사용자의 데이터를 보호하기 위해 수행할 수 있는 가장 중요한 단계 중 하나는 신뢰할 수 있는 백업 인프라를 보유하는 것입니다. 그러나 안전한 방식으로 데이터를 백업하고 백업이 항상 보호되도록 하는 것 또한 중요합니다. Azure Backup은 데이터가 전송 중 또는 미사용 상태일 경우 둘 다 백업 환경에 대한 보안을 제공합니다. 이 문서는 백업 데이터를 보호하고 비즈니스의 보안 요구를 충족하도록 도움을 주는 Azure Backup의 보안 기능을 나열합니다.
ID 및 사용자 액세스 관리 및 제어
Recovery Services 자격 증명 모음에 사용되는 스토리지 계정은 격리되며 악의적인 목적을 위해 사용자가 액세스할 수 없습니다. 액세스는 복원과 같은 Azure Backup 관리 작업을 통해서만 허용됩니다. Azure Backup을 사용하면 세분화된 액세스를 통해 관리되는 작업을 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 제어할 수 있습니다. Azure RBAC를 사용하여 팀 내에서 업무를 분리하고 사용자에게 해당 작업을 수행하는 데 필요한 만큼의 권한만 부여할 수 있습니다.
Azure Backup에서는 백업 관리 작업의 제어를 위하여 3가지 기본 제공 역할을 제공합니다.
- 백업 기여자: 백업을 만들고 관리하되, Recovery Services 자격 증명 모음을 삭제하고 다른 사용자에 대한 액세스 권한을 제공하는 권한은 제외됨
- 백업 운영자: 기여자가 하는 모든 일, 단 백업을 제거하고 백업 정책을 관리하는 권한은 제외
- Backup 읽기 권한자 - 모든 백업 관리 작업을 확인할 수 있는 권한
Azure Backup을 관리하는 Azure 역할 기반 액세스 제어에 대해 자세히 알아보세요.
Azure Backup에서는 보안 취약성을 예방, 감지 및 대응하기 위해 몇 가지 보안 컨트롤이 서비스에 기본 제공됩니다. Azure Backup에 대한 보안 제어에 대해 자세한 내용을 확인하세요.
Azure Backup을 사용한 데이터 격리
Azure Backup을 사용하면 Microsoft 관리형 Azure 구독 및 테넌트에 자격 증명 모음 백업 데이터가 저장됩니다. 외부 사용자 또는 게스트는 이 백업 스토리지 또는 해당 콘텐츠에 직접 액세스할 수 없기 때문에, 데이터 원본이 자리하는 프로덕션 환경으로부터 백업 데이터의 격리가 보장됩니다.
Azure에서는 모든 통신 및 전송 중인 데이터를 HTTPS 및 TLS 1.2 이상 프로토콜을 사용하여 안전하게 전송합니다. Azure 백본 네트워크에 남아 있는 이 데이터는 신뢰성 있으며 효율적인 데이터 전송을 보장합니다. 기본적으로 미사용된 백업 데이터는 Microsoft 관리형 키를 사용하여 암호화됩니다. 데이터를 보다 강력하게 제어해야 한다면 암호화를 위해 고유한 키를 가져올 수도 있습니다. 보호를 강화하기 위해 불변성을 사용하여 데이터가 보존 기간 이전에 변경되거나 삭제되지 않도록 할 수 있습니다. 언제든지 백업을 중지해야 하는 때에, Azure Backup은 일시 삭제, 백업 중지 및 데이터 삭제 또는 데이터 유지와 같은 다양한 옵션을 제공합니다. 중요한 작업을 보호하기 위해 MUA(다중 사용자 권한 부여)를 추가할 수 있습니다. 이것은 Azure Resource Guard라는 Azure 리소스를 사용하여 추가적인 보호 계층을 추가합니다.
이 강력한 방법을 사용하면 손상된 환경에서도, 승인되지 않은 사용자가 기존 백업을 변조하거나 삭제하는 것이 불가능합니다.
Azure VM 백업에 인터넷 연결이 필요하지 않음
Azure VM을 백업하려면 가상 머신의 디스크에서 데이터를 Recovery Services 자격 증명 모음으로 이동해야 합니다. 그러나 모든 필수적인 통신 및 데이터 전송은 사용자의 가상 네트워크에 액세스할 필요 없이 Azure 백본 네트워크에서만 수행됩니다. 따라서 보안 네트워크 내에 배치된 Azure VM을 백업하려면 모든 IP 또는 FQDN에 대한 액세스를 허용하지 않아도 됩니다.
Azure Backup용 프라이빗 엔드포인트
이제 프라이빗 엔드포인트를 사용하여 데이터를 가상 네트워크 내에 있는 서버에서 Recovery Services 자격 증명 모음으로 안전하게 백업할 수 있습니다. 프라이빗 엔드포인트는 사용자의 자격 증명 모음에 대한 VNET 주소 공간의 IP를 사용하므로 공용 IP에 가상 네트워크를 노출할 필요가 없습니다. 프라이빗 엔드포인트는 Azure VM 내에서 실행되는 SQL 및 SAP HANA 데이터베이스를 백업하고 복원하는 데 사용할 수 있습니다. 이것은 MARS 에이전트를 사용하는 사용자의 온-프레미스 서버에도 사용할 수 있습니다.
Azure Backup의 프라이빗 엔드포인트에 대한 자세한 내용은 여기를 참조하세요.
데이터 암호화
암호화는 사용자의 데이터를 보호하고 조직의 보안 및 규정 준수 노력에 부합하는 데 도움이 됩니다. Azure Backup의 여러 단계에서 데이터 암호화가 발생합니다.
Azure 내에서 Azure 스토리지와 자격 증명 모음 사이를 이동하는 데이터는 HTTPS를 통해 보호됩니다. 이 데이터는 Azure 백본 네트워크에 남습니다.
백업 데이터는 자동으로 플랫폼 관리형 키를 사용하여 암호화되며, 이를 활성화하기 위해 명시적인 작업을 수행할 필요가 없습니다. 아니면 Azure Key Vault에 저장된 고객 관리형 키를 사용하여 백업된 데이터를 암호화할 수도 있습니다. 이것은 Recovery Services 자격 증명 모음에 백업되는 모든 워크로드에 적용됩니다.
Azure Backup은 ADE(Azure Disk Encryption)로 암호화된 OS/데이터 디스크가 있는 Azure VM 및 CMK 암호화된 디스크가 있는 VM의 백업 및 복원을 지원합니다. 자세한 내용은 원한다면, 암호화된 Azure VM 및 Azure Backup에 대해 알아보세요.
온-프레미스 서버에서 MARS 에이전트를 사용하여 데이터를 백업하는 경우, Azure Backup에 업로드 하기 전에 암호를 사용하여 데이터를 암호화하고, Azure Backup에서 다운로드한 후에만 데이터의 암호를 해독합니다. 하이브리드 백업을 보호하는 데 도움이 되는 보안 기능에 대해 읽고 자세히 알아보세요.
일시 삭제
Azure Backup은 보안 기능을 제공하여, 삭제 후에도 백업 데이터를 보호하는 데 도움을 줍니다. 일시 삭제를 사용하는 경우 사용자가 VM의 백업을 삭제하면 백업 데이터는 추가로 14일 동안 보존되어 데이터 손실 없이 해당 백업 항목을 복구할 수 있습니다. 일시 삭제 상태의 백업 데이터를 추가로 14일 동안 보존하더라도 비용이 발생하지 않습니다. 일시 삭제에 대해 자세히 알아보세요.
Azure Backup은 삭제 후의 데이터 복구 가능성을 더욱 높이기 위해 일시 삭제 기능도 강화했습니다. 자세히 알아보세요.
변경 불가한 자격 증명 모음
변경이 불가능한 자격 증명 모음은 복구 지점 손실로 이어질 수 있는 작업을 차단하여 백업 데이터를 보호하는 데 도움이 될 수 있습니다. 또한 변경이 불가능한 자격 증명 모음 설정을 잠가서 설정을 되돌릴 수 없도록 하여 악의적인 행위자가 불변성을 비활성화하고 백업을 삭제하는 것을 방지할 수 있습니다. 변경 불가능한 자격 증명 모음에 대해 자세히 알아봅니다.
다중 사용자 권한 부여
Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 사용하면 Recovery Services 자격 증명 모음 및 백업 자격 증명 모음의 중요한 작업에 추가 보호 계층을 추가할 수 있습니다. MUA의 경우 Azure Backup은 Resource Guard라는 다른 Azure 리소스를 사용하여 해당 권한 부여를 통해서만 중요한 작업이 수행되도록 합니다. Azure Backup의 다중 사용자 권한 부여에 대해 자세히 알아봅니다.
향상된 일시 삭제
향상된 일시 삭제를 사용하면 실수로 또는 악의적으로 삭제된 후에도 데이터를 복구할 수 있습니다. 지정된 기간 동안 데이터의 영구 삭제를 지연하여 데이터를 되찾을 수 있는 기회를 제공합니다. 또한 일시 삭제를 항상 사용하도록 설정하여 비활성화되지 않도록 할 수 있습니다. 백업에 대한 향상된 일시 삭제에 대해 자세히 알아보세요.
의심스러운 활동의 모니터링 및 경고
Azure Backup은 Azure Backup과 관련된 이벤트에 대한 작업을 보고 구성할 수 있는 기본 제공 모니터링 및 경고 기능을 제공합니다. Backup 보고서는 사용량 추적, 백업 및 복원 감사, 다양한 세분성 수준에서 주요 추세 식별을 위한 하나의 원스톱 목적지를 제공합니다. Azure Backup의 모니터링 및 보고 도구를 사용하면 무단, 의심스러운 또는 악의적인 활동을 발생하는 즉시 사용자에게 경고할 수 있습니다.
하이브리드 백업을 보호하기 위한 보안 기능
Azure Backup 서비스는 MARS(Microsoft Azure Recovery Services) 에이전트를 사용하여 파일, 폴더 및 볼륨 또는 시스템 상태를 온-프레미스 컴퓨터에서 Azure로 백업하고 복원합니다. MARS는 이제 하이브리드 백업을 보호하는 데 도움이 되는 보안 기능을 제공합니다. 이러한 기능으로는 다음이 포함됩니다.
암호 변경과 같은 중요한 작업이 수행될 때마다 추가 인증 계층이 더해집니다. 이 유효성 검사는 유효한 Azure 자격 증명을 보유한 사용자만 이러한 작업을 수행할 수 있도록 보장합니다. 공격을 방지하는 기능에 대해 자세히 알아보세요.
삭제된 백업 데이터는 삭제한 날짜로부터 추가 14일 동안 유지됩니다. 이를 통해 지정된 기간 내에는 데이터를 복구할 수 있게 되므로 공격이 발생하더라도 데이터가 손실되지 않습니다. 또한 데이터 손상으로부터 보호하기 위해 더 많은 수의 최소 복구 지점이 유지됩니다. 삭제된 백업 데이터의 복구에 대해 자세히 알아보세요.
MARS(Microsoft Azure Recovery Services) 에이전트를 사용하여 백업된 데이터의 경우, 암호는 데이터가 Azure Backup에 업로드되기 전에 암호화되고 Azure Backup에서 다운로드한 후에만 해독되도록 하는 데 사용됩니다. 암호의 세부 사항은 암호를 만든 사용자와 해당 암호를 사용하여 구성된 에이전트에 대해서만 사용할 수 있습니다. 서비스와 함께 전송되거나 공유되지 않습니다. 이를 통해 네트워크에 대한 중간자(man-in-the-middle) 공격처럼 실수로 노출되는 데이터를 암호 없이 사용할 수 없고, 암호가 네트워크를 통해 전송되지 않으므로 데이터를 완벽하게 보호할 수 있습니다.
보안 태세와 보안 수준
Azure Backup은 저장된 백업 데이터를 보호하기 위하여 자격 증명 모음 수준의 보안 기능을 제공합니다. 이러한 보안 조치에는 자격 증명 모음에 대한 Azure Backup 솔루션과 관련된 설정과, 자격 증 명 모음에 포함된 보호된 데이터 원본이 포함됩니다.
Azure Backup 자격 증명 모음의 보안 수준의 분류는 다음과 같습니다.
우수(최대): 이 수준은 종합적인 보호를 보장하는 가장 높은 보안 수준을 나타냅니다. 모든 백업 데이터를 실수로 삭제하는 것이 방지되며 랜섬웨어 공격으로부터 보호되면 이 수준을 달성할 수 있습니다. 이 높은 수준의 보안을 달성하려면 다음 조건을 충족해야 합니다.
- 불변성 또는 일시 삭제 자격 증명 모음 설정은 사용하도록 설정되어 있어야 하며 되돌릴 수 없어야 합니다(잠금/항상 켜짐).
- 자격 증명 모음에서 MUA(다중 사용자 권한 부여)를 활성화해야 합니다.
양호(적절한): 이것은 강력한 보안 수준을 의미하여 신뢰할 수 있는 데이터 보호를 보장합니다. 기존 백업이 의도치 않게 삭제되는 것을 방지하고 데이터 복구 가능성을 높여줍니다. 이 수준의 보안을 달성하려면 잠금 또는 일시 삭제로 불변성을 활성화해야 합니다.
보통(최소/평균): 이것은 표준 보호 요구 사항에 적합한 기본 보안 수준을 나타냅니다. 필수 백업 작업은 추가적인 보호 계층의 이점을 활용합니다. 보안을 최소화하려면 자격 증명 모음에 MUA(다중 사용자 권한 부여)를 활성화해야 합니다.
불량(나쁨/없음): 이것은 보안 조치의 부족을 나타내며 데이터 보호에 덜 적합합니다. 이 수준에서는 고급 보호 기능도 단독으로 되돌릴 수 있는 기능도 없습니다. 없음 수준의 보안은 실수로 삭제하는 것에 대한 보호만 주로 제공합니다.
Resiliency 시스템을 통해 각각의 보관소에서 모든 데이터 원본의 보안 수준을 보고 관리할 수 있습니다.
표준화된 보안 요구 사항 준수
Microsoft Azure & Azure Backup은 조직이 개인 데이터의 수집 및 사용을 규정하는 국가별/지역별 및 산업별 요구 사항을 준수할 수 있도록 포괄적인 인증 및 증명 모음을 제공합니다. 규정 준수 인증 목록을 참조하세요