프라이빗 및 하이브리드 클라우드 배포 모델을 사용하여 개념적인 아키텍처 설계
분류된 워크로드의 경우 고객은 Azure 서비스를 사용하여 대상 워크로드를 보호하고 식별된 위험을 줄일 수 있습니다. Azure는 Azure Stack Hub 및 Azure Stack Edge와 함께 프라이빗 및 하이브리드 클라우드 배포 모델을 지원하며, 분류된 데이터와 미분류 데이터를 포함하는 여러 정부 워크로드에 적합합니다. 이 단원에서는 기밀, 비밀, 일급 비밀 분류 체계를 사용합니다. 미분류 데이터는 추가 보호가 필요하지 않으므로 이 체계에서 제외됩니다. 많은 국가/지역에 비슷한 데이터 분류 체계가 있습니다.
Azure 지원 분류 수준에 대응되는 일련의 동심원이 있는 인포그래픽. 가장 안쪽 동심원에는 “일급 비밀 - 프라이빗/하이브리드 클라우드”라고 기재되어 있습니다. 안쪽에서 두 번째 동심원에는 “비밀”이라고 기재되어 있고, 세 번째 동심원에는 “기밀”, 네 번째 동심원에는 “미분류”라고 기재되어 있습니다. 각각 “비밀”, “기밀”, “미분류”라고 기재된 두 번째, 세 번째, 네 번째 동심원을 가로지르는 화살표가 있고 화살표에는 “Microsoft Azure”라고 기재되어 있습니다. 화살표 위에는 Microsoft Azure 아이콘이 있습니다.
기밀 데이터 및 워크로드 배포
다음 목록은 고객이 Azure에서 기밀 데이터와 워크로드를 배포할 때 유용하게 사용할 수 있는 주요 기술 및 서비스를 식별합니다.
- 미분류 데이터에 사용되는 모든 권장 기술, 그중에서도 특히 Virtual Network, 클라우드용 Microsoft Defender 및 Azure Monitor.
- ExpressRoute 및 VPN(가상 사설망) 게이트웨이를 포함하여 프라이빗 연결을 통해서만 트래픽을 허용하도록 공용 IP 주소 비활성화.
- FIPS 140-2 수준 2 유효성 검증이 적용된 다중 테넌트 HSM(하드웨어 보안 모듈)으로 뒷받침되는 Azure Key Vault의 CMK(고객 관리형 키)에 미사용 및 전송 중 데이터 암호화 권장.
- VNet 통합 옵션을 지원하는 서비스만 사용하도록 설정. Azure VNet을 사용하면 Azure 리소스를 인터넷으로 라우팅될 수 없는 네트워크에 보관하고 이를 VPN 기술을 사용하여 고객의 온-프레미스 네트워크에 연결할 수 있습니다. VNet 통합을 통해 웹앱에서 가상 네트워크에 있는 리소스에 액세스할 수 있습니다.
- 고객은 Azure Private Link를 사용하여 VNet의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스에 액세스할 수 있습니다. 이 링크를 통해 고객의 VNet과 서비스 간의 트래픽이 Microsoft 글로벌 백본 네트워크를 통과하게 되므로 서비스를 공용 인터넷에 노출할 필요가 없어집니다.
- Azure용 고객 Lockbox를 사용하면 지원 시나리오에서 고객 데이터에 대한 향상된 액세스 요청을 승인/거부할 수 있습니다. 고객 Lockbox는 감사 로깅이 완전히 활성화된 JIT(Just-In-Time) 워크플로의 확장입니다.
Azure 다중 테넌트 퍼블릭 클라우드 기능을 사용하면 기밀 데이터를 저장하는 데 요구되는 격리, 보안 및 신뢰 수준을 달성할 수 있습니다. 클라우드용 Microsoft Defender 및 Azure Monitor를 사용하면 보안 상태를 포함하여 Azure 환경에 대한 가시성을 확보할 수 있습니다.
비밀 데이터 및 워크로드 배포
다음 목록은 고객이 Azure에서 비밀 데이터와 워크로드를 배포할 때 유용하게 사용할 수 있는 주요 기술 및 서비스를 식별합니다.
- 기밀 데이터에 사용되는 모든 권장 기술.
- FIPS 140-2 수준 3 유효성 검증된 HSM을 사용하는 완전 관리형 고가용성 단일 테넌트 HSM as a Service를 제공하는 Azure Key Vault 관리 HSM 사용. 각 관리 HSM 인스턴스는 고객이 관리하는 별도의 보안 도메인에 바인딩되며 다른 고객에게 속한 인스턴스로부터 암호화 방식으로 격리됩니다.
- Azure Dedicated Host는 하나 이상의 Azure VM을 호스트할 수 있는 물리적 서버를 제공하며 하나의 Azure 구독에만 적용됩니다. 고객은 하나의 지역, 가용성 영역 및 장애 도메인 내에서 전용 호스트를 프로비저닝할 수 있습니다. 그런 다음 요구 사항에 맞게 원하는 구성을 사용하여, 전용 호스트에 곧바로 VM을 배치할 수 있습니다. Dedicated Host는 물리적 서버 수준에서 하드웨어 격리를 제공하므로 고객은 조직의 워크로드만 실행되는 격리된 전용 물리적 서버에 Azure VM을 배치하여 회사 규정 준수 요구 사항을 충족할 수 있습니다.
- Azure SmartNICs 기반 가속 FPGA 네트워킹을 사용하면 호스트 네트워킹을 전용 하드웨어로 오프로딩하여 VNet, 보안 및 부하 분산을 위한 터널링을 구현할 수 있습니다. 전용 칩으로 네트워크 트래픽을 오프로딩하면 기본 CPU에 대한 부채널 공격을 막을 수 있습니다.
- Azure 기밀 컴퓨팅은 데이터가 항상 고객의 관리하에 있을 수 있도록 사용 중인 데이터의 암호화를 지원합니다. 데이터는 하드웨어 기반 TEE(신뢰 실행 환경, enclave라고도 함) 내에서 보호되며, enclave 외부에서는 데이터나 운영을 볼 수 없습니다.
- JIT(Just-In-Time) VM(가상 머신) 액세스를 사용하여 NSG(네트워크 보안 그룹) 규칙을 만들면 Azure VM으로의 인바운드 트래픽을 잠글 수 있습니다. 고객은 인바운드 트래픽에 대해 잠긴 VM의 포트를 선택합니다. 사용자가 VM에 대한 액세스를 요청할 경우 클라우드용 Microsoft Defender에서 사용자에게 올바른 RBAC(역할 기반 액세스 제어) 권한이 있는지 확인합니다.
고객은 Azure 퍼블릭 다중 테넌트 클라우드에 비밀 데이터를 수용하기 위한 목적으로 기밀 데이터에 사용하는 것 외에 더 많은 기술과 서비스를 배포할 수 있습니다. 서비스는 또한 충분한 격리를 제공하는 서비스로 제한될 수 있습니다. 이러한 서비스는 런타임에 격리 옵션을 제공하고 유휴 데이터 암호화를 지원합니다. 고객 통제 하에 있는 전용 단일 테넌트 HSM에서 고객 관리형 키를 사용합니다.
일급 비밀 데이터 및 워크로드 배포
다음 목록은 고객이 Azure에서 일급 비밀 데이터와 워크로드를 배포할 때 유용하게 사용할 수 있는 주요 제품을 식별합니다.
- 비밀 데이터에 권장되는 모든 기술 사용.
- 고객은 Azure Stack Hub를 사용하여 Azure와 동일한 아키텍처 및 API를 통해 워크로드를 실행할 수 있고 가장 높은 분류 수준 데이터에 대해 물리적으로 격리된 네트워크를 운영할 수 있습니다.
- Azure Stack Edge는 가장 높은 분류 수준 데이터의 저장 및 처리를 지원하는 한편 고객이 결과로 생성된 정보 또는 모델을 Azure에 직접 업로드할 수 있도록 지원합니다. 이 접근 방식은 도메인 간에 정보를 공유할 방법을 제공해 주므로 관리가 쉬워지고 보안이 강화됩니다.
- Tactical Azure Stack Hub는 연결이 없거나 제한적인 환경에서의 전략적 에지 배포, 전적인 모바일 운영 요구 사항, 군사 사양 솔루션이 요구되는 혹독한 조건 등을 위해 사용할 수 있습니다.
- 고객은 사용자가 제공한 HSM(하드웨어 보안 모듈)을 사용하여 온-프레미스에 배포되고 고객이 단독으로 관리하는 HSM에 암호화 키와 기타 암호를 저장할 수 있습니다.
Azure Stack Hub는 일급 비밀 데이터를 보관하는 데 일반적으로 필요한 연결이 끊긴 환경을 제공합니다. Azure Stack Hub는 Azure 또는 인터넷에서 연결이 끊긴 상태로 운영할 수 있습니다. “물리적으로 격리된” 네트워크라고 해서 보안이 향상되는 것은 아니지만, 많은 정부 고객은 인터넷에 연결된 환경에 일급 비밀 데이터를 저장하기를 꺼립니다. Azure는 데이터 관리라는 측면에서 각 고객의 우려 사항에 부응하는 다양한 퍼블릭, 프라이빗 및 하이브리드 클라우드 배포 모델을 제공합니다.
이번에는 지식 점검을 통해 지금까지 알아본 내용에 대한 이해도를 확인하겠습니다.