개요 – Azure IaaS에 제로 트러스트 원칙 적용

요약: Azure IaaS 구성 요소 및 인프라에 제로 트러스트 원칙을 적용하려면 먼저 일반적인 참조 아키텍처와 Azure Storage, 가상 머신, 스포크 및 허브 가상 네트워크의 구성 요소를 이해해야 합니다.

이 문서 시리즈는 제로 트러스트 원칙을 적용하는 다학제적 접근 방식을 기반으로 Microsoft Azure IaaS의 워크로드에 제로 트러스트 원칙을 적용하는 데 도움이 됩니다. 제로 트러스트는 보안 전략입니다. 제품이나 서비스가 아니라 다음 보안 원칙 집합을 디자인하고 구현하는 접근 방식입니다.

• 명시적으로 확인
• 최소 권한 액세스 사용
• 위반 가정

제로 트러스트 사고방식을 구현하려면 클라우드 인프라, 배포 전략 및 구현을 변경해야 합니다.

이러한 5개 문서(이 소개 포함)의 초기 시리즈에서는 인프라 서비스를 기반으로 하는 일반적인 IT 비즈니스 시나리오에 제로 트러스트 접근 방식을 적용하는 방법을 보여 줍니다. 작업은 다음과 같이 함께 구성할 수 있는 단위로 나뉩니다.

• Azure Storage
• 가상 머신
• 가상 머신 기반 워크로드용 스포크 VNet(가상 네트워크)
• Azure에서 많은 워크로드에 대한 액세스를 지원하는 허브 VNet

자세한 내용은 Azure Virtual Desktop에 제로 트러스트 원칙 적용을 참조하세요.

참고 항목

조직이 실제 IT 비즈니스 환경을 기반으로 애플리케이션, 네트워킹, 데이터 및 DevOps 서비스에 제로 트러스트 접근 방식을 적용하는 방법을 포함하여 향후 이 시리즈에 추가 문서가 추가될 예정입니다.

Important

이 제로 트러스트 지침에서는 Azure에서 참조 아키텍처에 사용할 수 있는 여러 보안 솔루션 및 기능을 사용하고 구성하는 방법을 설명합니다. 다른 여러 리소스는 다음을 포함하여 이러한 솔루션 및 기능에 대한 보안 지침을 제공합니다.

• Microsoft Cloud Security Benchmark
• Microsoft 클라우드 보안 기준

제로 트러스트 접근 방식을 적용하는 방법을 설명하기 위해 이 지침은 많은 조직에서 프로덕션에 사용되는 일반적인 패턴인 VNet(및 IaaS 애플리케이션)에서 호스트되는 가상 머신 기반 애플리케이션을 대상으로 합니다. 이는 조직에서 온-프레미스 애플리케이션을 Azure로 마이그레이션하는 일반적인 패턴이며, 이를 "리프트 앤 시프트"라고도 합니다. 참조 아키텍처에는 스토리지 서비스 및 허브 VNet을 포함하여 이 애플리케이션을 지원하는 데 필요한 모든 구성 요소가 포함됩니다.

참조 아키텍처는 프로덕션 환경에서 일반적인 배포 패턴을 반영합니다. CAF(클라우드 채택 프레임워크 권장되는 엔터프라이즈 규모 랜딩 존을 기반으로 하지는 않지만, 전용 VNet을 사용하여 애플리케이션(허브 VNet)에 대한 액세스를 중개하는 구성 요소를 호스트하는 등 CAF의 많은 모범 사례가 참조 아키텍처에 포함되어 있습니다.

클라우드 채택 프레임워크 Azure 랜딩 존에서 권장되는 지침에 대해 알아보려면 다음 리소스를 참조하세요.

• 클라우드 채택 프레임워크 시작
• Azure 랜딩 존이란 무엇인가요?

참조 아키텍처

다음 그림은 이 제로 트러스트 지침에 대한 참조 아키텍처를 보여줍니다.

이 아키텍처에는 다음이 포함됩니다.

• 다양한 유형의 사용자 및 다른 사이트에서 앱에 액세스하는 IT 소비자를 포함하여 여러 IaaS 구성 요소 및 요소. Azure, 인터넷, 온-프레미스 및 지사와 같은
• 프런트 엔드 계층, 애플리케이션 계층 및 데이터 계층을 포함하는 공통 3계층 애플리케이션입니다. 모든 계층은 SPOKE라는 VNet 내의 가상 머신에서 실행됩니다. 앱에 대한 액세스는 추가 보안 서비스를 포함하는 허브라는 다른 VNet에 의해 보호됩니다.
• 제로 트러스트 보안 접근 방식에 기여하는 RBAC(역할 기반 액세스 제어) 및 Microsoft Entra ID를 포함하여 IaaS 애플리케이션을 지원하는 Azure에서 가장 많이 사용되는 PaaS 서비스 중 일부.
• 사용자가 공유하는 애플리케이션 및 파일에 대한 개체 스토리지를 제공하는 스토리지 Blob 및 Storage 파일입니다.

이 일련의 문서에서는 참조 아키텍처에 대한 제로 트러스트 구현하기 위한 권장 사항을 안내하며, 여기에 표시된 대로 Azure에서 호스트되는 이러한 큰 부분을 각각 해결합니다.

다이어그램은 이 시리즈의 각 문서에서 다루는 아키텍처의 더 큰 영역을 간략하게 설명합니다.

1. Azure Storage 서비스
2. 가상 머신
3. 스포크 VNet
4. 허브 VNet

이 문서 시리즈의 지침은 클라우드 채택 프레임워크 및 Azure 랜딩 존 아키텍처에 제공된 지침보다 이러한 유형의 아키텍처에 더 구체적이라는 점에 유의해야 합니다. 이러한 리소스 중 하나에 지침을 적용한 경우 이 문서 시리즈도 검토하여 추가 권장 사항을 확인해야 합니다.

Azure 구성 요소 이해

참조 아키텍처 다이어그램은 환경의 토폴로지 보기를 제공합니다. 또한 각 구성 요소를 Azure 환경 내에서 구성하는 방법을 논리적으로 확인하는 것도 중요합니다. 다음 다이어그램은 구독 및 리소스 그룹을 구성하는 방법을 제공합니다. Azure 구독은 다르게 구성될 수 있습니다.

이 다이어그램에서 Azure 인프라는 Entra ID 테넌트 내에 포함되어 있습니다. 다음 표에서는 다이어그램에 표시된 다양한 섹션에 대해 설명합니다.

• Azure 구독

  각 구독에 네트워크 구독 또는 보안 구독과 같은 서로 다른 역할을 보유할 수 있는 둘 이상의 구독에 리소스를 배포할 수 있습니다. 이는 이전에 참조된 클라우드 채택 프레임워크 및 Azure 랜딩 존 설명서에 설명되어 있습니다. 다른 구독은 프로덕션, 개발 및 테스트 환경과 같은 다양한 환경을 보유할 수도 있습니다. 환경을 분리하려는 방법과 각 환경에 사용할 리소스 수에 따라 달라집니다. 관리 그룹을 사용하여 하나 이상의 구독을 함께 관리할 수 있습니다. 이렇게 하면 각 구독을 개별적으로 설정하는 대신 RBAC(역할 기반 액세스 제어) 및 Azure 정책을 사용하여 권한을 구독 그룹에 적용할 수 있습니다.

• 클라우드용 Microsoft Defender 및 Azure Monitor

  각 Azure 구독에 대해 Azure Monitor 솔루션 및 클라우드용 Defender 집합을 사용할 수 있습니다. 관리 그룹을 통해 이러한 구독을 관리하는 경우 Azure Monitor 및 클라우드용 Defender 모든 기능에 대해 단일 포털에 통합할 수 있습니다. 예를 들어 클라우드용 Defender 제공하는 보안 점수는 관리 그룹을 범위로 사용하여 모든 구독에 대해 통합됩니다.

• 스토리지 리소스 그룹(1)

  스토리지 계정은 전용 리소스 그룹에 포함되어 있습니다. 더 세분화된 권한 제어를 위해 다른 리소스 그룹의 각 스토리지 계정을 격리할 수 있습니다. Azure Storage 서비스는 전용 스토리지 계정 내에 포함됩니다. 각 스토리지 워크로드 유형(예: 개체 스토리지(Blob Storage라고도 함) 및 Azure Files에 대해 하나의 스토리지 계정을 가질 수 있습니다. 이렇게 하면 보다 세분화된 액세스 제어가 제공되고 성능이 향상될 수 있습니다.

• 가상 머신 리소스 그룹(2)

  가상 머신은 하나의 리소스 그룹에 포함됩니다. 프런트 엔드, 애플리케이션 및 데이터와 같은 워크로드 계층에 대한 각 가상 머신 유형을 서로 다른 리소스 그룹에 배치하여 액세스 제어를 추가로 격리할 수도 있습니다.

• 스포크(3) 및 허브 (4) 별도의 구독의 VNet 리소스 그룹

  참조 아키텍처의 각 VNet에 대한 네트워크 및 기타 리소스는 스포크 및 허브 VNet에 대한 전용 리소스 그룹 내에서 격리됩니다. 이 조직은 이러한 팀에 대한 책임이 서로 다른 팀에 있을 때 잘 작동합니다. 또 다른 옵션은 모든 네트워크 리소스를 하나의 리소스 그룹에 배치하고 다른 리소스에 보안 리소스를 배치하여 이러한 구성 요소를 구성하는 것입니다. 조직에서 이러한 리소스를 관리하도록 설정하는 방법에 따라 달라집니다.

클라우드용 Microsoft Defender 사용하여 위협 방지

클라우드용 Microsoft Defender 환경 전체에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상관 관계 및 분석하는 확장 검색 및 응답(XDR) 솔루션입니다. 클라우드용 Defender 다음 다이어그램과 같이 Microsoft Defender XDR과 함께 사용하여 보다 폭넓은 환경 보호 기능을 제공하기 위한 것입니다.

이 다이어그램에서

• 클라우드용 Defender 여러 Azure 구독을 포함하는 관리 그룹에 대해 사용하도록 설정됩니다.
• Microsoft Defender XDR은 Microsoft 365 앱 및 데이터, Microsoft Entra ID와 통합된 SaaS 앱 및 AD DS(온-프레미스 Active Directory Do기본 Services) 서버에 사용할 수 있습니다.

관리 그룹을 구성하고 클라우드용 Defender 사용하도록 설정하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• 구독을 관리 그룹으로 구성하고 사용자에게 역할 할당
• 관리 그룹의 모든 구독에서 클라우드용 Defender 사용하도록 설정

이 문서 시리즈의 보안 솔루션

제로 트러스트 보안 및 정보 보호의 여러 분야를 함께 적용하는 작업이 포함됩니다. 이 문서 시리즈에서 이 다분야 접근 방식은 다음과 같이 인프라 구성 요소에 대한 각 작업 단위에 적용됩니다.

Azure Storage에 제로 트러스트 원칙 적용

1. 미사용 데이터, 전송 중인 데이터, 사용 중인 데이터 등 세 가지 모드로 데이터 보호
2. 최소 권한으로 사용자 확인 및 스토리지 데이터에 대한 액세스 제어
3. 네트워크 컨트롤을 사용하여 중요한 데이터를 논리적으로 분리 또는 분리
4. 자동화된 위협 탐지 및 보호를 위해 Defender for Storage 사용

Azure의 가상 머신에 제로 트러스트 원칙 적용

1. 가상 머신에 대한 논리적 격리 구성
2. RBAC(역할 기반 액세스 제어) 활용
3. 가상 머신 부팅 구성 요소 보호
4. 고객 관리형 키 및 이중 암호화 사용
5. 가상 머신에 설치된 애플리케이션 제어
6. 액세스 보안 구성
7. 가상 머신의 보안 기본 테넌트 설정
8. 고급 위협 감지 및 보호 사용

Azure의 스포크 VNet에 제로 트러스트 원칙 적용

1. Microsoft Entra RBAC 활용 또는 네트워킹 리소스에 대한 사용자 지정 역할 설정
2. 자체 리소스 그룹으로 인프라 격리
3. 각 서브넷에 대한 네트워크 보안 그룹 만들기
4. 각 가상 머신 역할에 대한 애플리케이션 보안 그룹 만들기
5. VNet 내에서 트래픽 및 리소스 보호
6. VNet 및 애플리케이션에 대한 보안 액세스
7. 고급 위협 감지 및 보호 사용

Azure의 허브 VNet에 제로 트러스트 원칙 적용

1. Azure Firewall Premium 보안
2. Azure DDoS Protection 표준 배포
3. 방화벽에 대한 네트워크 게이트웨이 라우팅 구성
4. 위협 방지 구성

제로 트러스트 권장 교육

다음은 제로 트러스트 권장되는 학습 모듈입니다.

Azure 관리 및 거버넌스

학습	Azure 관리 및 거버넌스 설명
	Microsoft Azure 기본 사항 교육은 세 가지 학습 경로로 구성됩니다. Microsoft Azure 기본 사항: 클라우드 개념 설명, Azure 아키텍처 및 서비스 설명, Azure 관리 및 거버넌스 설명. Microsoft Azure 기본 사항: Azure 관리 및 거버넌스 설명은 Microsoft Azure 기본 사항의 세 번째 학습 경로입니다. 이 학습 경로에서는 클라우드 및 온-프레미스 리소스를 관리하는 데 사용할 수 있는 관리 및 거버넌스 리소스에 대해 알아봅니다. 이 학습 경로는 시험 AZ-900: Microsoft Azure 기본 사항을 준비하는 데 도움이 됩니다.

시작 >

Azure Policy 구성

학습	Azure Policy 구성
	규정 준수 요구 사항을 구현하도록 Azure Policy를 구성하는 방법을 알아봅니다. 이 모듈에서는 다음 방법을 알아봅니다. 정책 및 지출 예산을 대상으로 지정하는 관리 그룹을 만듭니다. 정책 및 이니셔티브 정의를 통해 Azure 정책을 구현합니다. Azure 정책의 범위를 지정하고 규정 준수를 결정합니다.

시작 >

보안 작업 관리

학습	보안 작업 관리
	Azure 환경을 배포하고 보호한 후에는 솔루션의 보안을 모니터링, 운영 및 지속적으로 개선하는 방법을 알아봅니다. 이 학습 경로는 시험 AZ-500: Microsoft Azure Security Technologies를 준비하는 데 도움이 됩니다.

시작 >

스토리지 보안 구성

학습	스토리지 보안 구성
	스토리지 액세스 서명 같은 일반적인 Azure Storage 보안 기능을 구성하는 방법을 알아봅니다. 이 모듈에서는 다음을 수행하는 방법을 알아봅니다. URI(Uniform Resource Identifier) 및 SAS 매개 변수를 포함하여 SAS(공유 액세스 서명)를 구성합니다. Azure Storage 암호화를 구성합니다. 고객 관리형 키를 구현합니다. Azure Storage 보안을 개선하는 기회를 권장합니다.

시작 >

Azure Firewall 구성

학습	Azure Firewall 구성
	방화벽 규칙을 포함하여 Azure Firewall을 구성하는 방법을 알아봅니다. 이 모듈을 완료하면 다음을 수행할 수 있습니다. Azure Firewall을 사용해야 하는 경우 결정 방화벽 규칙을 포함하여 Azure Firewall 구현

시작 >

Azure의 보안에 대한 자세한 내용은 Microsoft 카탈로그에서 다음 리소스를 참조하세요.
Azure의 보안 | Microsoft Learn

다음 단계

Azure에 제로 트러스트 원칙을 적용하려면 다음 추가 문서를 참조하세요.

• Azure IaaS의 경우:
  • Azure Storage
  • 가상 머신
  • 스포크 가상 네트워크
  • 허브 가상 네트워크
  • Azure PaaS 서비스를 사용하는 스포크 가상 네트워크
• Azure Virtual Desktop
• Azure 가상 WAN
• Amazon Web Services의 IaaS 애플리케이션
• Microsoft Sentinel 및 Microsoft Defender XDR

기술 일러스트레이션

이 포스터는 Azure IaaS의 구성 요소를 참조 및 논리 아키텍처로 한눈에 볼 수 있는 단일 페이지 보기와 이러한 구성 요소에 적용된 제로 트러스트 모델의 "신뢰할 수 없음, 항상 확인" 원칙을 갖도록 하는 단계를 제공합니다.

Item	관련 솔루션 가이드
PDF | Visio 업데이트 날짜: 2024년 3월	Azure Storage 서비스 가상 머신 스포크 VNet 허브 VNet

이 포스터는 Azure IaaS용 제로 트러스트 별도의 구성 요소에 대한 참조 및 논리 아키텍처 및 자세한 구성을 제공합니다. 별도의 IT 부서 또는 전문 분야에 대해 이 포스터의 페이지를 사용하거나 Microsoft Visio 버전의 파일을 사용하여 인프라에 대한 다이어그램을 사용자 지정합니다.

Item	관련 솔루션 가이드
PDF | Visio 업데이트 날짜: 2024년 3월	Azure Storage 서비스 가상 머신 스포크 VNet 허브 VNet

추가 기술 일러스트레이션을 보려면 여기를 클릭하세요.

참조

이 문서에 멘션 다양한 서비스 및 기술에 대해 알아보려면 다음 링크를 참조하세요.

• Azure란? - Microsoft Cloud Services
• Azure IaaS(Infrastructure as a Service)
• Linux 및 Windows용 VM(Virtual Machines)
• Azure Storage 소개
• Azure Virtual Network
• Azure 보안 소개
• 제로 트러스트 구현 지침
• Microsoft 클라우드 보안 벤치마크 개요
• Azure에 대한 보안 기준 개요
• Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드
• Microsoft 사이버 보안 참조 아키텍처