Azure에서 지속 가능한 워크로드에 대한 보안 고려 사항

Azure에서 지속 가능한 워크로드를 설계하려면 프로젝트의 모든 단계를 통해 기본 원칙인 보안을 포함해야 합니다. 보다 지속 가능한 보안 태세로 이어지는 고려 사항 및 권장 사항에 대해 알아봅니다.

중요

이 문서는 Azure Well-Architected 지속 가능한 워크로드 시리즈의 일부입니다. 이 시리즈에 익숙하지 않은 경우 지속 가능한 워크로드란?으로 시작하는 것이 좋습니다.

보안 모니터링

클라우드 네이티브 보안 모니터링 솔루션을 사용하여 지속 가능성을 최적화합니다.

해당하는 경우 클라우드 네이티브 로그 수집 방법 사용

일반적으로 SIEM(보안 정보 및 이벤트 관리) 솔루션에 수집하기 위한 로그 수집 방법을 사용하려면 중간 리소스를 사용하여 로그를 수집, 구문 분석, 필터링 및 중앙 수집 시스템으로 전송해야 했습니다. 이 디자인을 사용하면 더 많은 인프라 및 관련 재무 및 탄소 관련 비용으로 오버헤드가 발생합니다.

녹색 소프트웨어 재단 맞춤: 하드웨어 효율성, 에너지 효율성

권장 사항:

• 클라우드 네이티브 서비스 간 커넥터를 사용하면 서비스와 SIEM 간의 통합이 간소화되고 추가 인프라의 오버헤드가 제거됩니다.
• Azure Monitor Analytics 에이전트와 같이 이전에 배포된 에이전트를 사용하여 기존 컴퓨팅 리소스에서 로그 데이터를 수집할 수 있습니다. Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 방법을 검토합니다.
• 이 절충을 고려합니다. 더 많은 모니터링 에이전트를 배포하면 더 많은 컴퓨팅 리소스가 필요하므로 처리 오버헤드가 증가합니다. 솔루션의 보안 요구 사항을 충족하고 저장 및 보관할 적절한 수준의 정보를 찾는 데 필요한 정보의 양을 신중하게 설계하고 계획합니다.
  • 불필요한 데이터 수집을 줄이는 가능한 솔루션은 Azure Monitor DCR(데이터 수집 규칙)을 사용하는 것입니다.

필터링되지 않은 대규모 데이터 집합을 한 클라우드 서비스 공급자에서 다른 클라우드 서비스 공급자로 전송하지 않도록 방지

기존 SIEM 솔루션은 모든 로그 데이터를 수집하여 중앙 집중식 위치에 저장해야 했습니다. 다중 클라우드 환경에서 이 솔루션은 많은 양의 데이터를 클라우드 서비스에서 제공하고 다른 클라우드 서비스로 전송하여 네트워크 및 스토리지 인프라에 대한 부담을 증가시킬 수 있습니다.

녹색 소프트웨어 재단 맞춤: 탄소 효율, 에너지 효율성

권장 사항:

• 클라우드 네이티브 보안 서비스는 관련 보안 데이터 원본에 대해 지역화된 분석을 수행할 수 있습니다. 이 분석을 통해 대량의 로그 데이터를 원본 클라우드 서비스 공급자 환경 내에 유지할 수 있습니다. 클라우드 네이티브 SIEM 솔루션은 API 또는 커넥터를 통해 이러한 보안 서비스에 연결하여 관련 보안 인시던트 또는 이벤트 데이터만 전송할 수 있습니다. 이 솔루션은 인시던트에 대응하기 위해 높은 수준의 보안 정보를 유지하면서 전송되는 데이터의 양을 크게 줄일 수 있습니다.

시간이 지나면 설명된 접근 방식을 사용하면 데이터 송신 및 스토리지 비용을 줄이는 데 도움이 되며, 이는 본질적으로 배출을 줄이는 데 도움이 됩니다.

SIEM으로 전송 또는 수집하기 전에 로그 원본 필터링 또는 제외

가능한 모든 원본에서 모든 로그를 저장하는 복잡성과 비용을 고려합니다. instance, 애플리케이션, 서버, 진단 및 플랫폼 작업의 경우

녹색 소프트웨어 재단 맞춤: 탄소 효율, 에너지 효율성

권장 사항:

• 클라우드 네이티브 SIEM 솔루션에 대한 로그 수집 전략을 설계할 때 사용자 환경에 필요한 Microsoft Sentinel 분석 규칙을 기반으로 사용 사례를 고려하고 해당 규칙을 지원하는 데 필요한 로그 원본을 일치시키는 것이 좋습니다.
• 이 옵션은 로그 데이터의 불필요한 전송 및 저장을 제거하여 환경의 탄소 배출을 줄이는 데 도움이 될 수 있습니다.

로그 데이터를 장기 스토리지에 보관

많은 고객은 규정 준수 이유로 인해 장기간 로그 데이터를 저장해야 합니다. 이러한 경우 SIEM 시스템의 기본 스토리지 위치에 로그 데이터를 저장하는 것은 비용이 많이 드는 솔루션입니다.

Green Software Foundation 맞춤: 에너지 효율성

권장 사항:

• 로그 데이터는 고객의 보존 정책을 존중하지만 별도의 스토리지 위치를 활용하여 비용을 절감하는 저렴한 장기 스토리지 옵션으로 이동할 수 있습니다.

네트워크 아키텍처

네트워크 보안 아키텍처에 대한 모범 사례를 따라 효율성을 높이고 불필요한 트래픽을 방지합니다.

클라우드 네이티브 네트워크 보안 제어를 사용하여 불필요한 네트워크 트래픽 제거

중앙 집중식 라우팅 및 방화벽 디자인을 사용하는 경우 검사, 필터링 및 이후 라우팅을 위해 모든 네트워크 트래픽이 허브로 전송됩니다. 이 방법은 정책 적용을 중앙 집중화하지만 원본 리소스에서 불필요한 트래픽 네트워크에서 오버헤드를 만들 수 있습니다.

녹색 소프트웨어 재단 맞춤: 하드웨어 효율성, 에너지 효율성

권장 사항:

• 네트워크 보안 그룹 및 애플리케이션 보안 그룹을 사용하여 원본에서 트래픽을 필터링하고 불필요한 데이터 전송을 제거합니다. 이러한 기능을 사용하면 대역폭 요구 사항이 낮아지고 소유 및 관리할 인프라가 줄어들어 클라우드 인프라의 부담을 줄일 수 있습니다.

엔드포인트에서 대상으로 라우팅 최소화

많은 고객 환경, 특히 하이브리드 배포에서 모든 최종 사용자 디바이스 네트워크 트래픽은 인터넷에 연결할 수 있도록 허용되기 전에 온-프레미스 시스템을 통해 라우팅됩니다. 일반적으로 이 문제는 모든 인터넷 트래픽을 검사해야 하기 때문에 발생합니다. 이를 위해서는 온-프레미스 환경 내에서 더 높은 용량의 네트워크 보안 어플라이언스 또는 클라우드 환경 내의 더 많은 어플라이언스가 필요한 경우가 많습니다.

Green Software Foundation 맞춤: 에너지 효율성

권장 사항:

• 엔드포인트에서 대상으로 라우팅을 최소화합니다.
  • 가능한 경우 최종 사용자 디바이스를 최적화하여 알려진 트래픽을 클라우드 서비스로 직접 분할 하는 동시에 다른 모든 대상에 대한 트래픽을 계속 라우팅하고 검사해야 합니다. 이러한 기능과 정책을 최종 사용자 디바이스에 더 가깝게 가져오면 불필요한 네트워크 트래픽 및 관련 오버헤드를 방지할 수 있습니다.

자동 크기 조정 기능과 함께 네트워크 보안 도구 사용

네트워크 트래픽에 따라 보안 어플라이언스 수요가 높은 경우와 더 낮은 시간이 있습니다. 많은 네트워크 보안 어플라이언스가 가장 높은 예상 수요에 대처하기 위해 규모에 배포되어 비효율성으로 이어집니다. 또한 이러한 도구를 재구성하려면 종종 다시 부팅해야 하므로 허용할 수 없는 가동 중지 시간과 관리 오버헤드가 발생합니다.

Green Software Foundation 맞춤: 하드웨어 효율성

권장 사항:

• 자동 크기 조정을 사용하면 백 엔드 리소스의 권한 지정이 수동 개입 없이 수요를 충족할 수 있습니다.
• 이 접근 방식은 네트워크 트래픽 변경에 대응하는 시간을 크게 줄여 불필요한 리소스의 낭비를 줄이고 지속 가능성 효과를 높입니다.
• Application Gateway WAF(Web Application Firewall)를 사용하도록 설정하고 Azure Firewall Premium을배포 및 구성하는 방법을 읽어 관련 서비스에 대해 자세히 알아봅니다.

TLS 종료 사용 여부 평가

TLS를 종료하고 다시 설정하는 것은 특정 아키텍처에서 불필요할 수 있는 CPU 사용량입니다.

Green Software Foundation 맞춤: 에너지 효율성

권장 사항:

• 보더 게이트웨이에서 TLS를 종료하고 비TLS를 워크로드 부하 분산 장치와 워크로드에 계속 사용할 수 있는지 고려합니다.
• TLS 종료에 대한 정보를 검토하여 성능 및 사용률이 제공하는 영향을 더 잘 이해합니다.
• 절충안 고려: 균형 잡힌 수준의 보안은 보다 지속 가능하고 에너지 효율적인 워크로드를 제공할 수 있으며, 보안 수준이 높을수록 컴퓨팅 리소스에 대한 요구 사항이 증가할 수 있습니다.

DDoS 보호 사용

DDoS(분산 서비스 거부) 공격은 운영 시스템을 압도하여 운영 시스템을 방해하여 클라우드의 리소스에 상당한 영향을 미치는 것을 목표로 합니다. 공격이 성공하면 네트워크 및 컴퓨팅 리소스가 넘쳐나고 사용량과 비용이 불필요하게 급증합니다.

Green Software Foundation 맞춤: 에너지 효율성, 하드웨어 효율성

권장 사항:

• DDoS 보호는 추상화된 계층에서 공격을 완화하려고 하므로 고객이 운영하는 서비스에 도달하기 전에 공격이 완화됩니다.
  • 컴퓨팅 및 네트워크 서비스의 악의적인 사용을 완화하면 궁극적으로 불필요한 탄소 배출을 줄이는 데 도움이 됩니다.

엔드포인트 보안

클라우드에서 워크로드 및 솔루션을 보호하는 것이 필수적입니다. 클라이언트 디바이스까지 완화 전술을 최적화하는 방법을 이해하면 배출량을 줄이는 데 긍정적인 결과를 가질 수 있습니다.

엔드포인트용 Microsoft Defender 통합

클라우드 인프라에 대한 많은 공격은 공격자의 직접적인 이익을 위해 배포된 리소스를 오용하려고 합니다. 이러한 두 가지 오용 사례는 봇넷 및 암호화 마이닝입니다.

이러한 두 경우 모두 고객이 운영하는 컴퓨팅 리소스를 제어하고 이를 사용하여 새 암호 화폐 동전을 만들거나 DDoS 공격 또는 대량 전자 메일 스팸 캠페인과 같은 보조 작업을 시작할 리소스 네트워크로 사용합니다.

Green Software Foundation 맞춤: 하드웨어 효율성

권장 사항:

• 클라우드용 Defender와 엔드포인트용 Microsoft Defender 통합하여 암호화 마이닝 및 봇넷을 식별하고 종료합니다.
  • EDR 기능은 고급 공격 탐지를 제공하며 해당 위협을 수정하기 위한 대응 조치를 취할 수 있습니다. 이러한 일반적인 공격에 의해 생성된 불필요한 리소스 사용량은 종종 보안 분석가의 개입 없이 신속하게 검색 및 수정할 수 있습니다.

보고

적절한 시기에 적절한 정보와 인사이트를 얻는 것은 보안 어플라이언스의 배출에 관한 보고서를 생성하는 데 중요합니다.

보안 리소스 태그 지정

테넌트에서 모든 보안 어플라이언스를 빠르게 찾고 보고하는 것은 어려울 수 있습니다. 보안 리소스를 식별하면 비즈니스를 위한 보다 지속 가능한 운영 모델을 위한 전략을 설계할 때 도움이 될 수 있습니다.

Green Software Foundation 맞춤: 지속 가능성 측정

권장 사항:

• 보안 리소스에 태그를 지정하여 보안 리소스의 배출 영향을 기록합니다.

다음 단계

지속 가능성에 대한 디자인 원칙을 검토합니다.

디자인 원칙