무엇이든지 기록

Import-Module -Name Az UnauthorizedAccess

Login-AzAccount =Connect-AzAccount

AzureRm -> Az

Select-AzSubscription -Tenant 'da910980-928b-449c-88b9-7777777777777777'

# 구독 선택

$subscriptionId = (Get-AzSubscription | Out-GridView -Title 'Azure 구독 선택 :' -PassThru )

Select-AzSubscription -SubscriptionId $subscriptionId.Id

# 리소스 그룹 선택

$rgName = '20190625rg'

#혹은 요게 좋네

$resourceGroup = Get-AzResourceGroup -Name '20190625rg'

# NSG 이름 및 Azure 지역 설정

$nsgName = "Trusted-Nsg01"

$location = $resourceGroup.Location

$source1 = "8.8.8.8/32"

$source2 ="8.8.4.4/32"

$source3 ="*"

$dest1 ="3389"

$dest2 ="443"

$dest3 ="80"

$tag = "블로그"

$rule1 = New-azNetworkSecurityRuleConfig -Name rdp-rule -Description "Allow RDP" ` -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 ` -SourceAddressPrefix $source1 -SourcePortRange * ` -DestinationAddressPrefix * -DestinationPortRange $dest1

$rule2 = New-azNetworkSecurityRuleConfig -Name web-rule2 -Description "Allow Port" ` -Access Allow -Protocol Tcp -Direction Inbound -Priority 101 ` -SourceAddressPrefix $source2 -SourcePortRange * -DestinationAddressPrefix * ` -DestinationPortRange $dest2

$rule3 = New-azNetworkSecurityRuleConfig -Name web-rule3 -Description "Allow Port" ` -Access Allow -Protocol Tcp -Direction Inbound -Priority 103 ` -SourceAddressPrefix $source3 -SourcePortRange * -DestinationAddressPrefix * ` -DestinationPortRange $dest3

$rule4 = New-azNetworkSecurityRuleConfig -Name web-rule4 -Description "Allow Port" ` -Access Allow -Protocol Tcp -Direction Inbound -Priority 104 ` -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * ` -DestinationPortRange 88

#applying the Rules

$nsg = New-azNetworkSecurityGroup -ResourceGroupName $rgName -Location $location -Name $nsgName -SecurityRules $rule1,$rule2,$rule3,$rule4

# Display default and security rules for NSG

(Get-azNetworkSecurityGroup -Name $nsgName -ResourceGroupName $rgName).SecurityRules | Select-Object * | Out-GridView (Get-azNetworkSecurityGroup -Name $nsgName -ResourceGroupName $rgName).DefaultSecurityRules | Select-Object * | Out-GridView

#Remove NSG

Remove-azNetworkSecurityGroup -Name $nsgName -ResourceGroupName $rgName

##가용성집합 파워셸 

$vmname = 'vm1' 

$vmsize = 'Standard_DS2_v2' 

$resourceGroup = Get-AzResourceGroup -Name 'rg01' 

$location = $resourceGroup.Location 

$avset = Get-AzAvailabilitySet -ResourceGroup $resourceGroup.ResourceGroupName -Name 'avset01' 

$vnet = Get-AzVirtualNetwork -Name 'vnet01' -ResourceGroup $resourceGroup.ResourceGroupName  

$subnetid = (Get-AzVirtualNetworkSubnetConfig -Name 'subnet01' -Virtualnetwork $vnet).Id 

내가추가 

$rgName = $resourceGroup.ResourceGroupName 

$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $rgName -Location $location -Name "$vmname-nsg01" 

$pip = New-AzPublicIpAddress -Name "$vmname-pip01" -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic 

$nic = New-AzNetworkInterface -Name "$($vmname)$(Get-Random)" -ResourceGroupName $rgName -Location $location -SubnetId $subnetid -publicIpAdressId $pip.Id -NetworkSecuriryGroupId $nsg.Id 

$adminusername = 'aladmin' 

$adminPassword = 'Pa55w0rd12341234' 

$adminCreds = New-Object PSCredential $adminusername, ($adminPaasword | ConvertTo-SecureString -AsPlainText -Force) 

$publisherName = 'MicrosoftWindowsServer' 

$offerName = 'WindowsServer' 

$skuName = '2016-Datacenter' 

##배열 첫번째 값 꼭 적어야되나? 

$osdisktype = (Get-AzDisk -ResourceGroupName $rgName)[0].Sku.Name 

$vmconfig = New-AzVMConfig -VMName $vmname -VMSize $vmsize -AvailabilitySetId $avset.Id 

##VM 개별요소 추가 시 에는 config 지정 

Add-AzVMNetworkInterface -VM $vmconfig -Id $nic.Id  

Set-AzVMOperatingSystem -VM $vmconfig -Windows -ComputerName $vmName -Credential $adminCreds 

Set-AzVMSourceImage -VM $vmconfig -PublisherName $publisherName -Offer $offerName -Skus $skuName  -Version 'latest' 

Set-AzVMOSDisk -VM $vmconfig -Name "$($vmname)_OsDisk_1_$(Get-Random)" -StorageAccountType $osdisktype -CreateOption fromImage 

Set-AzVMBootDiagnostic -VM $vmconfig -Disable 

##"$($vmname)_OsDisk_1_$(Get-Random)"  

## $는 함수앞에 무조건 

## 변수값을 그대로 쓰려면 쌍따옴표 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vmconfig 

기본 VM 1개 세부구성도 

과금분석 

Azure VM의 구성은 크게 컴퓨팅 + 스토리지 

Compute 과금 즉, VM을  Off하더라도, 스토리지 과금은 계속 된다. 

상태에 따른 과금 분석 

그외 추가 과금 

1. Public ip (정적) 

2. 진단 데이터 스토리지 

3. 백업 과금 

1. VM 삭제 시 남겨지는 것들 

   • NIC 

   • NSG 

   • Public IP 

   • Disk  

   • 진단저장소 

   • 백업 

    

가용성집합 

• 백그라운드 블랙박스에서 돌아가는 중단에 대한 대응 가능 

• 생성 시 에만 넣을 수 있음. 

• LB와 연관 

사용자의 VM을 게스트 컴퓨터 

Azure Datacenter의 물리적 하드웨어를 호스트 컴퓨터 

가용성 세트는 호스트 시스템 하드웨어 장애, 호스트 시스템 OS 및 보안 업데이트 다시 시작으로부터 VM을 보호합니다 

NIC 

NIC 여러 개 가능, 하나의 Vnet에 서로다른 서브넷의 NIC는 가능하다. 

그러나 다른 Vnet의 NIC를 하나의 VM에 넣을 수 없음 

=> NVA로 찾아볼것 

VM을 다른 Vnet으로 무중단 전송 가능한지? -> Recovery Service 이용 가능 백업 후 복원 

indows VM의 경우 Azure Blob 저장소를 드라이브로 탑재 할 수 없습니다. Linux VM의 경우 BlobFuse를 사용하여 Blob을 직접 연결 / 마운트 할 수 있습니다. 참조   - https://docs.microsoft.com/en-us/azure/storage/blobs/storage-how-to-mount-container-linux을 . 

 하이퍼 스레딩을 통해 기본 하드웨어의 강력한 기능을 활용할 수 있습니다. 따라서 X 작업량을하는 데 사용했던 동일한 하드웨어가 이제 2X 작업량을 수행 할 수 있습니다. 결과적으로 비용이 절감됩니다. 이것이 새로운 Azure VM 시리즈 Dv3 및 Ev3이 Dv2 시리즈보다 약 28 % 저렴 해지는 이유입니다. 모든 v3 시리즈 컴퓨터는 Azure에서 하이퍼 스레딩됩니다. 

VM이 "네트워크 가속화"를 지원하는지 확인하십시오. 그렇다면 활성화하십시오. 설명서 참조 – https://docs.microsoft.com/en-us/azure/virtual-network/create-vm-accelerated-networking-powershell 

보안주체

1. 사용자
2. 그룹
3. 서비스주체 Service Principal
4. 관리형ID

역할적용 범위

1. 관리그룹
2. 구독
3. 리소스그룹
4. 리소스

역할

1. 소유자(Owner)
1. 모든 리소스에 대한 액세스 권한 보유
2. 다른 사용자에게 리소스에대한 액세스 권한을 위임 가능
2. 기여자(Contributor)
1. 모든 유형 리소스 생성 및 관리 가능
2. 위임권한 없음
3. 리더(Reader)
1. 리소스 view만 가능
4. 사용자액세스관리자

azure VM을 다운받아 온프레미스 hyperV에..

혹은 데이터디스크만 다운받아 온프레스에서 VM에 attach 가능

1. 대상VM의 개요 페이지에서 캡쳐
2. 이미지생성 확인
3. 리소스그룹 해당 이미지 디스크 확인
4. Disk Export 선택 후 Generate URL 하면 특정시간동안 다운로드 허용됨
5. 다운로드 후 vhd로 바꿔서 하이퍼V에 붙여 생성
추가 데이터디스크 export 해서 가져오기(반복)

끝

Azure Portal에 기본 메트릭 정보에는 메모리 메트릭 정보를 제공하지 않습니다. 

대신 아래 절차따라 진단설정을 활성화하여 운영체제 내부에서 CPU나 메모리 등 메트릭을 받아와 모니터링할수 있습니다. 

먼저 해당 구독에 리소스공급자 이동한 뒤 "microsoft.insights" 공급자 등록

Azure portal > 가상머신 > 모니터링 > 진단설정 

진단 설정을 활성화 후 

모니터링 > 메트릭에서 메트릭 네임스페이스를 Guest Classic(케스트 클래식) 선택            

          예를 들면 \Memory\%Committed Bytes In Use 

메트릭은 거의 실시간 수치데이터, 상태데이터, 시계열데이터베이스에 저장됨 

로그는 리소스 create/update 로그 

기본값 자동 수집인 데이터도 있으나, 반드시 최초 설정이 필요한 부분이 있음. 

진단로깅 활성화, 스토리지 지정이 반드시 필요 

SA지정하거나, Log Analytics를 지정해줘야됨. 

SA를 지정하는 경우에는 로그파일로 떨어진 파일을 직접 다운받아 열어봐야됨. 

• 애플리케이션 데이터: 사용자 지정 애플리케이션 코드와 관련된 데이터입니다. 

Application log 

도커로그 등  

• 운영 체제 데이터: 애플리케이션을 호스팅하는 Windows 또는 Linux 가상 머신의 데이터입니다. 

VM-메트릭 메뉴에 가면 보임.(필요한 메트릭 수치항목이 없을 수 있음) 

굳이 운영체제 안에서 perfmon 수집을 통해 할 필요없음. 

• Azure 리소스 데이터: Azure 리소스(예: 웹앱 또는 부하 분산 장치)의 작업과 관련된 데이터입니다. 

• Azure 구독 데이터: 구독과 관련 된 데이터입니다. Azure 상태 및 가용성에 대한 데이터를 포함합니다. 

• Azure 테넌트 데이터: Azure Active Directory와 같은 Azure 조직 수준 서비스에 대한 데이터입니다. 

수집된 데이터를 Log Analytics에서 분석 

Kusto쿼리 형태로.... 

Events 

| where StartTime >= datetime(2018-11-01) and StartTime < datetime(2018-12-01) 

| where State == "FLORIDA"   

| count 

Event 

| where EventLog == "Application" 

| where TimeGenerated > ago(24h) 

VM기본 

1. OS이미지선택 

이미지기반(eos되지 않은 거의 모든 OS가 설치된 이미지 형태로 제공됨) 

2. VM 종류, 등급 선택 

저렴한B타입 Burst 타입부터 해보자 

3. Azure Storage계정 지정 

디스크가 vhd파일형태로 저장되는 곳 

루트도 별도 디스크개체로,  추가 드라이브도 디스크개체로 모두 저장됨 

4. 디스크 선택 

HDD, SDD(일반/프리미엄) 종류선택 및 용량선택 

64,128,256등 구간별 과금 

만들자마자 공간차지함, 과금시작 

5. Vnet  

클라우드의 기본 네트워크 (백본) 필요 

6. NIC 

sw nic, 위의 가상네트워크에 연결하는 방법 

7. ipconfig 

네트워크어댑터 개체에 세팅되는 ip구성정보 

내부아이피는 5번 vnet에 연결되고, 

외부아이피는 Azure 외부네트워크 백본에 연결되는 개념 

8. public ip address 개체 

ipconfig에서 공인아이피 사용 시 연결되는 개념 

9. NSG 

방화벽기능(윈도우 서버 방화벽과는 별개임) 

source ip, destination ip, port 단위 block/allow 가능 

리눅스 운영체제디스크 최대용량?? 

기본적으로 /dev/sda 레이블로 지정됨 

azure의 용량단위는 GB가 아님 GiB(기비바이트) 

즉, 1024가 아니라 1074 크게 문제없음. 

10.라우팅테이블 

특별히 라우팅일 바꿔야 하는 needs가 있을 경우에만 사용 

핵심 요약 

AAD DS에 조인된 VM 1대(윈도우서버)에서 AD관리도구를 설치하여, 

• GPO도 생성 관리 

• 컴퓨터개체도 관리  

• DNS 관리 

• OU 관리 

• 보안 LDAP에 대한 인증서 만들기 (CA 서비스) 

추가. 

AAD DS LDAP 보안 

NSG에서 636포트 정의 

LDAP 테스트는 ldp.exe 도구 사용 

온프렘AD와 동기화나?? 

AAD가 동기화되면 그걸 이용?? 정답 

기존의 문제점. 

1. 온프렘 AD를 VPN연결 상태에서 참조한다면 

-> 네트워크 단절 가능성, 단절 및 중단 시 취약 

1. Azure VM에 AD 설치한다면 

-> VM 일반 관리, 보안요소 관리 등 쉽지 않음. 

=> Azure Domain Service 사용하자  (Azure Vnet 위에 만들어짐) 

1. 생성이 쉽다. 

2. AAD와 통합 

-> 기존 AAD에 생성된 계정으로 로그인 가능 

HOW ???? 

실제로 보면, AAD 도메인과,  도메인서비스 도메인이 다름. 

Win 서버 AD와 완전히 호환되는 서비스 

• 도메인조인 

• GPO 

• LDAP, Keberos/NTLM 인증 

차이점 표 

출처: <https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/compare-identity-solutions>  

ASC 무료, 표준 두가지 SKU가 있음

표준SKU 에서는 아래와 같은 확인항목 가능함..

VM 업데이트 확인

VM 취약점 확인

보안구성 취약성 확인

디스크 암호화 체크

NSG 사용여부 체크

Endpoing Protection 사용여부 체크

(VM은 에이전트가 설치되어야 함.

데이터수집 - 자동프로비저닝을 켜면됨.

Blob스토리지 액세스수준(private인지) 체크

즉, 관리하는 VM이 많을 경우.

위와 같은 기본사항 체크 기능이 도움될듯,

업데이트는 안하는 경우 필요 없지

Azure Storage 내부적으로 암호화는 기본값(변경안됨)

개발에서 접근 시 액세스키 사용 ( 언제든 갱신 가능)

NSG 흐름 로그 보존 기간 이 90일 넘는지 체크
참고로
NSG를 통과하는 수신 및 송신 IP 트래픽에 대한 정보를 볼 수 있는 Network Watcher의 기능임.

Azure SQL 보안은 기본적으로, "서버 방화벽 설정"이 있음

추가로, 비용이 드는...

Advanced Data Security 기능이 있음.(사용하려면 활성화)

테이블에 컬럼 별로 분류지정도 가능함. (아래) type, label

쿼리로 가능

DD SENSITIVITY CLASSIFICATION TO

    dbo.dimcustomer.YearlyIncome, dbo.dimemployee.BaseRate

    WITH (LABEL='Highly Confidential', INFORMATION_TYPE='Financial')

ADD SENSITIVITY CLASSIFICATION TO

    dbo.dimemployee.EmailAddress

    WITH (LABEL='Confidential', INFORMATION_TYPE='Contact Info')

출처: <https://www.sqlshack.com/advanced-data-security-in-azure-sql-database-data-discovery-classification/>

추가로,

 Azure 센티넬은 일종의 SIEM 솔루션

SIEM은 Security Information and Event Management

모든 VM에서 로그를 수집해서 위협을 탐지해낸다함.

과금은 로그 용량 구간별로 측정됨.

최소가 ~ 50GB 구간