. PowerShell과 함께 Application Gateway를 사용하여 엔드투엔드 TLS 구성
    프라이빗 링크 처음에 인터넷에 노출되는 Azure 서비스에 대한 개인 네트워크를 만들 수 있는 서비스입니다. Azure Private Link란?
    프라이빗 엔드포인트 네트워크 인터페이스를 만들어 Azure 서비스에 연결합니다. 프라이빗 엔드포인트는 Private Link 일부입니다. 이 구성을 사용하면 프라이빗 엔드포인트를 사용하여 서비스가 가상 네트워크의 일부가 될 수 있습니다. 프라이빗 엔드포인트란?

  3. 인프라 및 엔드포인트

    다음 표에서는 다이어그램에 표시된 인프라 및 엔드포인트 서비스에 대해 설명합니다.

    레이블 설명 문서
    BASTION Bastion은 점프 서버 기능을 제공합니다. 이 서비스를 사용하면 VM을 인터넷에 노출하지 않고도 RDP(원격 데스크톱 프로토콜) 또는 SSH를 통해 VM에 액세스할 수 있습니다. Azure Bastion이란?
    ANTIMALWARE Microsoft Defender는 맬웨어 방지 서비스를 제공하며 Windows 10, Windows 11, Windows Server 2016 및 Windows Server 2019의 일부입니다. Windows의 Microsoft Defender 바이러스 백신
    DISK ENCRYPT 디스크 암호화를 사용하면 VM의 디스크를 암호화할 수 있습니다. Windows VM용 Azure Disk Encryption
    KEYVAULT FIPS 140-2 수준 2 또는 3을 사용하여 키, 비밀 및 인증서를 저장하는 서비스인 Key Vault입니다. Azure Key Vault 기본 개념
    RDP SHORT Azure 가상 데스크톱 RDP Shortpath입니다. 이 기능을 사용하면 원격 사용자가 개인 네트워크에서 가상 데스크톱 서비스에 연결할 수 있습니다. 관리 네트워크에 대한 Azure Virtual Desktop RDP Shortpath
    역방향 연결 Azure Virtual Desktop의 기본 제공 보안 기능입니다. 역방향 연결은 원격 사용자가 픽셀 스트림만 수신하고 호스트 VM에 도달하지 않도록 보장합니다. Azure Virtual Desktop 네트워크 연결 이해

  4. 애플리케이션 및 데이터

    다음 표에서는 다이어그램에 표시된 애플리케이션 및 데이터 서비스에 대해 설명합니다.

    레이블 설명 문서
    FRONTDOOR + WAF CDN(콘텐츠 배달 네트워크). Front Door는 서비스에 액세스하고 WAF를 추가하는 사용자에게 더 나은 연결을 제공하기 위해 여러 클라이언트에서 로그인을 결합합니다. Azure Front Door란?
    API MANAGEMENT API 호출에 대한 보안을 제공하고 환경 전체에서 API를 관리하는 서비스입니다. API Management 정보
    PENTEST Azure 리소스를 포함하여 사용자 환경에서 침투 테스트를 실행하기 위한 모범 사례 집합입니다. 침투 테스트
    스토리지 SAS 토큰 다른 사용자가 Azure Storage 계정에 액세스할 수 있도록 허용하는 공유 액세스 토큰입니다. SAS(공유 액세스 서명)를 사용하여 Azure Storage 리소스에 대한 제한된 액세스 권한 부여
    프라이빗 엔드포인트 네트워크 인터페이스를 만들고 스토리지 계정에 연결하여 Azure의 개인 네트워크 내에서 구성합니다. Azure Storage에 프라이빗 엔드포인트 사용
    스토리지 방화벽 스토리지 계정에 액세스할 수 있는 IP 주소 범위를 설정할 수 있는 방화벽입니다. Azure Storage 방화벽 및 가상 네트워크 구성
    암호화
    (Azure Storage)    		 미사용 암호화로 스토리지 계정을 보호합니다. 미사용 데이터에 대한 Azure Storage 암호화
    SQL AUDIT 데이터베이스 이벤트를 추적하고 Azure Storage 계정의 감사 로그에 이벤트를 씁니다. Azure SQL Database 및 Azure Synapse Analytics에 대한 감사
    취약성 평가 잠재적인 데이터베이스 취약성을 발견, 추적 및 수정할 수 있도록 하는 서비스입니다. SQL 취약성 평가는 데이터베이스 취약성을 식별하는 데 유용합니다.
    암호화
    (Azure SQL)    		 TDE(투명한 데이터 암호화)는 미사용 데이터를 암호화하여 Azure SQL 데이터베이스 서비스를 보호하는 데 도움이 됩니다. SQL Database, SQL Managed Instance, Azure Synapse Analytics에 대한 투명한 데이터 암호화

  5. IDENTITY

    다음 표에서는 다이어그램에 표시된 ID 서비스에 대해 설명합니다.

    레이블 설명 문서
    RBAC Azure RBAC(Azure 역할 기반 액세스 제어)는 사용자의 Microsoft Entra 자격 증명을 기반으로 하는 세분화된 권한을 사용하여 Azure 서비스에 대한 액세스를 관리하는 데 도움이 됩니다. Azure RBAC(Azure 역할 기반 액세스 제어)란?
    MFA 다단계 인증은 사용자 이름과 암호 이외의 추가 인증 형식을 제공합니다. 작동 방식: Microsoft Entra 다단계 인증
    ID 보호 Microsoft Entra ID의 보안 서비스인 ID 보호는 매일 수조 개의 신호를 분석하여 위협으로부터 사용자를 식별하고 보호합니다. Identity Protection이란?
    PIM Microsoft Entra ID의 보안 서비스인 PIM(Privileged Identity Management). Microsoft Entra ID(예: 사용자 관리자) 및 Azure 구독(예: 역할 기반 액세스 제어 관리자 또는 Key Vault 관리자)에 대한 슈퍼 사용자 권한을 일시적으로 제공하는 데 도움이 됩니다. Microsoft Entra Privileged Identity Management란?
    COND ACC 조건부 액세스는 다양한 조건에 대해 정의한 정책을 사용하여 사용자에 대한 액세스를 차단하거나 부여하는 지능형 보안 서비스입니다. 조건부 액세스란?

구성 요소

이 문서의 예제 아키텍처는 다음 Azure 구성 요소를 사용합니다.

  • Microsoft Entra ID는 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID는 사용자가 Microsoft 365, Azure Portal 및 수천 개의 기타 SaaS 애플리케이션과 같은 외부 리소스에 액세스하는 데 도움이 됩니다. 또한 회사 인트라넷 네트워크의 앱과 같은 내부 리소스에 액세스하는 데 도움이 됩니다.

  • Azure Virtual Network는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다. Virtual Network를 사용하면 다양한 종류의 Azure 리소스에서 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. Virtual Network는 확장성, 가용성 및 격리와 같은 Azure 인프라의 이점을 활용하는 가상 네트워크를 제공합니다.

  • Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대한 대기 시간이 낮은 고성능 계층 4 부하 분산 서비스(인바운드 및 아웃바운드)입니다. 솔루션의 고가용성을 보장하면서 초당 수백만 개의 요청을 처리하도록 빌드되었습니다. Azure Load Balancer는 영역 중복으로, 가용성 영역에서 고가용성을 보장합니다.

  • 가상 머신은 Azure에서 제공하는 여러 종류의 확장성 있는 주문형 컴퓨팅 리소스 중 하나입니다. Azure VM(가상 머신)은 가상화를 실행하는 물리적 하드웨어를 구입 및 유지 관리하지 않고도 가상화의 유연성을 제공합니다.

  • AKS(Azure Kubernetes Service)는 컨테이너화된 애플리케이션을 배포하고 관리하는 완전 관리형 Kubernetes 서비스입니다. AKS는 서버리스 Kubernetes, CI/CD(연속 통합/지속적인 업데이트), 엔터프라이즈급 보안 및 거버넌스를 제공합니다.

  • Azure Virtual Desktop은 원격 사용자에게 데스크톱을 제공하기 위해 클라우드에서 실행되는 데스크톱 및 앱 가상화 서비스입니다.

  • App Service Web Apps는 웹 애플리케이션, REST API 및 모바일 백 엔드를 호스트하는 HTTP 기반 서비스입니다. 원하는 언어로 개발할 수 있으며, Windows 및 Linux 기반 환경 모두에서 애플리케이션을 쉽게 실행하고 크기를 조정할 수 있습니다.

  • Azure Storage는 개체, Blob, 파일, 디스크, 큐 및 테이블 스토리지를 포함하여 클라우드의 다양한 데이터 개체를 위한 고가용성의 대규모 확장성 및 내구성이 있는 보안 스토리지입니다. Azure Storage 계정에 기록된 모든 데이터는 서비스에 의해 암호화됩니다. Azure Storage는 데이터에 액세스할 수 있는 사용자를 자세히 제어할 수 있습니다.

  • Azure SQL 데이터베이스는 업그레이드, 패치, 백업 및 모니터링과 같은 대부분의 데이터베이스 관리 기능을 처리하는 완전 관리형 PaaS 데이터베이스 엔진입니다. 사용자 개입 없이 이러한 기능을 제공합니다. SQL Database는 다양한 기본 제공 보안 및 규정 준수 기능을 제공하여 애플리케이션이 보안 및 규정 준수 요구 사항을 충족할 수 있도록 도와줍니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

기타 기여자:

다음 단계

Microsoft에는 IT 환경을 보호할 수 있도록 하는 더 많은 설명서가 있으며 다음 문서가 특히 도움이 될 수 있습니다.

다음 리소스에서 이 문서에 언급된 서비스, 기술 및 용어에 대한 자세한 정보를 찾을 수 있습니다.

이 참조 아키텍처에 대한 자세한 내용은 이 시리즈의 다른 문서를 참조하세요.