심층 방어 설명

완료됨

심층 방어의 목적은 정보를 보호하고 무단 접근을 통한 도난을 방지하는 것입니다.

심층 방어는 데이터에 무단으로 액세스하기 위한 공격 진행 속도를 늦추는 여러 메커니즘을 사용하는 전략입니다.

심층 방어 계층

중앙에서 보호할 데이터와 중앙 데이터 계층을 보호하기 위해 작동하는 다른 모든 계층을 사용하여 심층 방어를 계층 집합으로 시각화할 수 있습니다.

심층 방어 계층을 보여 주는 다이어그램 가운데부터: 데이터, 애플리케이션, 컴퓨팅, 네트워크, 경계, ID 및 액세스, 물리적 보안

각 레이어가 보호를 제공하므로 한 레이어에서 침해 사고가 발생하더라도 후속 레이어가 이미 작동하고 있기 때문에 추가 노출을 방지합니다. 해당 접근 방식으로 단일 보호 계층에만 의존하지 않을 수 있습니다. 공격 속도를 늦추고 보안 팀이 자동 또는 수동으로 조치할 수 있도록 경고 정보 분석을 제공합니다.

각 계층의 역할에 대한 간략한 개요는 다음과 같습니다.

  • 물리적 보안 계층은 데이터 센터의 컴퓨팅 하드웨어를 보호하기 위한 첫 번째 방어선입니다.
  • ID 및 액세스 계층은 인프라와 변경 제어에 대한 액세스를 제어합니다.
  • 경계 계층은 DDoS(분산 서비스 거부) 보호 기능을 사용하여 최종 사용자에게 서비스 거부가 발생하기 전에 대규모 공격을 필터링합니다.
  • 네트워크 계층은 구분 및 액세스 제어를 통해 리소스 간의 통신을 제한합니다.
  • 컴퓨팅 계층은 가상 머신에 대한 액세스를 보호합니다.
  • 애플리케이션 계층은 애플리케이션을 보호하고 보안 취약점을 제거합니다.
  • 데이터 계층은 보호해야 하는 비즈니스 및 고객 데이터에 대한 액세스를 제어합니다.

이러한 계층은 애플리케이션의 모든 계층에 대한 보안 구성을 결정하는 데 도움이 되는 지침을 제공합니다.

Azure는 심층 방어 개념의 모든 수준에서 보안 툴 및 기능을 제공합니다. 각 계층을 더 자세히 살펴보겠습니다.

물리적 보안

물리적으로 건물에 대한 액세스를 보호하고 데이터 센터 내의 컴퓨팅 하드웨어에 대한 액세스를 제어하는 것이 첫 번째 방어선입니다.

물리적 보안을 사용하는 목적은 자산 액세스에 대한 물리적 보호 수단을 제공하는 것입니다. 이 보호 수단은 다른 레이어가 무시되지 않고 손실 또는 도난이 적절하게 처리되도록 합니다. Microsoft는 클라우드 데이터 센터에서 다양한 물리적 보안 메커니즘을 사용합니다.

ID 및 액세스

ID 및 액세스 레이어는 ID를 안전하게 보호하고, 필요한 것에만 액세스 권한을 부여하고, 로그인 이벤트 및 변경 내용이 기록되도록 합니다.

해당 계층에서는 다음 작업을 수행하는 것이 중요합니다.

  • 인프라에 대한 접근 및 제어 변경을 통제합니다.
  • SSO(Single Sign-On) 및 다단계 인증을 사용합니다.
  • 이벤트 및 변경 내용을 감사합니다.

경계

네트워크 경계는 리소스에 대한 네트워크 기반 공격으로부터 보호합니다. 이러한 공격을 파악하여 영향을 제거하고 발생한 공격을 경고하는 것이 네트워크를 안전하게 유지하는 중요한 방법입니다.

해당 계층에서는 다음 작업을 수행하는 것이 중요합니다.

  • DDoS 방지 기능을 사용하여 사용자의 시스템 가용성에 영향을 주기 전에 대규모 공격을 필터링합니다.
  • 경계 방화벽을 사용하여 네트워크에 대한 악의적인 공격을 식별하고 경고합니다.

네트워크

해당 레이어의 핵심은 모든 리소스에 대한 네트워크 연결을 제한하여 필요한 것만 허용하는 것입니다. 관련 통신을 제한하여 네트워크의 다른 시스템으로 공격이 퍼질 위험을 줄일 수 있습니다.

해당 계층에서는 다음 작업을 수행하는 것이 중요합니다.

  • 리소스 간의 통신을 제한합니다.
  • 기본적으로 거부합니다.
  • 인바운드 인터넷 액세스를 금지하고 필요한 경우 아웃바운드 액세스를 제한합니다.
  • 온-프레미스 네트워크에 대한 보안 연결을 구현합니다.

Compute

맬웨어, 패치가 적용되지 않은 시스템, 적절하게 보호되지 않는 시스템 때문에 환경이 공격에 노출됩니다. 해당 레이어의 핵심은 컴퓨팅 리소스를 안전하게 보호하고 보안 문제를 최소화하는 적절한 제어 방식을 만드는 것입니다.

해당 계층에서는 다음 작업을 수행하는 것이 중요합니다.

  • 가상 머신에 대한 액세스를 보호합니다.
  • 디바이스에 엔드포인트 보호를 구현하고 시스템을 패치하고 최신 상태로 유지합니다.

애플리케이션

애플리케이션 개발 수명 주기에 보안을 통합하면 코드의 취약점을 줄일 수 있습니다. 모든 개발 팀은 기본적으로 애플리케이션이 안전하도록 조치해야 합니다.

해당 계층에서는 다음 작업을 수행하는 것이 중요합니다.

  • 애플리케이션이 안전하고 취약성이 없는지 확인합니다.
  • 중요한 애플리케이션 비밀을 안전한 저장 매체에 저장하세요.
  • 보안 항목을 모든 애플리케이션 개발의 디자인 요구사항에 포함합니다.

데이터

데이터를 저장하고 액세스 권한을 제어하는 사람은 데이터를 안전하게 보호할 책임이 있습니다. 종종 데이터의 기밀성, 무결성 및 가용성을 보장하기 위한 제어 및 프로세스를 적용할 것을 지시하는 규제 요구 사항이 있습니다.

대부분의 경우 공격자의 목표는 다음 데이터입니다.

  • 데이터베이스에 저장된 데이터
  • 가상 머신 내부의 디스크에 저장된 데이터
  • Office 365와 같은 SaaS(Software as a Service) 애플리케이션에 저장된 데이터
  • 클라우드 스토리지를 통해 관리되는 데이터