Azure 정보 시스템 구성 요소 및 경계
이 문서에서는 Azure 아키텍처 및 관리에 대한 일반적인 설명을 제공합니다. Azure 시스템 환경이 구성되는 네트워크는 다음과 같습니다.
- Azure 네트워크(Microsoft Azure 프로덕션 네트워크)
- Corpnet(Microsoft 회사 네트워크)
별도의 IT 팀에서 이러한 네트워크의 운영 및 유지 관리를 담당합니다.
Azure 아키텍처
Azure는 데이터 센터의 네트워크를 통해 애플리케이션과 서비스를 빌드, 배포 및 관리하기 위한 클라우드 컴퓨팅 플랫폼 및 인프라입니다. Microsoft는 이러한 데이터 센터를 관리합니다. Azure는 고객이 지정한 리소스의 수와 리소스 요구 사항에 따라 VM(가상 머신)을 만듭니다. 이러한 VM은 클라우드에서 사용하도록 설계되고 일반인이 액세스할 수 없는 Azure 하이퍼바이저에서 실행됩니다.
Azure 물리적 서버 노드 각각에는 하드웨어에서 직접 실행되는 하이퍼바이저가 있습니다. 하이퍼바이저는 노드를 가변 개수의 게스트 VM으로 나눕니다. 또한 각 노드에는 호스트 운영 체제를 실행하는 하나의 루트 VM도 있습니다. 각 VM에서 Windows 방화벽을 사용하도록 설정할 수 있습니다. 서비스 정의 파일을 구성하여 주소를 지정할 수 있는 포트를 정의합니다. 이러한 포트는 내외부적으로 유일한 개방적이고 주소를 지정할 수는 포트입니다. 모든 트래픽과 디스크 및 네트워크에 대한 액세스는 하이퍼바이저 및 루트 운영 체제에 의해 조정됩니다.
호스트 계층에서 Azure VM은 최신 Windows Server의 사용자 지정되고 강화된 버전을 실행합니다. Azure는 VM을 호스팅하는 데 필요한 구성 요소만 포함하는 Windows Server 버전을 사용합니다. 이렇게 하면 성능이 향상되고 공격 영역이 줄어듭니다. 컴퓨터 경계는 운영 체제 보안과 관련이 없는 하이퍼바이저에 의해 적용됩니다.
패브릭 컨트롤러에 의한 Azure 관리
Azure의 물리적 서버(블레이드/노드)에서 실행되는 VM은 약 1,000개의 "클러스터"로 그룹화됩니다. VM은 FC(패브릭 컨트롤러)라는 확장되고 중복적인 플랫폼 소프트웨어 구성 요소에서 독립적으로 관리됩니다.
각 FC는 해당 클러스터에서 실행되는 애플리케이션의 수명 주기를 관리하고 해당 제어 하에 있는 하드웨어의 상태를 프로비전하고 모니터링합니다. 서버가 실패했다고 판단되면 정상적인 서버에서 VM 인스턴스를 다시 환생시키는 것처럼 자율적인 작업을 실행합니다. FC는 애플리케이션 배포, 업데이트 및 확장과 같은 애플리케이션 관리 작업도 수행합니다.
데이터 센터는 클러스터로 나뉩니다. 클러스터는 FC 수준에서 오류를 격리하고, 특정 유형의 오류가 발생하는 클러스터 이외의 서버에 영향을 미치지 않도록 합니다. 특정 Azure 클러스터에 서비스를 제공하는 FC는 FC 클러스터로 그룹화됩니다.
하드웨어 인벤토리
FC는 부트스트랩 구성 프로세스 중 Azure 하드웨어 및 네트워크 디바이스의 인벤토리를 준비합니다. Azure 프로덕션 환경에 들어가는 새 하드웨어 및 네트워크 구성 요소는 부트스트랩 구성 프로세스를 따라야 합니다. FC는 datacenter.xml 구성 파일에 나열된 전체 인벤토리를 관리합니다.
FC 관리 운영 체제 이미지
운영 체제 팀은 Azure 프로덕션 환경의 모든 호스트 및 게스트 VM에 배포되는 가상 하드 디스크 형태의 이미지를 제공합니다. 이 팀은 자동화된 오프라인 빌드 프로세스를 통해 이러한 기본 이미지를 구성합니다. 기본 이미지는 커널 및 기타 핵심 구성 요소가 수정되고 Azure 환경을 지원하도록 최적화된 운영 체제 버전입니다.
패브릭 관리 운영 체제 이미지에는 다음 세 가지 유형이 있습니다.
- 호스트: 호스트 VM에서 실행되는 사용자 지정 운영 체제입니다.
- 원시: 테넌트(예를 들어 Azure Storage)에서 실행되는 원시 운영 체제입니다. 이 운영 체제에는 하이퍼바이저가 없습니다.
- 게스트: 게스트 VM에서 실행되는 게스트 운영 체제입니다.
호스트 및 원시 FC 관리 운영 체제는 클라우드에서 사용하도록 설계되었으며 공개적으로 액세스할 수 없습니다.
호스트 및 원시 운영 체제
호스트 및 원시는 패브릭 에이전트를 호스팅하고 컴퓨팅 노드(노드에서 첫 번째 VM으로 실행) 및 스토리지 노드에서 실행되는 강화된 운영 체제 이미지입니다. 최적화된 호스트 및 원시 기본 이미지를 사용하는 이점은 API 또는 사용하지 않는 구성 요소에서 공개하는 노출 영역이 줄어든다는 것입니다. 또한 높은 보안 위험을 제공하고 운영 체제의 사용 공간을 늘릴 수 있습니다. 사용 공간이 줄어든 운영 체제에는 Azure에 필요한 구성 요소만 포함됩니다.
게스트 운영 체제
게스트 운영 체제 VM에서 실행되는 Azure 내부 구성 요소에는 RDP(원격 데스크톱 프로토콜)를 실행할 기회가 없습니다. 기본 구성 설정에 대한 변경은 변경 및 릴리스 관리 프로세스를 진행해야 합니다.
Azure 데이터 센터
MCIO(Microsoft Cloud Infrastructure and Operations) 팀은 모든 Microsoft 온라인 서비스에 대한 물리적 인프라 및 데이터 센터 시설을 관리합니다. MCIO는 주로 데이터 센터 내의 물리적 및 환경적 제어를 관리하고, 외부 경계 네트워크 디바이스(에지 라우터 및 데이터 센터 라우터 같은)도 관리하고 지원합니다. 또한 MCIO는 데이터 센터의 랙에 최소한의 서버 하드웨어를 설정해야 합니다. 고객은 Azure와 직접 상호 작용하지 않습니다.
서비스 관리 및 서비스 팀
Azure 서비스의 지원은 '서비스 팀'이라고 하는 여러 엔지니어링 그룹에서 관리합니다. 각 서비스 팀은 Azure에 대한 지원 영역을 담당합니다. 각 서비스 팀에서 서비스의 오류를 조사하고 해결하기 위해 연중 무휴로 엔지니어를 사용할 수 있도록 해야 합니다. 서비스 팀은 기본적으로 Azure에서 작동하는 하드웨어에 물리적으로 액세스하지 않습니다.
서비스 팀에서 담당하는 영역은 다음과 같습니다.
- 애플리케이션 플랫폼
- Microsoft Entra ID
- Azure Compute
- Azure 네트워크
- 클라우드 엔지니어링 서비스
- ISSD: 보안
- 다단계 인증
- SQL 데이터베이스
- 스토리지
사용자 유형
Microsoft의 직원(또는 계약자)은 내부 사용자로 간주됩니다. 다른 모든 사용자는 외부 사용자로 간주됩니다. 모든 Azure 내부 사용자에게는 고객 데이터에 대한 액세스(액세스 권한 있음/없음)를 정의하는 민감도 수준으로 분류된 직원 상태가 있습니다. 다음 표에서는 Azure에 대한 사용자 권한(인증 수행 이후의 권한 부여 권한)을 설명합니다.
| 역할 | 내부 또는 외부 | 민감도 수준 | 허가된 권한 및 수행 기능 | 액세스 형식 |
|---|---|---|---|---|
| Azure 데이터 센터 엔지니어 | 내부 | 고객 데이터에 액세스할 수 없음 | 구역의 물리적 보안을 관리합니다. 데이터 센터 내외부를 순회하면서 모든 진입점을 모니터링합니다. 데이터 센터 내에서 IT 작업 또는 일반 서비스(예: 식사 또는 정리)를 제공하는 비공개 특정 담당자를 데이터 센터 내외부로 에스코트합니다. 네트워크 하드웨어의 일상적인 모니터링 및 유지 관리를 수행합니다. 다양한 도구를 사용하여 인시던트 관리 및 고장 수리 작업을 수행합니다. 데이터 센터의 실제 하드웨어를 일상적으로 모니터링하고 유지 관리합니다. 속성 소유자의 요구에 따라 환경에 액세스합니다. 법정 조사를 수행하고, 인시던트 보고서를 기록하고, 필수 보안 교육 및 정책 요구 사항을 요구할 수 있습니다. 스캐너 및 로그 수집 등의 중요한 보안 도구의 작업 소유권 및 유지 관리입니다. | 환경에 대해 지속적으로 액세스합니다. |
| Azure 인시던트 심사(Rapid Response 엔지니어) | 내부 | 고객 데이터에 액세스할 수 있음 | MCIO, 지원 및 엔지니어링 팀 간의 통신을 관리합니다. 심사 플랫폼 인시던트, 배포 문제 및 서비스 요청. | 비고객 시스템에 대한 제한된 지속적 액세스를 사용하여 환경에 JIT(Just-In-Time) 액세스합니다. |
| Azure 배포 엔지니어 | 내부 | 고객 데이터에 액세스할 수 있음 | Azure를 지원하는 플랫폼 구성 요소, 소프트웨어 및 예약된 구성 변경 내용을 배포 및 업그레이드합니다. | 비고객 시스템에 대한 제한된 지속적 액세스를 사용하여 환경에 JIT(Just-In-Time) 액세스합니다. |
| Azure 고객 중단 지원(테넌트) | 내부 | 고객 데이터에 액세스할 수 있음 | 개별 컴퓨팅 테넌트 및 Azure 계정에 대한 오류 및 플랫폼 중단을 진단하고 디버그합니다. 오류를 분석합니다. 고객 또는 플랫폼에 중요한 수정 사항 및 지원에 대한 기술 향상을 추진합니다. | 비고객 시스템에 대한 제한된 지속적 액세스를 사용하여 환경에 JIT(Just-In-Time) 액세스합니다. |
| Azure 라이브 사이트 엔지니어(모니터링 엔지니어) 및 인시던트 | 내부 | 고객 데이터에 액세스할 수 있음 | 진단 도구를 사용하여 플랫폼 상태를 진단하고 완화합니다. 볼륨 드라이버에 대한 수정을 추진하고, 중단으로 발생한 항목을 복구하고, 중단 복원 작업을 지원합니다. | 비고객 시스템에 대한 제한된 지속적 액세스를 사용하여 환경에 JIT(Just-In-Time) 액세스합니다. |
| Azure 고객 | 외부 | 해당 없음 | 해당 없음 | 해당 없음 |
Azure는 고유 식별자를 사용하여 조직 사용자 및 고객(또는 조직 사용자를 대신하여 작동하는 프로세스)을 인증합니다. 이는 Azure 환경에 포함된 모든 자산 및 디바이스에 적용됩니다.
Azure 내부 인증
Azure 내부 구성 요소 간의 통신은 TLS 암호화로 보호됩니다. 대부분의 경우 X.509 인증서는 자체 서명됩니다. Azure 네트워크 외부에서 액세스할 수 있는 연결이 있는 인증서는 FC에 대한 인증서와 같이 예외입니다. FC에는 신뢰할 수 있는 루트 CA에서 지원하는 Microsoft CA(인증 기관)에서 발급한 인증서가 있습니다. 이렇게 하면 FC 공개 키를 쉽게 롤오버할 수 있습니다. 또한 Microsoft 개발자 도구는 FC 공개 키를 사용합니다. 개발자가 새 애플리케이션 이미지를 제출할 때 해당 이미지는 포함된 비밀을 보호하기 위해 FC 공개 키로 암호화됩니다.
Azure 하드웨어 디바이스 인증
FC는 제어 하에 있는 다양한 하드웨어 디바이스에 인증하는 데 사용되는 자격 증명(키 및/또는 암호) 집합을 유지 관리합니다. Microsoft는 이러한 자격 증명에 액세스하지 못하게 하는 시스템을 사용합니다. 구체적으로 이러한 자격 증명의 전송, 유지 및 사용은 Azure 개발자, 관리자 및 백업 서비스/담당자가 중요, 기밀 또는 프라이빗 정보에 액세스하지 못하도록 설계되었습니다.
Microsoft는 FC의 마스터 ID 공개 키에 따른 암호화를 사용합니다. 이는 FC 설정 및 FC 재구성 시간에 발생하여 네트워킹 하드웨어 디바이스에 액세스하는 데 사용되는 자격 증명을 전송합니다. FC는 자격 증명이 필요할 경우 자격 증명을 검색하고 암호를 해독합니다.
네트워크 디바이스
Azure 네트워킹 팀에서 네트워크 서비스 계정을 구성하여 Azure 클라이언트에서 네트워크 디바이스(라우터, 스위치 및 부하 분산 디바이스)에 인증할 수 있도록 합니다.
보안 서비스 관리
Azure 운영 담당자는 보안 관리 워크스테이션(SAW)를 사용해야 합니다. 고객은 권한 있는 액세스 워크스테이션을 사용하여 비슷한 제어를 구현할 수 있습니다. SAW를 통해 관리 담당자는 사용자의 표준 사용자 계정과 구분되는 개별적으로 할당된 관리 계정을 사용합니다. SAW는 중요한 계정에 신뢰할 수 있는 워크스테이션을 제공함으로써 해당 계정 분리 방법을 토대로 빌드됩니다.
다음 단계
Azure 인프라를 보호하기 위해 Microsoft에서 수행하는 작업에 대해 자세히 알아보려면 다음을 참조하세요.