Cloud Security : Azure의 클라우드 보안 솔루션

안녕하세요, MC에몽입니다.

오늘은 Azure에서 제공하고 있는 클라우드 보안 솔루션들에 대해 알아보겠습니다.

 

다른 클라우드서비스에서도 공통적으로 제공하는 기능들이 많으므로 Azure만의 차별점이 많지는 않지만, IAM에 있어서 Windows OS에서 사용자 및 보안 관리를 위해 사용되던 Active Directory를 Cloud에 적용한 Azure Active Directory와 같은 기능 등 다른 CSP 사에서 제공하지 않는 Azure만의 특징이 있습니다.

 

그러면 Azure에서 제공하는 클라우드 보안 솔루션에 대하여 알아보도록 하겠습니다.

위에 보시는 그림은 Azure가 제공하는 “보안 솔루션” 리스트입니다.

위 리스트처럼 다양한 보안 솔루션이 있지만 그 중에서 IAM, Network Security, Host Security 3파트에 대한 대표적인 솔루션을 추려서 다뤄보겠습니다.

첫번째로 IAM의 Azure Active Directory 입니다. 

Active Directory는 회사 직원들의 계정 정보(ID, Password)와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들(예를 들어 패스워드를 최소 8자리에 30일 마다 변경한다 든지, 컴퓨터를 5분이상 사용하지 않으면 화면 보호기가 실행된다 든지 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스라고 할 수 있습니다.

Azure AD(Azure Active Directory)는 클라우드 기반 ID 및 액세스 관리 서비스입니다. 이 서비스를 통해 Azure Portal및 수천 개의 기타 SaaS 애플리케이션과 같은 외부 리소스에 액세스할 수 있습니다.

예를 들어 회사 전체 IT 시스템에서 사용자에 대한 인증과 권한이 필요한 부분에서는 모두 Active Directory의 정보를 활용한다고 보시면 될겁니다. 인증은 사용자가 누구인지 확인하는 것이고 권한은 어떤 작업을 수행하는것이 가능한지의 허가를 확인하는 것 입니다.

인증과 권한이 사용되는 모든 곳에서 Active Directory 정보가 사용된다고 보시면 되겠습니다.

두번째 Network Security의 Azure NSG(Network Security Group) 입니다.

Azure NSG는 Azure 리소스와 주고 받는 네트워크 트래픽을 제어할 수 있는 기능입니다. 외부망과 내부망을 논리적으로 구분할 수 있으며, 인/아웃바운드 규칙으로 주요 서비스 접근을 제어합니다.

NSG는 다음과 같은 특징을 가지고 있습니다.

VNet은 기본적으로 허용 상태이며 우선 순위를 통해 네트워크 트래픽을 제어하며 인바운드 액세스는 거부, 아웃바운드 액세스를 허용합니다. 숫자가 작을수록 우선 순위가 높으며, 우선 순위에 따라 네트워크 트레픽을 제어할수 있습니다.

Azure NSG 규칙을 추가할 때는 특징과 운영 환경을 고려하여 인/아웃바운드 규칙을 추가하여 운영해야 합니다. 특히, 인바운드 규칙이 Any(모두)로 적용되어 있을 경우 전세계에서 접근이 가능하기 때문에 포트/소스/대상 주소는 지정하여 규칙을 추가하여 관리해줘야 합니다. 

다양한 서비스를 연결하는 서비스일 경우 다수의 규칙이 복잡하게 설정되어 있어 관리에 어려움이 있습니다. 이를 해결하고자 Azure에서는 Service Tag와 Application security group(ASG)를 활용할 것을 권고하고 있습니다.

Service Tag와 ASG를 활용하여 복잡하게 설정된 네트워크 규칙을 간소화할 수 있으며, 간편하게 유지/관리가 가능합니다.

즉, Azure NSG는 Firewall과 Security Group의 기능이 합쳐진 보안 솔루션입니다.

 

마지막 Host Security의 Azure Disk Encryption에 대하여 설명해 드리겠습니다.

Host Security란 VM 즉, Virtual Machine 자체에 대한보안 솔루션을 의미합니다. 

Azure Disk Encryption은 Azure VM의 OS 및 데이터 디스크에 볼륨 암호화를 제공하며, 디스크 암호화 키 및 비밀을 제어하고 관리하는 데 유용한 Azure Key Vault와 통합하여 관리됩니다.

운영체제에 따라서 Linux는 DM-Crypt 기능, Windows는 BitLocker 기능을 사용하고 암호화를 위해 VM의 CPU를 사용합니다.

다른 데이터 암호화 방식에 비해 ADE는 임시디스크, 캐시, 컴퓨터와 스토리지간에 암호화된 데이터 흐름 등 더 다양한 항목에 대한 암호화를 제공합니다. 

이상으로 Azure에서 제공하는 클라우드 보안 솔루션에 대하여 알아보았습니다.

 

다음 시간에는 앞에서 소개한 AWS, GCP, Azure 3개 CSP사의 보안 솔루션과 그 특징들을 총체적으로 비교해보는 시간을 가지겠습니다.

 

See you next time!

 

참고문헌 

1. Microsoft : active-directory란 무엇인가?
https://docs.microsoft.com/ko-kr/azure/active-directory/fundamentals/active-directory-whatis 

2. Microsoft : Network-security-groups 개요
https://docs.microsoft.com/ko-kr/azure/virtual-network/network-security-groups-overview

3. Microsoft : disk-encryption 개요
https://docs.microsoft.com/ko-kr/azure/virtual-machines/disk-encryption-overview