클라우드 규모 분석을 위한 보안, 거버넌스 및 규정 준수
클라우드 규모 분석 아키텍처를 계획할 때는 아키텍처가 강력하고 안전하게 유지되도록 특별히 주의해야 합니다. 이 문서에서는 엔터프라이즈 규모 클라우드 규모 분석을 위한 보안, 규정 준수 및 거버넌스 디자인 기준을 다룹니다. 이 문서에서는 Azure에서 클라우드 규모 분석을 배포하기 위한 디자인 권장 사항 및 모범 사례에 대해서도 설명합니다. 엔터프라이즈 규모의 보안 거버넌스 및 규정 준수()을 검토하여 엔터프라이즈 솔루션의 거버넌스를 완전히 준비합니다.
클라우드 솔루션은 처음에 비교적 격리된 단일 애플리케이션을 호스트했습니다. 클라우드 솔루션의 이점이 명확해짐에 따라 Azure의 SAP와 같은 대규모 워크로드가 클라우드에서 호스트되었습니다. 따라서 클라우드 서비스의 수명 주기 동안 지역 배포의 보안, 안정성, 성능 및 비용을 해결하는 것이 중요해졌습니다.
Azure의 클라우드 규모 분석 랜딩 존 보안, 규정 준수 및 거버넌스에 대한 비전은 위험을 최소화하고 효과적인 의사 결정을 내리는 데 도움이 되는 도구와 프로세스를 제공하는 것입니다. Azure 랜딩 존은 보안 거버넌스 및 규정 준수 역할 및 책임을 정의합니다.
클라우드 규모 분석 패턴은 Azure에서 사용하도록 설정할 수 있는 몇 가지 보안 기능을 사용합니다. 이러한 기능에는 암호화, 역할 기반 액세스 제어, 액세스 제어 목록 및 네트워킹 제한이 포함됩니다.
보안 디자인 권장 사항
Microsoft와 고객 모두 보안에 대한 책임을 공유합니다. 수용된 보안 지침에 대해서는 인터넷 보안 센터(Center for Internet Security)의 사이버 보안 모범 사례를 참조하세요. 다음 섹션은 보안 디자인 권장 사항입니다.
미사용 데이터 암호화
미사용 데이터 암호화는 스토리지에 유지되는 데이터의 암호화를 의미하며 스토리지 미디어의 직접 물리적 액세스와 관련된 보안 위험을 해결합니다. 정지된 데이터는 기본 데이터가 복구 불가능하며 암호 해독 키 없이는 변경할 수 없기 때문에 중요한 보안 통제입니다. DData at-rest는 Microsoft 데이터 센터의 심층 방어 전략에서 중요한 계층입니다. 미사용 데이터 암호화를 배포하는 규정 준수 및 거버넌스 이유가 있는 경우가 많습니다.
여러 Azure 서비스는 Azure Storage 및 Azure SQL 데이터베이스를 비롯한 미사용 데이터 암호화를 지원합니다. 일반적인 개념과 모델은 Azure 서비스의 디자인에 영향을 주지만 각 서비스는 서로 다른 스택 계층에서 미사용 데이터 암호화를 적용하거나 암호화 요구 사항이 다를 수 있습니다.
중요하다
미사용 데이터 암호화를 지원하는 모든 서비스는 기본적으로 사용하도록 설정되어 있어야 합니다.
전송 중인 데이터 보호
데이터는 한 위치에서 다른 위치로 이동할 때 전송 중 또는 진행 중인 것으로 간주됩니다. 이 전송은 내부적으로, 온-프레미스 또는 Azure 내에서 또는 인터넷을 통해 최종 사용자로 외부적으로 발생할 수 있습니다. Azure는 전송 중에 데이터를 비공개로 유지하기 위해 암호화를 비롯한 여러 메커니즘을 제공합니다. 이러한 메커니즘은 다음과 같습니다.
- IPsec/IKE 암호화를 사용하여 VPN을 통한 통신
- TLS(전송 계층 보안)
- Windows IPsec 또는 SMB와 같은 Azure Virtual Machines에서 사용할 수 있는 프로토콜입니다.
데이터 링크 계층의 IEEE 표준인 MACsec(미디어 액세스 제어 보안)을 사용한 암호화는 Azure 데이터 센터 간의 모든 Azure 트래픽에 대해 자동으로 사용하도록 설정됩니다. 이 암호화는 고객 데이터 기밀성 및 무결성을 보장합니다. 자세한 내용은 Azure 고객 데이터 보호
키 및 비밀 관리
클라우드 규모 분석을 위한 디스크 암호화 키 및 비밀을 제어하고 관리하려면 Azure Key Vault를 사용합니다. Key Vault에는 SSL/TLS 인증서를 프로비전하고 관리하는 기능이 있습니다. HSM(하드웨어 보안 모듈)을 사용하여 비밀을 보호할 수도 있습니다.
클라우드용 Microsoft Defender
클라우드용 Microsoft Defender는 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 가상 네트워크 등에 대한 보안 경고 및 고급 위협 방지 기능을 제공합니다.
가격 책정 및 설정 영역에서 Cloud용 Defender를 사용하도록 설정하면 다음 Microsoft Defender 플랜이 동시에 사용하도록 설정되고 환경의 컴퓨팅, 데이터 및 서비스 계층에 대한 포괄적인 방어를 제공합니다.
- 서버용 Microsoft Defender
- App Service용 Microsoft Defender
- 스토리지용 Microsoft Defender
- SQL에 대한 Microsoft Defender
- Kubernetes용 Microsoft Defender
- 컨테이너 레지스트리용 Microsoft Defender
- Key Vault용 Microsoft Defender
- Resource Manager용 Microsoft Defender
- DNS용 Microsoft Defender
이러한 계획은 Defender for Cloud 설명서에 별도로 설명되어 있습니다.
중요하다
PaaS(Platform as a Service) 제품에 클라우드용 Defender를 사용할 수 있는 경우, 특히 Azure Data Lake Storage 계정의 경우 기본적으로 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft Defender for Cloud에 대한 소개 및 스토리지용 Microsoft Defender 구성을 참조하세요.
Microsoft Defender for Identity
Microsoft Defender for Identity는 고급 보안 기능을 위한 통합 패키지인 고급 데이터 보안 제품의 일부입니다. Microsoft Defender for Identity는 Azure Portal을 통해 액세스하고 관리할 수 있습니다.
중요하다
사용하는 PaaS 서비스에 사용할 수 있을 때마다 기본적으로 Microsoft Defender for Identity를 사용하도록 설정합니다.
Microsoft Sentinel을 활성화하십시오
Microsoft Sentinel 확장 가능한 클라우드 네이티브 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션입니다. Microsoft Sentinel은 엔터프라이즈 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 경고 검색, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
네트워킹
클라우드 규모 분석의 권장된 방식은 모든 PaaS 서비스에 Azure 프라이빗 엔드포인트를 사용하고, 모든 인프라 서비스(IaaS)에서는 공용 IP를 사용하지 않는 것입니다. 자세한 내용은 클라우드 규모 분석 네트워킹참조하세요.
규정 준수 및 거버넌스 디자인 권장 사항
Azure Advisor는 Azure 구독 전체에 걸쳐 통합된 보기를 제공합니다. 안정성, 복원력, 보안, 성능, 운영 우수성 및 비용 권장 사항은 Azure Advisor에 문의하세요. 다음 섹션은 규정 준수 및 거버넌스 디자인 권장 사항입니다.
Azure Policy 사용
Azure Policy 조직 표준을 적용하고 대규모 규정 준수를 평가하는 데 도움이 됩니다. 규정 준수 대시보드를 통해 개별 리소스 또는 정책으로 드릴다운할 수 있는 기능과 함께 환경의 전체 상태에 대한 집계된 보기를 제공합니다.
Azure Policy는 기존 리소스의 대량 수정 및 새 리소스의 자동 수정을 통해 리소스를 규정 준수로 가져올 수 있도록 지원합니다. 예를 들어 새 리소스의 위치를 제한하거나, 리소스에 대한 태그 및 해당 값이 필요하거나, 관리 디스크를 사용하여 VM을 만들거나, 명명 정책을 적용하는 등의 몇 가지 기본 제공 정책을 사용할 수 있습니다.
배포 자동화
배포를 자동화하여 시간을 절약하고 오류를 줄일 수 있습니다. 재사용 가능한 코드 템플릿을 만들어 엔드 투 엔드 데이터 랜딩 존 및 데이터 애플리케이션(데이터 제품을 만드는)의 배포 복잡성을 줄입니다. 이 자동화는 솔루션을 배포하거나 다시 배포하는 시간을 최소화합니다. 자세한 내용은 Azure 클라우드 규모 분석을 위한 DevOps 자동화 이해 를 참조하세요.
프로덕션 워크로드에 대한 리소스 잠금
프로젝트 시작 시 필요한 핵심 데이터 관리 및 데이터 랜딩 존 Azure 리소스를 만듭니다. 모든 추가, 이동 및 변경이 완료되고 Azure 배포가 작동하면 모든 리소스를 잠급니다. 그런 다음 관리자만 리소스의 잠금을 해제하거나 수정할 수 있습니다. 자세한 내용은예기치 않은 변경을 방지하기 위해
역할 기반 액세스 제어 구현
Azure 구독에서 RBAC(역할 기반 액세스 제어)를 사용자 지정하여 Azure 리소스에 대한 액세스 권한이 있는 사용자, 해당 리소스로 수행할 수 있는 작업 및 액세스 권한이 있는 영역을 관리할 수 있습니다. 예를 들어 팀 구성원이 핵심 자산을 데이터 랜딩 존에 배포하도록 허용하지만 네트워크 구성 요소를 변경하지 못하게 할 수 있습니다.
규정 준수 및 거버넌스 시나리오
다음 권장 사항은 다양한 규정 준수 및 거버넌스 시나리오에 적용됩니다. 이러한 시나리오는 비용 효율적이고 확장 가능한 솔루션을 나타냅니다.
| 시나리오 | 추천 |
|---|---|
| 표준 명명 규칙을 사용하여 거버넌스 모델을 구성하고 비용 센터를 기반으로 보고서를 생성하기. | Azure Policy 및 태그를 사용하여 요구 사항을 충족합니다. |
| 실수로 Azure 리소스를 삭제하지 않도록 합니다. | Azure 리소스 잠금을 사용하여 실수로 삭제되는 것을 방지합니다. |
| Azure 리소스에 대한 비용 최적화, 복원력, 보안, 운영 우수성 및 성능을 위한 기회 영역에 대한 통합 보기를 가져옵니다. | Azure Advisor를 사용하여 Azure 구독의 SAP 전체에서 통합 보기를 가져옵니다. |