Share via

Azure 개발/테스트 구독 내 보안

  • 아티클

리소스를 안전하게 유지하기 위해서는 클라우드 공급자, Azure, 개발자가 공동으로 노력해야 합니다. Azure 개발/테스트 구독 및 클라우드용 Microsoft Defender는 네트워크를 강화하고 서비스를 보호하며 보안 태세를 최상으로 유지하는 데 필요한 도구를 제공합니다.

Azure 개발/테스트 구독 내의 중요한 도구는 리소스에 대한 보안 액세스를 만드는 데 도움이 됩니다.

  • Azure 관리 그룹
  • Azure Lighthouse
  • 크레딧 모니터링
  • Microsoft Entra ID

Azure 관리 그룹

Azure 개발/테스트 구독을 사용 및 설정할 때 Azure는 단일 Microsoft Entra 도메인에서 리소스에 대한 ID 및 액세스를 관리하는 기본 리소스 계층 구조를 배포합니다. 리소스 계층 구조를 사용하면 조직에서 리소스 및 사용자에 대한 강력한 보안 경계를 설정할 수 있습니다.

A screenshot of the Azure Management Groups

리소스, 리소스 그룹, 구독, 관리 그룹 및 테넌트가 리소스 계층 구조를 집합적으로 구성합니다. Azure 사용자 지정 역할 또는 Azure 정책 할당에서 이러한 설정을 업데이트하고 변경하면 리소스 계층 구조에 있는 모든 리소스에 영향을 미칠 수 있습니다. 모든 리소스에 부정적인 영향을 줄 수 있는 변경으로부터 리소스 계층 구조를 보호하는 것이 중요합니다.

Azure 관리 그룹은 단일 테넌트에서 액세스를 관리하고 리소스를 보호하는 데 중요한 측면입니다. Azure 관리 그룹을 사용하면 할당량, Azure 정책 및 보안을 다양한 유형의 구독으로 설정할 수 있습니다. 이러한 그룹은 조직의 개발/테스트 구독에 대한 보안을 개발하는 데 중요한 구성 요소입니다.

A screenshot of Azure org and governance groupings

보시다시피 관리 그룹을 사용하면 기본 계층 구조가 변경되고 관리 그룹에 대한 수준이 추가됩니다. 리소스 계층 구조를 보호하기 위해 적절한 프로세스를 따르지 않으면 이 동작으로 인해 예기치 않은 상황과 보안 허점이 발생할 수 있습니다.

Azure 관리 그룹이 유용한 이유는 무엇인가요?

조직의 개발/테스트 구독에 대한 보안 정책을 개발할 때 조직 단위 또는 사업 부문에 따라 여러 개발/테스트 구독을 사용하도록 선택할 수 있습니다. 다음 다이어그램에서 해당 관리 그룹화의 시각적 개체를 볼 수 있습니다.

A diagram of subscription management groupings for multiple subscriptions within an organization.

다른 모든 단위에 대해 하나의 개발/테스트 구독을 선택할 수도 있습니다.

Azure 관리 그룹 및 개발/테스트 구독은 조직 구조 내에서 보안 장벽 역할을 합니다.

이 보안 장벽에는 두 가지 구성 요소가 있습니다.

  • ID 및 액세스: 특정 리소스에 대한 액세스를 분할해야 할 수 있습니다.
  • 데이터: 개인 정보에 액세스하는 리소스에 대한 다양한 구독

Microsoft Entra 테넌트 사용

테넌트는 조직 또는 앱 개발자가 Microsoft와의 관계를 맺을 때(예: Azure, Microsoft Intune 또는 Microsoft 365에 등록) 조직 또는 앱 개발자가 받는 Microsoft Entra ID의 전용 인스턴스입니다.

각 Microsoft Entra 테넌트는 다른 Microsoft Entra 테넌트와 별개입니다. 각 Microsoft Entra 테넌트에는 회사 및 학교 ID, 소비자 ID(Azure AD B2C 테넌트인 경우) 및 앱 등록에 대한 자체 표현이 있습니다. 테넌트 내의 앱 등록은 오직 테넌트 또는 모든 테넌트 내의 계정의 인증을 허용할 수 있습니다.

단일 테넌트 내의 관리 그룹을 넘어 조직의 ID 인프라를 추가로 분리해야 하는 경우 자체 리소스 계층 구조를 사용하여 다른 테넌트도 만들 수 있습니다.

별도의 리소스와 사용자를 쉽게 수행할 수 있는 방법은 새 Microsoft Entra 테넌트를 만드는 것입니다.

새 Microsoft Entra 테넌트 만들기

Microsoft Entra 테넌트가 없거나 개발을 위한 새 테넌트를 만들려면 빠른 시작 가이드를 참조하거나 디렉터리 만들기 환경의 절차를 따르세요. 새 테넌트를 만들려면 다음 정보를 제공해야 합니다.

  • 조직 이름
  • 초기 도메인 - /*.onmicrosoft.com의 일부입니다. 나중에 도메인을 사용자 지정할 수 있습니다.
  • 국가 또는 지역

Microsoft Entra 테넌트 만들기 및 설정에 대해 자세히 알아보기

Azure Lighthouse를 사용하여 여러 테넌트 관리

Azure Lighthouse는 교차 및 다중 테넌트 관리를 지원하여 리소스 및 테넌트 간에 더 높은 자동화, 확장성 및 향상된 거버넌스를 허용합니다. 서비스 공급자는 Azure 플랫폼에 기본 제공되는 포괄적이고 강력한 관리 도구를 사용하여 관리되는 서비스를 제공할 수 있습니다. 고객은 테넌트에 액세스할 수 있는 사용자, 이들이 액세스할 수 있는 리소스 및 수행할 수 있는 작업을 제어할 수 있습니다.

Azure Lighthouse의 일반적인 시나리오는 고객의 Microsoft Entra 테넌트에서 리소스를 관리하는 것입니다. 그러나 Azure Lighthouse의 기능은 여러 Microsoft Entra 테넌트를 사용하는 엔터프라이즈 내에서 테넌트 간 관리를 간소화하는 데 사용할 수도 있습니다.

대부분의 조직에서는 단일 Microsoft Entra 테넌트를 사용하여 더 쉽게 관리할 수 있습니다. 모든 리소스가 한 테넌트 내에 있으면 해당 테넌트 내의 지정된 사용자, 사용자 그룹 또는 서비스 주체가 관리 작업을 중앙 집중식으로 수행할 수 있습니다.

다중 테넌트 아키텍처가 필요한 경우 Azure Lighthouse를 사용하여 관리 작업을 중앙 집중화하고 간소화할 수 있습니다. Azure 위임된 리소스 관리를 사용하여 단일 관리 테넌트 내 사용자는 중앙 집중화되고 스케일링 가능한 방식으로 테넌트 간 관리 기능을 수행할 수 있습니다.

주요 보안 리소스