Azure SQL Managed Instance에 대한 네트워크 보안 구성 계획 및 구현
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0의 지침을 Azure SQL에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 Azure SQL에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고 항목
Azure SQL에 적용되지 않는 기능은 제외되었습니다.
보안 프로필
보안 프로필은 Azure SQL의 영향력이 큰 동작을 요약하여 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 데이터베이스 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 액세스 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 고객 콘텐츠를 미사용에 저장 | True |
네트워크 보안
NS-1: 네트워크 구분 경계 설정
1. Virtual Network 통합
설명: 서비스는 고객의 프라이빗 VNet(Virtual Network)에 대한 배포를 지원합니다.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 님 |
구성 지침: 가상 네트워크에 서비스를 배포합니다. 리소스에 직접 공용 IP를 할당할 강력한 이유가 없는 경우(해당하는 경우) 리소스에 개인 IP를 할당합니다.
2. 네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 님 |
구성 지침: Azure Virtual Network 서비스 태그를 사용하여 Azure SQL 리소스에 대해 구성된 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 서비스 태그 이름을 규칙의 적절한 원본 또는 대상 필드에 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft는 서비스 태그에 포함된 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다. Azure SQL Database에 서비스 엔드포인트를 사용하는 경우 Azure SQL Database 공용 IP 주소에 대한 아웃바운드가 필요합니다. 연결을 허용하려면 NSG(네트워크 보안 그룹)를 Azure SQL Database IP에 열어야 합니다. Azure SQL Database에 NSG 서비스 태그를 사용하여 이 작업을 수행할 수 있습니다.
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
3. Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall과 혼동하지 않음).
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 님 |
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
4. 공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 ACL(IP 액세스 제어 목록) 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 공용 네트워크 액세스 토글 스위치를 사용하지 않도록 설정하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
5. 클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Sql:
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure SQL Managed Instance에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure SQL Managed Instance에서 공용 네트워크 액세스(퍼블릭 엔드포인트)를 사용하지 않도록 설정하면 가상 네트워크 또는 프라이빗 엔드포인트 내에서만 액세스할 수 있도록 보장함으로써 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. | 감사, 사용 안 함 | 1.1.0 |
| Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
6. Azure Policy 권장 사항 따릅니다.
- Azure SQL Managed Instances에서 공용 네트워크 액세스를 사용하지 않도록 설정하여 가상 네트워크 내에서 또는 프라이빗 엔드포인트를 통해서만 액세스할 수 있도록 합니다.
- 프라이빗 엔드포인트 연결을 사용하도록 설정하여 Azure SQL Database와의 보안 통신을 강화합니다.
- 프라이빗 엔드포인트에서만 액세스를 적용하려면 Azure SQL Database에서 공용 네트워크 액세스 속성을 해제합니다.