본문 바로가기
IT/Azure

[Azure] Fundamental - part4. Azure 보안

yskko 2021. 3. 28. 14:10

1. Azure 보안

1) Azure Security Center

Azure Security Center는 Azure, On-prem에서 전체 서비스의 보안 태세를 확인할 수 있는 모니터링 서비스이다.

'보안 태세'는 보안 정책 및 제어뿐 아니라 보안 위협을 예측 및 방지하고 대응할 수 있는 정도를 나타낸다.

  • 온-프레미스 및 클라우드 워크로드에서 보안 설정을 모니터링
  • 온라인 상태로 전환되면 필요한 보안 설정을 새 리소스에 자동으로 적용
  • 구성, 리소스, 네트워크에 기반한 보안 권장 사항을 제공
  • 리소스를 지속적으로 모니터링하면서 자동 보안 평가를 수행하여 잠재적 취약성이 악용되기 전에 미리 식별
  • 기계 학습을 사용하여 맬웨어를 탐지하고 맬웨어가 VM(가상 머신)과 기타 리소스에 설치되는 것을 차단
  • 잠재적 인바운드 공격을 탐지 및 분석하고, 발생했을 수 있는 위협과 위반 후 활동을 조사
  • 네트워크 포트에 대한 Just-In-Time 액세스 제어를 제공. 필요할 때 필요한 트래픽만 네트워크에서 허용

Security Center를 사용하여 환경에서 다양한 구성 요소의 자세한 분석을 얻을 수 있다. 보안과 관련된 전체 규정 준수 여부를 볼 수 있다. 보안 점수를 통해 조직 보안 상태를 보고하고, KPI를 설정한다.

2) Azure Sentinel

대규모로 보안을 관리하면 전용 SIEM(보안 정보 및 이벤트 관리) 시스템의 이점을 활용할 수 있다. SIEM 시스템은 오픈 표준 로깅 형식을 지원하는 여러 소스의 보안 데이터를 집계한다. 위협 탐지 및 대응 기능을 제공한다.

  • 대규모로 클라우드 데이터 수집
  • 이전에 탐지되지 않은 위협 탐지
  • 인공 지능을 사용하여 위협 조사
  • 신속하게 인시던트에 대응

3) Azure Key Vault

하나의 중앙 위치에 애플리케이션 비밀을 저장하는 중앙 집중식 클라우드 서비스이다. 액세스 제어 및 로깅 기능을 제공하여 중요한 정보에 대한 보안 액세스를 제공한다.

  • 비밀 관리
  • 암호화 키 관리
  • SSL/TLS 인증서 관리
  • HSM(하드웨어 보안 모듈)에서 지원되는 비밀 저장.

Key Vault 사용 시 다음과 같은 이점이 있다.

  • 애플리케이션 비밀 중앙 집중화
  • 안전하게 비밀 및 키 저장
  • 액세스 모니터링 및 액세스 제어
  • 애플리케이션 비밀의 관리 간소화
  • 다른 Azure 서비스와 통합

4) Azure Dedicated Host

Azure Dedicated Host를 사용하여 전용 물리적 서버에서 Azure 가상 머신을 호스트.

  • Azure VM을 실행하는 서버 인프라에 대한 가시성 및 제어
  • 격리된 서버에 워크로드를 배포하여 규정 준수 요구 사항을 해결
  • 동일한 호스트 내에서 프로세서 수, 서버 기능, VM 시리즈 및 VM 크기를 선택

2. Azure의 보안 네트워크 연결

1) 심층 방어

https://docs.microsoft.com/ko-kr/learn/modules/secure-network-connectivity-azure/2-what-is-defense-in-depth

  • 물리적 보안 계층은 하드웨어를 보호
  • ID 및 액세스 계층은 인프라와 변경 제어에 대한 액세스 제어
  • 경계 계층은 DDoS 보호 기능을 사용하여 대규모 공격을 필터링
  • 네트워크 계층은 구분 및 액세스 제어를 통해 리소스 간의 통신을 제한
  • 컴퓨팅 계층은 가상 머신에 대한 액세스를 보호
  • 애플리케이션 계층은 애플리케이션을 보호하고 보안 취약점을 제거
  • 데이터 계층은 보호해야 하는 비즈니스 및 고객 데이터에 대한 액세스를 제어

2) 보안 상태

  • 기밀성
  • 무결성
  • 가용성

3) Azure Firewall

Azure Firewall은 Azure 가상 네트워크의 리소스 보호에 도움이 되는 관리형 클라우드 기반 네트워크 보안 서비스이다. 

  • 기본 제공되는 고가용성
  • 제약 없는 클라우드 스케일링 성능
  • 인바운드 및 아웃바운드 필터링 규칙
  • 인바운드 DNAT(Destination Network Address Translation) 지원
  • Azure Monitor 로깅

4) DDoS Protection

Azure DDoS Protection은 DDoS 공경으로부터 Azure 리소스를 보호한다. 

  • Basic : Azure 구독의 일부로, 무료로 사용하도록 설정된다. 
  • Standard : Basic기능에 더해, 리소스에 맞게 특별히 조정된 추가적인 완화 기능을 제공한다.

5) Network Security Group

Network Security Group을 사용하면 Azure리소스와 주고받는 네트워크 트래픽을 필터링할 수 있다. NSG를 내부 방화벽이라고 생각하면 된다. 각 NSG에는 원본 및 대상 IP주소, 포트 및 프로토콜을 기준으로 트래픽을 필터링할 수 있는 여러 개의 인바운드 및 아웃바운드 보안 규칙이 포함될 수 있다.

'IT > Azure' 카테고리의 다른 글

[Azure] Fundamental - part6. 비용 관리 및 서비스 수준 계약  (0) 2021.03.28
[Azure] Fundamental - part5. Azure ID, 거버넌스, 규정  (0) 2021.03.28
[Azure] Fundamental - part3. Azure 핵심 솔루션 및 관리 도구  (0) 2021.03.27
[Azure] Fundamentals 정리  (0) 2021.03.27
[Azure] 자격증 AZ-900:Microsoft Azure Fundamentals  (0) 2021.03.25

'IT/Azure' Related Articles

티스토리툴바