이 문서에서는 Azure 아키텍처 및 관리에 대한 일반적인 설명을 제공합니다. Azure 시스템 환경은 다음 네트워크로 구성됩니다.
- Microsoft Azure 프로덕션 네트워크(Azure 네트워크)
- Microsoft 회사 네트워크(corpnet)
개별 IT 팀은 이러한 네트워크의 운영 및 유지 관리를 담당합니다.
Azure 아키텍처
Azure는 데이터 센터 네트워크를 통해 애플리케이션 및 서비스를 빌드, 배포 및 관리하기 위한 클라우드 컴퓨팅 플랫폼 및 인프라입니다. Microsoft는 이러한 데이터 센터를 관리합니다. 지정한 리소스 수에 따라 Azure는 리소스 필요에 따라 VM(가상 머신)을 만듭니다. 이러한 VM은 클라우드에서 사용하도록 설계되었으며 대중에게 액세스할 수 없는 Azure 하이퍼바이저에서 실행됩니다.
각 Azure 물리적 서버 노드에는 하드웨어를 통해 직접 실행되는 하이퍼바이저가 있습니다. 하이퍼바이저는 노드를 가변적인 수의 게스트 VM으로 나눕니다. 각 노드에는 호스트 운영 체제를 실행하는 하나의 루트 VM도 있습니다. Windows 방화벽은 각 VM에서 사용하도록 설정됩니다. 서비스 정의 파일을 구성하여 주소를 지정할 수 있는 포트를 정의합니다. 이러한 포트는 내부 또는 외부적으로 열려 있고 주소 지정이 가능한 유일한 포트입니다. 디스크 및 네트워크에 대한 모든 트래픽 및 액세스는 하이퍼바이저 및 루트 운영 체제에 의해 조정됩니다.
호스트 계층에서 Azure VM은 최신 Windows Server의 사용자 지정되고 강화된 버전을 실행합니다. Azure는 VM을 호스트하는 데 필요한 구성 요소만 포함하는 Windows Server 버전을 사용합니다. 이렇게 하면 성능이 향상되고 공격 표면이 줄어듭니다. 컴퓨터 경계는 운영 체제 보안에 의존하지 않는 하이퍼바이저에 의해 적용됩니다.
패브릭 컨트롤러별 Azure 관리
Azure에서 물리적 서버(블레이드/노드)에서 실행되는 VM은 약 1,000개의 클러스터로 그룹화됩니다. VM은 FC(패브릭 컨트롤러)라는 확장되고 중복된 플랫폼 소프트웨어 구성 요소에 의해 독립적으로 관리됩니다.
각 FC는 클러스터에서 실행되는 애플리케이션의 수명 주기를 관리하고 해당 제어 하에 있는 하드웨어의 상태를 프로비전하고 모니터링합니다. 서버가 실패했다고 판단될 때 정상 서버에서 VM 인스턴스를 환생하는 것과 같은 자율적인 작업을 실행합니다. 또한 FC는 애플리케이션 배포, 업데이트 및 스케일 아웃과 같은 애플리케이션 관리 작업을 수행합니다.
데이터 센터는 클러스터로 나뉩니다. 클러스터는 FC 수준에서 오류를 격리하고 특정 오류 클래스가 발생하는 클러스터 이외의 서버에 영향을 주지 않도록 방지합니다. 특정 Azure 클러스터를 제공하는 FC는 FC 클러스터로 그룹화됩니다.
하드웨어 인벤토리
FC는 부트스트랩 구성 프로세스 중에 Azure 하드웨어 및 네트워크 디바이스의 인벤토리를 준비합니다. Azure 프로덕션 환경에 진입하는 모든 새 하드웨어 및 네트워크 구성 요소는 부트스트랩 구성 프로세스를 따라야 합니다. FC는 datacenter.xml 구성 파일에 나열된 전체 인벤토리를 관리할 책임이 있습니다.
FC에 의해 관리되는 운영 체제 이미지
운영 체제 팀은 Azure 프로덕션 환경의 모든 호스트 및 게스트 VM에 배포된 가상 하드 디스크 형식의 이미지를 제공합니다. 팀은 자동화된 오프라인 빌드 프로세스를 통해 이러한 기본 이미지를 생성합니다. 기본 이미지는 커널 및 기타 핵심 구성 요소가 수정되고 Azure 환경을 지원하도록 최적화된 운영 체제의 버전입니다.
패브릭 관리 운영 체제 이미지에는 다음 세 가지 유형이 있습니다.
- 호스트: 호스트 VM에서 실행되는 사용자 지정된 운영 체제입니다.
- 네이티브: 테넌트(예: Azure Storage)에서 실행되는 네이티브 운영 체제입니다. 이 운영 체제에는 하이퍼바이저가 없습니다.
- 게스트: 게스트 VM에서 실행되는 게스트 운영 체제입니다.
호스트 및 네이티브 FC 관리 운영 체제는 클라우드에서 사용하도록 설계되었으며 공개적으로 액세스할 수 없습니다.
호스트 및 네이티브 운영 체제
호스트 및 네이티브는 패브릭 에이전트를 호스트하고 컴퓨팅 노드(노드에서 첫 번째 VM으로 실행) 및 스토리지 노드에서 실행되는 강화된 운영 체제 이미지입니다. 호스트 및 네이티브의 최적화된 기본 이미지를 사용하면 API 또는 사용되지 않는 구성 요소에 의해 노출되는 노출 영역을 줄일 수 있다는 이점이 있습니다. 이는 높은 보안 위험을 초래하고 운영 체제의 공간을 늘릴 수 있습니다. 사용 공간 감소 운영 체제에는 Azure에 필요한 구성 요소만 포함됩니다.
게스트 운영 체제
게스트 운영 체제 VM에서 실행되는 Azure 내부 구성 요소는 원격 데스크톱 프로토콜을 실행할 기회가 없습니다. 기준 구성 설정에 대한 변경 내용은 변경 및 릴리스 관리 프로세스를 거쳐야 합니다.
Azure 데이터 센터
MCIO(Microsoft 클라우드 인프라 및 운영) 팀은 모든 Microsoft 온라인 서비스에 대한 물리적 인프라 및 데이터 센터 기능을 관리합니다. MCIO는 주로 데이터 센터 내의 물리적 및 환경 제어를 관리하고 외부 경계 네트워크 디바이스(예: 에지 라우터 및 데이터 센터 라우터)를 관리하고 지원하는 역할을 담당합니다. MCIO는 데이터 센터의 랙에 최소 서버 하드웨어를 설정하는 작업도 담당합니다. 고객은 Azure와 직접 상호 작용하지 않습니다.
서비스 관리 및 서비스 팀
서비스 팀이라고 하는 다양한 엔지니어링 그룹은 Azure 서비스의 지원을 관리합니다. 각 서비스 팀은 Azure에 대한 지원 영역을 담당합니다. 각 서비스 팀은 엔지니어를 24x7로 만들어 서비스의 오류를 조사하고 해결해야 합니다. 서비스 팀은 기본적으로 Azure에서 작동하는 하드웨어에 물리적으로 액세스할 수 없습니다.
서비스 팀은 다음과 같습니다.
- 애플리케이션 플랫폼
- Microsoft Entra ID (마이크로소프트 엔트라 ID)
- Azure 컴퓨팅
- Azure 넷
- 클라우드 엔지니어링 서비스
- ISSD: 보안
- 다단계 인증
- SQL 데이터베이스
- 스토리지
사용자 유형
Microsoft의 직원(또는 계약자)은 내부 사용자로 간주됩니다. 다른 모든 사용자는 외부 사용자로 간주됩니다. 모든 Azure 내부 사용자는 고객 데이터에 대한 액세스를 정의하는 민감도 수준으로 직원 상태를 분류합니다(액세스 또는 액세스 없음). Azure에 대한 사용자 권한(인증이 수행된 후 권한 부여 권한)은 다음 표에 설명되어 있습니다.
| 역할 | 내부 또는 외부 | 민감도 수준 | 수행된 권한 및 기능 | 액세스 형식 |
|---|---|---|---|---|
| Azure 데이터 센터 엔지니어 | 내부 | 고객 데이터에 대한 액세스 권한 없음 | 프레미스의 물리적 보안을 관리합니다. 데이터 센터 안팎에서 순찰을 수행하고 모든 진입점을 모니터링합니다. 데이터 센터 내에서 일반 서비스(예: 식사 또는 청소) 또는 IT 작업을 제공하는 비지정 담당자를 데이터 센터 안팎으로 에스코트합니다. 네트워크 하드웨어의 일상적인 모니터링 및 유지 관리를 수행합니다. 다양한 도구를 사용하여 인시던트 관리 및 중단 수정 작업을 수행합니다. 데이터 센터에서 물리적 하드웨어의 일상적인 모니터링 및 유지 관리를 수행합니다. 부동산 소유자의 요청에 따라 환경에 접근합니다. 포렌식 조사를 수행하고 인시던트 보고서를 기록하며 필수 보안 교육 및 정책 요구 사항이 필요합니다. 스캐너 및 로그 수집과 같은 중요한 보안 도구의 운영 소유권 및 유지 관리 | 환경에 대한 영구 액세스입니다. |
| Azure 사고 분류(신속한 대응 엔지니어) | 내부 | 고객 데이터에 대한 액세스 | MCIO, 지원 및 엔지니어링 팀 간의 통신을 관리합니다. 플랫폼 인시던트, 배포 문제 및 서비스 요청을 심사합니다. | 환경에 대한 적시 접근, 비고객 시스템에 대한 영구적인 접근은 제한됨. |
| Azure 배포 엔지니어 | 내부 | 고객 데이터에 대한 액세스 | Azure를 지원하기 위해 플랫폼 구성 요소, 소프트웨어 및 예약된 구성 변경 내용을 배포하고 업그레이드합니다. | 환경에 대한 적시 접근, 비고객 시스템에 대한 영구적인 접근은 제한됨. |
| Azure 고객 중단 지원(테넌트) | 내부 | 고객 데이터에 대한 액세스 | 개별 컴퓨팅 테넌트 및 Azure 계정에 대한 플랫폼 중단 및 오류를 디버그하고 진단합니다. 오류를 분석합니다. 플랫폼 또는 고객에 대한 중요한 수정을 추진하고 지원 전반에서 기술 향상을 추진합니다. | 환경에 대한 적시 접근, 비고객 시스템에 대한 영구적인 접근은 제한됨. |
| Azure 라이브 사이트 엔지니어(모니터링 엔지니어) 및 인시던트 | 내부 | 고객 데이터에 대한 액세스 | 진단 도구를 사용하여 플랫폼 상태를 진단하고 완화합니다. 볼륨 드라이버에 대한 드라이브 수정, 중단으로 인한 항목 복구 및 중단 복원 작업을 지원합니다. | 환경에 대한 적시 접근, 비고객 시스템에 대한 영구적인 접근은 제한됨. |
| Azure 고객 | 외부 | 해당 없음(N/A) | 해당 없음(N/A) | 해당 없음(N/A) |
Azure는 고유 식별자를 사용하여 조직 사용자 및 고객(또는 조직 사용자를 대신하여 작동하는 프로세스)을 인증합니다. 이는 Azure 환경의 일부인 모든 자산 및 디바이스에 적용됩니다.
Azure 내부 인증
Azure 내부 구성 요소 간의 통신은 TLS 암호화로 보호됩니다. 대부분의 경우 X.509 인증서는 자체 서명됩니다. Azure 네트워크 외부에서 액세스할 수 있는 연결이 있는 인증서는 FC에 대한 인증서와 마찬가지로 예외입니다. FC에는 신뢰할 수 있는 루트 CA에서 지원되는 Microsoft CA(인증 기관)에서 발급한 인증서가 있습니다. 이렇게 하면 FC 공개 키를 쉽게 롤오버할 수 있습니다. 또한 Microsoft 개발자 도구는 FC 공개 키를 사용합니다. 개발자가 새 애플리케이션 이미지를 제출하면 포함된 비밀을 보호하기 위해 이미지가 FC 공개 키로 암호화됩니다.
Azure 하드웨어 디바이스 인증
FC는 제어하는 다양한 하드웨어 디바이스에 인증하는 데 사용되는 자격 증명(키 및/또는 암호) 집합을 유지 관리합니다. Microsoft는 시스템을 사용하여 이러한 자격 증명에 대한 액세스를 차단합니다. 특히 이러한 자격 증명의 전송, 지속성 및 사용은 Azure 개발자, 관리자 및 백업 서비스 및 직원이 중요한 기밀 또는 개인 정보에 액세스할 수 없도록 설계되었습니다.
Microsoft는 FC의 마스터 ID 공개 키를 기반으로 암호화를 사용합니다. 이는 FC 설치 및 FC 재구성 시간에 발생하여 네트워킹 하드웨어 디바이스에 액세스하는 데 사용되는 자격 증명을 전송합니다. FC에 자격 증명이 필요한 경우 FC는 자격 증명을 검색하고 암호를 해독합니다.
네트워크 디바이스
Azure 네트워킹 팀은 Azure 클라이언트가 네트워크 디바이스(라우터, 스위치 및 부하 분산 장치)에 인증할 수 있도록 네트워크 서비스 계정을 구성합니다.
보안 서비스 관리
Azure 운영 담당자는 보안 관리자 워크스테이션(SAW)을 사용해야 합니다. 고객은 권한 있는 액세스 워크스테이션을 사용하여 유사한 컨트롤을 구현할 수 있습니다. SAW를 사용하면 관리자가 사용자의 표준 사용자 계정과 별개인 개별적으로 할당된 관리 계정을 사용합니다. SAW는 중요한 계정에 대해 신뢰할 수 있는 워크스테이션을 제공하여 해당 계정 분리 사례를 기반으로 합니다.
다음 단계
Azure 인프라를 보호하기 위해 Microsoft에서 수행하는 작업에 대해 자세히 알아보려면 다음을 참조하세요.