클라우드 규모 분석을 위한 보안, 거버넌스 및 규정 준수
클라우드 규모 분석 아키텍처를 계획할 때 아키텍처가 강력하고 안전한지 확인하기 위해 특별한 주의를 기울이세요. 이 문서에서는 엔터프라이즈 규모의 클라우드 규모 분석을 위한 보안, 규정 준수 및 거버넌스 설계 기준을 다룹니다. 이 문서에서는 Azure에서 클라우드 규모 분석을 배포하기 위한 설계 권장 사항과 모범 사례도 설명합니다. 엔터프라이즈 규모의 보안 거버넌스 및 규정 준수를 검토하여 엔터프라이즈 솔루션 거버넌스를 완전히 준비합니다.
클라우드 솔루션은 처음에 상대적으로 격리된 단일 애플리케이션을 호스팅했습니다. 클라우드 솔루션의 이점이 명확해짐에 따라 Azure의 SAP과 같은 대규모 워크로드가 클라우드에서 호스팅되었습니다. 따라서 클라우드 서비스의 수명 주기 전반에 걸쳐 지역 배포의 보안, 안정성, 성능 및 비용을 해결하는 것이 중요해졌습니다.
Azure의 클라우드 규모 분석 랜딩 존 보안, 규정 준수 및 거버넌스에 대한 비전은 위험을 최소화하고 효과적인 결정을 내리는 데 도움이 되는 도구와 프로세스를 제공하는 것입니다. Azure 랜딩 존은 보안 거버넌스와 규정 준수 역할 및 책임을 정의합니다.
클라우드 규모 분석 패턴은 Azure에서 사용하도록 설정할 수 있는 여러 보안 기능에 의존합니다. 이러한 기능에는 암호화, 역할 기반 액세스 제어, 액세스 제어 목록 및 네트워킹 제한이 포함됩니다.
보안 설계 권장 사항
Microsoft와 고객 모두 보안에 대한 책임을 공유합니다. 허용되는 보안 지침은 인터넷 보안 센터의 사이버 보안 모범 사례를 참조하세요. 다음 섹션은 보안 설계 권장 사항입니다.
미사용 데이터 암호화
미사용 데이터 암호화는 데이터가 스토리지에 지속되는 동안 데이터를 암호화하는 것을 말하며, 스토리지 미디어의 직접적인 실제 액세스와 관련된 보안 위험을 해결합니다. 기본 데이터는 복구할 수 없고 암호 해독 키 없이 변경할 수 없기 때문에 Dar는 중요한 보안 제어입니다. Dar는 Microsoft 데이터 센터의 심층 방어 전략에서 중요한 계층입니다. 미사용 데이터 암호화를 배포해야 하는 규정 준수 및 거버넌스 이유가 있는 경우가 많습니다.
Azure Storage 및 Azure SQL Database를 비롯한 여러 Azure 서비스가 미사용 데이터 암호화를 지원합니다. 공통 개념과 모델이 Azure 서비스의 디자인에 영향을 주지만 각 서비스는 다른 스택 계층에서 저장 데이터 암호화를 적용하거나 다른 암호화 요구 사항을 가질 수 있습니다.
중요
미사용 데이터 암호화를 지원하는 전체 서비스는 기본적으로 사용하도록 설정해야 합니다.
전송 중인 데이터 보호
데이터는 한 위치에서 다른 위치로 이동할 때 전송 중이거나 이동 중입니다. 이는 내부, 온-프레미스 또는 Azure 내부에 있을 수도 있고 인터넷을 통해 최종 사용자에 이르기까지 외부에 있을 수도 있습니다. Azure는 전송 중에 데이터를 프라이빗하게 유지하기 위해 암호화를 비롯한 여러 메커니즘을 제공합니다. 이러한 메커니즘은 다음을 포함합니다.
- IPsec/IKE 암호화를 사용하는 VPN을 통한 통신.
- Azure Application Gateway 또는 Azure Front Door와 같은 Azure 구성 요소에서 사용하는 TLS(전송 계층 보안) 1.2 이상.
- Windows IPsec 또는 SMB와 같은 Azure Virtual Machines에서 사용할 수 있는 프로토콜입니다.
데이터 링크 계층의 IEEE 표준인 MACsec(미디어 액세스 제어 보안)를 사용한 암호화는 Azure 데이터 센터 간의 모든 Azure 트래픽에 대해 자동으로 사용하도록 설정됩니다. 이 암호화는 고객 데이터의 기밀성과 무결성을 보장합니다. 자세한 내용은 Azure 고객 데이터 보호를 참조하세요.
키 및 비밀 관리
클라우드 규모 분석에 대한 디스크 암호화 키와 비밀을 제어하고 관리하려면 Azure Key Vault를 사용합니다. Key Vault에는 SSL/TLS 인증서를 프로비전하고 관리하는 기능이 있습니다. HSM(하드웨어 보안 모듈)을 사용하여 비밀을 보호할 수도 있습니다.
Microsoft Defender for Cloud
클라우드용 Microsoft Defender는 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 가상 네트워크 등에 대한 보안 경고 및 고급 위협 방지 기능을 제공합니다.
가격 및 설정 영역에서 클라우드용 Defender를 사용하도록 설정하면 다음 Microsoft Defender 계획이 동시에 사용하도록 설정되고 환경의 컴퓨팅, 데이터 및 서비스 계층에 대한 포괄적인 방어를 제공합니다.
- 서버용 Microsoft Defender
- Microsoft Defender for App Service
- 스토리지용 Microsoft Defender
- Microsoft Defender for SQL
- Microsoft Defender for Kubernetes
- 컨테이너 레지스트리용 Microsoft Defender
- Microsoft Defender for Key Vault
- Resource Manager용 Microsoft Defender
- Microsoft Defender for DNS
이러한 계획은 클라우드용 Defender 설명서에 별도로 설명되어 있습니다.
중요
클라우드용 Defender를 PaaS(Platform as a Service) 제품에 사용할 수 있는 경우 특히 Azure Data Lake Storage 계정에 대해 이 기능을 기본적으로 사용하도록 설정해야 합니다. 자세한 내용은 클라우드용 Microsoft Defender 소개 및 스토리지용 Microsoft Defender 구성을 참조하세요.
Microsoft Defender for Identity
Microsoft Defender for Identity는 고급 보안 기능을 위한 통합 패키지인 고급 데이터 보안 제품의 일부입니다. Microsoft Defender for Identity는 Azure Portal을 통해 액세스하고 관리할 수 있습니다.
중요
사용하는 PaaS 서비스에 사용할 수 있을 때마다 기본적으로 Microsoft Defender for Identity를 사용하도록 설정합니다.
Microsoft Sentinel 사용
Microsoft Sentinel은 확장 가능한 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션입니다. Microsoft Sentinel은 엔터프라이즈 전반에 인텔리전트 보안 분석 및 위협 인텔리전스를 제공하며, 경고 검색, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
네트워킹
클라우드 규모 분석 규정 보기는 모든 PaaS 서비스에 대해 Azure 프라이빗 엔드포인트를 사용하고 모든 IaaS(서비스 제공 인프라) 서비스에 대해 공용 IP를 사용하지 않는 것입니다. 자세한 내용은 분석 네트워킹 참조하세요.
규정 준수 및 거버넌스 설계 권장 사항
Azure Advisor를 사용하면 Azure 구독 전반에 걸쳐 통합된 보기를 얻을 수 있습니다. 안정성, 복원력, 보안, 성능, 최적의 작동 및 비용 권장 사항은 Azure Advisor에 문의합니다. 다음 섹션은 규정 준수 및 거버넌스 설계 권장 사항입니다.
Azure Policy 사용
Azure Policy는 조직 표준을 적용하고 대규모로 규정 준수를 평가하는 데 도움이 됩니다. 규정 준수 대시보드를 통해 개별 리소스 또는 정책으로 드릴다운할 수 있는 기능과 함께 전체 환경 상태에 대한 집계 보기를 제공합니다.
Azure Policy는 기존 리소스의 대량 수정 및 새 리소스의 자동 수정을 통해 리소스를 규정 준수 상태로 만드는 데 도움이 됩니다. 예를 들어 새 리소스의 위치를 제한하고, 리소스에 대한 태그 및 해당 값을 요구하고, 관리 디스크를 사용하여 VM을 만들거나, 명명 정책을 적용하기 위해 몇 가지 기본 제공 정책을 사용할 수 있습니다.
배포 자동화
배포를 자동화하여 시간을 절약하고 오류를 줄일 수 있습니다. 재사용 가능한 코드 템플릿을 만들어 엔드투엔드 데이터 랜딩 존 및 데이터 애플리케이션(데이터 제품 생성)의 배포 복잡성을 줄입니다. 이렇게 하면 솔루션을 배포하거나 재배포하는 시간이 최소화됩니다. 자세한 내용은 Azure의 클라우드 규모 분석을 위한 DevOps 자동화 이해를 참조하세요.
프로덕션 워크로드에 대한 리소스 잠금
프로젝트 시작 시 필요한 핵심 데이터 관리 및 데이터 랜딩 존 Azure 리소스를 만듭니다. 모든 추가, 이동 및 변경이 완료되고 Azure 배포가 작동하면 모든 리소스를 잠급니다. 그러면 관리자만 데이터 카탈로그와 같은 리소스를 잠금 해제하거나 수정할 수 있습니다. 자세한 내용은 예기치 않은 변경을 방지하기 위해 리소스 잠그기를 참조하세요.
역할 기반 액세스 제어 구현
Azure 구독에서 RBAC(역할 기반 액세스 제어)를 사용자 지정하여 Azure 리소스에 대한 액세스 권한이 있는 사용자, 해당 리소스로 수행할 수 있는 작업 및 액세스할 수 있는 영역을 관리할 수 있습니다. 예를 들어 팀 구성원이 핵심 자산을 데이터 랜딩 존에 배포하도록 허용할 수 있지만 이들이 네트워크 구성 요소를 변경하는 것은 방지할 수 있습니다.
규정 준수 및 거버넌스 시나리오
다음 권장 사항은 다양한 규정 준수 및 거버넌스 시나리오에 적용됩니다. 이러한 시나리오는 비용 효율적이고 확장 가능한 솔루션을 나타냅니다.
| 시나리오 | 권장 |
|---|---|
| 표준 명명 규칙으로 거버넌스 모델을 구성하고 비용 센터를 기반으로 보고서를 가져옵니다. | Azure Policy 및 태그를 사용하여 요구 사항을 충족합니다. |
| Azure 리소스가 실수로 삭제되지 않도록 합니다. | 실수로 삭제되는 것을 방지하려면 Azure 리소스 잠금을 사용합니다. |
| Azure 리소스에 대한 비용 최적화, 복원력, 보안, 최적의 작동 및 성능을 위한 기회 영역에 대한 통합된 보기를 가져옵니다. | Azure Advisor를 사용하여 Azure의 SAP 구독에 대한 통합 보기를 가져옵니다. |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기