[AZ-900] 보안, 규정준수, 개인정보보호, 신뢰(400)

728x90

Key Results

  • Azure의 보안, 규정준수, 개인정보보호, 신뢰 이해

참고 문서

강의 정보

에듀캐스트 강의

1. Azure Network 보안

  • 보안계층
  • 공동 책임제 (물리적인건 MS에서 관리하나 그 외에는 종류에 따라 보안 책임이 분리)
  • Azure DDOS Protection
    • 분산 서비스 거부(DDOS) 공격 시 네트워크 가용성에 영향을 받기 전에 비정상 네트워크 트래픽을 DROP 시킴
    • BASIC 계층은 AZURE에서 기본적으로 사용 가능
    • 좀 더 타이트하게 관리할 수 있게 하려면 Standard 계층을 사용하여 Azure 가상 네트워크 리소스를 보호하도록 MS에서 관리기능을 유료로 추가
  • Azure Firewall
    • 논리적 방화벽 장비
    • Inbound / Outbound NAT 필터링 규칙 적용
    • 고가용성 내장
    • 무제한 확장성
    • Azure Mornitor 지원
    • application gateway 또는 azure front door를 사용할 시 waf(web application firewall) 사용 가능
  • Network Security Group
    • 가상 네트워크에 있는 리소스에서 네트워크 트래픽을 필터링
    • 인바운드와 아웃바운드에 대해 소스와 데스티네이션 IP 주소, 포트, 프로토콜 지정
    • TCP, UDP, ICMP 프로토콜 지정 가능
    • 기본 정책이 이미 정의되어 있음 (900에선 괜찮으나 실사용, 고도화 시 어떤 기본 정책이 있는지 알 필요 존재)
    • 우선 순위를 지정할 수 있으며 ALLOW 또는 DENY
    • AZURE에서 지정한 태그 기반 필터링
    • 네트워크 인터페이스 또는 서브넷에 연결
  • Application Secutiry Group
    • 가상 컴퓨터를 그룹화하여 네트워크 보안 그룹의 정책에 적용
    • 유사한 정책을 가지는 서버를 그룹화
    • 명시적인 ip 주소를 수동으로 관리하지 않아도 보안 정책 사용 가능
    • 정책 간소화
  • Network 보안하기
    • 응용 프로그램에 맞는 네트워크 보안 구성 필요
    • 가상 컴퓨터에는 os 방화벽 또는 백신 등의 응용 프로그램 보안
    • 가상 네트워크에서는 네트워크 보안 그룹
    • 인터넷 통신에서는 azure 방화벽 또는 ddos 보호, waf 등을 사용
    • 이외 서드 파티 제품 고려

2. Azure 계정 보안

  • 인증(Authentication) - 어떤 사용자가 인증된 사용자인가
    • 유저 또는 서비스 계정 식별
    • 정상적인 요청으로 엑세스 자격 증명 획득
    • 액세스 제어 규칙을 만들기 위한 기초
  • 권한(Authorization) - 어떤 인증된 사용자에게 어떤 권한을 줄 것인가
    • 인증된 유저 또는 서비스의 엑세스 수준 정의
    • 엑세스 할 수 있는 리소스와 함께 수행할 수 있는 작업을 정의
  • Azure Activae Detectory(AzureAD)
    • 애저의 클라우드 기반 id 관리 및 접근 제어 서비스
    • 인증지원
    • single signed on : 한번 로그인을 해서 그 토큰 값으로 여러 서비스에 접근 가능하게 하는 것
    • application 관리
    • B2B(애저 테넌트 등), B2C(애저 계정 - 페이스북, 트위터 등) ID 서비스
    • 장비 관리
  • Azure AD VS Windows Sever AD
  • Azure Multi-Factor Authentication (MFA)
    • 인증을 위해 2개 이상의 요소를 요구하여 신원 확인
    • 홍채, 지문 같은걸로 추가 보안 구성하는 것
    • 당신이 아는 것(PASSWORD)
    • 당신이 가지고 있는것 (DEVICES)
    • 당신에게 있는 것(생체 정보)

3. Azure Tenant의 이해

  • Azure Tenant란?
    • 애저의 기준이 되는 환경을 의미
    • 애저에 접근할 수 있는 사용자 또는 서비스는 테넌트 내에 존재
    • 모든 구독은 테넌트 내에 존재
    • 모든 리소스 그룹과 리소스는 구독 내에 존재
  • 테넌트와 AD의 관계
    • MS 테넌트 내에 사용자 계정을 기준으로 디폴트 테넌트가 생성되고, 내에 새로운 테넌트를 생성할 수 있음

      외주 업무를 할 때, 마이크로소프트 테넌트에 속한 계정을 알려줘서, 외주사가 초대를 하는 식으로 대응 가능

4. Azure 보안도구 소개

  • Azure Security Center
    • 기본적으로 무료
    • on-premise 인프라의 위협을 차단하거나 감지하는 모니터링 서비스
    • 보안 권장사항 제공
    • 로그를 기반으로 보안 모니터링
    • 배포 서비스에 보안정책 자동 적용
    • 기본 시나리오
  • Azure Key Vault
    • 중요한 데이터를 암호화하여 저장하고 필요할 때 엑세스하는 서비스
    • 접근 제어를 통해 안전한 권한 관리와 로깅
    • 저장 유형
      • 인증값
      • 문자열
      • 인증서
      • 하드웨어 보안 모듈(HSM Hardware Secure Module) - 디스크 칩셋 상 암호화가 되기 때문에 HDD 뜯어서 딴데다 옮긴다고 데이터 확인 불가
  • Azure Information Protection(AIP)
    • 레이블을 적용하여 문서 또는 전자메일 분류하고 보호
    • OFFICE 365, OUTLOOK 같은데서 사용
    • AIP 레이블 적용 가능
      • 관리자 정한 규칙 및 조건을 자동,수동으로 사용
      • 자동, 수동을 결합 가능
  • Azure Advanced Trhead Protection(ATP)
    • 지능형 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 탐지 및 조사하기 위한 클라우드 기반 보안 솔루션
    • 포탈 : 의심스러운 활동을 모니터링 하고 대응하기 위한 전용 포털
    • 센서 : 도메인 컨트롤러에 직접 설치(이슈가 있는 작업을 감지하는 역할)
    • 클라우드 서비스 : 애저 인프라에서 실행

5. Azure 거버넌스 방법론

  • 애저 정책 (사규 같은거)
    • 애저 리소스에 대한 규칙과 효과를 적용
    • 회사 표준과 서비스 수준 계약(SLA)를 준수할 수 있음
    • 추가 비용 없이 사용
    • 정책 준수하지 않는 리소스 평가 및 식별
    • 정책 미준수 리소스는 배포 불가
  • 정책 구현 예시(허용 지역만 허용, 허용된 가상 컴퓨터 크기 내만 허용)
  • Azure 정책 이니셔티브
    • 이니셔티브 정의 : 여러 정책 정의를 단일 단위로 그룹화하여 더 큰 / 매크로 수준 범위에서 규정 준수를 추적
    • 이니셔티브 할당 : 특정 범위에 할당된 이니셔티브를 정의. 이니셔티브 정의는 각 범위에 대해 이니셔티브 정의를 만들 필요를 줄여줌
  • Azure Role Base Access Control(RBAC)
    • 애저 리소스에 대한 권한을 설정하여 접근 제어 관리
    • 특정 리소스에 특정 작업만 하도록 구성 가능
    • 리소스가 RBAC를 사용할 경우 리소스 간 접근 제어 구성 가능
    • 내장된 기본 정책이 있음
      • 소유자(Owner)
      • 기여자(Contributor)
      • 읽기 전용(Reader)
    • 추가 비용 없이 사용
  • Azure 리소스 잠금
    • 리소스를 삭제하거나 수정하는 것을 방지하는 기능
    • 사용자의 실수를 방지할 수 있음
    • 소유자가 리소스 잠금을 설정할 시 기여자는 리소스 잠금을 조작할 수 없음
    • 리소스 잠금은 하위에 대해 상속됨
    • 예시
      • Read-only : 리소스 수정 방지
      • Delete : 리소스 삭제 방지
  • Azure Advisor Security Assistance
    • 기존 애저 정책에 정의된 정책에 위반하는지 모니터링
    • 애저 보안센터와 연계하여 더 많은 보안 권장 사항 제안
    • 위반 리소스에 대한 현황과 권장 사항을 보여줌
  • Azure Blueprint
    • 애저 리소스를 다시 만들고 정책을 즉시 적용할 수 있는 재사용 가능한 환경 정의를 만듬
    • 템플릿과 다른 점은 블루프린트는 정책까지 포함됨
    • 기본 제공 도구 및 아티팩트를 사용하여 배포를 감사, 추적, 규정 준수 유지
    • 블루프린트를 특정 azure devops 빌드 아티팩트 및 릴리즈 파이프라인과 연결하여 엄격한 추적 수행

6. Azure 모니터링과 리포팅

  • Azure Mornitor
    • 애저에서 모니터링할 수 있는 리소스들의 지표 모음
    • 리소스 생성 즉시 모니터링 데이터 수집
    • 데이터 기반으로 알람 설정 가능
    • Acitivy Logs : 리소스를 생성하거나 수정하는 것에 대한 감시 로그
    • Metrics : 생성된 리소스의 성능과 사용량에 대한 지표
  • Tag
    • 애저 리소스에 key-value 형식의 태그를 추가
    • 태그를 기반으로 리소스를 그룹화 또는 검색할 수 있음
    • 태그 값이 있으면 비용 정보를 보기에 용이
    • 리소스 생성 시 가급적 많은 태그를 지정하여 사용하는 것을 권한
      • 서비스 태그, 오너 태그, 운영 태그 등을 지정하여 사용하는 것을 권장
  • Azure Service Health
    • 애저 status 웹 페이지는 애저 전체 가용량에 대한 상태 대시보드
    • Service Health는 개인화 된 상태 대시보드로서 사용자 소유 리소스에 대한 이슈 발생시 알람
    • Resource Health는 리소스에 영향을 주는 애저 서비스에 대한 문제를 진단하고 해결책을 얻을 수 있는 서비스
  • 응용 프로그램 및 서비스 모니터링
    • 분석 : 어플리케이션 인사이트와 함께 컨테이너, 가상 머신 등과 같은 리소스의 모니터링 데이터 사용
    • 알림 : 모니터 데이터에 설정된 조건에 능동적인 대응을 설정할 수 있으며 모니터 Metrics와 함께 auto-scale 사용 가능
    • 시각화 : 모니터 데이터를 사용하여 power bi로 시각화, 차트, 테이블 생성
    • 통합 : 모니터를 다른 시스템과 통합하여 요구사항에 맞는 사용자 지정 솔루션 구축

7. Azure의 개인정보 규정준수 데이터보호

  • 규정 준수
    • CJIS (형사법 보안정책)
    • HIPAA (건강 보험 이식성 및 책임 액트)
    • CSA STAR(Cloud Security Allicance Security, Trust & Assurance)
    • ISO/IEC 27018(국제 표준화 기구)
    • GDPR (유럽 정보보호법)
    • NIST (미국국내 표준 및 기술)
  • Microsoft 개인 정보처리 방침
  • Trust Center
  • Service Trust Portal

    플랫폼의 현자와 미래 사용자에게 개인정보보호, 컴플라이언스, 보안 관리하는 방법에 대한 방법론 제공

  • Complicane Manager : 클라욷드 서비스와 관련 규정 준수 활동 추적
  • Azrue Goverment cloud : 미국 정부 전용 클라우드
  • Azure China 21Vianet : 중국 전용 애저 클라우드
  • 한국은 K-ISMS

8. Azure 보안, 규정준수, 개인정보보호, 신뢰 단원 정리

  • Azure 네트워크 보안
  • Azure 계정
  • Azure Security Center
  • Azure 보안도구
  • Azure 준수(Compliance)
728x90