• 심층 방어 접근 방식을 사용하여 아키텍처를 보호하는 방법을 알아봅니다. 

  • ID 보호하는 방법을 알아봅니다. 

  • Azure 인프라 보호에 사용할  있는 기술을 알아봅니다. 

  • 암호화를 사용하여 데이터를 보호하는 방법  위치를 알아봅니다. 

  • 네트워크 수준에서 아키텍처를 보호하는 방법을 알아봅니다. 

  • 애플리케이션 보안 모범 사례를 활용하여 애플리케이션에 보안을 통합하는 방법을 알아봅니다. 

 

 

심층 방어는 정보에 무단으로 액세스하려는 공격의 진행 속도를 늦추는 일련의 메커니즘을 사용하는 전략 

 

보안계층 

가장 안쪽에 데이터가 있음. 

 

데이터레벨 

디스크암호화 

ADE(Azure Disk Encryption)는 Windows 및 Linux IaaS 가상 머신 디스크를 암호화할 수 있는 기능입니다. ADE는 Windows의 업계 표준 BitLocker 기능과 Linux의 DM-Crypt 기능을 활용하여 OS 및 데이터 디스크에 볼륨 암호화를 제공 

Azure Key Vault와 통합 가능 

 

데이터베이스 암호화 

Azure SQL database에서는 TDE 

미사용 데이터베이스, 연결된 백업 및 트랜잭션 로그 파일의 실시간 암호화 및 암호 해독을 수행 

 

 

Key Vault를 사용하면 자격 증명 모음이라는 보안 컨테이너를 여러 개 만들 수 있습니다. 이러한 자격 증명 모음은 HSM(하드웨어 보안 모듈)에 의해 백업됩니다 

TLS(전송 계층 보안) 인증서의 요청 및 갱신을 처리가능 

 

애플리케이션 

  • 안전하고 취약점이 없도록 애플리케이션 보호 

  • 중요한 애플리케이션 비밀을 안전한 스토리지 매체에 저장 

  • 모든 애플리케이션 개발  보안을 요구 사항으로 지정 

 

계산(computing) 

  • 가싱 머신 액세스 보안 

  • 엔드포인트 보호를 구현하고 지속적으로 시스템 패치  최신 상태 유지 

 

네트워킹 

  • 조각화  액세스 제어를 통해 리소스 간의 통신 제한 

  • 기본적으로 거부에, 허용 정책 추가하는 형태 

  • 인바운드 인터넷 액세스를 금지 필요시 아웃바운드도 제한 

  • -프레미스 네트워크에 대한 보안 연결 구현 

 

경계 

  • DDoS(분산 서비스 거부) 보호 기능을 사용하여 최종 사용자에게 서비스 거부가 발생하기 전에 대규모 공격을 필터링 

  • 경계 방화벽을 사용하여 네트워크에 대한 악의적인 공격을 파악하고 그에 대해 경고 

 

정책 및 액세스 => AAD 

  • 인프라에 대한 액세스 제어, 변경 제어 

  • Single Sign-On  다단계 인증 사용 

  • 이벤트  변경 내용 감사 

정책  액세스 레이어는 ID 안전하게 보호하고, 필요할 때만 액세스 권한을 부여하고, 변경 내용을 기록 

 

물리적 보안(데이터센터 레벨) 

  • 물리적 빌드 보안  데이터 센터 내의 컴퓨팅 하드웨어에 대한 액세스 제어가  번째 방어선, 출입  생체인증  

 

 

 

보안에 있어서, 온프레미스 환경 only일 때와 다른 책임구분 

 

 

지속적인 대응, 향상 -> Azure Security Center 이용 

 

 

ID관리 

 

  1. SSO 

계정이 많으면 개인측면에서 관리가 어려움, 매번 다른 암호로 복잡도를 관리하기 어려움 

관리자 측면에서도 여러 시스템에 대해 동일한 업무를 해줘야됨 

암호분실, 조직변경 등에 대한 대응  지원팀의 부담 

 

SSO 하나의 계정과 강력한 암호 하나만 기억하면됨. 

PC 도메인조인하여 사용하면 편리 

AAD 이용한 SSO + 조직인사 동기화 (ADC 이용한 동기화) 

 

사용자지정앱 기능 확인 

 

  • -프레미스 Windows Server 설치된 -프레미스 인증 에이전트를 사용하여 통과 인증 구성 ?? 

 

 

  1. 인증  액세스 

다단계인증을 통한 ID보안 향상 

AAD MFA기능 제공 

 

AAD 조건부액세스 

IP주소차단, 맬웨어보호기능 없는 디바이스 차단기능 Rule도 생성가능 

IP주소 구분하여, 허용된 범위 아니라면 MFA 동작하게도 가능 

 

Conditional access policy 

 

 

 

 

AAD애플리케이션 프록시 

이용하여, 레거시프로그램 로그인 지원 

-> 실습 및 테스트 필요 

 

 

역할 

Azure 인스턴스/리소스에 접근할  있도록 사용자에게 부여하는 권한 집합 

 

관리그룹 

추가 계층수준 

구독을 그룹화할  있고, 정책적용 가능해짐. 

 

 Azure AD PIM(Privileged Identity Management) 

 역할 할당, 셀프 서비스 및 Just-In-Time 역할 활성화를 감독하고 Azure AD 및 Azure 리소스 액세스를 검토할 수 있는 추가 유료 제품이라함. 

 

 

 

네트워크보안 

  • 애플리케이션과 인터넷  트래픽 흐름 보호 

    노출제한 

    애플리케이션  트래픽 흐름 보호 

    리소스간 노출제한 

  • 사용자와 애플리케이션  트래픽 흐름 보호 

  

계층화된 접근방식 

인터넷 보호 

네트워크 경계에서 시작하는 경우는 인터넷 공격을 제한하고 제거하는 것에 집중합니다. 가장 먼저  일은 인터넷에 연결되는 리소스를 평가하고 필요한 경우에만 인바운드  아웃바운드 통신을 허용하는 것입니다. 모든 종류의 인바운드 네트워크 트래픽을 허용하는 모든 리소스를 식별하고, 리소스가 필요한지 확인하여 반드시 필요한 포트/프로토콜로만 제한해야 합니다.  

 

Azure Security Center 

모범사례가 적용되지 않는 리소스를 찾아줌 

예) NSG(네트워크 보안 그룹) 연결되지 않은 인터넷 연결 리소스와 방화벽의 보호를 받지 않는 리소스를 식별 

 

Application Gateway 

HTTP 기반 서비스에 고급 보안을 제공하는 WAF( 애플리케이션 방화벽) 포함하고 있는 레이어 7 부하 분산 장치입니다. WAF OWASP 3.0 또는 2.2.9 핵심 규칙 집합의 규칙을 기반으로 하며, 사이트  스크립팅  SQL 삽입 같은 널리 알려진 취약성으로부터 보호합니다. 

HTTP 기반하지 않는 서비스를 보호하기 위해 또는 사용자 지정 기능을 강화하기 위해, NVA(네트워크 가상 어플라이언스) 사용하여 네트워크 리소스를 보호할  있습니다. NVA -프레미스 네트워크에서   있는 방화벽 어플라이언스와 비슷하며, 가장 널리 사용되는 네트워크 보안 공급업체를 통해 구할  있습니다. NVA 보안 기능을 사용자 지정해야 하는 애플리케이션에 우수한 사용자 지정 기능을 제공하지만, 복잡성이 증가할  있으므로 요구 사항을 신중하게 고려해야 합니다. 

 

Azure DDoS 

DDoS 보호는 공격 트래픽을 차단하고, 나머지 트래픽을 의도하는 대상으로 전달합니다. 공격이 감지되면   안에 Azure Monitor 메트릭을 통해 알림이 전송됩니다. 

가상 네트워크 보안 

VNet(가상 네트워크) 내에서는  필요한 곳에서만 리소스  통신이 이루어지도록 제한해야 합니다. 

가상 머신 간의 통신에서는 NSG(네트워크 보안 그룹) 통해 불필요한 통신을 제한하는 것이 중요합니다. NSG 계층 3  4에서 작동하며, 네트워크 인터페이스  서브넷과 주고 받는 허용/거부된 통신 목록을 제공합니다. NSG 완전히 사용자 지정할  있으며, 가상 머신과 주고 받는 네트워크 통신을 완전히 차단하는 기능을 제공합니다. NSG 사용하여 환경, 계층  서비스 간에 애플리케이션을 격리할  있습니다. 

 

VNet 서비스 엔드포인트 

모두 막아버리고, 원하는 가상 네트워크의 통신만 허용하도록 가능 (격리가능) 

공용 인터넷 액세스를 완전히 제거하고 가상 네트워크에서만 트래픽을 허용하여 보안이 강화됩니다. 이렇게 하면 환경의 공격 노출 영역이 줄어들고, VNet Azure 서비스 간의 통신을 제한하는  필요한 관리 업무가 줄어들고,  통신에 대한 최적의 라우팅이 제공됩니다. 

 

특정 서비스에서도 아래와 같이 구성을 해줘야됨. (양쪽 모두 구성 필요) 

아래 그림에서와 같이 Allow access from의 모든네트워크 -> 선택한 네트워크로 선택 

 

 

네트워크 통합 

-프레미스 네트워크와 통합, 그리고 네트워크 보안 향상 

 

VPN(가상 사설망) 연결 

 

네트워크와 Azure 간에 전용 사설 연결을 제공하려면 ExpressRoute 사용. 

 

ExpressRoute 사용하면 Microsoft Azure 뿐 아니라 Office 365  Dynamics 365 까지 빠른 속도로, 높은 보안으로 사용가능  

 

VNet 피어링 

Azure에서 여러 VNet 쉽게 통합 가능  

NSG 사용하여 리소스를 격리할  있습니다. 이렇게 통합하면 모든 피어링된 VNet 동일한 기본 보안 계층을 제공할  있습니다.  

직접 연결된 VNet 간의 통신만 허용됩니다. 

 

 

 

 

 

 




'기술(Azure 만...) > [MS]Azure기본' 카테고리의 다른 글

SSVM 기본이미지, 기본VM은 어떻게  (0) 2019.04.30
SSVM (Azure Scaleset VM)  (0) 2019.04.30
Azure Firewall 서비스  (0) 2019.03.29
VM생성, 디스크 생성, 변경 CLI test  (0) 2019.03.12
Azure 스토리지 기본 ... 저장옵션  (0) 2019.03.10

최근 추가된 Hot 한 기능


1. 이미지 텍스트 가져오기 

이미지 붙여놓고(클립보드 이미지 붙여넣기 기능도 좋음) 

이미지에서 텍스트 추출기능(OCR) 기능 좋음. 

 

한글을 테스트 해보면, 원노트보다 오탐없이  되는 듯함. 

 

기능은 아래와 같이 접근가능 

 

 

테스트 화면 

 2. 음성녹음 + 받아쓰기 

음성 레코딩 어플로 녹음해서 구글드라이브 전송  필요없음 

 

 3. PC 연동 , 동기화

당연하겠지만, 스마트폰 구글킵 앱을 쓰고 --- PC 크롬브라우저 사용 

인터넷 서핑하다가 도움될 만한 링크는 Pocket 으로 수집했었는데, 

구글킵으로 대체 가능할 . 

 

 4. 추가 팁정리 

#업무 #개인 #쇼핑 #영화 태그기록 

나중에 태그별로 모아서   있음 

체크박스기능 

 

5. 한계점. 

메모앱 이기 때문에, 쉬운 메모관리에 포커싱되어 있음. 

, 체계적인 트리형태 관리를 하려면, 1 정제작업을 거쳐서 원노트/에버노트로 정리 필요 

 

6. 용량관련 

최초 구글(Goole)에 가입을 하시게 되면 총 15GB의 용량을 할당받게 되며 15GB 안에서 자유롭게 파일을 옮기고 쓸 수 있습니다.이 15GB안에서 지메일용량, 구글포토용량이 포함됩니다. 

, [고화질]로 설정을 하고 백업을 진행하시면 구글드라이브 용량을 먹지 않고 '무제한'으로 사진, 동영상을 백업할 수 있습니다. 

 

참고로 구글드라이브 15GB용량을 소비하지 않는 구글서비스도 있습니다. 구글킵(Google Keep), 구글문서(Docs), 스프레드시트, 설문지, 프레젠테이션 등은 용량을 차지 하지 않고 무제한으로 저장이 가능합니다.  




'Tech(테크)' 카테고리의 다른 글

2020년 아이폰se (se2)  (0) 2020.04.23
간편송금 관련 201904 한국은행 통계  (0) 2019.04.11
랜섬웨어 대응방법, 가이드  (0) 2019.03.29
2019 최근 랜섬웨어 Clop 특징, 증상  (0) 2019.03.29
신규 인터넷은행 관련 기사, 토스 ---키움증권 (3/29 업데이트)  (0) 2019.03.19

방화벽 서비스를 Azure 계산기로 금액확인하면,

매우 비쌈.

사내에 방화벽 장비 도입 검토와 비슷하게 검토되어야 될 급인듯.

 

 

작게 Azure 서비스 시작하는 경우에는 

기본적인 인바운드/아웃바운드 차단/허용 기능은 NSG만 사용해도 될듯함.

NSG

방화벽

필수사용

선택옵션

인바운드, 아웃바운드
IP/포트단위 제어 가능

포트, 프로토콜, FQDN 따라서 트래픽에 대한 아웃바운드 제어 가능

상태기반방화벽

 

가용성지원, Azure 모니터와 통합

인스턴스에 기반한 과금, 대역폭

 

추가로,

1) 위협 인텔리전스 기반 필터링

2) 서비스 태그 필터링 기능

 

 

서비스과금 ₩32,614.85/month

Data Processing 과금 ₩33.74/GB

99.95% SLA

시간단위 과금이지만, 방화벽을 껐다켰다 의미가 없으니, 744hours 하면될듯

 

Based on whitelisted FQDN only URL Filtering

Policy-based identification and control over thousands of applications

Web apps only based on whitelisted FQDN

 

 

VM-Series on Azure

팔로알토 처럼 서드파티 벤더 방화벽 product Azure VM으로 구현

https://docs.paloaltonetworks.com/vm-series/8-1/vm-series-deployment/set-up-the-vm-series-firewall-on-azure/about-the-vm-series-firewall-on-azure/vm-series-firewall-templates-on-azure.html#

General Features

VM-Series on Azure

Azure Network Security Groups

Azure

Firewall

IP/Port/Protocol-based security

X

X

X

Port ranges used within policy

X

X

X

Source and/or destination within policy

X

X

X

CIDR-based rules

X

X

X

ACL-like features within a policy

X

X

X

Security applied after traffic enters Resource Group

X

X

X

Drop vs. deny distinction within a policy

X

 

 

Next-Generation Firewall Features

 

 

 

Policy-based identification and control over thousands of applications; create custom applications; manage unknown traffic based on policy

X

 

Web apps only based on whitelisted FQDN

Policy-based, bi-directional SSL decryption and inspection; per-policy SSH control

X

 

 

Bi-directional control of traffic based on country or geographic region

X

 

 

QoS: policy-based traffic shaping (priority, guaranteed, maximum) per application, per user, per tunnel, based on DSCP classification

X

 

 

Zone-based network segmentation and protection

X

 

 

TCP protocol validation, ensuring that standard three-way handshake is valid

X

 

 

Additional Features

 

 

 

Threat Prevention: Prevent known threats (vulnerability exploits, malware and botnets), block polymorphic malware

X

 

 

Advanced Malware Protection (WildFire®): Detect potential malware, detonate, analyze and automatically deliver protections

X

 

 

URL Filtering: Control access to web resources based on category and/or specific URL; prevent access to known malicious sites and credential phishing sites

X

 

Based on whitelisted FQDN only

File and Data Filtering: Bi-directional control over unauthorized file and data transfer

X

 

 

Contextual Threat Intelligence (AutoFocus™): Context around attacks, adversaries and campaigns, including targeted industries

X

 

 

Policy Automation: Tagging to automate policy updates, ingest third-party data directly into policy

X

 

 

Centralized Management and Visibility: Single pane of glass delivers aggregated logging and event correlation; actionable insight into traffic and threats

X

 

 

Mobile Security (GlobalProtect™): Extend policy to remote users and devices

X

 

 

Integration with Azure Security Command Center: Gain more complete visibility into Azure account security status

X

X

X

Scale Out Architectures: Integration with load balancing for scalability and availability

X

X

X

 

 

세부구성 내용

1. 네트워크 규칙

소스IP/포트, 프로토콜, 목적지 IP/포트 단위로 정책 생성 가능
DNS 요청(port 53) 등도 차단/허용 가능

 

2. 어플리케이션 규칙

특정 웹사이트 아웃바운드 접속 차단

(ex. Github, twitter )

FQDN 대한 서브넷으로부터의 접근을 차단해줌

 

아래와 같이 L7 레이어 아웃바운드 block 처리 가능




'기술(Azure 만...) > [MS]Azure기본' 카테고리의 다른 글

SSVM (Azure Scaleset VM)  (0) 2019.04.30
Azure 보안 설계 기본  (0) 2019.04.05
VM생성, 디스크 생성, 변경 CLI test  (0) 2019.03.12
Azure 스토리지 기본 ... 저장옵션  (0) 2019.03.10
Azure 거버넌스3(리소스그룹,정책,태그)  (0) 2019.02.21

+ Recent posts

티스토리툴바