요약
이 모듈에서는 제로 트러스트 원칙 및 심층 방어 전략에 맞춰 Azure Storage에 대한 보안 조치를 계획하고 구현하는 방법을 알아보았습니다.
다루는 주요 개념
인증 및 권한 부여: 공유 액세스 키보다 선호하는 접근 방법으로 Microsoft Entra ID를 강조하면서 Azure Storage에 대한 최신 인증 방법을 살펴보했습니다. Blob, 큐 및 테이블 스토리지에 대한 Azure RBAC를 구현하는 방법을 알아보았습니다. 애플리케이션과 다른 인증 방법에 대해 관리 ID를 사용하는 시기를 이해했습니다. 또한 Azure Key Vault의 보안 스토리지 및 보안 위험을 최소화하기 위한 회전 전략을 포함하여 스토리지 계정 액세스 키의 적절한 관리를 배웠습니다.
Service-Specific 보안: 각 Azure Storage 서비스에 맞게 조정된 권한 부여 방법을 검토했습니다.
- Azure Files: Microsoft Entra Domain Services 또는 Active Directory Domain Services를 사용하여 ID 기반 인증 구성 및 공유 수준 및 파일 수준 권한 구현
- Blob Storage: 적절한 기본 제공 및 사용자 지정 RBAC 역할을 사용하여 보안 액세스를 위해 Microsoft Entra ID 활용
- Table Storage: 적절한 역할 할당을 사용하여 Microsoft Entra ID 권한 부여 구현
- Queue Storage: Azure Portal을 통해 프로그래밍 방식으로 Microsoft Entra ID 자격 증명을 사용하여 액세스 권한 부여
데이터 보호 및 복구: 컨테이너 및 Blob에 대한 일시 삭제, 변경 내용 추적을 위한 Blob 버전 관리, 지정 시간 복원 기능 및 규정 준수 요구 사항에 대한 변경할 수 없는 스토리지 정책을 비롯한 포괄적인 데이터 보호 전략을 배웠습니다. 이러한 보호 메커니즘은 우발적인 삭제, 악의적인 수정 및 랜섬웨어 공격에 대해 심층 방어 기능을 제공합니다.
고급 암호화 옵션: 규제 및 높은 보안 환경에 대한 고급 암호화 기능을 살펴보세요.
- BYOK(Bring Your Own Key): 온-프레미스 HSM에서 Azure Key Vault로 키를 안전하게 가져와 암호화 키 수명 주기에 대한 제어 유지 관리
- 인프라 암호화: 엄격한 규정 준수 요구 사항이 있는 조직의 서비스 및 인프라 수준에서 이중 암호화 사용
강조된 보안 원칙
이 모듈 전체에서 다음과 같은 몇 가지 중요한 보안 원칙이 강화되었습니다.
- 제로 트러스트 접근 방식: 신뢰 안 함, 항상 확인 - 액세스 키 및 토큰보다 ID 기반 인증 선호
- 심층 방어: 인증, 권한 부여, 암호화 및 데이터 보호를 비롯한 여러 보안 제어 계층 구현
- 최소 권한 액세스: 사용자 및 애플리케이션이 필요한 작업을 수행하는 데 필요한 최소 권한만 부여합니다.
- 업무 분리: 서로 다른 암호화 계층에서 다른 키와 메커니즘을 사용하여 손상 위험을 최소화합니다.
- 규정 준수 준비: 불변성 정책, BYOK 및 인프라 암호화와 같은 기본 제공 기능을 활용하여 규정 요구 사항을 충족합니다.
이러한 개념과 모범 사례를 적용하면 운영 효율성을 유지하고 규정 준수 의무를 충족하면서 수명 주기 내내 데이터를 보호하는 Azure Storage에 대한 강력한 보안 아키텍처를 설계하고 구현할 수 있습니다.