Azure Storage에 제로 트러스트 원칙 적용
요약: Azure Storage에 제로 트러스트 원칙을 적용하려면 데이터를 보호하고(미사용, 전송 중 및 사용 중), 사용자 및 제어 액세스를 확인하고, 네트워크 컨트롤을 사용하여 중요한 데이터를 분리하거나 분리하고, 자동화된 위협 탐지 및 보호를 위해 Defender for Storage를 사용해야 합니다.
이 문서에서는 Azure Storage에 제로 트러스트 원칙을 적용하는 단계를 제공합니다.
| 제로 트러스트 원칙 | 정의 | Met by |
|---|---|---|
| 명시적으로 확인 | 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. | 사용자 자격 증명 및 액세스를 확인합니다. |
| 최소 권한 액세스 사용 | JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. | 최소 권한으로 스토리지 데이터에 대한 액세스를 제어합니다. |
| 위반 가정 | 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. | 미사용 데이터, 전송 중인 데이터 및 사용 중인 데이터를 보호합니다. 네트워크 컨트롤을 사용하여 중요한 데이터를 구분합니다. 자동화된 위협 탐지 및 보호에 Defender for Storage를 사용합니다. |
이 문서는 IaaS 워크로드를 지원하는 Azure Storage 서비스를 포함하는 Azure 환경에서 제로 트러스트 원칙을 적용하는 방법을 보여 주는 일련의 문서의 일부입니다. 개요는 Azure 인프라에 제로 트러스트 원칙 적용을 참조하세요.
Azure의 스토리지 아키텍처
테넌트 및 디렉터리 수준에서부터 데이터 계층의 스토리지 컨테이너에 이르기까지 아키텍처 전반에 걸쳐 Azure Storage에 대한 제로 트러스트 원칙을 적용합니다.
다음 다이어그램에서는 논리 아키텍처 구성 요소를 보여 줍니다.
이 다이어그램에서
- 참조 아키텍처에 대한 스토리지 계정은 전용 리소스 그룹에 포함되어 있습니다. RBAC(보다 세부적인 역할 기반 액세스 제어)를 위해 다른 리소스 그룹의 각 스토리지 계정을 격리할 수 있습니다. RBAC 권한을 할당하여 리소스 그룹 또는 리소스 그룹 수준에서 스토리지 계정을 관리하고 Microsoft Entra ID 로깅 및 PIM(Privileged Identity Management)과 같은 도구를 사용하여 감사할 수 있습니다. 하나의 Azure 구독에서 여러 해당 스토리지 계정을 사용하여 여러 애플리케이션 또는 워크로드를 실행하는 경우 각 스토리지 계정의 RBAC 권한을 해당 소유자, 데이터 보유자, 컨트롤러 등으로 제한하는 것이 중요합니다.
- 이 다이어그램에 대한 Azure Storage 서비스는 전용 스토리지 계정 내에 포함되어 있습니다. 각 유형의 스토리지 워크로드에 대해 하나의 스토리지 계정을 가질 수 있습니다.
- 참조 아키텍처에 대한 자세한 내용은 Azure IaaS에 제로 트러스트 원칙 적용 개요를 참조하세요.
다이어그램에는 Azure 큐 및 Azure 테이블이 포함되지 않습니다. 이 문서의 동일한 지침을 사용하여 이러한 리소스를 보호합니다.
이 문서의 내용
이 문서에서는 참조 아키텍처 전체에서 제로 트러스트 원칙을 적용하는 단계를 안내합니다.
| 단계 | 작업 | 적용된 제로 트러스트 원칙 |
|---|---|---|
| 1 | 미사용 데이터, 전송 중인 데이터, 사용 중인 데이터 등 세 가지 모드로 데이터를 보호합니다. | 위반 가정 |
| 2 | 최소 권한으로 사용자를 확인하고 스토리지 데이터에 대한 액세스를 제어합니다. | 명시적으로 확인 최소 권한 액세스 사용 |
| 3 | 네트워크 컨트롤을 사용하여 중요한 데이터를 논리적으로 분리하거나 분리합니다. | 위반 가정 |
| 4 | 자동화된 위협 탐지 및 보호에 Defender for Storage를 사용합니다. | 위반 가정 |
1단계: 미사용 데이터, 전송 중인 데이터, 사용 중인 데이터 등 세 가지 모드에서 모두 데이터 보호
스토리지 계정을 만들 때 미사용 데이터, 전송 중 및 사용 중인 데이터를 보호하기 위한 대부분의 설정을 구성합니다. 다음 권장 사항을 사용하여 이러한 보호를 구성합니다. 또한 클라우드용 Microsoft Defender 각 Azure 서비스에 대한 보안 기준을 간략하게 설명하는 Microsoft 클라우드 보안 벤치마크에 대해 스토리지 계정을 자동으로 평가할 수 있도록 하는 것이 좋습니다.
이러한 스토리지 보안 컨트롤에 대한 자세한 내용은 여기를 참조 하세요.
전송 중 암호화 사용
Azure와 클라이언트 간에 전송 수준 보안을 사용하도록 설정하여 데이터를 안전하게 유지합니다. 항상 HTTPS를 사용하여 공용 인터넷을 통한 통신을 보호합니다. REST API를 호출하여 스토리지 계정의 개체에 액세스하는 경우 스토리지 계정에 필요한 보안 전송을 요구하여 HTTPS 사용을 적용할 수 있습니다. 안전하지 않은 연결에서 시작된 모든 요청은 거부됩니다.
이 구성은 새 Azure Storage 계정을 배포할 때 기본적으로 사용하도록 설정됩니다(기본적으로 보안).
Azure Storage에 대한 안전하지 않은 연결 배포를 거부하는 정책을 적용하는 것이 좋습니다(설계상 보안).
이 구성에는 암호화를 사용하는 SMB 3.0도 필요합니다.
익명 공용 읽기 액세스 방지
기본적으로 공용 Blob 액세스는 금지되지만 적절한 권한이 있는 사용자는 액세스 가능한 리소스를 구성할 수 있습니다. 익명 액세스에서 데이터 위반을 방지하려면 데이터에 액세스할 수 있는 사용자를 지정해야 합니다. 스토리지 계정 수준에서 이를 방지하면 사용자가 컨테이너 또는 Blob 수준에서 이 액세스를 사용하도록 설정할 수 없습니다.
자세한 내용은 컨테이너 및 Blob에 대한 익명 공용 읽기 액세스 방지를 참조 하세요.
공유 키 권한 부여 방지
이 구성은 스토리지 계정이 공유 키로 수행된 모든 요청을 거부하도록 강제하고 대신 Microsoft Entra 권한 부여를 요구합니다. Microsoft Entra ID는 위험 기반 액세스 메커니즘을 사용하여 데이터 계층에 대한 액세스를 강화할 수 있으므로 보다 안전한 선택입니다. 자세한 내용은 Azure Storage 계정에 대한 공유 키 권한 부여 방지를 참조하세요.
여기에 표시된 것처럼 스토리지 계정의 구성 설정에서 세 가지 모드 모두에 대한 데이터 보호를 구성합니다.
스토리지 계정을 만든 후에는 이러한 설정을 변경할 수 없습니다.
필요한 최소 버전의 TLS(전송 계층 보안) 적용
현재 Azure Storage에서 지원하는 가장 높은 버전은 TLS 1.2입니다. 최소 TLS 버전을 적용하면 이전 버전을 사용하는 클라이언트의 요청이 거부됩니다. 자세한 내용은 스토리지 계정에 대한 요청에 필요한 최소 TLS 버전 적용을 참조 하세요.
복사 작업의 범위 정의
복사 작업의 범위를 정의하여 복사 작업을 동일한 Microsoft Entra 테넌트 내에 있거나 대상 스토리지 계정과 동일한 VNet(가상 네트워크)에 대한 Private Link가 있는 원본 스토리지 계정의 작업으로만 제한합니다.
복사 작업을 프라이빗 엔드포인트가 있는 원본 스토리지 계정으로 제한하는 것이 가장 제한적인 옵션이며 원본 스토리지 계정에 프라이빗 엔드포인트를 사용하도록 설정해야 합니다.
여기에 표시된 것처럼 스토리지 계정의 구성 설정에서 복사 작업에 대한 범위를 구성합니다.
미사용 암호화 작동 방식 이해
Azure Storage에 기록된 모든 데이터는 256비트 AES(Advanced Encryption Standard) 암호화를 사용하여 SSE(Storage Service Encryption) 로 자동으로 암호화됩니다. SSE는 데이터를 Azure Storage에 쓸 때 자동으로 암호화합니다. Azure Storage에서 데이터를 읽을 때 Azure Storage는 먼저 암호를 해독한 후에 데이터를 반환합니다. 이 프로세스에서는 추가 비용이 발생하지 않으며 성능이 저하되지 않습니다. CMK(고객 관리형 키)를 사용하면 키 암호화 키의 회전을 제어하거나 암호화적으로 데이터를 지우는 추가 기능을 제공합니다.
여기에 표시된 것처럼 스토리지 계정을 만들 때 암호화 블레이드에서 CMK를 사용하도록 설정합니다.
서비스 및 인프라 수준에서 이중 암호화를 제공하는 인프라 암호화를 사용하도록 설정할 수도 있습니다. 스토리지 계정을 만든 후에는 이 설정을 변경할 수 없습니다.
참고 항목
스토리지 계정 암호화에 고객 관리형 키를 활용하려면 계정을 만드는 동안 사용하도록 설정해야 하며 적절한 권한이 이미 프로비전된 키 및 관리 ID가 있는 Key Vault가 있어야 합니다. 필요에 따라 Azure Storage 인프라 수준에서 256비트 AES 암호화를 사용하도록 설정할 수도 있습니다.
2단계: 최소 권한으로 사용자 확인 및 스토리지 데이터에 대한 액세스 제어
먼저 Microsoft Entra ID를 사용하여 스토리지 계정에 대한 액세스를 제어합니다. 스토리지 계정에서 역할 기반 액세스 제어를 사용하면 OAuth 2.0을 사용하여 액세스 기반 작업 함수를 세부적으로 정의할 수 있습니다. 조건부 액세스 정책에 세분화된 액세스를 맞출 수 있습니다.
스토리지 계정에 대한 역할은 관리 또는 데이터 수준에서 할당되어야 합니다. 따라서 Microsoft Entra ID를 인증 및 권한 부여 방법으로 사용하는 경우 사용자에게 적절한 역할 조합을 할당하여 작업 기능을 완료하는 데 필요한 최소한의 권한을 부여해야 합니다.
세분화된 액세스를 위한 스토리지 계정 역할 목록은 Storage에 대한 Azure 기본 제공 역할을 참조하세요. RBAC 할당은 스토리지 계정의 액세스 제어 옵션을 통해 수행되며 다양한 범위에서 할당할 수 있습니다.
여기에 표시된 것처럼 스토리지 계정의 IAM(Access Control) 설정에서 액세스 제어를 구성합니다.
사용자, 그룹, 서비스 주체 또는 관리 ID의 액세스 수준을 확인하고 역할 할당을 추가할 수 있습니다.
시간 제한 권한을 제공하는 또 다른 방법은 SAS(공유 액세스 서명)를 사용하는 것입니다. 높은 수준에서 SAS 를 사용하는 경우 모범 사례는 다음과 같습니다.
- 항상 HTTPS를 사용하세요. Azure 랜딩 존에 대해 제안된 Azure Policy를 배포한 경우 HTTPS를 통한 보안 전송이 감사됩니다.
- 해지 계획을 세워야 합니다.
- SAS 만료 정책을 구성합니다.
- 사용 권한의 유효성을 검사합니다.
- 가능한 경우 사용자 위임 SAS를 사용합니다. 이 SAS는 Microsoft Entra ID 자격 증명으로 서명됩니다.
3단계: 네트워크 컨트롤을 사용하여 중요한 데이터를 논리적으로 분리 또는 분리
이 단계에서는 권장되는 컨트롤을 사용하여 Azure Storage 서비스와의 네트워크 연결을 보호합니다.
다음 다이어그램에서는 참조 아키텍처에서 Azure Storage 서비스에 대한 네트워크 연결을 강조 표시합니다.
| 작업 | 설명 |
|---|---|
| 공용 액세스를 방지하고 프라이빗 엔드포인트 및 Private Link를 사용하여 네트워크 분할을 만듭니다. | 프라이빗 엔드포인트를 사용하면 Azure Private Link를 사용하여 VNet에서 단일 개인 IP 주소를 사용하여 서비스에 연결할 수 있습니다. |
| Azure Private Link 사용 | Azure Private Link를 사용하여 VNet의 프라이빗 엔드포인트를 통해 Azure Storage에 액세스합니다. 승인 워크플로를 사용하여 적절하게 자동으로 승인하거나 수동으로 요청합니다. |
| 서비스 엔드포인트를 사용하여 데이터 원본에 대한 공용 액세스 방지 | 공용 IP 주소를 사용하지 않고 VNet의 개인 IP 주소가 엔드포인트에 도달할 수 있도록 하여 서비스 엔드포인트를 사용하여 네트워크 구분을 수행할 수 있습니다. |
여기에 표시된 것처럼 스토리지 계정의 네트워킹 설정에서 프라이빗 엔드포인트를 구성합니다.
4단계: 자동화된 위협 감지 및 보호에 Defender for Storage 사용
스토리지 용 Microsoft Defender는 스토리지 서비스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하는 추가 수준의 인텔리전스를 제공합니다. Microsoft Defender for Storage는 Microsoft Defender for Cloud에 내장되어 있습니다.
Defender for Storage는 다음과 같은 비정상적인 액세스 패턴 경고를 검색합니다.
- 비정상적인 위치에서 액세스
- 애플리케이션 변칙
- 익명 액세스
- 비정상적인 추출/업로드 경고
- 데이터 반출
- 예기치 않은 삭제
- Azure Cloud Service 패키지 업로드
- 의심스러운 스토리지 활동 경고
- 액세스 권한 변경
- 액세스 검사
- 데이터 탐색
참조 아키텍처 전반의 위협 방지에 대한 자세한 내용은 Azure IaaS에 제로 트러스트 원칙 적용 개요를 참조하세요.
사용하도록 설정되면 Defender for Storage는 Azure Storage 계정의 보안 상태를 개선하기 위한 보안 경고 및 권장 사항을 알릴 수 있습니다.
다음은 경고 및 방지 조치에 대한 설명이 강조 표시된 스토리지 계정에 대한 보안 경고의 예입니다.
권장 교육
스토리지 보안 구성
| 학습 | 스토리지 보안 구성 |
|---|---|
|
스토리지 액세스 서명 같은 일반적인 Azure Storage 보안 기능을 구성하는 방법을 알아봅니다. 이 모듈에서는 다음 방법을 알아봅니다. |
Azure의 보안에 대한 자세한 내용은 Microsoft 카탈로그에서 다음 리소스를 참조하세요.
Azure의 보안 | Microsoft Learn
다음 단계
Azure에 제로 트러스트 원칙을 적용하려면 다음 추가 문서를 참조하세요.
- Azure IaaS 개요
- Azure Virtual Desktop
- Azure 가상 WAN
- Amazon Web Services의 IaaS 애플리케이션
- Microsoft Sentinel 및 Microsoft Defender XDR
기술 일러스트레이션
이 포스터는 Azure IaaS의 구성 요소를 참조 및 논리 아키텍처로 한눈에 볼 수 있는 단일 페이지 보기와 이러한 구성 요소에 적용된 제로 트러스트 모델의 "신뢰할 수 없음, 항상 확인" 원칙을 갖도록 하는 단계를 제공합니다.
| 항목 | 설명 |
|---|---|
 PDF | Visio 업데이트 날짜: 2024년 3월 |
이 그림과 함께 다음 문서를 사용합니다. Azure IaaS 개요에 제로 트러스트 원칙 적용 관련 솔루션 가이드 |
이 포스터는 Azure IaaS용 제로 트러스트 별도의 구성 요소에 대한 참조 및 논리 아키텍처 및 자세한 구성을 제공합니다. 별도의 IT 부서 또는 전문 분야에 대해 이 포스터의 페이지를 사용하거나 Microsoft Visio 버전의 파일을 사용하여 인프라에 대한 다이어그램을 사용자 지정합니다.
| 항목 | 설명 |
|---|---|
 PDF | Visio 업데이트 날짜: 2024년 3월 |
Azure IaaS 개요에 제로 트러스트 원칙 적용: 여기에서 시작하는 문서와 함께 이러한 다이어그램 사용 관련 솔루션 가이드 |
추가 기술 일러스트레이션을 보려면 여기를 클릭하세요.
참조
이 문서에 언급된 다양한 서비스 및 기술에 대해 알아보려면 아래 링크를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기