• Home
  • About
    • Lajancia Workspace photo

      Lajancia Workspace

      .

    • Learn More
    • Email
    • LinkedIn
    • Instagram
    • Tumblr
    • Github
  • Posts
    • All Posts
    • All Tags
  • Projects
  • Record
  • Blender
  • Blockchain

Azure 900 - 9

27 Jan 2022

Reading time ~3 minutes

Azure 보안 도구 소개

Azure Security Center

  • Azure 뿐만 아니라 On-premise 인프라의 위협을 차단하거나 감지하는 모니터링 서비스
  • 구성, 리소스, 네트워크를 기반으로 보안 권장사항 제공
  • 로그를 기반으로 보안 모니터링
  • 배포한 서비스에 보안 정책을 자동으로 적용

Azure Security Center 사용 시나리오

Azure key Vault

  • 중요한 데이터를 암호화하여 저장하고 필요할 때 액세스하는 서비스
  • 접근 제어를 통해 안전한 권한 관리와 로깅
  • 저장 가능한 유형
    • 인증 값(기밀)
    • 문자열(키)
    • 인증서
    • 하드웨어 보안 모듈(HSM Hardware Secure Module)

Azure Information Protection (AIP)

  • 레이블을 적용하여 문서 또는 전자메일을 분류하고 보호
  • 적용 가능한 AIP 레이블
    • 관리자가 정의한 규칙 및 조건을 자동으로 사용
    • 사용자가 정의한 규칙 및 조건을 수동으로 사용
    • 권장사항에 따라 자동과 수동을 결합할 수 있음

Azure Advanced Threat Protection (ATP)

  • 지능형 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 탐지 및 조사하기 위한 클라우드 기반 보안 솔루션
  • 포털: 의심스러운 활동을 모니터링하고 대응하기 위한 전용 포털
  • 센서: 도메인 컨트롤러에 직접 설치됩니다
  • 클라우드 서비스:Azure 인프라에서 실행됩니다.

Azure 거버넌스 방법론

Azure 정책

  • Azure 리소스에 대한 규칙과 효과를 적용
  • 회사 표준과 서비스 수준 계약 (SLA)를 준수할 수 있음
  • 추가 비용 없이 사용
  • 정책을 준수하지 않는 리소스 평가 및 식별
  • 정책이 적용 후 정책을 준수하지 않는 리소스 배포 불가

Azure 정책 구현

허용된 지역만 사용

  • Azure 리소스를 배포할 시 특정 지역에만 배포하도록 설정
  • 설정한 지역 이외에 리소스 배포를 시도할 시 배포 요청을 거부

허용된 가상 컴퓨터 크기

  • 가상 컴퓨터 배포 시 D Size만 배포하도록 설정
  • D size 이외 리소스 배포시 요청을 거부
  • 사내 가상 컴퓨터의 크기를 제어할 수 있다.

Azure 정책 이니셔티브

  • 이니셔티브 정의 - 여러 젗갱 정의를 단일 단위로 그룹화하여 더 큰/매크로 수준 범위에서 규정 준수를 추적
  • 이니셔티브 할당 - 특정 범위에 할당된 이니셔티브 정의. 이니셔티브 할당은 각 범위에 대해 이니셔티브 정의를 만들 필요를 줄여줌

Azure Role Base Access Control(RBAC)

  • Azure 리소스에 권한을 설정하여 접근 제어 관리
  • 특정 리소스에 특정 작업만 하도록 구성 가능
  • 리소스가 RBAC를 사용할 경우 리소스간 접근 제어 구성 가능
  • 내장된 기본 정책이 있음
    • 소유자 owner
    • 기여자 contributor
    • 읽기 전영 Reader
  • 추가 비용 없이 사용

Azure 리소스 잠금

  • 리소스를 삭제하거나 수정하는 것을 방지하는 기능
  • 사용자가 실수를 방지할 수 있음
  • 소유자가 리소스 잠금을 설정할 시 기여자는 리소스 잠금을 조작할 수 없음
  • 리소스 잠금은 하위 상속 됨
  • Read-only: 리소스 수정을 방지합니다.
  • Delete: 리소스 삭제를 방지합니다.

Azure advisor Security assistance

  • 기존에 Azure 정책에 정의된 정책에 위반하는지 모니터링
  • Azure 보안 센터와 연계하여 더 많은 보안 권장 사항 제안
  • 보안에 위배되는 설정에 대한 설명과 리소스를 알려주며 어떠한 위협이 있고 해결방법은 무엇인지 제안함

Azure Blueprint

  • Azure 리소스를 다시 만들고 정책을 즉시 적용할 수 있는 재사용 가능한 환경 정의를 만듬
  • 기본 제공 도구 및 아티팩트를 사용하여 배포를 감사하고 추적하고 규정 준수를 유지
  • Blueprint를 특정 Azure DevOps 빌드 아티팩트 및 릴리스 파이프라인과 연결하여 엄격한 추적을 수행

Azure 모니터링과 리포팅

Azure Monitor

  • Azure에서 모니터링 할 수 있는 리소스들의 지표 모음
  • Azure에 리소스를 만든 즉시 모니터링 데티어 수집
  • 수집된 모니터링 데이터를 기반으로 알람 설정 등을 할 수 있음
  • Activity logs: 리소스를 생성하거나 수정하는 것에 대한 감사 로그
  • Metrics: 생성된 리소스의 성능과 사용량에 대한 지표

Tag

  • Azure 리소스에 key-value 형식의 tag를 추가
  • tag를 기반으로 리소스를 그룹화 또는 검색할 수 있음
  • Tag값이 있으면 비용 정보를 보기에 매우 용이
  • 리소스 생성 시 가급적 많은 tag를 지정하여 사용하는 것을 권장

Azure Service Health

  • Azure Status 웹페이지는 Azure 전체 가용량에 대한 상태 대시보드
  • Azure Service Health는 개인화된 상태 대시보드로써 사용자가 소유한 리소스에 대해 이슈가 있을 시 알람을 주는 서비스
  • Azure Resource Health는 리소스에 영향을 주는 Azure 서비스에 대한 문제를 진단하고 해결책을 얻을 수 있는 서비스

응용프로그램 및 서비스 모니터링

  • 분석: Application Insight와 함께 컨테이너, 가상 머신 등과 같은 리소스의 모니터링 데이터를 사용
  • 알림: 모니터 데이터에서 설정된 조건에 능동적인 대응을 설정할 수 있으며, 모니터 Metrics와 함께 auto scale을 사용할 수 있음
  • 시각화: 모니터 데이터를 사용하여 Power BI로 시각화, 차트, 테이블 등을 만들 수 있음
  • 통합: 모니터를 다른 시스템과 통합하여 요구사항에 맞는 사용자 지정 솔루션을 구축할 수 있음

azuremsaz-900 Share Tweet +1