오늘날의 클라우드 환경에서 보안은 매우 중요합니다. 사이버 위협은 지속적으로 진화하고 있으며 데이터, 애플리케이션 및 인프라를 보호하려면 포괄적인 다계층 접근 방식이 필요합니다. 보안은 클라우드의 작업이며 Azure 보안에 대한 정확하고 시기 적절한 정보를 찾는 것이 얼마나 중요한지 알고 있습니다.
이 문서에서는 Azure에서 사용할 수 있는 보안을 포괄적으로 살펴봅니다. 보호, 검색 및 응답 기능으로 구성된 Azure 보안의 엔드 투 엔드 보기는 Azure의 엔드 투 엔드 보안을 참조하세요.
Azure의 심층 방어 보안 방법
Azure는 물리적 데이터 센터에서 컴퓨팅, 스토리지, 네트워킹, 애플리케이션 및 ID에 이르기까지 전체 스택에 걸쳐 여러 계층의 보안 보호를 제공하는 심층 방어 전략을 사용합니다. 이 다중 계층 접근 방식을 사용하면 한 계층이 손상된 경우 추가 계층이 리소스를 계속 보호할 수 있습니다.
Azure의 인프라는 물리적 시설에서 애플리케이션에 이르기까지 모든 것을 포괄하여 처음부터 세심하게 제작되어 수백만 명의 고객을 동시에 안전하게 호스트합니다. 이 강력한 기반을 통해 기업은 보안 요구 사항을 자신 있게 충족할 수 있습니다. Microsoft가 Azure 플랫폼 자체를 보호하는 방법에 대한 자세한 내용은 Azure 인프라 보안을 참조하세요. 물리적 데이터 센터 보안에 대한 자세한 내용은 Azure 물리적 보안을 참조하세요.
Azure는 다양한 운영 체제, 프로그래밍 언어, 프레임워크, 도구, 데이터베이스 및 디바이스를 지원하는 퍼블릭 클라우드 서비스 플랫폼입니다. Docker 통합으로 Linux 컨테이너를 실행할 수 있습니다. JavaScript, Python, .NET, PHP, Java 및 Node.js를 사용하여 앱을 빌드할 수 있습니다. iOS, Android 및 Windows 디바이스용 백 엔드를 빌드할 수 있습니다. Azure 퍼블릭 클라우드 서비스는 수백만의 개발자 및 IT 전문가가 이미 믿고 사용하고 있는 동일한 수준의 기술을 지원합니다.
기본 제공 플랫폼 보안
Azure는 배포되는 순간부터 리소스를 보호하는 데 도움이 되는 플랫폼에 기본 제공되는 기본 보안 보호를 제공합니다. Azure의 플랫폼 보안 기능에 대한 포괄적인 정보는 Azure 플랫폼 보안 개요를 참조하세요.
- 네트워크 보호: Azure DDoS Protection은 분산 서비스 거부 공격으로부터 리소스를 자동으로 보호합니다.
- 기본적으로 암호화: 미사용 데이터 암호화는 Azure Storage, SQL Database 및 기타 여러 서비스에 대해 기본적으로 사용하도록 설정됩니다.
- ID 보안: Microsoft Entra ID는 모든 Azure 서비스에 대한 보안 인증 및 권한 부여를 제공합니다.
- 위협 감지: Azure 리소스 전체에서 의심스러운 활동에 대한 기본 제공 위협 검색 모니터
- 규정 준수: Azure는 업계에서 가장 큰 규정 준수 포트폴리오를 유지 관리하여 규정 요구 사항을 충족하도록 지원합니다.
이러한 기본 보안 제어는 기본 보호에 필요한 추가 구성 없이 클라우드 인프라를 보호하기 위해 백그라운드에서 지속적으로 작동합니다.
클라우드의 공동 책임
Azure는 강력한 플랫폼 보안을 제공하지만 클라우드의 보안은 Microsoft와 고객 간의 공동 책임입니다. 책임 분할은 배포 모델(IaaS, PaaS 또는 SaaS)에 따라 달라집니다.
- Microsoft의 책임: Azure는 물리적 데이터 센터, 하드웨어, 네트워크 인프라 및 호스트 운영 체제를 비롯한 기본 인프라를 보호합니다.
- 사용자의 책임: 데이터, 애플리케이션, ID 및 액세스 관리를 보호해야 합니다.
업계 규정, 데이터 민감도 및 비즈니스 요구 사항에 따라 고유한 보안 요구 사항이 있는 모든 워크로드와 애플리케이션이 다릅니다. Azure의 고급 보안 서비스가 시작되는 곳입니다. 공유 책임 모델에 대한 자세한 내용은 클라우드의 공유 책임을 참조하세요.
Note
이 문서는 주로 애플리케이션과 서비스의 보안을 사용자 지정하고 향상시키는 데 사용할 수 있는 고객 관련 제어에 집중하고 있습니다.
모든 워크로드에 대한 고급 보안 서비스
고유한 보안 요구 사항을 충족하기 위해 Azure는 특정 요구 사항에 맞게 구성하고 사용자 지정할 수 있는 포괄적인 고급 보안 서비스 제품군을 제공합니다. 이러한 서비스는 운영, 애플리케이션, 스토리지, 네트워킹, 컴퓨팅 및 ID의 6가지 기능 영역에 걸쳐 구성됩니다. 보안 서비스 및 기술의 포괄적인 카탈로그는 Azure 보안 서비스 및 기술을 참조하세요.
또한 Azure는 조직 배포의 고유한 요구 사항을 충족하도록 보안을 사용자 지정할 수 있도록 다양한 구성 가능한 보안 옵션과 이를 제어하는 기능을 제공합니다. 이 문서는 Azure 보안 기능이 이러한 요구 사항을 충족하는 방법을 이해하는 데 도움이 됩니다.
Azure 보안 제어 및 기준의 구조화된 보기는 Azure 서비스에 대한 포괄적인 보안 지침을 제공하는 Microsoft 클라우드 보안 벤치마크를 참조하세요. Azure의 기술 보안 기능에 대한 자세한 내용은 Azure 보안 기술 기능을 참조하세요.
컴퓨팅 보안
가상 머신 및 컴퓨팅 리소스를 보호하는 것은 Azure에서 워크로드를 보호하는 데 기본 사항입니다. Azure는 하드웨어 기반 보호에서 소프트웨어 기반 위협 탐지에 이르기까지 여러 컴퓨팅 보안 계층을 제공합니다. 자세한 가상 머신 보안 정보는 Azure Virtual Machines 보안 개요를 참조하세요.
신뢰할 수 있는 시작
신뢰할 수 있는 시작 은 새로 만든 2세대 Azure VM 및 Virtual Machine Scale Sets의 기본값입니다. 신뢰할 수 있는 시작은 부팅 키트, 루트킷 및 커널 수준 맬웨어를 비롯한 고급 및 영구 공격 기술로부터 보호합니다.
신뢰할 수 있는 시작 기능은 다음을 제공합니다.
- 보안 부팅: 서명된 운영 체제와 드라이버만 부팅할 수 있도록 하여 맬웨어 기반 루트킷 및 부팅 키트 설치를 방지합니다.
- vTPM(가상 신뢰할 수 있는 플랫폼 모듈): 키와 측정값을 위한 전용 보안 금고로, 증명 및 부팅 무결성 확인을 가능하게 해 줍니다.
- 부팅 무결성 모니터링: Microsoft Defender for Cloud를 통한 증명을 사용하여 부팅 체인 무결성을 확인하고 오류에 대한 경고
기존 VM 및 Virtual Machine Scale Sets에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 있습니다.
Azure 기밀 컴퓨팅
Azure 기밀 컴퓨팅은 데이터 보호 퍼즐의 최종 누락 부분을 제공합니다. 데이터를 항상 암호화된 상태로 유지할 수 있습니다. 미사용 시, 네트워크를 통해 이동 중일 때, 그리고 메모리에 로드되어 사용 중일 때도 그렇습니다. 또한 원격 증명 을 가능하게 함으로써 데이터를 잠금 해제하기 전에 배포하는 VM이 안전하게 부팅되고 올바르게 구성되었는지 암호화하여 확인할 수 있습니다.
옵션의 스펙트럼은 기존 애플리케이션의 "리프트 앤 시프트" 시나리오를 사용하도록 설정하는 것부터 보안 기능을 완전히 제어하는 것까지 다양합니다. IaaS(Infrastructure as a Service)의 경우 다음을 사용할 수 있습니다.
- AMD SEV-SNP에서 제공하는 기밀 가상 머신: 최대 256GB의 암호화된 메모리를 사용하는 하드웨어 기반 메모리 암호화
- Intel TDX를 사용하는 기밀 VM: 향상된 성능 및 보안을 제공하는 Intel 트러스트 도메인 확장
- NVIDIA H100 GPU를 사용하는 기밀 VM: AI/ML 워크로드에 대한 GPU 가속 기밀 컴퓨팅
- Intel SGX를 사용하는 기밀 애플리케이션 enclave: 중요한 코드 및 데이터에 대한 애플리케이션 수준 격리
PaaS(Platform as a Service)의 경우 Azure는 AKS(Azure Kubernetes Service)와의 통합을 포함하여 여러 컨테이너 기반 기밀 컴퓨팅 옵션을 제공합니다.
맬웨어 방지 및 바이러스 백신
Azure IaaS를 사용하면 Microsoft, Symantec, Trend Micro, McAfee 및 Kaspersky와 같은 보안 공급업체의 맬웨어 방지 소프트웨어를 통해 악성 파일, 애드웨어 및 기타 위협으로부터 가상 머신을 보호할 수 있습니다. Azure Virtual Machines용 Microsoft 맬웨어 방지 기능은 바이러스, 스파이웨어 및 기타 악성 소프트웨어를 식별하고 제거하는 데 도움이 되는 보호 기능입니다. Microsoft 맬웨어 방지 프로그램은 알려진 악성 또는 원치 않는 소프트웨어가 Azure 시스템에서 스스로의 설치나 실행을 시도할 때 구성 가능한 경고를 제공합니다. Microsoft Defender for Cloud를 사용하여 Microsoft 맬웨어 방지 프로그램을 배포할 수도 있습니다.
Note
최신 보호를 위해 엔드포인트 용 Microsoft Defender 와 통합을 통해 엔드포인트 검색 및 대응(EDR)을 비롯한 고급 위협 방지를 제공하는 서버용 Microsoft Defender를 고려해 보세요.
하드웨어 보안 모듈
암호화 및 인증은 키 자체를 보호하지 않는 한 보안을 향상하지 않습니다. 중요한 비밀과 키를 Azure Key Vault에 저장하여 관리와 보안을 단순화할 수 있습니다. Key Vault는 FIPS 140-3 수준 3 표준으로 인증된 HSM(하드웨어 보안 모듈)에 키를 저장하는 옵션을 제공합니다. 백업 또는 투명한 데이터 암호화를 위한 SQL Server 암호화 키는 애플리케이션의 키 또는 암호와 함께 주요 자격 증명 모음에 저장됩니다. 이러한 보호된 항목에 대한 사용 권한 및 액세스는 Microsoft Entra ID를 통해 관리됩니다.
Azure Key Vault, 관리형 HSM 및 Payment HSM을 비롯한 주요 관리 옵션에 대한 포괄적인 내용은 Azure의 키 관리를 참조하세요.
가상 머신 백업
Azure Backup 은 자본 투자와 최소한의 운영 비용으로 애플리케이션 데이터를 보호하는 솔루션입니다. 애플리케이션 오류로 인해 데이터가 손상될 수 있으며, 사용자 실수로 인해 애플리케이션에 버그가 발생하여 보안 문제가 발생할 수 있습니다. Azure Backup은 Windows 및 Linux를 실행하는 가상 머신의 보호에 도움이 됩니다.
Azure Site Recovery
계획되거나 계획되지 않은 중단 상태가 발생하는 경우 조직 BCDR(비즈니스 연속성/재해 복구) 전략의 중요한 부분은 회사 워크로드 및 앱을 가동 및 실행하도록 유지하는 방법을 파악하는 것입니다. Azure Site Recovery는 워크로드 및 앱의 복제, 장애 조치(failover) 및 복구를 오케스트레이션하여 기본 위치가 중단된 경우 보조 위치에서 사용할 수 있도록 합니다.
SQL VM TDE
TDE(투명한 데이터 암호화) 및 CLE(열 수준 암호화)는 SQL Server 암호화 기능입니다. 이러한 형태의 암호화를 사용하려면 고객이 암호화에 사용되는 암호화 키를 관리하고 저장해야 합니다.
AKV(Azure Key Vault) 서비스는 안전하고 가용성이 높은 위치에서 이러한 키의 보안 및 관리를 개선하도록 설계되었습니다. SQL Server 커넥터는 SQL Server에서 Azure Key Vault의 키를 사용할 수 있게 합니다.
온-프레미스 컴퓨터로 SQL Server를 실행하는 경우 온-프레미스 SQL Server 인스턴스에서 Azure Key Vault에 액세스할 수 있는 단계가 있습니다. 하지만 Azure VM의 SQL Server에서는 Azure Key Vault 통합 기능을 사용하여 시간을 절약할 수 있습니다. 이 기능을 지원하는 Azure PowerShell cmdlet 몇 개만 있으면 SQL VM이 키 자격 증명 모음에 액세스하는 데 필요한 구성을 자동화할 수 있습니다.
데이터베이스 보안 모범 사례의 포괄적인 목록은 Azure 데이터베이스 보안 검사 목록을 참조하세요.
VM 디스크 암호화
중요합니다
Azure Disk Encryption은 2028년 9월 15일에 사용 중지될 예정입니다. 해당 날짜까지 중단 없이 Azure Disk Encryption을 계속 사용할 수 있습니다. 2028년 9월 15일에 ADE 사용 워크로드가 계속 실행되지만 VM을 다시 부팅한 후 암호화된 디스크의 잠금이 해제되지 않아 서비스가 중단됩니다.
호스트 에서 암호화 를 사용하여 새 VM을 사용할 수 있습니다. 서비스 중단을 방지하려면 모든 ADE 지원 VM(백업 포함)은 사용 중지 날짜 이전에 호스트에서 암호화로 마이그레이션해야 합니다. 자세한 내용은 Azure Disk Encryption에서 호스트의 암호화로 마이그레이션 을 참조하세요.
최신 가상 머신 암호화를 위해 Azure는 다음을 제공합니다.
- 호스트에서 암호화: 임시 디스크 및 OS/데이터 디스크 캐시를 포함하여 VM 데이터에 대한 엔드투엔드 암호화 제공
- 기밀 디스크 암호화: 하드웨어 기반 암호화를 위해 기밀 VM에서 사용 가능
- 고객 관리형 키를 사용한 서버 쪽 암호화: Azure Key Vault를 통해 사용자 고유의 암호화 키 관리
자세한 정보는 관리 디스크 암호화 옵션 개요를 참조하세요.
가상 네트워킹
가상 머신은 네트워크 연결이 필요합니다. 이 요구 사항을 지원하기 위해 Azure에서는 가상 머신을 Azure Virtual Network에 연결해야 합니다. Azure Virtual Network는 물리적 Azure 네트워크 패브릭 위에 구축되는 논리적 구조체입니다. 논리적 Azure Virtual Network 각각은 다른 모든 Azure Virtual Network와 격리됩니다. 이 격리를 통해 사용자 배포의 네트워크 트래픽이 다른 Microsoft Azure 고객에게 액세스되지 않게 해줍니다.
패치 업데이트
패치 업데이트는 기업에서 배포해야 하는 소프트웨어 업데이트의 수를 줄이고 규정 준수를 모니터링하는 기능을 향상시킴으로써 잠재적인 문제를 찾아 수정하고 소프트웨어 업데이트 관리 프로세스를 간소화할 수 있는 기반을 제공합니다.
보안 정책 관리 및 보고
클라우드용 Defender는 위협을 예방, 검색 및 대응하는 데 도움이 되며, Azure 리소스의 보안에 대한 향상된 가시성과 제어를 제공합니다. Azure 구독을 통해 통합된 보안 모니터링 및 정책 관리를 제공하고, 달리 발견되지 않을 수도 있는 위협을 검색하는 데 도움이 되며, 보안 솔루션의 광범위한 에코시스템에서 작동합니다.
애플리케이션 보안
애플리케이션 보안은 개발에서 배포 및 런타임까지 수명 주기 내내 위협으로부터 애플리케이션을 보호하는 데 중점을 둡니다. Azure는 애플리케이션의 보안 개발, 테스트 및 보호를 위한 포괄적인 도구를 제공합니다. 보안 애플리케이션 개발 지침은 Azure에서 보안 애플리케이션 개발을 참조하세요. PaaS 관련 보안 모범 사례는 PaaS 배포 보안을 참조하세요. IaaS 배포 보안은 Azure의 IaaS 워크로드에 대한 보안 모범 사례를 참조하세요.
침투 테스트
애플리케이션에 대한 침투 테스트를 수행하지는 않지만 사용자 고유의 애플리케이션에서 테스트를 수행하려는 경우를 이해합니다. 침투 테스트 작업을 Microsoft에 알리는 것은 더 이상 필수가 아니지만 고객은 여전히 Microsoft 클라우드 침투 테스트 지침서를 준수해야 합니다.
웹 애플리케이션 방화벽
Azure Application Gateway의 WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 사이트 간 스크립팅 및 세션 하이재킹과 같은 일반적인 웹 기반 공격으로부터 웹 애플리케이션을 보호합니다. OWASP(Open Web Application Security Project)로 식별되는 상위 10개 취약성을 방어하도록 미리 구성됩니다.
Azure App Service의 인증 및 권한 부여
App Service 인증/권한 부여는 앱 백 엔드에서 코드를 변경할 필요가 없도록 사용자가 애플리케이션에 로그인하는 방법을 제공하는 기능입니다. 애플리케이션을 보호하고 사용자 단위당 데이터로 작업하는 쉬운 방법을 제공합니다.
계층화된 보안 아키텍처
App Service 환경이 Azure Virtual Network에 배포된 격리된 런타임 환경을 제공하므로 개발자는 각 애플리케이션 계층에 서로 다른 수준의 네트워크 액세스를 제공하는 계층화된 보안 아키텍처를 만들 수 있습니다. 일반적인 인터넷 액세스에서 API 백 엔드를 숨기고 업스트림 웹앱에서 API만 호출하도록 허용하는 것이 일반적입니다. NSG(네트워크 보안 그룹)은 App Service 환경을 포함하는 Azure Virtual Network 서브넷에서 사용하여 API 애플리케이션에 대한 공용 액세스를 제한할 수 있습니다.
App Service 웹앱은 웹 서버와 웹 애플리케이션 모두에서 로그를 캡처하기 위한 강력한 진단 기능을 제공합니다. 이러한 진단은 웹 서버 진단 및 애플리케이션 진단으로 분류됩니다. 웹 서버 진단에는 사이트 및 애플리케이션을 진단하고 문제를 해결하기 위한 상당한 발전이 포함됩니다.
첫째, 새로운 기능으로 애플리케이션 풀, 작업자 프로세스, 사이트, 애플리케이션 도메인 및 실행 중인 요청에 대한 실시간 상태 정보가 있습니다. 둘째, 새로운 이점으로 요청-응답 프로세스 전체에서 요청을 추적하는 자세한 추적 이벤트가 있습니다.
이러한 추적 이벤트의 컬렉션을 사용하도록 설정하려면 IIS 7을 구성하여 특정 요청에 대해 포괄적인 추적 로그를 XML 형식으로 자동으로 캡처할 수 있습니다. 컬렉션은 경과된 시간 또는 오류 응답 코드를 기반으로 할 수 있습니다.
스토리지 보안
저장소 보안은 정지 데이터와 전송 데이터의 보호에 필수적입니다. Azure는 데이터를 안전하게 유지하기 위해 여러 계층의 암호화, 액세스 제어 및 모니터링 기능을 제공합니다. 데이터 암호화에 대한 자세한 내용은 Azure 암호화 개요를 참조하세요. 키 관리 옵션은 Azure의 키 관리를 참조하세요. 데이터 암호화 모범 사례는 Azure 데이터 보안 및 암호화 모범 사례를 참조하세요.
Azure RBAC(Azure 역할 기반 액세스 제어)
Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 스토리지 계정을 보호할 수 있습니다. 알아야 할 사항 및 최소 권한 보안 원칙을 기반으로 하여 액세스를 제한하는 것은 데이터 액세스에 대한 보안 정책을 시행하려는 조직에서 반드시 필요합니다. 특정 범위에서 그룹 및 애플리케이션에 적절한 Azure 역할을 할당하여 이러한 액세스 권한을 부여합니다. 스토리지 계정 기여자와 같은 Azure 기본 제공 역할을 사용하여 사용자에게 권한을 할당할 수 있습니다. Azure Resource Manager 모델을 사용하는 스토리지 계정의 스토리지 키에 대한 액세스는 Azure RBAC를 통해 제어할 수 있습니다.
공유 액세스 서명
SAS(공유 액세스 서명)는 스토리지 계정의 리소스에 대한 위임된 권한을 제공합니다. SAS는 지정된 권한 집합을 사용하여 지정된 기간 동안 스토리지 계정의 개체로 제한된 권한을 클라이언트에 부여할 수 있다는 것입니다. 계정 선택키를 공유하지 않고도 제한된 권한을 부여할 수 있습니다.
전송 중 암호화
전송 중 암호화는 네트워크를 통해 전송되는 경우 데이터를 보호하는 메커니즘입니다. Azure Storage를 사용하면 다음을 사용하여 데이터를 보호할 수 있습니다.
전송 수준 암호화(예: Azure Storage로 또는 외부로 데이터를 전송할 때 HTTPS).
Azure 파일 공유에 대한 SMB 3.0 암호화와 같은 유선 암호화입니다.
스토리지로 데이터가 전송되기 전에 암호화하고 스토리지 외부로 전송된 후에 암호를 해독할 수 있도록 하는 클라이언트 쪽 암호화.
휴지 상태의 암호화
많은 조직에서 미사용 데이터 암호화는 데이터 개인 정보 보호, 규정 준수 및 데이터 주권을 위한 필수 단계입니다. 미사용 데이터 암호화를 제공하는 세 가지 Azure Storage 보안 기능이 있습니다.
Storage 서비스 암호화 를 사용하면 Storage 서비스가 Azure Storage에 데이터를 쓸 때 데이터를 자동으로 암호화하도록 요청할 수 있습니다.
클라이언트 쪽 암호화 는 미사용 암호화 기능도 제공합니다.
Linux VM용 Azure Disk Encryption 및 Windows VM용 Azure Disk Encryption을 사용하면 IaaS 가상 머신에서 사용하는 OS 디스크 및 데이터 디스크를 암호화할 수 있습니다.
Storage Analytics
Azure Storage 분석은 로깅을 수행하며 Storage 계정에 대한 메트릭 데이터를 제공합니다. 이 데이터를 사용하여 요청을 추적하고 사용량 추세를 분석하며 스토리지 계정에 대한 문제를 진단할 수 있습니다. 스토리지 분석은 Storage 서비스에 대해 성공한 요청과 실패한 요청 관련 상세 정보를 기록합니다. 이 정로를 사용하면 개별 요청을 모니터링하고 스토리지 서비스의 문제를 진단할 수 있습니다. 요청은 최상의 노력을 기준으로 기록됩니다. 다음과 같은 유형의 인증된 요청이 기록됩니다.
- 성공적인 요청들
- 실패한 요청(제한 시간, 제한, 네트워크, 권한 부여 및 기타 오류)
- 실패한 요청 및 성공한 요청을 포함하는 SAS(공유 액세스 서명)를 사용하는 요청
- 분석 데이터에 대한 요청
CORS를 통해 브라우저 기반 클라이언트를 사용하도록 설정
CORS(원본 간 리소스 공유) 는 도메인이 서로의 리소스에 액세스할 수 있는 권한을 서로 부여할 수 있는 메커니즘입니다. 사용자 에이전트는 특정 도메인에서 로드된 JavaScript 코드가 다른 도메인에 있는 리소스에 액세스할 수 있도록 허용하기 위해 추가 헤더를 보냅니다. 그런 다음 후자의 도메인은 리소스에 대한 원래 도메인의 액세스를 허용하거나 거부하는 추가 헤더로 응답합니다.
이제 Azure Storage 서비스는 CORS를 지원하므로 서비스에 대한 CORS 규칙을 설정하면 지정한 규칙에 따라 허용되는지 여부를 확인하기 위해 다른 도메인의 서비스에 대해 올바르게 인증된 요청이 평가됩니다.
네트워크 보안
네트워크 보안은 트래픽이 Azure 리소스를 들어오고 가는 방식을 제어합니다. Azure는 기본 방화벽에서 고급 위협 방지 및 글로벌 부하 분산에 이르기까지 포괄적인 네트워크 보안 서비스 집합을 제공합니다. 포괄적인 네트워크 보안 정보는 Azure 네트워크 보안 개요를 참조하세요. 네트워크 보안 모범 사례는 Azure 네트워크 보안 모범 사례를 참조하세요.
네트워크 계층 제어
네트워크 액세스 제어는 특정 디바이스 또는 서브넷 간의 연결을 제한하는 행위이며, 네트워크 보안의 핵심을 나타냅니다. 네트워크 액세스 제어의 목표는 가상 머신 및 서비스가 사용자가 액세스하길 원하는 사용자 및 디바이스에만 액세스 가능하도록 하는 것입니다.
네트워크 보안 그룹
NSG(네트워크 보안 그룹)는 기본적인 상태 저장 패킷 필터링 방화벽이며, 5개 튜플에 기반하여 액세스를 제어할 수 있게 합니다. NSG는 애플리케이션 계층 검사 또는 인증된 액세스 제어를 제공하지 않습니다. 이 그룹은 Azure Virtual Network 내의 서브넷 간에 이동하는 트래픽 및 Azure Virtual Network와 인터넷 간 트래픽을 제어하는 데 사용할 수 있습니다.
Azure Firewall
Azure Firewall은 Azure 에서 실행되는 클라우드 워크로드에 대한 위협 방지를 제공하는 클라우드 네이티브 및 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 동서 및 남북 트래픽 검사를 모두 제공합니다.
Azure Firewall은 기본, 표준 및 프리미엄의 세 가지 SKU로 제공됩니다.
- Azure Firewall Basic - 중소기업을 위해 설계되어 저렴한 가격대에서 필수 보호를 제공합니다.
- Azure Firewall 표준 - Microsoft Cyber Security의 L3-L7 필터링, 위협 인텔리전스 피드를 제공하며 30Gbps로 확장할 수 있습니다.
-
Azure Firewall 프리미엄 - 다음을 사용하여 매우 민감하고 규제되는 환경에 대한 고급 위협 방지
- TLS 검사: 아웃바운드 트래픽의 암호를 해독하고, 위협을 처리한 다음, 대상으로 보내기 전에 다시 암호화합니다.
- IDPS(침입 감지 및 방지 시스템): 50개 이상의 범주에서 67,000개 이상의 서명이 있는 서명 기반 IDPS로, 매일 20~40개 이상의 새 규칙으로 업데이트됨
- URL 필터링: FQDN 필터링을 확장하여 전체 URL 경로를 고려합니다.
- 고급 웹 범주: HTTP 및 HTTPS 트래픽 모두에 대한 전체 URL을 기반으로 하는 향상된 분류
- 향상된 성능: 10Gbps 지방 흐름 지원으로 최대 100Gbps 확장
- PCI DSS 규정 준수: 결제 카드 업계 데이터 보안 표준 요구 사항 충족
Azure Firewall Premium은 랜섬웨어에서 암호화 키를 가져오는 데 사용되는 C&C(명령 및 제어) 연결을 감지하고 차단할 수 있으므로 랜섬웨어로부터 보호하는 데 필수적입니다. Azure Firewall을 사용한 랜섬웨어 보호에 대해 자세히 알아봅니다.
Azure DDoS Protection
애플리케이션 디자인 모범 사례와 결합된 Azure DDoS Protection은 DDoS 공격 방어에 향상된 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다. 보호를 사용하도록 설정하는 것은 신규 또는 기존 가상 네트워크에서 간단하며 애플리케이션 또는 리소스를 변경할 필요가 없습니다.
Azure DDoS Protection은 DDoS 네트워크 보호와 DDoS IP Protection의 두 가지 계층을 제공합니다.
DDoS 네트워크 보호 - DDoS (분산 서비스 거부) 공격을 방어하는 향상된 기능을 제공합니다. 네트워크 계층 3 및 4에서 작동하며 DDoS 신속한 대응 지원, 비용 보호 및 WAF(웹 애플리케이션 방화벽)의 할인과 같은 고급 기능을 포함합니다.
DDoS IP 보호 - 보호된 IP별 종량제 모델을 따릅니다. DDoS 네트워크 보호와 동일한 핵심 엔지니어링 기능을 포함하지만 DDoS 신속한 대응 지원, 비용 보호 및 WAF 할인과 같은 추가 서비스를 제공하지는 않습니다.
경로 제어 및 터널링 적용
Azure Virtual Network에 라우팅 동작을 제어하는 기능은 중요한 네트워크 보안 및 액세스 제어 기능입니다. 예를 들어 Azure Virtual Network에 들어오고 나가는 모든 트래픽이 해당 가상 보안 어플라이언스를 통과하는지 확인하려면 라우팅 동작을 제어하고 사용자 지정할 수 있어야 합니다. 이렇게 하려면 Azure에서 사용자 정의 경로를 구성하면 됩니다.
User-Defined 경로를 사용하면 개별 가상 머신 또는 서브넷으로 들어오고 나가는 트래픽에 대한 인바운드 및 아웃바운드 경로를 사용자 지정하여 가장 안전한 경로를 보장할 수 있습니다. 강제 터널링 은 서비스에서 인터넷의 디바이스에 대한 연결을 시작할 수 없도록 하는 데 사용할 수 있는 메커니즘입니다.
이는 들어오는 연결을 수락한 다음 응답을 받을 수 있는 것과 다릅니다. 프런트 엔드 웹 서버는 인터넷 호스트의 요청에 응답해야 하므로 인터넷 소싱 트래픽은 이러한 웹 서버에 허용되는 인바운드이며 웹 서버에서 응답할 수 있습니다.
강제 적용 터널링은 일반적으로 온-프레미스 보안 프록시 및 방화벽을 통과하도록 인터넷으로의 아웃바운드 트래픽을 강제 적용하는 데 사용됩니다.
Virtual Network 보안 어플라이언스
네트워크 보안 그룹, User-Defined 경로 및 강제 터널링이 OSI 모델의 네트워크 및 전송 계층에서 보안 수준을 제공하지만 더 높은 수준의 스택에서 보안을 사용하도록 설정하려는 경우가 있을 수 있습니다. Azure 파트너 네트워크 보안 어플라이언스 솔루션을 사용하여 이러한 향상된 네트워크 보안 기능에 액세스할 수 있습니다. Azure Marketplace를 방문하여 보안 및 네트워크 보안을 검색하여 최신 Azure 파트너 네트워크 보안 솔루션을 찾을 수 있습니다.
Azure 가상 네트워크
Azure 가상 네트워크(VNet)는 클라우드의 사용자 네트워크를 나타내는 표현입니다. 구독 전용 Azure 네트워크 패브릭의 논리적 격리입니다. 사용자는 이 네트워크 내부의 IP 주소 블록, DNS 설정, 보안 정책 및 경로 테이블을 완벽하게 제어할 수 있습니다. VNet을 서브넷으로 분할하고 Azure Virtual Network에 Azure IaaS VM(가상 머신)을 배치할 수 있습니다.
또한 Azure에서 사용할 수 있는 연결 옵션 중 하나를 사용하여 가상 네트워크를 온-프레미스 네트워크에 연결할 수 있습니다. 기본적으로 네트워크를 Azure로 확장하여 IP 주소 블록을 완벽하게 제어하고, Azure가 제공하는 엔터프라이즈급 솔루션의 혜택을 누릴 수 있습니다.
Azure 네트워킹은 다양한 보안 원격 액세스 시나리오를 지원합니다. 그 중 일부는 다음과 같습니다.
Azure Virtual Network Manager
Azure Virtual Network Manager 는 대규모 가상 네트워크를 관리하고 보호하기 위한 중앙 집중식 솔루션을 제공합니다. 보안 관리자 규칙을 사용하여 전체 조직에서 보안 정책을 중앙에서 정의하고 적용합니다. 보안 관리자 규칙은 NSG(네트워크 보안 그룹) 규칙보다 우선하며 가상 네트워크에 적용됩니다. 이를 통해 조직은 보안 관리자 규칙을 사용하여 핵심 정책을 적용하는 동시에 다운스트림 팀이 서브넷 및 NIC 수준에서 특정 요구 사항에 따라 NSG를 조정할 수 있습니다.
조직의 요구 사항에 따라 허용, 거부 또는 항상 허용 규칙 작업을 사용하여 보안 정책을 적용할 수 있습니다.
| 규칙 작업 | Description |
|---|---|
| Allow | 기본적으로 지정된 트래픽을 허용합니다. 다운스트림 NSG는 여전히 이 트래픽을 수신하며 거부할 수 있습니다. |
| 항상 허용 | 우선 순위가 낮은 다른 규칙이나 NSG에 관계없이 항상 지정된 트래픽을 허용합니다. 모니터링 에이전트, 도메인 컨트롤러 또는 관리 트래픽이 차단되지 않도록 하는 데 사용할 수 있습니다. |
| Deny | 지정된 트래픽을 차단합니다. 다운스트림 NSG는 보안 관리자 규칙에 의해 거부된 후 이 트래픽을 평가하지 않으므로 기존 및 새 가상 네트워크에 대한 위험 수준이 높은 포트가 기본적으로 보호됩니다. |
Azure Virtual Network Manager에서 네트워크 그룹을 사용하면 중앙 집중식 관리 및 보안 정책 적용을 위해 가상 네트워크를 함께 그룹화할 수 있습니다. 네트워크 그룹은 토폴로지 및 보안 관점에서의 요구 사항에 따른 가상 네트워크의 논리적 그룹입니다. 네트워크 그룹의 가상 네트워크 멤버 자격을 수동으로 업데이트하거나 Azure Policy 조건문을 정의하여 네트워크 그룹을 동적으로 업데이트하여 네트워크 그룹 멤버 자격을 자동으로 업데이트할 수 있습니다.
Azure Private Link
Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 비공개로 Azure PaaS Services(예: Azure Storage 및 SQL Database)와 Azure 호스팅 고객 소유/파트너 서비스에 액세스할 수 있습니다. Azure Private Link를 사용한 설치 및 소비는 Azure PaaS, 고객 소유 및 공유 파트너 서비스에서 일관적입니다. 가상 네트워크에서 Azure 서비스로의 트래픽은 항상 Microsoft Azure 백본 네트워크에 유지됩니다.
프라이빗 엔드포인트를 사용하면 중요한 Azure 서비스 리소스를 가상 네트워크에만 보호할 수 있습니다. Azure 프라이빗 엔드포인트는 VNet의 개인 IP 주소를 사용하여 Azure Private Link에서 제공하는 서비스에 비공개로 안전하게 연결하여 서비스를 효과적으로 VNet으로 가져옵니다. 가상 네트워크를 공용 인터넷에 노출하는 것은 더 이상 Azure에서 서비스를 사용하는 데 필요하지 않습니다.
가상 네트워크에서 고유한 프라이빗 링크 서비스를 만들 수도 있습니다. Azure Private Link 서비스는 Azure Private Link에서 제공하는 자체 서비스에 대한 참조입니다. Azure 표준 Load Balancer 뒤에서 실행되는 서비스는 서비스 소비자가 자신의 가상 네트워크에서 비공개로 액세스할 수 있도록 Private Link 액세스를 사용하도록 설정할 수 있습니다. 고객은 가상 네트워크 내에 프라이빗 엔드포인트를 만들고 이 서비스에 매핑할 수 있습니다. Azure에서 서비스를 렌더링하는 데 더 이상 서비스를 공용 인터넷에 노출할 필요가 없습니다.
VPN Gateway
Azure Virtual Network와 온-프레미스 사이트 간에 네트워크 트래픽을 보내려면 Azure Virtual Network에 대한 가상 VPN Gateway를 만들어야 합니다. VPN 게이트웨이는 공용 연결을 통해 암호화된 트래픽을 보내는 가상 네트워크 게이트웨이의 유형입니다. 또한 VPN Gateway를 사용하여 Microsoft 네트워크 패브릭을 통해 Azure Virtual Network 간에 트래픽을 보낼 수도 있습니다.
Express 경로
Microsoft Azure ExpressRoute 는 연결 공급자가 용이하게 하는 전용 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있는 전용 WAN 링크입니다.
ExpressRoute를 사용하면 Microsoft Azure 및 Microsoft 365와 같은 Microsoft 클라우드 서비스에 대한 연결을 설정할 수 있습니다. 연결은 공동 배치 시설의 연결 공급자를 통해 Any-to-Any(IP VPN) 네트워크, 지점 간 이더넷 네트워크 또는 가상 교차 연결에서 수행할 수 있습니다.
ExpressRoute 연결은 공용 인터넷을 거치지 않으므로 VPN 기반 솔루션보다 안전합니다. 이 기능을 사용하면 ExpressRoute 연결은 인터넷을 통한 일반 연결보다 안정적이고 속도가 빠르며 대기 시간이 짧고 보안성이 높습니다.
Application Gateway
Microsoft Azure Application Gateway는 ADC(Application Delivery Controller)를 서비스로 제공하여 애플리케이션에 다양한 계층 7 부하 분산 기능을 제공합니다.
이를 통해 CPU 집약적 TLS 종료를 Application Gateway( TLS 오프로드 또는 TLS브리징이라고도 함)로 오프로드하여 웹 팜 생산성을 최적화할 수 있습니다. 또한 들어오는 트래픽의 라운드 로빈 배포, 쿠키 기반 세션 선호도, URL 경로 기반 라우팅 및 단일 Application Gateway 뒤에 여러 웹 사이트를 호스팅할 수 있는 기능을 포함한 다른 계층 7 라우팅 기능도 제공합니다. Azure Application Gateway는 계층 7 부하 분산 장치입니다.
클라우드 또는 온-프레미스이든 상관없이 서로 다른 서버 간에 장애 조치(Failover), 성능 라우팅 HTTP 요청을 제공합니다.
애플리케이션은 HTTP 부하 분산, 쿠키 기반 세션 선호도, TLS 오프로드, 사용자 지정 상태 프로브, 다중 사이트 지원 등 많은 ADC(애플리케이션 배달 컨트롤러) 기능을 제공합니다.
웹 애플리케이션 방화벽
웹 애플리케이션 방화벽은 표준 ADC 기능을 위해 애플리케이션 게이트웨이를 사용하는 웹 애플리케이션에 보호를 제공하는 Azure Application Gateway의 기능입니다. 웹 애플리케이션 방화벽은 대부분의 OWASP Top 10 일반 웹 취약점으로부터 보호함으로써 이 기능을 수행합니다.
SQL 삽입 공격 보호
명령 삽입, HTTP 요청 밀수, HTTP 응답 분할 및 원격 파일 포함과 같은 일반적인 웹 공격으로부터 보호
HTTP 프로토콜 위반 보호
누락된 호스트, 사용자 에이전트 및 수락 헤더와 같은 HTTP 프로토콜 변칙에 대한 보호
보트, 크롤러 및 스캐너 방지
일반적인 애플리케이션 구성 오류 검색(예: Apache, IIS)
WAF(중앙 집중식 웹 애플리케이션 방화벽)는 보안 관리를 간소화하고 웹 공격에 대한 보호를 향상시킵니다. 각 개별 웹 애플리케이션을 보호하는 대신 침입 위협에 대해 더 나은 보증을 제공하고 알려진 취약성을 중앙에서 패치하여 보안 위협에 더 빠르게 대응할 수 있습니다. 웹 애플리케이션 방화벽을 포함하도록 기존 애플리케이션 게이트웨이를 쉽게 업그레이드할 수 있습니다.
Azure Front Door
Azure Front Door 는 Microsoft의 글로벌 에지 네트워크를 사용하여 빠르고 안전하며 확장성이 뛰어난 웹 애플리케이션을 만드는 글로벌 확장 가능한 진입점입니다. Front Door는 다음을 제공합니다.
- 글로벌 부하 분산: 여러 지역의 여러 백 엔드에 트래픽 분산
- 통합 웹 애플리케이션 방화벽: 일반적인 웹 취약성 및 공격으로부터 보호
- DDoS 보호: 분산 서비스 거부 공격에 대한 기본 제공 보호
- SSL/TLS 오프로드: 중앙 집중식 인증서 관리 및 트래픽 암호화
- URL 기반 라우팅: URL 패턴에 따라 트래픽을 다른 백 엔드로 라우팅
Front Door는 콘텐츠 배달, 애플리케이션 가속 및 보안을 단일 서비스로 결합합니다.
Traffic Manager
Microsoft Azure Traffic Manager 를 사용하면 다양한 데이터 센터의 서비스 엔드포인트에 대한 사용자 트래픽 분산을 제어할 수 있습니다. Traffic Manager에서 지원하는 서비스 엔드포인트에는 Azure VM, Web Apps 및 클라우드 서비스가 포함됩니다. 또한 외부, Azure가 아닌 엔드포인트로 Traffic Manager를 사용할 수 있습니다.
Traffic Manager는 DNS(도메인 이름 시스템)를 사용하여 트래픽 라우팅 방법 및 엔드포인트의 상태에 따라 클라이언트 요청을 가장 적절한 엔드포인트로 전달합니다. Traffic Manager는 다양한 애플리케이션 요구 사항, 엔드포인트 상태 모니터링 및 자동 장애 조치(failover)에 적합한 다양한 트래픽 라우팅 방법을 제공합니다. Traffic Manager는 전체 Azure 지역의 오류를 포함한, 오류에 대해 복원력을 갖습니다.
Azure Load Balancer
Azure Load Balancer는 애플리케이션에 고가용성 및 네트워크 성능을 제공합니다. 이 장치는 부하 분산 장치 집합에 정의된 서비스의 정상 인스턴스 간에 들어오는 트래픽을 분산하는 계층 4(TCP, UDP) 부하 분산 장치입니다. Azure Load Balancer는 다음과 같이 구성할 수 있습니다.
들어오는 인터넷 트래픽을 가상 머신에 부하 분산합니다. 이 구성을 공개 부하 분산이라고 합니다.
가상 네트워크의 가상 머신 간, 클라우드 서비스의 가상 머신 간, 또는 크로스-프레미스 가상 네트워크의 온-프레미스 컴퓨터와 가상 머신 간에 트래픽을 부하 분산합니다. 이 구성을 내부 부하 분산이라고 합니다.
외부 트래픽을 특정 가상 머신으로 전달
내부 DNS
관리 포털 또는 네트워크 구성 파일에서 VNet에 사용된 DNS 서버 목록을 관리할 수 있습니다. 고객은 각 VNet마다 최대 12개의 DNS 서버를 추가할 수 있습니다. DNS 서버를 지정할 때 고객 환경에 맞는 올바른 순서로 고객의 DNS 서버를 나열하는지 확인하는 것이 중요합니다. DNS 서버 목록은 라운드 로빈으로 작동하지 않습니다. 지정된 순서대로 사용됩니다. 목록의 첫 번째 DNS 서버에 연결할 수 있으면 DNS 서버가 적절하게 작동하는지 여부와 관계없이 클라이언트에서 해당 DNS 서버를 사용합니다. 고객의 가상 네트워크에 대한 DNS 서버 순서를 변경하려면 목록에서 DNS 서버를 제거하고 고객이 원하는 순서대로 다시 추가합니다. DNS는 "CIA" 보안 3요소를 한 조로 묶어 가용성 측면을 지원합니다.
Azure DNS
Domain Name System, 즉 DNS는 웹 사이트 또는 서비스 이름을 해당 IP 주소로 변환(또는 확인)합니다. Azure DNS 는 MICROSOFT Azure 인프라를 사용하여 이름 확인을 제공하는 DNS 도메인에 대한 호스팅 서비스입니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다. DNS는 "CIA" 보안 트라이어드의 가용성 측면을 지원합니다.
Azure Monitor 로그 NSG
NSG에 대한 다음 진단 로그 범주를 활성화할 수 있습니다.
이벤트: VM 및 MAC 주소 기반 인스턴스 역할에 NSG 규칙이 적용되는 항목을 포함합니다. 이러한 규칙에 대한 상태는 60초마다 수집됩니다.
규칙 카운터: 트래픽을 허용하거나 거부하기 위해 각 NSG 규칙이 적용되는 횟수에 대한 항목을 포함합니다.
Microsoft Defender for Cloud
클라우드용 Microsoft Defender는 네트워크 보안 모범 사례에 대한 Azure 리소스의 보안 상태를 지속적으로 분석합니다. Defender for Cloud는 잠재적인 보안 취약성을 식별할 때 리소스를 강화하고 보호하기 위해 필요한 컨트롤을 구성하는 프로세스를 안내하는 권장 사항을 만듭니다.
ACNS(고급 컨테이너 네트워킹 서비스)
ACNS(고급 컨테이너 네트워킹 서비스)는 AKS(Azure Kubernetes Service) 클러스터의 운영 효율성을 높이기 위해 설계된 포괄적인 제품군입니다. 고급 보안 및 가시성 기능을 제공하여 마이크로 서비스 인프라를 대규모로 관리하는 복잡성을 해결합니다.
이러한 기능은 두 가지 주요 핵심 요소로 나뉩니다.
보안: Cilium에서 제공하는 Azure CNI를 사용하는 클러스터의 경우 네트워크 정책에는 구성 유지 관리의 복잡성을 해결하기 위한 FQDN(정규화된 도메인 이름) 필터링이 포함됩니다.
관찰성: 고급 컨테이너 네트워킹 서비스 제품군의 이 기능은 Hubble의 제어 평면 기능을 Cilium 및 비 Cilium Linux 데이터 평면 모두에 제공하여 네트워킹 및 성능에 대한 향상된 가시성을 제공합니다.
보안 작업 및 관리
강력한 보안 상태를 유지 관리하려면 Azure 환경의 보안을 관리하고 모니터링해야 합니다. Azure는 보안 작업, 위협 감지 및 인시던트 대응을 위한 포괄적인 도구를 제공합니다. 보안 관리 및 모니터링에 대한 자세한 내용은 Azure 보안 관리 및 모니터링 개요를 참조하세요. 운영 보안 모범 사례는 Azure 운영 보안 모범 사례를 참조하세요. 포괄적인 운영 보안 개요는 Azure 운영 보안 개요를 참조하세요.
Microsoft Sentinel
Microsoft Sentinel은 스케일링 가능한 클라우드 네이티브, SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Microsoft Sentinel은 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 공격 탐지, 위협 표시 유형, 선제적인 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
Microsoft Sentinel은 이제 모든 고객을 위해 Microsoft Defender 포털에서 사용할 수 있으며 워크플로를 간소화하고 가시성을 향상시키는 통합 보안 작업 환경을 제공합니다. Security Copilot와 통합하면 분석가가 자연어를 사용하여 Microsoft Sentinel 데이터와 상호 작용하고, 헌팅 쿼리를 생성하고, 더 빠른 위협 대응을 위해 조사를 자동화할 수 있습니다.
Microsoft Defender for Cloud
클라우드용 Microsoft Defender를 사용하면 Azure 리소스의 보안에 대한 가시성과 제어를 강화하여 위협을 방지, 탐지, 대응할 수 있습니다. 클라우드용 Microsoft Defender는 Azure 구독에서 통합 보안 모니터링 및 정책 관리를 제공하고, 그렇지 않으면 눈에 띄지 않을 수 있는 위협을 감지하고, 광범위한 보안 솔루션 에코시스템에서 작동합니다.
클라우드용 Microsoft Defender는 다음을 비롯한 워크로드별 계획을 통해 포괄적인 보호를 제공합니다.
- 서버용 Defender - Windows 및 Linux 서버에 대한 고급 위협 방지
- 컨테이너용 Defender - 컨테이너화된 애플리케이션 및 Kubernetes에 대한 보안
- Defender for Storage - 맬웨어 검색 및 중요한 데이터 검색을 사용하여 위협 탐지
- Defender for Databases - Azure SQL, Azure Database for MySQL 및 PostgreSQL 보호
- DEFENDER for AI Services - 탈옥 시도, 데이터 노출 및 의심스러운 액세스 패턴에 대한 Azure AI 서비스에 대한 런타임 보호
- Defender CSPM - 공격 경로 분석, 보안 거버넌스 및 AI 보안 태세 관리를 사용하는 클라우드 보안 상태 관리
또한 클라우드용 Defender는 즉시 수행할 수 있는 경고 및 권장 사항을 표시하는 단일 대시보드를 제공하여 보안 운영에 도움을 줍니다. 보안 공동 작업 통합은 AI 생성 요약, 수정 스크립트 및 위임 기능을 제공하여 위험 수정을 가속화합니다.
Azure 전체에서 포괄적인 위협 탐지 기능은 Azure 위협 방지를 참조하세요.
Azure 리소스 관리자
Azure Resource Manager를 사용하면 솔루션에서 리소스를 그룹으로 사용할 수 있습니다. 조정된 단일 작업에서 솔루션에 대한 모든 리소스를 배포, 업데이트 또는 삭제할 수 있습니다. 배포용 Azure Resource Manager 템플릿을 사용하고, 해당 템플릿은 테스트, 스테이징 및 프로덕션과 같은 여러 환경에서 사용할 수 있습니다. 리소스 관리자는 보안, 감사 및 태그 기능을 제공하여 배포 후에 리소스를 관리할 수 있습니다.
Azure Resource Manager 템플릿 기반 배포를 사용하면 표준 보안 제어 설정을 표준화된 템플릿 기반 배포에 통합할 수 있기 때문에 Azure에 배포된 솔루션의 보안을 향상시킬 수 있습니다. 템플릿은 수동 배포 중에 발생할 수 있는 보안 구성 오류의 위험을 줄입니다.
Application Insights
Application Insights 는 웹 개발자를 위해 설계된 유연한 APM(애플리케이션 성능 관리) 서비스입니다. 이를 통해 라이브 웹 애플리케이션을 모니터링하고 성능 문제를 자동으로 감지할 수 있습니다. 강력한 분석 도구를 사용하면 문제를 진단하고 앱과의 사용자 상호 작용에 대한 인사이트를 얻을 수 있습니다. Application Insights는 개발부터 테스트, 프로덕션까지 애플리케이션을 지속적으로 모니터링합니다.
Application Insights는 최대 사용자 활동 시간, 앱 응답성 및 사용하는 외부 서비스의 성능을 표시하는 통찰력 있는 차트와 테이블을 생성합니다.
충돌, 오류 또는 성능 문제가 있는 경우 데이터를 자세히 검색하여 원인을 진단할 수 있습니다. 그리고 앱의 가용성과 성능에 변경 사항이 있는 경우 서비스에서 사용자에게 전자 메일을 보냅니다. 따라서 Application Insight는 기밀성, 무결성 및 가용성 보안 3요소를 한 조로 묶어 가용성을 높이는 데 도움이 되므로 중요한 보안 도구가 됩니다.
Azure Monitor
Azure Monitor는 Azure 구독(활동 로그) 및 각 개별 Azure 리소스(리소스 로그)의 데이터에 대한 시각화, 쿼리, 라우팅, 경고, 자동 크기 조정 및 자동화를 제공합니다. Azure Monitor를 사용하여 Azure 로그에서 생성된 보안 관련 이벤트에 대해 사용자에게 알릴 수 있습니다.
Azure Monitor 로그
Azure Monitor 로그는 Azure 리소스 외에도 온-프레미스 및 타사 클라우드 기반 인프라(예: Amazon Web Services)를 위한 IT 관리 솔루션을 제공합니다. Azure Monitor의 데이터를 Azure Monitor 로그로 직접 라우팅할 수 있으므로 전체 환경에 대한 메트릭 및 로그를 한 곳에서 볼 수 있습니다.
Azure Monitor 로그는 포렌식 및 기타 보안 분석에서 유용한 도구가 될 수 있습니다.이 도구를 사용하면 유연한 쿼리 접근 방식으로 많은 양의 보안 관련 항목을 빠르게 검색할 수 있습니다. 또한 온-프레미스 방화벽 및 프록시 로그를 Azure로 내보내고 Azure Monitor 로그를 사용하여 분석할 수 있습니다.
Azure Advisor
Azure Advisor는 Azure 배포를 최적화하는 데 도움이 되는 개인 설정된 클라우드 컨설턴트입니다. 리소스 구성 및 사용량 현황 데이터를 분석합니다. 그런 다음 전체 Azure 지출을 줄일 기회를 찾는 동시에 리소스의 성능, 보안 및 안정성을 개선하는 데 도움이 되는 솔루션을 권장합니다. Azure Advisor는 보안 권장 사항을 제공하므로 Azure에 배포하는 솔루션의 전반적인 보안 상태를 크게 향상시킬 수 있습니다. 이러한 권장 사항은 클라우드용 Microsoft Defender에서 수행한 보안 분석에서 가져온 것입니다.
ID 및 액세스 관리
ID는 클라우드 컴퓨팅의 기본 보안 경계입니다. ID를 보호하고 리소스에 대한 액세스를 제어하는 것은 Azure 환경을 보호하는 데 기본 사항입니다. Microsoft Entra ID는 포괄적인 ID 및 액세스 관리 기능을 제공합니다. 자세한 내용은 Azure ID 관리 개요를 참조하세요. ID 관리 모범 사례는 Azure ID 관리 및 액세스 제어 보안 모범 사례를 참조하세요. ID 인프라 보안에 대한 지침은 ID 인프라를 보호하는 5단계를 참조하세요.
Microsoft Entra ID (마이크로소프트 엔트라 ID)
Microsoft Entra ID 는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. 이 콘솔은 다음과 같은 기능을 제공합니다.
- SSO(단일 Sign-On) : 사용자가 하나의 자격 증명 집합으로 여러 애플리케이션에 액세스할 수 있도록 설정
- MFA(Multi-Factor Authentication): 로그인하려면 여러 형식의 확인 필요
- 조건부 액세스: 사용자, 디바이스, 위치 및 위험에 따라 리소스에 대한 액세스 제어
- ID 보호: ID 기반 위험 검색 및 대응
- PIM(Privileged Identity Management) : Azure 리소스에 대한 Just-In-Time 권한 있는 액세스 제공
- ID 거버넌스: ID 수명 주기 및 액세스 권한 관리
역할 기반 Access Control(RBAC)
Azure RBAC(역할 기반 액세스 제어)를 사용하면 Azure 리소스에 대한 액세스 권한이 있는 사용자, 해당 리소스로 수행할 수 있는 작업 및 액세스 권한이 있는 영역을 관리할 수 있습니다. RBAC는 Azure 리소스에 대한 세분화된 액세스 관리를 제공하여 사용자에게 작업을 수행하는 데 필요한 권한만 부여할 수 있도록 합니다.
Microsoft Entra Privileged Identity Management
Microsoft Entra PIM(Privileged Identity Management) 을 사용하면 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있습니다. PIM은 과도한, 불필요한 또는 오용된 액세스 권한의 위험을 완화하기 위해 시간 기반 및 승인 기반 역할 활성화를 제공합니다.
Azure 리소스에 대한 관리 ID
Azure 리소스에 대한 관리 ID는 Microsoft Entra ID에서 자동으로 관리되는 ID를 Azure 서비스에 제공합니다. 이 ID를 사용하면 코드에 자격 증명이 없어도 Microsoft Entra 인증을 지원하는 모든 서비스에 인증할 수 있습니다.
패치 업데이트는 기업에서 배포해야 하는 소프트웨어 업데이트의 수를 줄이고 규정 준수를 모니터링하는 기능을 향상시킴으로써 잠재적인 문제를 찾아 수정하고 소프트웨어 업데이트 관리 프로세스를 간소화할 수 있는 기반을 제공합니다.
보안 정책 관리 및 보고
클라우드용 Defender는 위협을 예방, 검색 및 대응하는 데 도움이 되며, Azure 리소스의 보안에 대한 향상된 가시성과 제어를 제공합니다. Azure 구독을 통해 통합된 보안 모니터링 및 정책 관리를 제공하고, 달리 발견되지 않을 수도 있는 위협을 검색하는 데 도움이 되며, 보안 솔루션의 광범위한 에코시스템에서 작동합니다.
보안 ID
Microsoft는 제품 및 서비스 전반에 여러 가지 보안 사례와 기술을 사용하여 ID와 액세스를 관리합니다.
다단계 인증 을 사용하려면 사용자가 액세스, 온-프레미스 및 클라우드에 여러 가지 방법을 사용해야 합니다. 간단한 로그인 프로세스를 통해 사용자를 수용하면서 편리한 확인 옵션을 통해 강력한 인증을 제공합니다.
Microsoft Authenticator는 Microsoft Entra ID 및 Microsoft 계정 모두에서 작동하는 사용자 친화적인 다단계 인증 환경을 제공하며 웨어러블 및 지문 기반 승인에 대한 지원을 포함합니다.
암호 정책 적용 - 길이 및 복잡성 요구 사항, 정기적 강제 회전, 실패한 인증 시도 후 계정 잠금을 강제 적용하여 기존 암호의 보안을 강화합니다.
토큰 기반 인증 을 사용하면 Microsoft Entra ID를 통한 인증이 가능합니다.
Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 사용자에게 할당된 역할에 따라 액세스 권한을 부여할 수 있으므로 사용자가 업무를 수행하는 데 필요한 액세스 권한만 쉽게 부여할 수 있습니다. 조직의 비즈니스 모델 및 위험 허용 범위에 따라 Azure RBAC를 사용자 지정할 수 있습니다.
통합 ID 관리(하이브리드 ID) - 모든 리소스에 대한 인증 및 권한 부여를 위한 단일 사용자 ID를 만들어 내부 데이터 센터 및 클라우드 플랫폼에서 사용자 액세스에 대한 제어를 유지할 수 있게 합니다.
보안 앱 및 데이터
포괄적인 ID 및 액세스 관리 클라우드 솔루션인 Microsoft Entra ID는 사이트 및 클라우드의 애플리케이션에서 데이터에 대한 액세스를 보호하고 사용자 및 그룹의 관리를 간소화합니다. 핵심 디렉터리 서비스, 고급 ID 관리, 보안 및 애플리케이션 액세스 관리를 결합하고, 개발자가 정책 기반 ID 관리를 자신의 앱에 쉽게 만들 수 있습니다. Microsoft Entra ID를 강화하려면 Microsoft Entra 기본, 프리미엄 P1 및 프리미엄 P2 Edition을 사용하여 유료 기능을 추가할 수 있습니다.
Cloud App Discovery - 조직의 직원이 사용하는 클라우드 애플리케이션을 식별할 수 있게 하는 Microsoft Entra ID의 프리미엄 기능입니다.
Microsoft Entra ID 보호 - Microsoft Entra 변칙 검색 기능을 사용하여 조직의 ID에 영향을 줄 수 있는 위험 검색 및 잠재적 취약성에 대한 통합된 보기를 제공하는 보안 서비스입니다.
Microsoft Entra 도메인 서비스 - 도메인 컨트롤러를 배포하지 않아도 Azure VM을 도메인에 조인할 수 있게 합니다. 사용자는 회사 Active Directory 자격 증명을 사용하여 이러한 VM에 로그인하고 리소스에 원활하게 액세스할 수 있습니다.
Microsoft Entra B2C는 수억 개의 ID로 확장하고 모바일 및 웹 플랫폼 간에 통합할 수 있는 소비자 지향 앱을 위한 고가용성 글로벌 ID 관리 서비스입니다. 고객은 기존 소셜 미디어 계정을 사용하는 사용자 지정 가능한 환경을 통해 모든 앱에 로그인하거나 새 독립 실행 형 자격 증명을 만들 수 있습니다.
Microsoft Entra B2B 협업 - 파트너가 자체 관리 ID를 사용하여 회사 애플리케이션 및 데이터에 선택적으로 액세스할 수 있게 하여 회사 간 관계를 지원하는 안전한 파트너 통합 솔루션입니다.
Microsoft Entra 조인을 사용하면 중앙 집중식 관리를 위해 클라우드 기능을 Windows 10 디바이스로 확장할 수 있습니다. 사용자가 Microsoft Entra ID를 통해 회사 또는 조직의 클라우드에 연결할 수 있게 하며, 앱과 리소스에 대한 액세스를 간소화합니다.
Microsoft Entra ID 애플리케이션 프록시 - 온-프레미스에 호스팅되는 웹 애플리케이션에 대해 SSO(Single Sign-On) 및 보안된 원격 액세스를 제공합니다.
다음 단계
클라우드에서의 공유 책임을 이해합니다.
클라우드용 Microsoft Defender가 Azure 리소스의 보안에 대한 가시성 및 제어를 강화하여 위협을 방지, 감지 및 대응하는 데 어떻게 도움이 되는지 알아봅니다.
포괄적인 보안 지침을 위한 Microsoft 클라우드 보안 벤치마크를 검토하십시오.
Azure 보안 아키텍처의 보호, 검색 및 응답 보기는 Azure의 엔드 투 엔드 보안을 참조하세요.