AZ Network 보안
Azure의 보안 계층
- 데이터가 VM에 접근할 때 까지 거치는 단계
공동 책임제
Azure DDoS Protection
- 분산 서비스 거부 (Distributed Denial-of-Service) 공격은 네트워크 리소스에 과부하를 걸어 응용프로그램의 속도 저하 또는 응답을 하지 못하도록 합니다.
- 네트워크 가용성에 영향이 있기 전에 비정상 네트워크 트래픽 Drop
- Basic 계층은 Azure에서 기본적으로 사용
- Standard 게층은 Azure 가상 네트워크 리소스를 보호하도록 Microsoft에서 관리 기능 추가 -$2,944/month
Azure Firewall
- 네트워크 리소스를 보호하기 위해 IP 또는 Domain 주소를 기반으로 접근 허용/거부를 할 수 있는 관리형 서비스
- Inbound/Outbound NAT 필터링 규칙 적용
- 고가용성 내장
- 무제한 확장성
- Azure Monitor 지원
Application Gateway 또는 Azure Front Door를 사용할 시 WAF 사용 가능
Network Security Group
- 가상 네트워크에 있는 리소스에서 네트워크 트래픽을 필터링
- Inbound와 Outbound에 대해 Source와 Destication IP 주소, Port, Protocol을 지정
- TCP와 UDP, ICMP 프로토콜 지정 가능
- 기본 정책이 정의되어 있음
- 우선순위를 지정할 수 있으며 Allow 또는 Deny 설정
- Azure에서 지정한 Tag 기반 필터링
- 네트워크 인터페이스 또는 서브넷에 연결
Application Security Group
- 가상 컴퓨터를 그룹화하여 네트워크 보안 그룹의 정책에 적용
- 유사한 정책을 가지는 서버를 그룹화
- 명시적인 IP 주소를 수동으로 관리하지 않아도 보안 정책 사용 가능
- 정책 간소화
Network 보안 하기
- 응용프로그램에 맞는 네트워크 보안을 구성할 수 있어야 한다.
- 가상 컴푸터에는 운영체제 방화벽 또는 백신 등의 응용프로그램 보안
- 가상 네트워크에서는 네트워크 보안 그룹
- 인터넷 통신에서는 Azure 방화벽 또는 DDoS 보호, WAF 등을 사용
- 이외 3rd party 제품 사용 고려
Azure 계정 보안
인증과 권한의 차이
인증 Authentication
- User 또는 Service 계정 식별
- 정상적인 요청으로 액세스 자격 증명 획득
- 액세스 제어 규칙을 만들기 위한 기초
권한 Autorication
- 인증된 User 또는 Service 의 액세스 수준 정의
- 액세스 할 수 있는 리소스와 함께 수행할 수 있는 작업을 정의
Azure Active Directory (AzureAD)
- Microsoft Azure의 클라우드 기반 ID 관리 및 접근 제어 서비스
- 인증 지원
- Single Signed on →예)카카오톡 인증
- Application 관리
- B2B
- B2C ID 서비스 (azure와 페이스북 연결 등)
- 장비 관리
Azure AD vs Windows Server AD
Azure AD
- cloud-base ID 인증
- REST API
- OU 없음
- Tenant 기반
WSAD
- kerberos 인증
- Ldap
- OU 있음
- Forest 기반
Azure Multi-Factor Authentication (MFA)
- 인증을 위해 두 개 이상의 요소를 요구하여 신원 확인
- MFA를 이용하여 보안을 추가 제공
- 당신이 아는 것 password
- 당신이 가지고 있는 것 Devices
- 당신에게 있는 것 (생체 정보)
Azure Tenant 이해
az-900 시험에서는 그리 중요하지는 않음
Azure Tenant란?
- Azure의 기준이 되는 환경을 의미하며 회사 또는 조직을 의미함
- Azure에 접근할 수 있는 사용자 또는 서비스는 Tenant 내에 존재
- 모든 구독은 Tenant 내에 존재
- 모든 리소스 그룹과 리소스는 구독 내에 존재