다음을 통해 공유


Azure Government 보안

Azure Government는 규제된/제어된 데이터 요구 사항에 맞게 클라우드 솔루션을 구축하는 데 사용할 수 있는 다양한 기능 및 서비스를 제공합니다. 규정을 준수하는 고객 솔루션은 견고한 데이터 보안 사례와 결합된 기본 제공 Azure Government 기능의 효과적인 구현이 결합된 것일 수 있습니다.

Azure Government에서 솔루션을 호스팅하는 경우 Microsoft는 클라우드 인프라 수준에서 이러한 요구 사항 중 대부분을 처리합니다.

다음 다이어그램에서는 Azure 심층 방어 모델을 보여 줍니다. 예를 들어 Microsoft는 Azure DDoS Protection 또는 고객 관련 애플리케이션 DDoS 요구 사항에 맞는 보안 어플라이언스와 같은 고객 기능과 함께 기본 클라우드 인프라 DDoS(분산 서비스 거부) 보호를 제공합니다.

Azure defense-in-depth model

이 문서에서는 서비스 및 애플리케이션을 보호하기 위한 기본 원칙을 간략하게 설명합니다. 이러한 원칙을 적용하는 방법에 대한 지침과 모범 사례를 제공합니다. 예를 들어 ITAR(국제 무기 거래 규정)에 따라 정보를 처리하는 솔루션에 대한 요구 사항을 충족하기 위해 Azure Government를 스마트하게 사용하는 방법이 있습니다. Azure 리소스와 관련된 보안 상태를 개선하는 데 도움이 되는 추가 보안 권장 사항 및 구현 세부 정보는 Azure Security Benchmark를 참조하세요.

고객 데이터를 보호하기 위한 포괄적인 원칙은 다음과 같습니다.

  • 암호화를 사용하여 데이터 보호
  • 암호 관리
  • 데이터 액세스를 제한하도록 격리

이러한 원칙은 Azure와 Azure Government 모두에 적용됩니다. 격리 이해에서 설명한 대로 Azure Government는 추가 물리적 네트워킹 격리를 제공하고 까다로운 미국 정부 규정 준수 요구 사항을 충족합니다.

데이터 암호화

위험을 완화하고 규정 의무를 충족하는 것은 데이터 암호화에 대한 포커스 및 중요성의 증가를 가져옵니다. 효과적인 암호화 구현을 사용하여 현재 네트워크 및 애플리케이션 보안 조치를 강화하고 클라우드 환경의 전반적인 위험을 감소시킵니다. Azure는 다양한 암호화 모델을 포함한 데이터 암호화를 사용하여 고객 데이터를 보호하기 위한 광범위한 지원을 제공합니다.

  • 서비스 관리형 키, Azure의 CMK(고객 관리형 키) 또는 고객 제어 하드웨어의 CMK를 사용하는 서버 쪽 암호화
  • 온-프레미스 또는 다른 보안 위치에서 키를 관리하고 저장할 수 있는 클라이언트 쪽 암호화. 클라이언트 쪽 암호화는 Azure Key Vault API를 사용할 수 있는 Java 및 .NET 스토리지 클라이언트 라이브러리에 기본 제공되므로 구현하기가 간단합니다. Microsoft Entra ID를 사용하여 특정 개인에게 Azure Key Vault 비밀에 대한 액세스 권한을 제공할 수 있습니다.

데이터 암호화는 암호화 키 액세스와 직접 연결되는 격리 보증을 제공합니다. Azure는 강력한 암호를 데이터 암호화에 사용하므로 암호화 키에 액세스할 수 있는 엔터티만 데이터에 액세스할 수 있습니다. 암호화 키를 삭제하거나 철회하면 해당 데이터에 액세스할 수 없게 됩니다.

미사용 데이터 암호화

Azure는 Microsoft 관리형 암호화 키와 고객 관리형 암호화 키를 모두 사용하여 데이터를 보호하고 규정 준수 요구 사항을 충족하는 데 도움이 되는 미사용 데이터 암호화에 대한 광범위한 옵션을 제공합니다. 이 프로세스는 Azure Key Vault 및 Microsoft Entra ID와 같은 여러 암호화 키와 서비스를 사용하여 보안 키 액세스 및 중앙 집중식 키 관리를 보장합니다. Azure Storage 서비스 암호화 및 Azure 디스크 암호화에 대한 자세한 내용은 미사용 데이터 암호화를 참조하세요.

전송 중 암호화

Azure는 전송 중인 데이터를 암호화하기 위한 여러 옵션을 제공합니다. 전송 중 데이터 암호화는 네트워크 트래픽을 다른 트래픽에서 격리하고 데이터를 가로채지 못하도록 보호하는 데 도움이 됩니다. 자세한 내용은 전송 중 데이터 암호화를 참조하세요.

Azure Government에 대한 연결에 사용할 수 있는 기본 암호화는 TLS(전송 계층 보안) 1.2 프로토콜 및 X.509 인증서를 지원합니다. FIPS(Federal Information Processing Standard) 140 유효성이 검사된 암호화 알고리즘은 Azure Government 데이터 센터 간의 인프라 네트워크 연결에도 사용됩니다. Windows, Windows Server 및 Azure 파일 공유는 SMB 3.0을 VM(가상 머신)과 파일 공유 간의 암호화에 사용할 수 있습니다. 클라이언트 쪽 암호화를 사용하여 클라이언트 응용 프로그램의 스토리지로 전송되기 전에 데이터를 암호화하고 스토리지 외부로 전송된 후에 데이터의 암호를 해독합니다.

암호화 모범 사례

  • IaaS VM: Azure 디스크 암호화를 사용합니다. Azure Storage에서 해당 디스크를 백업하는 데 사용되는 VHD 파일을 암호화하려면 스토리지 서비스 암호화를 켭니다. 이 방법은 새로 작성된 데이터만 암호화합니다. VM을 만든 다음, VHD 파일을 보유하는 Storage 계정에서 Storage 서비스 암호화를 사용하도록 설정하면 원래 VHD 파일이 아닌 변경 내용만 암호화됩니다.
  • 클라이언트 쪽 암호화: 데이터를 전송하기 전에 암호화하고 미사용 데이터를 암호화하므로 데이터를 암호화하는 가장 안전한 방법을 나타냅니다. 그러나 원치 않게, 스토리지를 사용하여 애플리케이션에 코드를 추가해야 합니다. 이러한 경우 HTTPS를 전송 중 데이터에 사용하고, Storage 서비스 암호화를 미사용 데이터를 암호화하는 데 사용할 수 있습니다. 또한 클라이언트 쪽 암호화에는 확장성 계획에서 고려해야 할 클라이언트의 로드가 더 많이 포함됩니다. 특히 많은 데이터를 암호화하고 전송하는 경우에는 더욱 그렇습니다.

암호 관리

데이터 보안을 위해 암호화 키를 적절하게 보호하고 관리하는 것이 필수적입니다. 키 관리를 간소화하고 클라우드 애플리케이션 및 서비스에서 데이터를 암호화하는 데 사용되는 키의 제어를 유지 관리하기 위해 노력해야 합니다. Azure Key Vault는 비밀을 안전하게 저장하고 관리하기 위한 클라우드 서비스입니다. Key Vault를 사용하면 암호화 키를 FIPS 140 유효성이 검사된 HSM(하드웨어 보안 모듈)에 저장할 수 있습니다. 자세한 내용은 데이터 암호화 키 관리를 참조하세요.

비밀 관리 모범 사례

  • 주요 자격 증명 모음을 사용하여 하드 코드된 구성 파일, 스크립트 또는 소스 코드를 통해 노출되는 암호의 위험을 최소화합니다. 추가된 보증을 위해 Azure Key Vault HSM에서 키를 가져오거나 생성할 수 있습니다.
  • 애플리케이션 코드와 템플릿에는 비밀에 대한 URI 참조만 포함되어야 합니다. 즉, 실제 비밀은 코드, 구성 또는 소스 코드 리포지토리에 없습니다. 이 방법은 GitHub의 harvest-bots와 같은 내부 또는 외부 리포지토리에 대한 주요 피싱 공격을 방지합니다.
  • Key Vault 내에서 강력한 Azure RBAC(역할 기반 액세스 제어)를 활용합니다. 회사를 떠나거나 회사 내의 새 그룹으로 이동하는 신뢰할 수 있는 운영자가 비밀에 액세스할 수 없도록 방지해야 합니다.

격리 이해

Azure Government의 격리는 데이터 액세스를 권한 있는 사용자, 서비스 및 애플리케이션으로만 제한하는 신뢰 경계, 구분 및 컨테이너의 구현을 통해 달성됩니다. Azure Government는 환경 및 테넌트 격리 제어 및 기능을 지원합니다.

환경 격리

Azure Government 다중 테넌트 클라우드 플랫폼 환경은 Azure 퍼블릭 클라우드의 나머지 부분과 물리적으로 격리되고 별도로 관리되는 인터넷 표준 기반 AS(자치 시스템)입니다. IETF RFC 4271에서 정의한 대로 AS는 내부 게이트웨이 프로토콜과 일반 메트릭을 사용하여 패킷을 AS 내에서 라우팅하는 단일 기술 관리에서 스위치 및 라우터 세트로 구성됩니다. 외부 게이트웨이 프로토콜은 명확하게 정의된 단일 라우팅 정책을 통해 패킷을 다른 AS로 라우팅하는 데 사용됩니다.

Azure Government 환경의 격리는 다음을 포함하는 일련의 물리적 및 논리적 제어를 통해 달성됩니다.

  • 물리적으로 격리된 하드웨어
  • 생체 인식 디바이스 및 카메라를 사용하는 하드웨어에 대한 물리적 장벽
  • 조건부 액세스(Azure RBAC, 워크플로)
  • 논리적 액세스를 위한 특정 자격 증명 및 다단계 인증
  • Azure Government에 대한 인프라는 미국 내에 있음

Azure Government 네트워크 내에서 내부 네트워크 시스템 구성 요소는 별도의 서브넷 구현 및 관리 인터페이스에 대한 액세스 제어 정책을 통해 다른 시스템 구성 요소와 격리됩니다. Azure Government는 공용 인터넷 또는 Microsoft 회사 네트워크와 직접 피어링하지 않습니다. Azure Government는 인터넷 및 Microsoft 회사 네트워크에 대한 라우팅 및 전송 기능을 갖춘 상업용 Microsoft Azure 네트워크와 직접 피어링합니다. Azure Government는 상업용 Azure 네트워크의 추가 보호 및 통신 기능을 적용하여 공개되는 노출 영역을 제한합니다. 또한 Azure Government ER(ExpressRoute)은 특정 BGP(Border Gateway Protocol)/AS 피어링을 애플리케이션 라우팅 및 관련 정책 적용에 대한 신뢰 경계로 사용하여 ER 고객 "DMZ" 네트워크를 라우팅하기 위해 인터넷이 아닌 개인 회로를 통해 고객 네트워크와의 피어링을 사용합니다.

Azure Government에서 유지 관리하는 권한은 다음과 같습니다.

  • FedRAMP JAB(합동권한부여위원회)에서 발급한 FedRAMP 높음 P-ATO(임시 운영 권한 부여)
  • DISA(국방 정보 시스템 기구)에서 발급한 DoD SRG IL4 및 IL5 PA(임시 권한 부여)

테넌트 격리

고객/테넌트 간의 분리는 Azure 및 Azure Government 다중 테넌트 클라우드 환경 모두에 필수적인 보안 메커니즘입니다. Azure 및 Azure Government는 하이퍼바이저, 루트 OS 및 게스트 VM 격리, 패브릭 컨트롤러 격리, 패킷 필터링, VLAN 격리를 포함하여 기본 고객별 또는 테넌트별 격리 제어를 제공합니다. 자세한 내용은 컴퓨팅 격리를 참조하세요.

가상 머신, 가상 네트워크, VLAN 격리, ACL, 부하 분산 장치 및 IP 필터를 통한 네트워크 액세스 제어 및 분리를 통해 개별 요구 사항을 충족하도록 격리 상태를 관리할 수 있습니다. 또한 구독, 리소스 그룹, 가상 네트워크 및 서브넷 전체에서 리소스에 대한 격리 수준을 추가로 관리할 수 있습니다. 고객/테넌트 논리적 격리 제어는 한 테넌트가 다른 고객/테넌트의 작업을 방해하지 않도록 방지하는 데 도움이 됩니다.

검사

미국의 모든 Azure 및 Azure Government 직원은 Microsoft 배경 검사를 받습니다. Azure Government에서 문제를 해결하기 위해 고객 데이터에 액세스할 수 있는 담당자에게는 추가로 미국 시민권 확인 및 적절한 경우 추가 심사 요구 사항이 적용됩니다.

현재 DoD 클라우드 컴퓨팅 SRG의 5.6.2.2 섹션(77페이지)에서 정의한 대로 계층 3 조사(이전의 NACLC(국가 기관 법률 및 신용 검사))에서 모든 운영자를 심사하고 있습니다.

참고 항목

"비밀 취급 인가"(예: DoD의 ADP-2)를 기반으로 하여 수준 4 및 5 정보에 액세스할 수 있는 CSP 직원에게 필요한 최소 배경 조사는 계층 3 조사("비밀 취급 인가" 계약자의 경우) 또는 "보통 위험" 직위 지정에 대한 보통 MBI(위험 배경 조사)입니다.

적용 가능한 심사 및 배경 검사 환경 빈도 설명
신입 사원 검사 Azure
Azure Gov
고용 시 - 학력(최고 학위)
- 취업 이력(7년 이력)
- 사회 보장 번호 검색
- 범죄 경력 검사(7년 이력)
- OFAC(해외자산통제국) 목록
- BIS(산업안보국) 목록
- DDTC(국방무역 통제사무소) 금지 목록
클라우드 심사 Azure
Azure Gov
2년마다 - 사회 보장 번호 검색
- 범죄 경력 검사(7년 이력)
- OFAC(해외자산통제국)
- BIS(산업안보국) 목록
- DDTC(국방무역 통제사무소) 금지 목록
미국 시민권 Azure Gov 고용 시 - 미국 시민권 확인
CJIS(형사사법정보국) Azure Gov 주(State)와 CJIS 계약 체결 시 - FBI 데이터베이스에 대한 지문 배경 검사 추가
- 범죄 기록 검사 및 신용 검사
계층 3 조사 Azure Gov 스폰서 에이전시와 계약 체결 시 - 자세한 배경 및 범죄 경력 조사(SF 86)

Azure 운영 직원의 경우 다음 액세스 원칙이 적용됩니다.

  • 의무가 명확하게 정의되며, 변경 내용을 요청, 승인, 배포할 별도의 책임이 있습니다.
  • 액세스는 특정 기능이 있는 정의된 인터페이스를 통해 이루어집니다.
  • 액세스는 JIT(just-in-time)이며, 인시던트별로 또는 특정 유지 관리 이벤트에 대해 제한된 기간 동안 부여됩니다.
  • 액세스는 규칙 기반이며, 문제 해결에 필요한 권한만 할당된 역할이 정의됩니다.

검사 표준에는 Azure Government가 호스트하는 시스템에 대한 액세스 권한이 부여되기 이전부터 근무한 모든 Microsoft 고객 지원 및 운영 직원의 미국 시민권 검사가 포함됩니다. 데이터를 전송해야 하는 고객 지원 담당자는 Azure Government 내에서 보안 기능을 사용합니다. 보안 데이터를 전송하려면 별도의 인증 자격 증명으로 액세스 권한을 얻어야 합니다.

참가자 액세스에 대한 제한 사항

고객 데이터에 대한 참가자 액세스를 제한하는 제어는 Azure와 Azure Government 모두에서 동일합니다. 이전 섹션에서 설명한 대로 Azure Government는 미국 시민권 확인을 포함하여 추가 인력 배경 심사 요구 사항을 부과합니다.

참고 항목

내부 위협은 고객의 시스템 및 데이터에 대한 백도어 연결 및 CSP(클라우드 서비스 공급자) 권한 있는 관리자 액세스 권한을 제공할 가능성이 있다는 특징이 있습니다. Microsoft는 고객 데이터에 액세스할 수 있는 사람과 조건과 관련된 강력한 고객 약정을 제공합니다. Microsoft 운영 및 지원 담당자의 고객 데이터 액세스는 기본적으로 거부됩니다. 고객 데이터에 대한 액세스는 Azure를 운영하는 데 필요하지 않습니다. 또한 고객 문제 해결 티켓과 관련된 대부분의 지원 시나리오에서는 고객 데이터에 대한 액세스가 필요하지 않습니다.

기본 액세스 권한과 JIT(Just-in-Time) 액세스를 프로비전하지 않으면 일반적으로 고용 기간 동안 지속되는 기존 온-프레미스 관리자 상승된 액세스 권한과 관련된 위험을 크게 줄일 수 있습니다. Microsoft를 사용하면 악의적인 참가자가 애플리케이션과 데이터를 변조하기가 훨씬 더 어려워집니다. 정규직 직원과 하위 처리자/공급업체를 포함한 모든 Microsoft 엔지니어에게 동일한 액세스 제어 제한 및 프로세스가 적용됩니다. 데이터에 대한 참가자 액세스를 제한하기 위해 적용되는 제어는 다음과 같습니다.

  • JIT(Just-in-Time) 권한 있는 액세스 관리 시스템을 통해 권한이 부여되는 경우를 제외하고는 이 섹션에서 설명한 대로 프로덕션 시스템에 대한 액세스를 방지하는 내부 Microsoft 제어를 적용합니다.
  • 이 섹션에서 설명한 대로 지원 및 문제 해결 시나리오에서 참가자 액세스 승인을 담당하는 고객 Lockbox를 적용합니다. 대부분의 지원 시나리오에서는 데이터에 액세스할 필요가 없습니다.
  • 고객 관리형 암호화 키 옵션이 있는 데이터 암호화 – 암호화된 데이터는 이전에 설명한 대로 키를 소유하고 있는 엔터티만 액세스할 수 있습니다.
  • 프로비전된 Azure 리소스에의 외부 액세스에 대한 고객 모니터링을 적용합니다(다음 섹션에서 설명한 대로 보안 경고를 포함).

Access Control 요구 사항

권한이 없는 사람이 부적절하게 액세스하거나 사용하지 않도록 데이터를 보호하기 위해 Microsoft에서 강력한 조치를 취합니다. Microsoft 엔지니어(정규직 직원 및 하위 처리자/공급업체 포함)에게는 클라우드의 데이터에 대한 기본 액세스 권한이 없습니다. 대신 필요할 때만 관리 감독하에 액세스 권한이 부여됩니다. 제한된 액세스 워크플로를 사용하면 데이터에 대한 액세스가 더 이상 필요하지 않을 때 신중하게 제어되고, 로그되고, 철회됩니다. 예를 들어 사용자가 시작한 문제 해결 요청을 해결하려면 데이터에 액세스해야 할 수 있습니다. 액세스 제어 요구 사항은 다음 정책을 통해 설정됩니다.

  • 기본적으로 고객 데이터에 대한 액세스 권한이 없습니다.
  • 고객 VM에는 사용자 또는 관리자 계정이 없습니다.
  • 작업 완수, 감사 및 액세스 요청 기록에 필요한 최소한의 권한만 부여합니다.

Microsoft 엔지니어는 JIT(Just-in-Time) 액세스를 통한 임시 자격 증명을 사용하여 고객 데이터에 대한 액세스 권한을 얻을 수 있습니다. 액세스 이유, 승인 기록, 액세스한 데이터 등을 설명하는 인시던트가 Azure 인시던트 관리 시스템에 로그되어야 합니다. 이 방법을 사용하면 고객 데이터에 대한 모든 액세스가 적절하게 감독되고 모든 JIT 작업(동의 및 액세스)이 감사를 위해 로그됩니다. 고객 지원 또는 인시던트 처리 목적이 적절하게 승인되면 Azure 담당자에게 고객 데이터 및 애플리케이션에 대한 임시 액세스 권한을 부여하기 위한 절차가 확립되었다는 증거는 독립적인 타사 감사 회사에서 작성한 Azure SOC 2 유형 2 증명 보고서에서 확인할 수 있습니다.

JIT 액세스는 Microsoft 엔지니어가 스마트 카드를 사용하여 신원을 확인해야 하는 다단계 인증을 사용합니다. 생산 시스템에 대한 모든 액세스는 권한 있는 액세스 보호에 관한 지침과 일치하는 SAW(Secure Admin Workstation)을 사용하여 수행됩니다. 생산 시스템 액세스에 SAW를 사용하는 것은 Microsoft 정책에서 요구하는 사항이며, 이 정책의 준수 여부는 면밀하게 모니터링됩니다. 이러한 워크스테이션은 모든 소프트웨어가 완전히 관리되는 고정 이미지를 사용합니다. 따라서 선택한 활동만 허용되며 사용자는 이러한 시스템에 대한 관리자 권한이 없으므로 SAW 설계를 실수로 우회할 수 없습니다. 액세스는 스마트 카드가 있을 때만 허용되며, 각 SAW에 대한 액세스는 특정 사용자 집합에게만 허용됩니다.

고객 Lockbox

Azure용 고객 Lockbox는 Microsoft 엔지니어가 사용자의 데이터에 액세스하는 방법을 제어할 수 있는 기능을 제공하는 서비스입니다. 지원 워크플로의 일부로 Microsoft 엔지니어는 사용자의 데이터에 대한 높은 액세스 권한을 요구할 수 있습니다. 고객 Lockbox를 사용하면 사용자가 이러한 상승된 요청을 승인/거부할 수 있습니다. 고객 Lockbox는 JIT 워크플로의 확장 기능이며 모든 감사 로깅이 활성화된 상태로 제공됩니다. 고객 Lockbox 기능은 고객 데이터에 대한 액세스를 동반하지 않는 지원 사례에는 사용하지 않아도 됩니다. 대부분의 지원 시나리오에서는 고객 데이터에 액세스할 필요가 없으며 워크플로에 고객 Lockbox가 필요하지 않습니다. Microsoft 엔지니어는 Azure 서비스를 유지 관리하고 고객 지원을 지원하기 위해 주로 로그를 사용합니다.

고객 Lockbox는 최소 개발자 수준의 Azure 지원 계획을 보유한 모든 고객이 사용할 수 있습니다. 고객 Lockbox 블레이드의 관리 모듈에서 고객 Lockbox를 사용하도록 설정할 수 있습니다. 이 작업이 고객이 시작한 지원 티켓을 진행하는 데 필요한 경우 Microsoft 엔지니어가 고객 Lockbox 요청을 시작합니다. 고객 Lockbox는 모든 Azure 공개 지역의 고객이 사용할 수 있습니다.

게스트 VM 메모리 크래시 덤프

각 Azure 노드에는 컴퓨팅 격리에서 설명한 대로 하드웨어를 통해 직접 실행되고 노드를 다양한 수의 게스트 VM(가상 머신)으로 분할하는 하이퍼바이저가 있습니다. 또한 각 노드에는 호스트 OS를 실행하는 특별한 하나의 루트 VM도 있습니다.

게스트 VM(고객 VM이라고도 함)이 충돌하는 경우 고객 데이터가 게스트 VM의 메모리 덤프 파일 내에 포함될 수 있습니다. 기본적으로 Microsoft 엔지니어는 게스트 VM에 액세스할 권한이 없으며 고객 승인 없이는 게스트 VM의 크래시 덤프를 검토할 수 없습니다. VM 크래시 조사를 요청하는 경우 명시적인 고객 권한 부여와 관련된 동일한 프로세스를 사용하여 게스트 VM 크래시 덤프에 대한 액세스를 제어합니다. 앞서 설명했듯이 액세스 권한은 JIT 권한 액세스 관리 시스템과 고객 Lockbox에서 제어하여 모든 작업이 기록되고 감사되게 합니다. 게스트 VM에서 메모리 덤프를 삭제하는 기본 강제 기능은 일반적으로 최소 2개월마다 수행되는 VM 이미지로 다시 설치의 일상적인 프로세스입니다.

데이터 삭제, 보존 및 소멸

고객은 Azure에서 항상 고객 데이터를 제어할 수 있습니다. Azure에 저장된 고객 데이터에 자유롭게 액세스하고, 추출하고, 삭제할 수 있습니다. Azure 구독이 종료되면 사용자가 고객 데이터를 계속 소유할 수 있도록 Microsoft에서 필요한 단계를 수행합니다. 데이터 삭제 또는 구독 종료 시 고객이 자주 우려하는 점은 삭제한 데이터에 대한 다른 고객이나 Azure 관리자의 액세스 가능 여부입니다. Azure에서 데이터 삭제, 보존 및 폐기가 구현되는 방법에 대한 자세한 내용은 온라인 설명서를 참조하세요.

Azure 리소스에 대한 고객 모니터링

이 섹션에서는 프로비전된 Azure 리소스에 대한 심층적인 인사이트를 얻고 애플리케이션 및 데이터를 겨냥한 외부 공격을 포함하여 의심스러운 활동에 대해 경고를 받는 데 사용할 수 있는 필수 Azure 서비스에 대해 설명합니다. 전체 목록은 관리 + 거버넌스, 네트워킹보안에 대한 Azure 서비스 디렉터리 섹션을 참조하세요. 또한 Azure Security Benchmark는 Azure 리소스와 관련된 보안 상태를 개선하는 데 도움이 되는 보안 권장 사항 및 구현 세부 정보를 제공합니다.

클라우드용 Microsoft Defender(이전의 Azure Security Center)는 하이브리드 클라우드 워크로드 전반에서 통합 보안 관리 및 고급 위협 방지 기능을 제공합니다. 위협에 대한 노출을 제한하고, 클라우드 리소스를 보호하고, 인시던트에 대응하고, 규제 준수 상태를 개선하는 데 필수적인 서비스입니다.

클라우드용 Microsoft Defender를 사용하면 수행할 수 있는 작업은 다음과 같습니다.

  • 온-프레미스 및 클라우드 워크로드에서의 보안을 모니터링합니다.
  • 고급 분석 및 위협 인텔리전스를 적용하여 공격을 탐지합니다.
  • 액세스 및 애플리케이션 제어를 사용하여 악의적인 활동을 차단합니다.
  • 취약점이 악용되기 전에 먼저 찾아 해결합니다.
  • 위협 대응 조사를 단순화합니다.
  • 보안 표준을 준수하도록 정책을 적용합니다.

클라우드용 Microsoft Defender 사용을 지원하기 위해 Microsoft는 특정 보안 항목을 다루는 광범위한 온라인 설명서와 수많은 블로그 게시물을 게시했습니다.

Azure Monitor는 클라우드 및 온-프레미스 환경 모두에서 원격 분석을 수집, 분석 및 작동하는 포괄적인 솔루션을 제공하여 애플리케이션의 가용성과 성능을 최대화하는 데 도움이 됩니다. 이를 통해 애플리케이션의 성능을 이해하고 배포된 애플리케이션과 종속된 리소스에 영향을 주는 문제를 사전에 식별할 수 있습니다. Azure Monitor는 이전에 독립 실행형 서비스로 브랜드화된 Log AnalyticsApplication Insights의 기능을 통합합니다.

Azure Monitor는 다음과 같은 각 계층에서 데이터를 수집합니다.

  • 애플리케이션 모니터링 데이터: 플랫폼에 관계없이 작성한 코드의 성능과 기능에 대한 데이터입니다.
  • 게스트 OS 모니터링 데이터: 애플리케이션이 실행되고 있는 운영 체제에 대한 데이터입니다. 애플리케이션은 Azure, 다른 클라우드 또는 온-프레미스에서 실행할 수 있습니다.
  • Azure 리소스 모니터링 데이터: Azure 리소스의 작업에 대한 데이터입니다.
  • Azure 구독 모니터링 데이터: Azure 구독의 운영 및 관리에 대한 데이터와 Azure 자체의 상태 및 작업에 대한 데이터입니다.
  • Azure 테넌트 모니터링 데이터: Microsoft Entra ID와 같은 테넌트 수준 Azure 서비스의 운영에 대한 데이터입니다.

Azure Monitor를 사용하면 고급 분석, 대시보드 및 시각화 맵을 사용하여 애플리케이션, 인프라 및 네트워크를 360도로 볼 수 있습니다. Azure Monitor는 인텔리전트 인사이트를 제공하고 AI를 통해 더 나은 결정을 내릴 수 있도록 합니다. 강력한 쿼리 언어와 기본 제공 기계 학습 구문을 사용하여 다양한 원본의 데이터를 분석하고, 상호 연결하고, 모니터링할 수 있습니다. 또한 Azure Monitor는 인기 있는 DevOps, ITSM(IT 서비스 관리) 및 SIEM(보안 정보 및 이벤트 관리) 도구와의 기본 통합을 제공합니다.

Azure Policy를 사용하면 정책을 만들고, 할당하고, 관리하여 Azure 리소스를 효과적으로 관리할 수 있습니다. 이러한 정책은 프로비전된 Azure 리소스에 대해 다양한 규칙을 적용하여 특정 회사 보안 및 개인 정보 보호 표준을 준수하도록 합니다. 예를 들어 허용된 위치에 대한 기본 제공 정책 중 하나를 사용하여 지역 규정 준수 요구 사항을 적용하기 위해 새 리소스에 사용 가능한 위치를 제한할 수 있습니다. 추가 고객 지원을 위해 Microsoft는 다양한 미국 정부, 글로벌, 지역 및 산업 표준의 규정 준수 도메인제어에 매핑되는 Azure Policy 규정 준수 기본 제공 이니셔티브를 제공합니다. 자세한 내용은 Azure Policy 샘플을 참조하세요. Azure Policy의 규정 준수는 책임(고객, Microsoft 또는 공동)에 따라 제어 및 규정 준수 도메인 목록을 볼 수 있는 기본 제공 이니셔티브 정의를 제공합니다. Microsoft에서 담당하는 제어의 경우 해당 규정 준수를 달성하기 위해 타사 증명 및 제어 구현 세부 정보를 기반으로 하는 추가 감사 결과 세부 정보를 제공합니다. 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 제어를 사용하여 규정 준수를 평가하는 데 도움이 될 수 있습니다. 그러나 Azure Policy의 규정 준수는 전체 규정 준수 상태의 부분적인 보기일 뿐입니다. Azure Policy는 대규모로 조직의 표준을 적용하고 규정 준수를 평가하는 데 도움이 됩니다. 해당 규정 준수 대시보드를 통해 환경의 전체 상태를 평가할 수 있는 집계된 보기와 더 세부적인 상태로 드릴다운할 수 있는 기능을 제공합니다.

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스를 제공합니다. 로깅 및 분석을 위해 Azure Monitor와 통합되는 기본 제공 고가용성을 갖춘 완전한 상태 저장 서비스형 방화벽입니다.

Network Watcher를 사용하면 Azure Virtual Network 성능 및 상태를 모니터링하고, 진단하고, 인사이트를 얻을 수 있습니다. 네트워크 보안 그룹 흐름 로그를 사용하면 네트워크 트래픽 패턴을 더 깊이 이해하고 네트워크 보안 프로필의 규정 준수, 감사 및 모니터링을 위한 데이터를 수집할 수 있습니다. 패킷 캡처를 사용하면 가상 머신에서 들어오고 나가는 트래픽을 캡처하여 네트워크 변칙을 진단하고, 네트워크 침입에 대한 정보를 포함하여 네트워크 통계를 수집할 수 있습니다.

Azure DDoS Protection은 Azure 리소스를 공격으로부터 보호하는 데 도움이 되는 광범위한 DDoS(분산 서비스 거부) 완화 기능을 제공합니다. 상시 트래픽 모니터링을 이용하면 DDoS 공격을 거의 실시간으로 감지하고, 고객이 탐색되는 즉시 자동으로 완화할 수 있습니다. DDoS Protection을 웹 애플리케이션 방화벽과 함께 사용하면 SQL 삽입, 교차 사이트 스크립팅 공격 및 세션 하이재킹 같은 다양한 네트워크 계층 공격을 방어할 수 있습니다. Azure DDoS Protection은 분석과 인사이트를 위해 Azure Monitor와 통합됩니다.

Microsoft Sentinel(이전의 Azure Sentinel)은 기본 제공 AI를 사용하여 엔터프라이즈 전체에서 대량의 데이터를 빠르게 분석하는 데 도움이 되는 클라우드 네이티브 SIEM 플랫폼입니다. Microsoft Sentinel은 온-프레미스 또는 클라우드에서 실행되는 사용자, 애플리케이션, 서버 및 디바이스를 포함하여 다양한 원본의 데이터를 집계하여 수백만 개가 넘는 레코드를 몇 초 만에 유추할 수 있습니다. Microsoft Sentinel을 사용하면 다음을 수행할 수 있습니다.

  • 온-프레미스와 여러 클라우드의 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 클라우드 규모로 데이터를 수집합니다.
  • Microsoft에서 제공하는 분석 및 탁월한 위협 인텔리전스를 사용하여 이전에 발견한 위협을 탐지하고 가양성을 최소화합니다.
  • Microsoft의 수십년 간의 사이버 보안 성과물을 활용하여 AI를 통해 위협을 조사하고 대규모로 의심스러운 활동을 헌팅합니다.
  • 일반 작업의 기본 제공 오케스트레이션 및 자동화를 이용해 인시던트에 빠르게 대응합니다.

Azure Advisor는 모범 사례에 따라 Azure 배포를 최적화하는 데 도움이 됩니다. 리소스 구성 및 사용량 원격 분석 데이터를 분석한 다음, Azure 리소스의 비용 효율성, 성능, 고가용성 및 보안을 개선하는 데 도움이 되는 솔루션을 권장합니다.

다음 단계