Azure 보안
Azure Security Center
- 온 - 프레미스 데이터 센터 전반에 걸쳐 위험을 감지 및
제안
Azure Sentinel
- 기업 전체에서 활용 가능한 보안 분석 및 위협 정보를 제공하는 SIEM 및 SOAR(보안 자동 응답) 솔루션
- Security Center는 자동화 및 액션
Azure Key Vault
중앙화된클라우드 위치에 애플리케이션 비밀을 저장- 암호관리
- 키 관리
- 인증서 관리
- HSM이 지원하는 암호 저장
Azure Dedicated Host
- 단일 물리서버를 사용하는 환경 제공
- 즉, 하드웨어 수준이 격리 로써 자사 제품만 독점
- 유지 관리 이벤트 시기 제어 가능
- Azure 하이브리드 사용 혜택 제공
보안
공동책임
- 클라우드 관련해서 직접 구축 시 보안 관련 신경쓸 부분이 많음
- laaS는 고객 책임
- PaaS > SaaS 고객 책임
심층방어 (Defense in Depth)
- Azure 의 보안방향
- 컴퓨터 시스템 보안에 대한 레어링 접근 방식
- 보안 전략적으로 여러 수준의 보호를 제공
- 다른 영역에서 커버가능하도록 심층 방어전략
- 해커의 속도를 늦출 수 있으며 다음 영역을 공격하는 동안 해커의 행위를 대비할 수 있음
Azure Firwall
가장 앞단에서 보호하는 방화벽- 여러개의 구독을 커버함
NSG는 작은 문. 층별/건물별 입구지기 수행- 하나의 VM넷 안에 서브넷, IP로 보호
방화벽
- PaaS 형태의 서비스
- IP주소를 기반으로 서버 엑세스를 허용/거부 처리함
NAT Rule,Network Rule,Application Rule선택 가능- Network Rule
- RDF, FTP, SSH 등 네트워크 필터링 설정 가능
- Application Rule- 어플리케이션 레벨의 프로텍션
- 안전하게 다음 네트워크 구간을 갈 수 있도록 방화벽 서비스 제공
- 고가용성이 내장, 무제한 클라우드 확장 가능
- 들어오는 모든 요청에 대해 처리 되었는지 거부 되었는지 로그로 남겨 모니터링을 제공
Azure Applicatino Gateway에서 방화벽 처리를 같이함
DDOS 보호
DDOS는 특정 서비스를 계속 공격해서 느려지거나 응답없도록 한다- DDOS공격으로 인해 서비스 가용성에 영향을 미치기 전에 원치 않은 네트워크 트래픽을 발생시켜 처리함
- 베이직은 기본으로 제공
- 스탠다는 선택시 보다 나은 완화 가능
- 머신러닝 기반의 어댑티브 튜닝 등 세밀한 설정 가능
네트워크 보안 그룹 (Network Security Group)
- WEB / WAS / DB Zone으로 보낼지 말지 검열하는 단계
- IP 주소, 포트 및 프로토콜 별로
인바운드 및 아웃바운드규칙 설정 - 필요에 따라 여러 규칙 추가 가능
Azure Network보안 솔루션 선택
- 경계 레이어
- 제일 앞에서 DDOS를 보호
- WAF를 통해 네트워크 경계 보호
- 네트워킹 레이어
- NSG 인바운드/아웃바운드 규칙 설정
- 네트워크 리소스 간에 허용된 트래픽만 전달
IT Consultant & Solution Engineer