[AZ-900] Microsoft Azure Fundamentals 자격증 핵심 개념 총정리

Microsoft Azure의 기초 자격증인 AZ-900 (Azure Fundamentals) 시험 대비를 위한 핵심 개념 요약 노트입니다. 클라우드의 기본 개념부터 Azure의 아키텍처, 주요 서비스, 보안 및 관리 도구까지 필수적인 내용을 정리했습니다.

📑 목차

1. 클라우드 컴퓨팅 개념 (Cloud Concepts)
2. Azure 아키텍처 구성요소 (Architecture Components)
3. Azure 서비스와 솔루션 (Core Services)
4. 보안 및 ID 서비스 (Security & Identity)
5. 관리 및 거버넌스 (Management & Governance)

---

1. 클라우드 컴퓨팅 개념 (Cloud Concepts)

클라우드 컴퓨팅은 인터넷을 통해 서버, 스토리지, 데이터베이스, 네트워크, 소프트웨어 등 컴퓨팅 자원을 온디맨드(On-demand)로 제공하는 현대적 기술 방식입니다. 사용자는 물리적인 하드웨어를 직접 구매하거나 유지보수할 필요 없이, 가상화된 자원을 인터넷을 통해 필요한 만큼 빌려 쓰고 사용한 만큼만 비용을 지불합니다.

1) 주요 특징 및 이점

• 비용 모델의 전환 (CapEx에서 OpEx로): 초기 하드웨어 구매에 드는 막대한 자본 지출(CapEx) 대신, 매월 사용한 만큼만 지불하는 운영 비용(OpEx) 모델을 따릅니다. 이를 통해 초기 투자 부담 없이 서비스를 신속하게 시작할 수 있습니다.
• 탄력성(Elasticity)과 확장성(Scalability): 트래픽이 폭주할 때는 자원을 자동으로 늘리고(Scale-out), 수요가 줄어들면 다시 반납(Scale-in)하여 자원 낭비를 방지하고 성능을 유지합니다.
• 고가용성(High Availability): 여러 데이터센터에 데이터를 복제하여 저장하므로, 특정 하드웨어 장애나 재해 시에도 서비스가 중단되지 않도록 보장합니다.

2) 클라우드 서비스 모델 ("무엇을" 제공하는가?)

클라우드 서비스는 관리 책임의 범위에 따라 크게 세 가지 모델로 나뉩니다.

• IaaS (Infrastructure as a Service): 가상 머신, 네트워크, 스토리지와 같은 기본 하드웨어 인프라를 제공합니다. 사용자는 운영체제(OS)부터 애플리케이션까지 직접 관리해야 합니다.
• PaaS (Platform as a Service): 개발자가 인프라 관리 부담 없이 애플리케이션 개발에만 집중할 수 있도록 OS, 미들웨어, 개발 도구 등이 포함된 환경을 제공합니다.
• SaaS (Software as a Service): 클라우드 업체가 개발한 완성된 소프트웨어를 인터넷을 통해 구독 형태로 사용합니다. Microsoft 365나 Slack이 대표적인 예입니다.

3) 클라우드 배포 모델 ("어디에" 배포하는가?)

• 공용 클라우드 (Public Cloud): 클라우드 서비스 제공업체가 소유한 하드웨어를 여러 조직이 공유하며 사용하는 방식입니다. (예: Azure, AWS)
• 사설 클라우드 (Private Cloud): 특정 한 조직만이 전용으로 사용하는 클라우드 환경으로, 자체 데이터센터에서 운영되기도 합니다.
• 하이브리드 클라우드 (Hybrid Cloud): 공용 클라우드와 사설 클라우드를 결합하여, 중요한 데이터는 사설에 두고 트래픽 폭주 시에만 공용을 사용하는 등 유연하게 운영합니다.
• 멀티 클라우드 (Multi-cloud): Azure, AWS, Google Cloud 등 두 개 이상의 서로 다른 클라우드 제공업체 서비스를 함께 사용하여 특정 업체 종속(Vendor Lock-in)을 피하거나 각 업체의 장점을 활용하는 방식입니다.

4) 공동 책임 모델 (Shared Responsibility)

클라우드 환경에서는 서비스 제공업체와 사용자가 책임을 분담합니다. 하드웨어와 데이터센터 보안 등 물리적 인프라는 업체가 책임지지만, 클라우드에 저장된 데이터와 사용자 계정 관리에 대한 책임은 어떤 모델을 사용하더라도 항상 사용자에게 있습니다.

💡 비유를 통한 이해: 피자 배달 (Pizza as a Service)
클라우드 서비스 모델은 '피자를 먹는 방법'에 비유할 수 있습니다.

• 온프레미스 (On-Premises): 집에서 반죽부터 토핑까지 직접 만들어 먹는 방식입니다 (모두 내 책임).
• IaaS: 마트에서 냉동 피자를 사와서 집의 오븐으로 구워 먹는 것입니다 (식재료는 제공받지만 요리는 내 책임).
• PaaS: 피자를 집으로 배달시키는 것입니다 (조리 환경은 업체가 담당, 나는 먹기만 하면 됨).
• SaaS: 피자 전문 레스토랑에 가서 식사하는 것입니다 (모든 과정이 준비되어 있고 나는 서비스만 즐김).

---

2. Azure 아키텍처 구성요소 (Architecture Components)

Microsoft Azure 아키텍처는 전 세계에 걸쳐 있는 물리적 인프라와 이를 효율적으로 관리하기 위한 논리적 계층 구조로 구성되어 있습니다.

1) 물리적 인프라 구성 요소 (Global Infrastructure)

• 데이터센터 (Datacenters): 수만 대의 서버, 전원, 냉각 장치 및 네트워크 연결을 갖춘 물리적 건물입니다.
• 리전 (Regions): 하나 이상의 데이터센터가 짧은 대기 시간의 네트워크로 연결된 지리적 영역입니다. 사용자는 리소스를 배포할 때 특정 리전을 선택해야 하며, 이는 법적 규제나 성능(대기 시간)에 영향을 미칩니다.
• 가용성 영역 (Availability Zones): 하나의 리전 내에서 물리적으로 분리된 구역으로, 각각 독립적인 전원, 냉각 및 네트워크를 갖추고 있습니다. 이를 통해 데이터센터 전체 장애로부터 서비스를 보호하고 99.99%의 가동률(SLA)을 보장받을 수 있습니다.
• 지역 쌍 (Region Pairs): 리전 재해 시 복구를 위해 동일 지리 내에서 최소 300마일(약 480km) 이상 떨어진 두 리전을 쌍으로 묶은 것입니다. 한 리전이 중단되면 다른 쌍 리전으로 서비스가 자동 또는 수동으로 전환됩니다.
• 지리 (Geographies): 데이터 보존 및 규정 준수 경계를 정의하는 더 큰 단위(예: 한국, 미국, 유럽 등)로, 일반적으로 두 개 이상의 리전을 포함합니다.

2) 논리적 관리 계층 (Management Hierarchy)

Azure 리소스를 효율적으로 조직하고 보안 및 과금을 관리하기 위한 4단계 구조입니다.

1. 관리 그룹 (Management Groups): 여러 구독을 묶어 통합 정책(Policy) 및 거버넌스를 적용하는 최상위 계층입니다. 하위 구독은 관리 그룹의 설정을 자동으로 상속받습니다.
2. 구독 (Subscriptions): Azure 리소스를 담는 논리적 컨테이너이자 청구(Billing)의 단위입니다. 조직은 부서나 프로젝트별로 구독을 나누어 비용을 관리할 수 있습니다.
3. 리소스 그룹 (Resource Groups): 관련된 리소스(VM, DB 등)들을 함께 묶어 관리하는 논리적 폴더입니다. 리소스의 수명 주기를 관리하거나 권한(RBAC)을 부여하는 단위로 사용됩니다.
4. 리소스 (Resources): 가상 머신, 데이터베이스, 가상 네트워크 등 사용자가 Azure에서 생성하는 모든 개별 서비스를 의미합니다.

3) Azure Resource Manager (ARM)

Azure Resource Manager는 Azure의 중앙 관리 및 배포 서비스입니다. 사용자가 포털, CLI, PowerShell 중 어떤 도구를 사용하더라도 모든 요청은 ARM을 거쳐 리소스에 전달됩니다.

• 템플릿(Templates): JSON 기반의 선언적 파일을 사용하여 복잡한 인프라를 일관되게 반복적으로 배포할 수 있는 IaC(Infrastructure as Code) 기능을 지원합니다.

💡 비유를 통한 이해: 거대한 기업용 빌딩
Azure 아키텍처를 '거대한 사무용 빌딩'에 비유할 수 있습니다.

• 지리/리전: 빌딩이 위치한 도시와 구역입니다. 재해를 대비해 다른 도시에 분점(지역 쌍)을 둡니다.
• 가용성 영역: 빌딩 내에서 서로 다른 전산실을 쓰는 별개의 층과 같습니다. 한 층에 불이 나도 다른 층은 안전합니다.
• 관리 그룹/구독: 회사의 본부와 부서 개념입니다. 부서마다 법인카드(구독)를 사용하여 비용을 정산합니다.
• 리소스 그룹: 부서 내 프로젝트를 정리하는 파일 박스입니다. 프로젝트가 끝나면 박스 전체를 버리듯(삭제) 관리합니다.
• ARM: 건물의 중앙 통제실입니다. 누가 들어오고 나갈지(권한), 어떤 가구를 들여놓을지(배포)를 모두 관리합니다.

---

3. Azure 서비스와 솔루션 (Core Services)

Microsoft Azure는 컴퓨팅, 스토리지, 네트워크, 애플리케이션 서비스를 통해 사용자가 물리적 인프라의 조립 방식에 신경 쓰지 않고 비즈니스 솔루션 구축에만 집중할 수 있게 돕습니다.

1) 컴퓨트(Compute) 서비스

• Azure 가상 머신(VM): Windows 또는 Linux 가상 머신을 배포하는 IaaS 오퍼링입니다. 인프라 통제권이 필요하거나 'Lift and Shift' 마이그레이션에 적합합니다.
• Azure Virtual Machine Scale Sets (VMSS): 부하에 따라 수천 개의 동일한 가상 머신을 자동으로 늘리거나 줄일(Scale-out/in) 수 있게 해주는 서비스입니다.
• Azure App Service: 웹 및 모바일 앱을 구축하고 호스팅하는 PaaS 솔루션입니다. 인프라 관리 없이 코드 개발에만 집중할 수 있습니다.
• Azure Functions (서버리스): 이벤트 기반으로 코드를 실행하는 FaaS 모델입니다. 코드가 실행될 때만 과금되므로 경제적입니다.
• 컨테이너 서비스: 컨테이너를 빠르게 실행하는 ACI(Container Instances)와 오케스트레이션 도구인 AKS(Azure Kubernetes Service)가 있습니다.

2) 네트워킹(Networking) 서비스

• Azure Virtual Network (VNet): Azure 내의 논리적으로 격리된 사설 네트워크입니다.
• VPN Gateway: 공용 인터넷을 통해 온프레미스와 Azure 간 암호화된 트래픽을 전송합니다.
• ExpressRoute: 공용 인터넷을 거치지 않는 전용 프라이빗 연결을 제공하여 높은 보안과 속도를 보장합니다.
• 로드 밸런싱: Azure Load Balancer는 VM 간 트래픽 분산을, Traffic Manager는 DNS 기반으로 글로벌 트래픽 라우팅을 담당합니다.

3) 스토리지(Storage) 서비스

• Azure Blobs: 텍스트, 이미지 등 방대한 비정형 데이터를 저장하는 객체 스토리지입니다.
• Azure Files: SMB/NFS 프로토콜을 지원하는 완전 관리형 파일 공유 서비스입니다.
• Azure Managed Disks: VM에서 사용하는 블록 수준의 스토리지 볼륨입니다.
• 액세스 계층 (Access Tiers): 데이터 접근 빈도에 따라 Hot(자주 접근), Cool(가끔 접근), Archive(거의 접근 안 함) 계층을 제공하여 스토리지 비용을 최적화할 수 있습니다.

4) 데이터베이스(Database) 서비스

• Azure SQL Database: SQL Server 기반의 완전 관리형 관계형 DB(PaaS)입니다.
• Azure Cosmos DB: 전 세계에 분산된 멀티 모델 NoSQL 데이터베이스입니다.

💡 비유를 통한 이해: 스마트 시티(Smart City)
Azure 서비스 플랫폼은 하나의 '스마트 시티'와 같습니다.

• 컴퓨트는 건물을 짓는 건설 장비와 인력입니다 (필요한 만큼 불러 쓰고 건물을 완성합니다).
• 네트워킹은 도시의 모든 지점을 연결하는 도로와 고속도로입니다 (안전하게 데이터를 이동시킵니다).
• 스토리지는 물건을 보관하는 대형 창고와 개인 사물함입니다 (데이터를 안전하게 지킵니다).
• 보안 서비스는 도시 곳곳을 지키는 경찰과 보안 시스템입니다 (인증된 사람만 접근하게 관리합니다).

---

4. 보안 및 ID 서비스 (Security & Identity)

Azure는 '절대 신뢰하지 않고 항상 검증한다'는 제로 트러스트(Zero Trust) 모델을 기반으로 설계되었습니다.

1) ID 및 액세스 관리: Microsoft Entra ID (구 Azure AD)

Microsoft Entra ID는 Azure의 핵심 ID 관리 솔루션으로, 사용자 계정, 권한 및 애플리케이션 액세스를 중앙에서 제어합니다.

• 인증 및 인가: 사용자가 누구인지 확인(인증)하고, 적절한 권한을 부여(인가)합니다.
• Single Sign-On (SSO): 한 번의 로그인으로 여러 앱에 접속하여 편의성과 보안성을 높입니다.
• 다단계 인증 (MFA): 비밀번호 외에 추가 인증(문자, 앱 알림 등)을 요구하여 계정 보안을 강화합니다.
• 조건부 액세스: 사용자 위치, 디바이스 상태 등을 분석하여 액세스 허용 여부를 결정하는 정책 엔진입니다.

2) 권한 및 거버넌스 관리

• Azure RBAC (Role-Based Access Control): 사용자에게 직무에 맞는 역할(Role)을 부여하여 리소스 접근을 제어합니다.
• Azure Policy: 리소스가 조직의 표준 및 규정을 준수하는지 확인하고, 위반되는 리소스 생성을 차단합니다.

3) 네트워크 및 인프라 보안

• Azure DDoS Protection: 분산 서비스 거부(DDoS) 공격으로부터 네트워크를 보호합니다.
• Azure Firewall: VNet 전체를 보호하는 클라우드 네이티브 방화벽입니다.
• NSG (Network Security Group): 서브넷이나 NIC 레벨에서 트래픽을 필터링하는 기본 방화벽입니다.

4) 데이터 및 모니터링 보안

• Azure Key Vault: 암호화 키, 비밀번호, 인증서 등을 안전하게 보관하는 클라우드 금고입니다.
• Microsoft Defender for Cloud: 보안 상태를 진단하고 취약점 개선을 권장하며 위협을 탐지합니다.
• Microsoft Sentinel: 클라우드 전반의 보안 이벤트를 분석하는 SIEM/SOAR 솔루션입니다.

💡 비유를 통한 이해: 스마트 빌딩 보안 시스템

• Microsoft Entra ID: 건물 입구의 안내 데스크 (신분 확인 및 출입증 발급).
• RBAC: 직급별 출입 권한 설정 (개발실, 전산실 등).
• Azure Firewall: 건물 전체의 울타리와 경비소.
• Key Vault: 비밀 문서를 보관하는 금고.
• Microsoft Defender: CCTV를 분석하는 보안 관제실.

---

5. 관리 및 거버넌스 (Management & Governance)

조직이 클라우드 리소스를 효율적으로 운영하고, 비즈니스 표준 및 규정을 준수하도록 통제하는 체계입니다.

1) 리소스 관리의 기초: ARM

Azure Resource Manager (ARM)은 리소스를 배포하고 관리하는 중앙 제어 평면입니다. JSON 기반의 템플릿을 통해 인프라를 코드로 관리(IaC)할 수 있습니다.

2) 논리적 계층 구조

관리 그룹 > 구독 > 리소스 그룹 > 리소스 순서의 4단계 계층을 통해 정책과 권한을 상속 구조로 관리합니다.

3) 주요 거버넌스 도구

• Azure Policy: "한국 리전에만 생성 가능", "특정 사양 이상의 VM 금지" 등 규칙을 강제합니다.
• 리소스 잠금 (Resource Locks): 실수로 인한 삭제나 수정을 방지하기 위해 '삭제 방지' 또는 '읽기 전용'을 설정합니다.
• 태그 (Tags): 리소스에 메타데이터(부서명, 프로젝트명)를 추가하여 비용 추적 및 관리를 용이하게 합니다.
• Azure Blueprints: 정책, 역할, 템플릿 등을 패키징하여 표준화된 환경 구성을 돕습니다.

4) 비용 관리 및 모니터링

• Azure Advisor: 비용, 보안, 안정성, 성능, 운영 우수성 5가지 측면에서 최적화 방안을 제안합니다.
• Azure Monitor: 리소스의 성능과 로그를 실시간으로 감시하고 경고(Alert)를 보냅니다.
• Azure Service Health: Azure 서비스 자체의 장애나 유지 관리 정보를 제공합니다.
• Azure Pricing Calculator / TCO Calculator: 리소스 생성 전 예상 비용을 계산하거나(Pricing), 온프레미스 대비 비용 절감 효과를 비교(TCO)합니다.
• Azure Cost Management: 실제 발생한 비용을 모니터링하고 예산을 설정하여 과다 지출을 방지합니다.
• 비용 절감 옵션: 장기 사용 약정으로 비용을 할인받는 예약 인스턴스(Reserved Instances)와 기존 라이선스를 재사용하는 하이브리드 혜택(Hybrid Benefit)이 있습니다.

💡 비유를 통한 이해: 고속도로 관리 시스템

• 거버넌스 (Policy/RBAC): 고속도로 통행 규칙 (트럭 1차선 금지, 면허 소지자만 운전).
• 관리 (ARM/Monitor): 톨게이트 및 관제 센터 (진입 통제, 사고 감시).
• 구독 및 태그: 차량 번호판과 영수증 (누가 얼마나 썼는지 확인하여 청구).