☁️ 클라우드 보안 관리자: 인증과 권한 부여

Azure Active Directory (Azure AD)는 현재 Microsoft Entra ID로 명칭이 변경되었습니다. Microsoft는 멀티 클라우드 및 멀티 플랫폼 기능을 통합하기 위해 제품군 이름을 변경하였습니다.

1. 보안과 규정 준수 (Security & Compliance)

1.1 공유 책임 모델 (Shared Responsibility Model)

클라우드 환경에서는 보안 책임을 클라우드 제공자(CSP)와 고객이 분담합니다. 가장 중요한 개념 중 하나입니다.

모델	설명	책임 범위
On-Premises	기업이 자체 서버 운영	기업이 100% 책임 (하드웨어 ~ 데이터)
IaaS	인프라 서비스	OS, 미들웨어, 앱, 데이터는 고객 책임
PaaS	플랫폼 서비스	앱, 데이터는 고객 책임
SaaS	소프트웨어 서비스	주로 데이터, ID, 기기 관리만 고객 책임

핵심: 어떤 모델을 사용하든 데이터(Data), 계정/ID(Identity), 장치(Devices)에 대한 보안 책임은 항상 고객(기업)에게 있습니다.

1.2 심층 방어 (Defense in Depth)

단일 경계에 의존하지 않고, 여러 계층(Layer)으로 보안을 구성하여 공격을 지연시키고 방어하는 전략입니다.

1. 물리적 보안: 데이터 센터 접근 통제
2. ID 및 액세스: 신원 확인 (MFA, 조건부 액세스)
3. 경계 (Perimeter): DDoS 방어 등
4. 네트워크: 리소스 간 통신 제한
5. 컴퓨팅: 가상 머신(VM) 및 포트 보안
6. 애플리케이션: 취약점 관리
7. 데이터: 암호화 및 접근 제어 (최후의 보루)

1.3 CIA Triad (보안의 3대 요소)

사이버 보안 전략의 기본 목표는 다음 세 가지 원칙을 보장하는 것입니다.

• 기밀성 (Confidentiality): 인가된 사람만 정보에 접근 (암호화).
• 무결성 (Integrity): 정보가 위변조되지 않았음을 보장.
• 가용성 (Availability): 필요할 때 정보나 서비스를 이용할 수 있어야 함.

---

2. 제로 트러스트 (Zero Trust) 모델

• *"아무도 믿지 말고, 항상 검증하라 (Trust no one, verify everything)"**는 보안 원칙입니다.

2.1 구현의 3대 원칙 (성전 그림의 바닥 부분)

1. 명시적 확인 (Verify explicitly): 항상 사용자 ID, 위치, 기기 상태 등을 기반으로 인증.
2. 최소 권한 액세스 (Use least privileged access): JIT(Just-In-Time) 등을 통해 필요한 만큼만 권한 부여.
3. 위반 가정 (Assume breach): 이미 뚫렸다고 가정하고 피해를 최소화(암호화, 네트워크 분할)하도록 설계.

2.2 제로 트러스트의 6가지 기본 요소 (기둥)

• ID (Identities): 사용자, 서비스 등.
• 디바이스 (Devices): 보안 상태 및 규정 준수 모니터링.
• 애플리케이션 (Applications): Shadow IT 감시 및 접근 제어.
• 데이터 (Data): 분류, 레이블링, 암호화.
• 인프라 (Infrastructure): 위협 탐지 및 차단.
• 네트워크 (Network): 세분화 및 실시간 위협 보호.

---

3. 암호화와 규정 준수

3.1 암호화 (Encryption)

데이터를 보호하기 위해 평문을 암호문으로 변환하는 과정입니다.

• 대칭 암호화: 암호화 키 = 복호화 키 (속도 빠름).
• 비대칭 암호화: 공개키(암호화) + 개인키(복호화) 쌍을 사용 (HTTPS, 전자서명 등).
  • 실무 팁: VM 접속 시 ID/PW 대신 인증서(비대칭 키) 방식을 사용하여 보안을 강화함.

데이터 상태별 암호화:

1. 미사용 데이터 (Data at Rest): 디스크/DB에 저장된 상태.
2. 전송 중인 데이터 (Data in Transit): 네트워크로 이동 중인 상태 (HTTPS).
3. 사용 중인 데이터 (Data in Use): 메모리/CPU에서 처리 중인 상태 (Enclave 기술 등).

3.2 해시 (Hashing)

• 임의의 데이터를 고정된 길이의 값으로 변환 (단방향, 복호화 불가).
• 용도: 무결성 검증, 비밀번호 저장.
• Salt: 레인보우 테이블 공격(해킹)을 막기 위해 원본 데이터에 임의의 값을 추가하여 해싱하는 기법.

3.3 데이터 규정 및 인증

• 데이터 주권 (Data Sovereignty): 데이터가 수집/저장되는 국가의 법률을 따라야 함. AI 시대에 더욱 중요해짐.
• ISMS-P (국내 인증): 정보보호 및 개인정보보호 관리체계 인증.
  • CSP(Azure Korea 등)가 인프라 레벨에서 ISMS 인증을 받았더라도, 그 위에서 서비스를 운영하는 기업(예: 쿠팡)은 별도로 자신의 책임 범위에 대한 ISMS 인증을 받아야 함.

---

4. 인증과 인가 (Authentication & Authorization)

4.1 보안의 새로운 경계: ID

과거에는 사내 네트워크(방화벽)가 경계였으나, 클라우드와 재택근무 확산으로 ID(신원)가 새로운 보안의 1차 방어선이 되었습니다.

4.2 인증 vs 권한 부여(인가)

구분	영어	개념	비유 (호텔)
인증	AuthN (Authentication)	누구인가? (신원 확인)	리셉션에서 여권 확인
권한 부여(인가)	AuthZ (Authorization)	무엇을 할 수 있는가? (접근 허가)	객실 키 카드 발급 (내 방만 열림)

4.3 최신 인증 아키텍처

• ID 공급자 (IdP, Identity Provider): 사용자 정보를 중앙에서 관리하고 인증 서비스를 제공하는 주체. (예: Microsoft Entra ID)
• SSO (Single Sign-On):
  • 한 번의 로그인으로 연결된 여러 앱/리소스에 접근.
  • 사용자 편의성 증대 및 보안 관리 효율화.

4.4 디렉토리와 페더레이션

• 디렉토리 (Directory): 네트워크 개체(사용자, 컴퓨터 등) 정보를 저장하는 계층적 구조. (폴더 구조에서 유래)
• 페더레이션 (Federation): 서로 다른 도메인(조직) 간의 신뢰 관계(Trust)를 형성하여, 내 ID로 상대방의 리소스에 접근할 수 있게 하는 기술.
  • 예: IdP-A와 IdP-B가 신뢰 관계라면, A 사용자가 B 시스템에 로그인 가능.