Azure ID,액세스 및 보안 설명

🌐 Microsoft Entra ID

• Microsoft Entra ID(구 Azure AD)는 클라우드 환경에서 Active Directory(AD)의 역할을 수행하는 서비스입니다.
• 온프레미스 환경에서는 사용자 ID와 접근 권한을 AD(Active Directory)로 관리하지만, 클라우드에서는 Microsoft Entra ID가 이를 대신합니다.

🚀 제공 서비스

1. 인증(Authentication)

   • 특정 리소스나 서비스에 접근하기 위해 필요한 사용자 인증을 지원합니다.

2. Single Sign-On (SSO)

   • 한 번의 로그인으로 여러 리소스와 애플리케이션에 접근할 수 있는 기능입니다.
   • 여러 개의 ID와 암호를 관리하는 불편함을 줄여줍니다.

3. 애플리케이션 관리

   • 클라우드와 온프레미스 앱을 손쉽게 관리할 수 있습니다.
   • 애플리케이션 프록시를 통해 VPN 없이도 사내 애플리케이션에 안전하게 접근할 수 있습니다.

4. 장치 관리(Device Management)

   • 조직의 디바이스를 등록하고 관리할 수 있습니다.

🔗 Microsoft Entra Connect를 활용하면 온프레미스 AD와 Microsoft Entra ID 간의 사용자 ID 동기화가 가능합니다.

---

🏢 Microsoft Entra Domain Services (DS)

• Microsoft Entra Domain Services(DS)는 클라우드 환경에서 도메인 컨트롤러(DC)를 직접 관리하지 않고도 AD 도메인 서비스의 기능을 사용할 수 있는 서비스입니다.

🔑 주요 기능

• 도메인 가입(Domain Join): VM을 온프레미스 AD 없이 도메인에 가입 가능
• 그룹 정책(Group Policy): 기존 AD의 그룹 정책을 클라우드에서도 활용

⚡ Azure AD는 SaaS 앱 인증(Microsoft 365 등)에 최적화되어 있고, DS는 전통적인 도메인 서비스 환경에 적합합니다.

---

🌍 Azure 외부 ID (External Identities)

• Azure 외부 ID는 조직 외부 사용자(파트너, 공급업체 등)가 사내 리소스에 안전하게 접근할 수 있도록 지원하는 서비스입니다.
• 내부 사용자가 외부 조직의 리소스에 접근해야 할 때도 사용됩니다.

🔗 외부 ID의 유형

1. B2B Collaboration

   • 외부 사용자가 자신의 계정으로 조직 리소스에 접근 가능
   • 외부 사용자는 게스트 계정으로 테넌트에 초대됩니다.

2. B2B Direct Connect

   • 게스트 계정 없이 조직 간 직접 연결을 통해 애플리케이션 공유

3. Azure AD B2C 테넌트

   • 기업이 개인 고객을 대상으로 서비스할 때 사용
   • 고객은 소셜 계정(구글, 페이스북 등) 또는 이메일 계정으로 로그인 가능

---

🔐 Azure 조건부 액세스 (Conditional Access)

• 조건부 액세스는 Microsoft Entra ID의 정책 기반 도구로, ID 신호에 따라 액세스 허용 또는 차단을 결정합니다.

🚦 주요 기능

• 일반 사용자 이외의 접근 시 다중 요소 인증(MFA) 요구
• 승인된 장치나 앱에서만 리소스 접근 허용
• 신뢰할 수 없는 위치 또는 디바이스에서의 액세스 차단

✅ 조건부 액세스는 보안과 사용자 편의성을 모두 고려한 동적 액세스 제어를 제공합니다.

---

🎯 Azure 역할 기반 액세스 제어 (RBAC)

• Azure RBAC(Role-Based Access Control)는 역할(Role)과 범위(Scope)를 기반으로 Azure 리소스에 대한 액세스를 관리하는 보안 기능입니다.

🗂️ 핵심 개념

• 역할(Role): 읽기, 쓰기, 삭제 등의 권한 정의
• 범위(Scope): 권한이 적용되는 리소스 범위 (관리 그룹 → 구독 → 리소스 그룹 → 리소스)

⚙️ 주요 특징

• 계층적 상속: 부모 범위에서 부여한 권한은 모든 자식 범위에 상속됨
• 허용(Allow) 모델: 명시적으로 부여된 권한만 수행 가능 (거부 규칙은 없음)
• Azure Resource Manager(ARM): 포털, PowerShell, CLI 등을 통해 리소스 접근 시 RBAC가 적용됨

🚩 RBAC는 리소스 수준의 권한만 관리하며, 애플리케이션 내부 데이터 접근은 별도로 관리해야 합니다.

---

🛡️ 심층 방어 (Defense in Depth)

Azure는 7개의 심층 방어 계층으로 클라우드 환경의 보안을 강화합니다.

🔒 7계층 보안 모델

1. 물리적 보안: 데이터 센터의 물리적 접근 통제
2. ID 및 액세스 관리: SSO, 다중 요소 인증(MFA)으로 계정 보안 강화
3. 경계 보안: DDoS 방어, 방화벽으로 네트워크 위협 차단
4. 네트워크 보안: 최소 권한 원칙에 따라 리소스 간 통신 제한
5. 컴퓨트 보안: VM 및 엔드포인트 디바이스의 보안 상태 관리
6. 애플리케이션 보안: 앱 수준의 취약점 관리 및 보호
7. 데이터 보안: 데이터 암호화 및 무결성 보호

🔑 다층 방어 전략은 각 보안 계층이 상호 보완적으로 작동해 위협에 대응할 수 있도록 설계되었습니다.

---

⚡ Microsoft Defender for Cloud

• Microsoft Defender for Cloud는 Azure의 대표적인 CSPM(Cloud Security Posture Management) 솔루션입니다.

📊 주요 기능

• 보안 점수(Security Score): 현재 보안 상태를 점수로 시각화
• 보안 권장 사항: 개선이 필요한 보안 설정에 대한 가이드 제공
• 규정 준수 모니터링: ISO, GDPR 등 규정 준수 상태를 모니터링할 수 있는 대시보드 제공

🚀 Defender for Cloud는 Azure 리소스의 위험 관리와 보안 강화를 위한 필수 도구입니다.

---

해당 포스트는 MS Learn 사이트와 Ghat GPT의 도움을 받아 작성되었습니다. 😊