Microsoft Azure 보안

클라우드는 기업이 보안을 관리하는 방식을 재정의했으며, 클라우드에서 생성된 애플리케이션을 처리하든 온프레미스에서 워크로드를 마이그레이션하든 관계없이 더 많은 경계와 다계층 보안 구현을 요구합니다.

선도적인 클라우드 서비스 공급자 중 하나인 Microsoft Azure는 이러한 새로운 과제를 처리하는 데 도움이 되는 다양한 서비스와 도구를 제공합니다. 그러나 클라우드의 보안은 공동의 책임입니다. 자산의 물리적 보안, 운영체제(PaaS 서비스의 경우) 또는 애플리케이션 스택(서비스형 소프트웨어(SaaS)의 경우)과 같은 일부 요소는 클라우드 서비스 제공업체가 제거하지만 데이터, 엔드포인트, 계정 및 액세스 관리의 보안은 여전히 고객의 책임입니다.

자세히 알아보기 Azure Security Blueprint

Azure 플랫폼

Azure 플랫폼은 서비스형 인프라(IaaS), PaaS(Platform-as-a-Service) 및 서비스형 소프트웨어(SaaS) 제공 모델로 광범위하게 분류할 수 있는 다양한 서비스를 제공합니다. 여러 운영 체제, 애플리케이션 스택, 가장 널리 사용되는 DB 플랫폼 및 컨테이너 호스팅 솔루션을 지원합니다. 애플리케이션이 .NET, PHP, Python, Node.JS, Java, MySQL, SQL, MariaDB, Docker, Kubernetes를 사용하여 빌드되었는지 여부에 관계없이 Azure에서 홈을 찾을 수 있습니다.

 

사용자가 완전히 관리하는 데이터 센터에서 Azure로 애플리케이션을 마이그레이션할 때 이러한 워크로드를 보호하기 위해 플랫폼에 크게 의존하게 됩니다. 따라서 보안에 대한 공동 책임 모델은 여기에서 역할과 책임의 구분과 매우 관련이 있습니다.

 

Microsoft는 Azure 플랫폼의 물리적 인프라를 소유하고 물리적 데이터 센터, 액세스 제어, 직원에 대한 필수 보안 교육, 백그라운드 확인 등과 같은 여러 측면을 포함하여 보안을 처리합니다. 그러나 Azure 플랫폼에 워크로드를 배포할 때는 아래에 요약된 대로 사용자와 공급자 간의 책임 분담을 고려해야 합니다.

 

위의 이미지에 표시된 것처럼 물리적 데이터 센터, 네트워크 및 호스트를 포함한 일부 보안 책임은 클라우드 공급자가 처리합니다. 그러나 서비스형 인프라(IaaS), PaaS 또는 서비스형 소프트웨어(SaaS) 모델 중 무엇을 사용하는지에 따라 운영체제 애플리케이션 스택과 추가 네트워크 계층 보안 요구 사항을 해결해야 합니다.

Microsoft Azure 보안 개요

모든 조직의 보안 요구 사항은 고유하며 각 특정 워크로드의 보안을 보장하기 위해 광범위한 사용자 지정이 필요합니다. 클라우드의 지능형 위협 벡터는 기본적으로 아무것도 신뢰할 수 없고 모든 것이 검증되는 제로 트러스트 보안 접근 방식을 요구합니다. 클라우드 보안에 대한 이러한 사전 예방적 접근 방식은 공격 표면을 줄이고 공격 발생 시 피해를 제한하는 데 도움이 됩니다.

 

보안은 컴퓨팅, 스토리지 및 네트워킹에서 시작하여 애플리케이션별 제어, ID 및 액세스 관리에 이르기까지 애플리케이션 스택의 각 계층에서 구현되어야 합니다. 최적의 보호를 위해 악의적인 활동을 실시간으로 탐지해야 하므로 환경의 보안 상태에 대한 가시성도 중요합니다.

 

Azure 는 다양한 보안 요구 사항을 충족하고 클라우드 보안 태세를 강화하는 데 활용할 수 있는 여러 구성 가능한 도구 및 서비스를 통해 워크로드 보안을 지원합니다. 또한 해당되는 경우 파트너 보안 솔루션을 사용하여 이러한 입장을 더욱 강화할 수 있습니다.

Azure 보안 센터

Security Center 는 변화하는 위협 환경에 맞게 보안 제어를 조정하고 여러 종류의 공격으로부터 조직을 사전에 보호하는 데 도움이 되는 Azure의 중앙 집중식 보안 관리 솔루션입니다. Azure 서비스는 Security Center에 자동으로 온보딩되고 정의된 보안 기준에 따라 모니터링됩니다. 기본 정책과 맞춤형 정책을 사용하여 Azure 구독 및 포함된 리소스의 상태를 모니터링할 수 있습니다. Azure 환경에 대한 지속적인 평가에 따라 Security Center는 보안 격차를 사전에 해결하는 데 사용할 수 있는 실행 가능한 권장 사항을 제공합니다.

 

또한 Azure Security Center는 포괄적인 위협 방지 기능을 제공하고 사이버 킬 체인 분석을 사용하여 공격 벡터에 대한 엔드투엔드 가시성을 제공합니다. 또한 엔드포인트용 Microsoft Defender 사용하여 Azure 서버를 보호할 수 있습니다. 빅 데이터 및 분석의 힘을 통해 진화하는 위협에 빠르게 적응하는 고급 침해 탐지 센서를 제공하고 워크로드를 보호하기 위한 우수한 위협 인텔리전스를 제공합니다.

 

또한 Windows 서버에 대한 자동화된 온보딩 기능과 단일 창 가시성을 통해 운영 오버헤드를 줄여 클라우드 보안 팀의 삶을 쉽게 만들 수 있습니다. Azure Security Center는 심층적인 보안을 위해 Azure Policy, Azure Monitor 로그 및 Azure Cloud App Security와 같은 솔루션과 통합됩니다.

Cloud Security Posture Management (CSPM)

클라우드의 위협은 온-프레미스와 동일하지 않습니다. 클라우드는 보안 위생을 보장하고 최상의 보안 관행을 구현하기 위해 클라우드에서 탄생한 솔루션이 필요합니다. Azure의 클라우드 보안 태세 관리는 Azure에서 보안 워크로드를 사전에 관리할 수 있도록 하여 이를 지원합니다.

 

Security Center의 "보안 점수" 옵션은 환경을 평가하는 미리 빌드된 여러 보안 제어를 사용하여 환경의 보안 태세를 정량화하는 데 도움이 됩니다. 이러한 컨트롤이 구현되지 않거나 잘못된 구성이 있는 경우 Security Center는 점수를 개선하기 위한 규범적 권장 사항을 제공합니다. 한편, 규정 컴플라이언스 점수는 PCI DSS, HIPAA, Azure의 자체 CIS 및 NIST와 같은 표준에 따라 워크로드를 평가하여 공식 컴플라이언스 상태를 파악하는 데 도움이 됩니다.

 

Security Center는 취약성에 대한 조감도를 제공하고 잠재적인 공격에 대한 경고를 생성하여 CSPM 을 지원합니다. 각 경고에는 완화 활동의 우선 순위를 지정할 수 있도록 심각도 수준으로 태그가 지정됩니다. Security Center는 클라우드 네이티브 워크로드, IoT 서비스 및 데이터 서비스와 함께 환경 전반의 Windows 및 Linux 머신을 위협으로부터 보호하여 공격 노출 영역을 줄일 수 있습니다.

웹 애플리케이션 보안

클라우드 애플리케이션의 무분별한 확장으로 인해 모든 앱을 모니터링하고 안전한 데이터 트랜잭션을 보장하는 것이 점점 더 어려워지고 있습니다. Azure는 Microsoft Cloud App Security라는 클라우드 보안 브로커 솔루션을 통해 이러한 문제를 해결하는 데 도움이 됩니다.

 

이 도구는 조직에서 사용 중인 클라우드 서비스를 감지하고 이와 관련된 위험을 식별하는 데 도움을 주어 섀도 IT로부터 보호합니다. 서비스의 기본 제공 정책을 사용하면 클라우드 애플리케이션에 대한 보안 제어 구현을 자동화할 수 있으며, 16,000개 이상의 애플리케이션을 포함하고 80+ 위험 요소를 기반으로 점수를 매기는 클라우드 앱 카탈로그 기능을 통해 앱을 제재하거나 제재 해제할 수 있으므로 조직에서 허용하려는 앱 종류에 대해 정보에 입각한 결정을 내릴 수 있습니다.

 

클라우드 App Security는 또한 애플리케이션 및 보안 상태에 대한 가시성을 제공하고 애플리케이션 간에 데이터가 이동하는 방식을 제어합니다. 또한 비정상적인 동작을 감지하여 손상된 애플리케이션을 식별하고 자동 수정을 트리거하여 위험을 줄일 수 있습니다. 컴플라이언스 규제에 대해 애플리케이션을 추가로 평가하고 규정을 준수하지 않는 앱으로의 데이터 이동을 제한할 수 있으며, 앱의 규제된 데이터도 무단 액세스로부터 보호할 수 있습니다.

 

다른 Microsoft 보안 솔루션과의 기본 통합은 탁월한 위협 인텔리전스 및 심층 분석을 제공하여 클라우드에서 다양한 유형의 공격으로부터 애플리케이션을 보호합니다.

Serverless Security

Azure Security Center는 잠재적인 구성 오류 및 보안 허점을 식별하기 위해 AKS와 같은 컨테이너 호스팅 환경 및 Docker를 실행하는 VM에 대한 보안 기준 설정 및 평가를 제공합니다. Docker 환경의 강화는 Security Center에 통합된 권장 사항을 사용하여 CIS 벤치마크에 대한 모니터링을 통해 사용할 수 있습니다. 마찬가지로 모니터링 및 고급 위협 탐지는 AKS 노드 및 클러스터에 사용할 수 있습니다. Kubernetes 클러스터용 Azure Policy 추가 기능을 사용하도록 설정하여 Kubernetes API 서버에 대한 요청을 서비스하기 전에 정의된 모범 사례에 대해 모니터링할 수도 있습니다.

 

한편 Azure Defender는 웹 셸 검색, 의심스러운 IP의 연결 요청, 권한 있는 컨테이너 프로비저닝 등과 같은 의심스러운 활동을 검색하여 런타임 취약성 및 침투로부터 AKS 노드 및 클러스터를 보호합니다. Azure Defender에는 Azure Container Registry로 끌어오거나 푸시한 이미지를 검사하는 Qualys 통합도 포함되어 있습니다. 모든 결과는 Security Center에 분류되고 표시되므로 정상 이미지와 비정상 이미지를 구분할 수 있습니다.

NSG(네트워크 보안 그룹)Network Security Groups (NSGs)

NSG는 Azure VNet에 연결된 워크로드에 대한 첫 번째 네트워크 방어선 역할을 합니다. 원본, 원본 포트, 대상, 대상 포트 및 프로토콜을 사용하여 5개의 튜플 규칙을 통해 인바운드 및 아웃바운드 트래픽을 필터링합니다. 이러한 그룹은 서브넷 또는 가상 머신의 NIC 카드와 연결할 수 있으며 네트워크 간 통신 및 인터넷 액세스를 허용하는 몇 가지 기본 규칙과 함께 제공됩니다. 또한 네트워크 보안 그룹을 사용하면 동서 및 북-남 트래픽을 세밀하게 제어하고 애플리케이션 구성 요소 통신을 분리할 수 있습니다.

Azure 가상 네트워크

Azure VNet은 Azure에서 네트워킹의 기본 구성 요소이며 워크로드의 마이크로 세분화를 지원하여 연결된 워크로드를 다른 Azure 리소스, 온-프레미스 리소스 및 인터넷과 안전하게 통신할 수 있도록 합니다. 한 Azure VNet의 리소스는 피어링, VPN, Private Link 등과 같은 옵션을 통해 명시적으로 연결되지 않는 한 기본적으로 다른 VNet의 리소스와 통신할 수 없습니다. VNet 내의 서브넷에서 NSG를 사용하도록 설정하여 다른 보안 계층을 추가할 수 있습니다. 또한 패킷 검사를 위해 모든 트래픽을 네트워크 가상 어플라이언스를 통해 라우팅하려는 경우 사용자 지정 경로 테이블을 만들어 VNet 내에서 트래픽 셰이핑을 사용할 수 있습니다.

VPN 및 애플리케이션 게이트웨이

Azure VPN을 사용하면 사이트 간 연결을 통해 온-프레미스 데이터 센터 네트워크에서 또는 지점 및 사이트 간 연결을 사용하여 개별 컴퓨터에서 Azure 리소스에 안전하게 연결할 수 있습니다. Azure에 대한 트래픽은 인터넷을 통해 이동하지만 SSTP, OpenVPN 또는 IPSec을 사용하여 암호화된 보안 터널을 통과합니다. VPN 연결은 지점 시나리오에서 잘 작동하지만 Azure SLA에서 지원하는 연결을 보장하기 위해 고객은 온-프레미스 데이터 센터에서 Azure 클라우드로의 전용 연결인 ExpressRoute를 선택할 수 있습니다.

 

Azure 애플리케이션 게이트웨이는 애플리케이션 계층(OSI 계층 7)에서 작동하고 HTTP 특성에 따라 백 엔드 풀의 리소스로 트래픽을 리디렉션하는 부하 분산 장치입니다. SQL 삽입 공격, 교차 사이트 스크립팅, HTTP 요청 분할, 원격 파일 포함 등과 같은 일반적인 공격으로부터 애플리케이션을 보호하는 데 도움이 되는 웹 애플리케이션 방화벽(WAF)을 갖추고 있습니다. 미리 정의된 보안 규칙 집합과 함께 제공되지만 고유한 규칙을 정의할 수 있는 유연성도 제공합니다. 이 서비스는 OWASP ModSecurity 핵심 규칙 집합을 기반으로 하며 자동으로 업데이트되어 새롭고 진화하는 취약성으로부터 애플리케이션을 보호할 수 있습니다.

ID 및 액세스 관리(IAM)

클라우드 중심의 세계에서 아이덴티티는 새로운 보안 경계로 떠올랐습니다. Azure는 호스트된 애플리케이션에 대한 액세스를 제어하기 위해 Azure AD(Active Directory)에서 사용하도록 설정된 RBAC(역할 기반 액세스 제어)를 제공합니다. 사용자에게 작업에 필요한 최소 액세스 권한만 부여되도록 PoLP(최소 권한) 원칙을 따르는 것이 좋습니다. 이 권한 부여는 사용자에게 할당된 역할에 의해 결정되며, 기본 제공 역할 중 하나이거나 관리자가 정의한 사용자 지정 역할일 수 있습니다.

 

VM에 대한 JIT(Just-in-time) 액세스, 스토리지에 대한 공유 액세스 서명, 다중 인증 등과 같은 옵션을 통해 IAM을 더욱 강화할 수 있습니다. 또한 Azure AD 감사 로그 및 Azure 활동 로그를 통해 사용자 활동을 기록하고 추적하여 손상된 ID 및 Rogue 사용자를 식별하는 것이 중요합니다.

Azure 보안 강화

네이티브 툴과 서비스는 좋은 출발점을 제공하는 경우가 많지만, 클라우드에서 진화하는 위협 행위자로부터 애플리케이션을 보호할 수 있는 고급 기능을 갖춘 툴도 필요합니다. 다음과 같은 추가 기능은 포괄적인 클라우드 보안을 보장하는 데 필수적입니다.

 

  • 시정: 실시간 클라우드 침입 탐지, 네트워크 트래픽 시각화 및 상황별 정보를 제공하는 사용자 활동 분석은 이상 징후를 사전에 식별하고 완화하는 데 도움이 됩니다.
  • 자동화: 사전 정의된 템플릿 및 자체 적응형 보안 정책과 같은 옵션을 통해 첫날부터 클라우드 보안 운영에 자동화를 통합하면 인적 오류와 잘못된 구성을 방지하는 데 도움이 됩니다.
  • 컴플라이언스와 거버넌스: 컴플라이언스(Comfl라이언스)와 업계 표준에 대한 거버넌스를 보여주기 위해 맞춤화된 보안 보고서는 보고 및 감사 프로세스를 단순화합니다.
  • 구성 오류 최소화: 정의된 보안 표준에 대한 환경 구성을 지속적으로 평가하고 워크플로 및 정책 구현을 자동화하면 잘못된 구성을 최소화하는 데 도움이 됩니다.
  • 인텔리전스 및 예측 분석: AI 기반의 위협 헌팅 및 예측 분석은 이상 징후를 더 빠르게 탐지하고 악의적인 활동에 대한 실시간 경고를 생성하는 데 도움이 될 수 있습니다.
  • 워크로드/스토리지 보호(컨테이너 및 서버리스용): 보안 기능을 컨테이너와 서버리스로 확장하여 최신 마이크로서비스 기반 워크로드를 보호하세요.

 

CloudGuard 는 이러한 기능이 사전 구축되어 있으므로 위의 모든 기능을 지원할 수 있습니다. Azure 네이티브 도구와 원활하게 통합되고 Azure에서 호스트되는 데이터 및 워크로드의 보안을 강화합니다.

 

CloudGuard가 오늘 클라우드 보안 목표를 달성하는 데 어떻게 도움이 되는지 자세히 알아보십시오.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.