[AZ-900] 보안, 규정준수, 개인정보보호, 신뢰(400)

Key Results

• Azure의 보안, 규정준수, 개인정보보호, 신뢰 이해

참고 문서

강의 정보

에듀캐스트 강의

1. Azure Network 보안

• 보안계층

  

• 공동 책임제 (물리적인건 MS에서 관리하나 그 외에는 종류에 따라 보안 책임이 분리)

  

• Azure DDOS Protection
  • 분산 서비스 거부(DDOS) 공격 시 네트워크 가용성에 영향을 받기 전에 비정상 네트워크 트래픽을 DROP 시킴
  • BASIC 계층은 AZURE에서 기본적으로 사용 가능
  • 좀 더 타이트하게 관리할 수 있게 하려면 Standard 계층을 사용하여 Azure 가상 네트워크 리소스를 보호하도록 MS에서 관리기능을 유료로 추가

• Azure Firewall
  • 논리적 방화벽 장비
  • Inbound / Outbound NAT 필터링 규칙 적용
  • 고가용성 내장
  • 무제한 확장성
  • Azure Mornitor 지원
  • application gateway 또는 azure front door를 사용할 시 waf(web application firewall) 사용 가능

• Network Security Group
  • 가상 네트워크에 있는 리소스에서 네트워크 트래픽을 필터링
  • 인바운드와 아웃바운드에 대해 소스와 데스티네이션 IP 주소, 포트, 프로토콜 지정
  • TCP, UDP, ICMP 프로토콜 지정 가능
  • 기본 정책이 이미 정의되어 있음 (900에선 괜찮으나 실사용, 고도화 시 어떤 기본 정책이 있는지 알 필요 존재)
  • 우선 순위를 지정할 수 있으며 ALLOW 또는 DENY
  • AZURE에서 지정한 태그 기반 필터링
  • 네트워크 인터페이스 또는 서브넷에 연결

• Application Secutiry Group
  • 가상 컴퓨터를 그룹화하여 네트워크 보안 그룹의 정책에 적용
  • 유사한 정책을 가지는 서버를 그룹화
  • 명시적인 ip 주소를 수동으로 관리하지 않아도 보안 정책 사용 가능
  • 정책 간소화

• Network 보안하기
  • 응용 프로그램에 맞는 네트워크 보안 구성 필요
  • 가상 컴퓨터에는 os 방화벽 또는 백신 등의 응용 프로그램 보안
  • 가상 네트워크에서는 네트워크 보안 그룹
  • 인터넷 통신에서는 azure 방화벽 또는 ddos 보호, waf 등을 사용
  • 이외 서드 파티 제품 고려

2. Azure 계정 보안

• 인증(Authentication) - 어떤 사용자가 인증된 사용자인가
  • 유저 또는 서비스 계정 식별
  • 정상적인 요청으로 엑세스 자격 증명 획득
  • 액세스 제어 규칙을 만들기 위한 기초

• 권한(Authorization) - 어떤 인증된 사용자에게 어떤 권한을 줄 것인가
  • 인증된 유저 또는 서비스의 엑세스 수준 정의
  • 엑세스 할 수 있는 리소스와 함께 수행할 수 있는 작업을 정의

• Azure Activae Detectory(AzureAD)
  • 애저의 클라우드 기반 id 관리 및 접근 제어 서비스
  • 인증지원
  • single signed on : 한번 로그인을 해서 그 토큰 값으로 여러 서비스에 접근 가능하게 하는 것
  • application 관리
  • B2B(애저 테넌트 등), B2C(애저 계정 - 페이스북, 트위터 등) ID 서비스
  • 장비 관리

• Azure AD VS Windows Sever AD

  

• Azure Multi-Factor Authentication (MFA)
  • 인증을 위해 2개 이상의 요소를 요구하여 신원 확인
  • 홍채, 지문 같은걸로 추가 보안 구성하는 것
  • 당신이 아는 것(PASSWORD)
  • 당신이 가지고 있는것 (DEVICES)
  • 당신에게 있는 것(생체 정보)

3. Azure Tenant의 이해

• Azure Tenant란?
  • 애저의 기준이 되는 환경을 의미
  • 애저에 접근할 수 있는 사용자 또는 서비스는 테넌트 내에 존재
  • 모든 구독은 테넌트 내에 존재
  • 모든 리소스 그룹과 리소스는 구독 내에 존재

    

• 테넌트와 AD의 관계
  • MS 테넌트 내에 사용자 계정을 기준으로 디폴트 테넌트가 생성되고, 내에 새로운 테넌트를 생성할 수 있음

    외주 업무를 할 때, 마이크로소프트 테넌트에 속한 계정을 알려줘서, 외주사가 초대를 하는 식으로 대응 가능

    

4. Azure 보안도구 소개

• Azure Security Center
  • 기본적으로 무료
  • on-premise 인프라의 위협을 차단하거나 감지하는 모니터링 서비스
  • 보안 권장사항 제공
  • 로그를 기반으로 보안 모니터링
  • 배포 서비스에 보안정책 자동 적용
  • 기본 시나리오

    

• Azure Key Vault
  • 중요한 데이터를 암호화하여 저장하고 필요할 때 엑세스하는 서비스
  • 접근 제어를 통해 안전한 권한 관리와 로깅
  • 저장 유형
    • 인증값
    • 문자열
    • 인증서
    • 하드웨어 보안 모듈(HSM Hardware Secure Module) - 디스크 칩셋 상 암호화가 되기 때문에 HDD 뜯어서 딴데다 옮긴다고 데이터 확인 불가

• Azure Information Protection(AIP)
  • 레이블을 적용하여 문서 또는 전자메일 분류하고 보호
  • OFFICE 365, OUTLOOK 같은데서 사용
  • AIP 레이블 적용 가능
    • 관리자 정한 규칙 및 조건을 자동,수동으로 사용
    • 자동, 수동을 결합 가능

• Azure Advanced Trhead Protection(ATP)
  • 지능형 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 탐지 및 조사하기 위한 클라우드 기반 보안 솔루션
  • 포탈 : 의심스러운 활동을 모니터링 하고 대응하기 위한 전용 포털
  • 센서 : 도메인 컨트롤러에 직접 설치(이슈가 있는 작업을 감지하는 역할)
  • 클라우드 서비스 : 애저 인프라에서 실행

5. Azure 거버넌스 방법론

• 애저 정책 (사규 같은거)
  • 애저 리소스에 대한 규칙과 효과를 적용
  • 회사 표준과 서비스 수준 계약(SLA)를 준수할 수 있음
  • 추가 비용 없이 사용
  • 정책 준수하지 않는 리소스 평가 및 식별
  • 정책 미준수 리소스는 배포 불가

• 정책 구현 예시(허용 지역만 허용, 허용된 가상 컴퓨터 크기 내만 허용)

  

• Azure 정책 이니셔티브
  • 이니셔티브 정의 : 여러 정책 정의를 단일 단위로 그룹화하여 더 큰 / 매크로 수준 범위에서 규정 준수를 추적
  • 이니셔티브 할당 : 특정 범위에 할당된 이니셔티브를 정의. 이니셔티브 정의는 각 범위에 대해 이니셔티브 정의를 만들 필요를 줄여줌

• Azure Role Base Access Control(RBAC)
  • 애저 리소스에 대한 권한을 설정하여 접근 제어 관리
  • 특정 리소스에 특정 작업만 하도록 구성 가능
  • 리소스가 RBAC를 사용할 경우 리소스 간 접근 제어 구성 가능
  • 내장된 기본 정책이 있음
    • 소유자(Owner)
    • 기여자(Contributor)
    • 읽기 전용(Reader)
  • 추가 비용 없이 사용

• Azure 리소스 잠금
  • 리소스를 삭제하거나 수정하는 것을 방지하는 기능
  • 사용자의 실수를 방지할 수 있음
  • 소유자가 리소스 잠금을 설정할 시 기여자는 리소스 잠금을 조작할 수 없음
  • 리소스 잠금은 하위에 대해 상속됨
  • 예시
    • Read-only : 리소스 수정 방지
    • Delete : 리소스 삭제 방지

• Azure Advisor Security Assistance
  • 기존 애저 정책에 정의된 정책에 위반하는지 모니터링
  • 애저 보안센터와 연계하여 더 많은 보안 권장 사항 제안
  • 위반 리소스에 대한 현황과 권장 사항을 보여줌

• Azure Blueprint
  • 애저 리소스를 다시 만들고 정책을 즉시 적용할 수 있는 재사용 가능한 환경 정의를 만듬
  • 템플릿과 다른 점은 블루프린트는 정책까지 포함됨
  • 기본 제공 도구 및 아티팩트를 사용하여 배포를 감사, 추적, 규정 준수 유지
  • 블루프린트를 특정 azure devops 빌드 아티팩트 및 릴리즈 파이프라인과 연결하여 엄격한 추적 수행

6. Azure 모니터링과 리포팅

• Azure Mornitor
  • 애저에서 모니터링할 수 있는 리소스들의 지표 모음
  • 리소스 생성 즉시 모니터링 데이터 수집
  • 데이터 기반으로 알람 설정 가능
  • Acitivy Logs : 리소스를 생성하거나 수정하는 것에 대한 감시 로그
  • Metrics : 생성된 리소스의 성능과 사용량에 대한 지표

• Tag
  • 애저 리소스에 key-value 형식의 태그를 추가
  • 태그를 기반으로 리소스를 그룹화 또는 검색할 수 있음
  • 태그 값이 있으면 비용 정보를 보기에 용이
  • 리소스 생성 시 가급적 많은 태그를 지정하여 사용하는 것을 권한
    • 서비스 태그, 오너 태그, 운영 태그 등을 지정하여 사용하는 것을 권장

• Azure Service Health
  • 애저 status 웹 페이지는 애저 전체 가용량에 대한 상태 대시보드
  • Service Health는 개인화 된 상태 대시보드로서 사용자 소유 리소스에 대한 이슈 발생시 알람
  • Resource Health는 리소스에 영향을 주는 애저 서비스에 대한 문제를 진단하고 해결책을 얻을 수 있는 서비스

• 응용 프로그램 및 서비스 모니터링
  • 분석 : 어플리케이션 인사이트와 함께 컨테이너, 가상 머신 등과 같은 리소스의 모니터링 데이터 사용
  • 알림 : 모니터 데이터에 설정된 조건에 능동적인 대응을 설정할 수 있으며 모니터 Metrics와 함께 auto-scale 사용 가능
  • 시각화 : 모니터 데이터를 사용하여 power bi로 시각화, 차트, 테이블 생성
  • 통합 : 모니터를 다른 시스템과 통합하여 요구사항에 맞는 사용자 지정 솔루션 구축

7. Azure의 개인정보 규정준수 데이터보호

• 규정 준수
  • CJIS (형사법 보안정책)
  • HIPAA (건강 보험 이식성 및 책임 액트)
  • CSA STAR(Cloud Security Allicance Security, Trust & Assurance)
  • ISO/IEC 27018(국제 표준화 기구)
  • GDPR (유럽 정보보호법)
  • NIST (미국국내 표준 및 기술)

    

• Microsoft 개인 정보처리 방침

  

• Trust Center

  

• Service Trust Portal

  플랫폼의 현자와 미래 사용자에게 개인정보보호, 컴플라이언스, 보안 관리하는 방법에 대한 방법론 제공

  

• Complicane Manager : 클라욷드 서비스와 관련 규정 준수 활동 추적

  

• Azrue Goverment cloud : 미국 정부 전용 클라우드

  

• Azure China 21Vianet : 중국 전용 애저 클라우드

  

• 한국은 K-ISMS

  

8. Azure 보안, 규정준수, 개인정보보호, 신뢰 단원 정리

• Azure 네트워크 보안

  

• Azure 계정

  

• Azure Security Center

  

• Azure 보안도구

  

• Azure 준수(Compliance)

  

Uploaded by Notion2Tistory v1.1.0