[Azure] AZ-104 Azure 관리자 필수 조건 - 네트워크 보안

1. Azure 네트워크 클라이언트 및 서버기술

네트워크 클라이언트

네트워크 클라이언트는 자체에서 프로그램을 실행할 수 없는 디바이스를 말한다. 이 유형의 클라이언트는 일반적으로 메인프레임 컴퓨터에 액세스하여 상호 작용하는데 사용된다. 클라이언트는 단순 터미널을 넘어서 서버가 제공하는 서비스와 상호작용하는 하드웨어 또는 소프트웨어 시스템일 수 있다. 이 서버는 네트워크를 통해 액세스된다.

클라이언트 유형

클라이언트	로컬 스토리지	로컬 CPU
팻	O	O
하이브리드	X	O
씬	X	X

서버

서버는 소프트웨어 시스템, 하드웨어 디바이스를 모두 가리킬 수 있는 가변적인 용어이다. 서버는 여러 클라이언트를 지원하며, 클라이언트는 여러 서버에 연결하여 서비스를 사용할 수 있다. 

서버 모델

• 클라이언트-서버 모델은 몇 가지가 있다. 각 모델은 클라이언트 및 서버 소프트웨어가 통신하는 방식이 다르며, 서버는 데이터 및 리소스를 클라이언트와 공유한다.
• 요청-응답 : 클라이언트는 서버에 요청을 보낸다. 서버는 작업을 수행하고 응답을 다시 보낸다.
• 피어 투 피어(P2P) : 네트워크에 연결된 모든 디바이스는 클라이언트와 서버이다. 각 클라이언트는 네트워크의 다른 디바이스에서 서비스를 요청할 수 있으며, 반대의 경우도 마찬가지이다.
• 게시-구독 : 클라이언트에서 서버의 서비스를 구독하는 메시징 패턴. 서버가 새 메시지를 받으면 구독한 각 클라이언트에 응답을 보낸다. RSS피드는 한 예가 될 수 있다.

서버 유형

서버	용도	클라이언트
애플리케이션	웹 브라우저나 사용자 지정 클라이언트 소프트웨어를 통해 실행할 수 있는 애플리케이션을 호스트	액세스 권한이 있는 네트워크 디바이스
컴퓨팅	클라이언트에 CPU 및 메모리를 제공합니다. 이 유형의 서버는 슈퍼 컴퓨터 또는 메인프레임일 수 있다.	활동을 완료하는 데 더 많은 CPU 처리 능력과 RAM이 필요한 네트워크 컴퓨터
데이터베이스	데이터베이스에 대한 액세스를 유지 관리하고 제공	구조화된 데이터에 액세스해야 하는 모든 형태의 소프트웨어
파일	네트워크에서 공유 파일 및 폴더를 사용할 수 있도록 한다.	공유 리소스에 액세스해야 하는 클라이언트
게임	멀티플레이어 게임 환경을 프로비전	개인용 컴퓨터, 태블릿, 스마트폰 또는 게임 콘솔
메일	메일을 호스트하고 네트워크에서 사용할 수 있도록 한다.	메일 애플리케이션의 사용자
미디어	네트워크를 통해 디지털 동영상 또는 오디오의 미디어 스트리밍을 사용할 수 있게 한다	웹 및 모바일 애플리케이션
인쇄	네트워크를 통해 프린터를 공유	인쇄해야 하는 디바이스
웹	인터넷 또는 프라이빗 내부 네트워크에서 웹 페이지를 호스트	브라우저를 사용하는 디바이스

Azure Resource Manager

조직의 자산 및 리소를 구성하고 보호하는 수단을 제공하는 관리 서비스. 선언적 템플릿을 사용해 인프라를 관리한다. RBAC (역할 기반 액세스 제어)를 사용해 자산 및 리소스에 대한 보안과 액세스를 향상 시킨다.

Azure Virtual Machines

서버 하드웨어를 구입하여 관리할 필요 없이, 서버를 구현할 수 있다. 가상화는 클라우드 환경 내에서 여러 전용 서버를 사용할 수 있는 유연성을 제공한다. Azure VM은 클라우드와 On-premise 네트워크 모두에서 작동한다. 확장 가능하며, 동적으로 조정 가능하다.

2. 네트워크에서 인증 및 권한 부여 사용

인증되고 권한이 부여된 사용자 또는 서비스만 서버 및 애플리케이션과 같은 네트워크 리소스에 액세스 해야 한다. 액세스 인증 및 권한 부여에 따라 조건부인지 확인해야 한다.

• 암호 인증 : 액세스 권한을 얻기 위해 사용자에게만 알려진 비밀 값을 입력한다.
• 2단계 인증 : 사용자가 인증 시도를 확인할 수 있는 메커니즘이다. (ex. 문자 메시지를 통해 코드를 받음)
• 토큰 인증 : 인증용으로 빌드된 디바이스를 사용할 수 있다.
• 생체 인식 인증 : 지문, 음성 등 사람의 고유한 특성을 이용
• 트랜잭션 인증 : 트랜잭션을 통해 사용자의 특성을 조사할 수 있다. (ex. 업무와 상관없는 해외 트랜잭션 등)
• 컴퓨터 인식 인증 : 사용자가 단일 디바이스에만 로그인 할 수 있는 경우 유용
• CAPTCHA : 사람인지 확인하는데 사용 (ex. 화면에 표시된 글자를 입력하세요)
• Single Sing-On : 자격 증명을 한번 입력하여 여러 애플리케이션 및 도구에서 인증
• 인증 프로토콜 : Kerberos, TLS/SSL

인증과 권한 부여 차이

인증	권한 부여
사용자 또는 클라이언트가 맞는지 확인	사용자 또는 클라이언트가 리소스 또는 서비스에 대해 특정 작업을 수행할 수 있는지 확인
사용자 이름 또는 암호와 같은 자격 증명을 요청	백그라운드에서 계정에 연결된 권한을 확인하고, 경우에 따라 필요한 권한을 표시
권한 부여 전에 수행	인증이 성공한 후에 수행
예를 들어 HR 직원이 HR 앱에 로그인	실수로 잘못된 부서에서 사용자를 삭제하려고 할때, 해당 부서에 대한 올바른 권한이 없으므로 이 작업이 거부

3. 방화벽 및 네트워크 보안

• 액세스 제어 : 액세스 제어를 사용하여 모든 사용자와 클라이언트롤 면밀히 조사, 네트워크나 해당 리소스에 대한 액세스 권한이 있는지 판단한다. 액세스 제어는 네트워크에서 특정 작업을 수행할 수 있는 적절한 수준의 권한이 사용자에게 할당되도록 정책을 구성하여 구현된다.
• 맬웨어 방지 : 악성 소프트웨어로부터 네트워크를 보호. (랜섬웨어, 바이러스, 스파이웨어, 트로이 목마)
• 애플리케이션 보안 : 개발 수명 주기 동안 애플리케이션을 테스트, 취약성 해결을 위한 사항 구현
• 동작 분석 : 정기적 사용량과 동작을 설정하고, 의심스러운 변경 사항을 식별
• 메일 보안 : 메일 내 링크를 통해 공격할 수 있다. Outlook과 같은 메일 애플리케이션을 통해 의심스러운 메시지를 식별
• 침입 탐지 및 방지 :Azure Network Watcher는 네트워크를 통해 분석, 사용자는 침입에 대한 경고를 받는다.
• VPN : VPN은 TLS또는 IPSec을 사용하여 네트워크에서 보안 통신 및 원격 액세스 기능을 제공하는 암호화된 터널을 구성
• 웹 보안 : 도구를 이용해 사용자가 웹을 사용하는 방식을 보호 (웹 필터)
• 무선 보안
• 네트워크 보안 영역 : 특정 보안 정책이 적용, 다른 네트워크 세그먼트와 분리되는 네트워크 세그먼트
• 신뢰할 수 있는 영역 또는 프라이빗 영역 : 조직 외부에 있는 사용자가 액세스 할 수 없는 리소스 및 디바이스가 포함
• 공용 영역 : 조직 외부의 모든 항목이 포함
• 경계 네트워크 : 조직 외부에서 액세스 할 수 있는 리소스 및 서비스가 제공
• 영역 필터링 정책 : 여러 영역 간 이동하는 트래픽 흐름을 처리
• 네트워크 방화벽 : 네트워크에 대한 무단 액세스 차단, 해결하는 보안 어플라이언스

Azure 네트워크 보안 도구

Azure Virtual Network를 통해 자체 네트워크를 빌드할 수 있다. Azure Network Security Group을 이용하여 Azure 및 On-0premise 리소스에서 가상 네트워크의 일부를 형성하는 리소스로 트래픽을 필터링한다.

https://docs.microsoft.com/ko-kr/learn/modules/network-fundamentals-2/4-firewalls-network-security

네트워크 보안 그룹을 통과하는 모든 트래픽을 기록하여 분석할 수 있다. Azure Network Watcher 서비스를 사용하고 NSG 흐름 로그를 사용하도록 설정한다. 

Azure Firewall은 완전 관리형 방화벽이다. 

https://docs.microsoft.com/ko-kr/learn/modules/network-fundamentals-2/4-firewalls-network-security

Azure와 사이트 간 VPN 연결을 구성하여 On-premise 네트워크를 Azure 가상 네트워크에 연결한다. 로컬 VPN디바이스와 VPN게이트웨이를 사용하여 통신을 위한 VPN터널을 설정한다. 클라우드 및 On-premise리소스가 VPN터널을 통해 통신한다.

Azure와 On-premise 네트워크 간 지점 및 사이트간 VPN 연결을 설정할 수 있다. 개별 사용자와 클라이언트는 보안 터널을 통해 Azure 리소스에 연결할 수 있다.

4. 네트워크 모니터링

에이전트 기반 모니터링

에이전트는 실행 중인 프로세스 및 하드웨어 성능과 같이 모니터링되는 디바이스에서 세분화된 데이터를 수집할 수 있다. 에이전트는 설치 및 구성하는데 시간이 소요된다. 에이전트 기반 모니터링의 경우, 수집할 수 있는 정보는 많지만 관리를 해야하기 때문에, 작업이 필요할 수 있다.

에이전트 없는 모니터링

에이전트는 디바이스를 모니터링하도록 배포되지 않는다. 네트워킹 솔루션은 패킷같은 항목을 확인하여 디바이스에서 정보를 수집한다.

모니터링 간격

얼마나 자주 풀링할 것인지 간격을 정한다.

프로토콜

SNMP (Simple Network Management Protocol)

• 스위치, 라우터와 같이 Linux서버와 네트워크 디바이스는 SNMP를 사용한다. 네트워크 스위치, 메모리 사용량 또는 프린터 큐의 트래픽과 같은 항목을 수집한다.

WMI (Windows Management Instrumentation)

• Windows 디바이스는 WMI를 사용하여 디바이스 상태에 대한 정보를 제공한다. WMI를 사용하여 트리거할 프로세스 예약, 시스템 속성 및 설정 업데이트 등 디바이스에 대한 변경작업을 수행한다.

Syslog (System Loggin Protocol)

• Syslog는 디바이스가 이벤트 메시지를 보내도록 허용하는 프로토콜이며 이벤트 로깅에 사용된다.