Azure는 클라우드 배포의 모든 계층에서 포괄적인 보안 서비스 및 기술을 제공합니다. 이 문서에서는 도메인별로 구성된 주요 보안 기능을 소개하며, 자세한 내용은 자세한 개요 문서에 대한 링크를 제공합니다.
특정 보안 모범 사례 및 자세한 구현 지침은 이 문서 전체에서 연결된 도메인별 개요 문서를 참조하세요.
위협 탐지 및 대응
| 서비스 | 설명 |
|---|---|
| 클라우드용 Microsoft Defender | Azure, 하이브리드 및 다중 클라우드 리소스에서 지속적인 보안 평가, 권장 사항 및 고급 위협 탐지를 사용하여 클라우드 워크로드 보호 |
| Microsoft Sentinel | 지능형 보안 분석, 위협 인텔리전스, 공격 탐지, 사전 예방적 헌팅 및 자동화된 대응을 제공하는 클라우드 네이티브 SIEM 및 SOAR 솔루션입니다. |
위협 탐지 기능 및 모범 사례에 대한 포괄적인 정보는 Azure 위협 방지를 참조하세요.
ID 및 액세스 관리
| 서비스 | 설명 |
|---|---|
| Microsoft Entra ID | Single Sign-On, 다단계 인증, 조건부 액세스 및 ID 보호를 지원하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. |
| Azure 역할 기반 액세스 제어 | 세분화된 액세스 관리를 통해 사용자에게 작업을 수행하는 데 필요한 권한만 부여할 수 있습니다. |
| Microsoft Entra Privileged Identity Management | 승인 워크플로 및 액세스 검토를 통해 Azure 및 Microsoft Entra 역할에 대한 Just-In-Time 권한 있는 액세스가 제공됩니다. |
자세한 ID 보안 기능 및 모범 사례는 Azure ID 관리 보안 개요를 참조하세요.
키 및 비밀 관리
| 서비스 | 설명 |
|---|---|
| Azure Key Vault | FIPS 140-2 수준 1(표준 계층) 또는 FIPS 140-3 수준 3(HSM을 사용하는 프리미엄 계층) 유효성 검사를 사용하여 키, 비밀 및 인증서에 대한 스토리지를 보호합니다. |
| Azure Key Vault 관리형 HSM | 단일 테넌트 FIPS 140-2 수준 3은 기밀 키 지원을 통해 모든 권한을 제공하는 HSM 서비스의 유효성을 검사했습니다. |
Azure Dedicated HSM 및 Azure Payment HSM을 비롯한 포괄적인 키 관리 옵션은 Azure의 키 관리를 참조하세요.
데이터 암호화.
| 서비스 | 설명 |
|---|---|
| Azure Storage 서비스 암호화 | AES 256 암호화를 사용하여 Azure Storage의 미사용 데이터에 대한 자동 암호화 |
| Azure SQL Database 투명한 데이터 암호화 | 애플리케이션을 변경하지 않고 데이터베이스, 백업 및 트랜잭션 로그를 실시간으로 암호화합니다. |
| Azure 디스크 암호화 | 플랫폼 관리형 또는 고객 관리형 키를 사용하여 Azure 가상 머신의 OS 및 데이터 디스크에 대한 암호화입니다. |
자세한 암호화 옵션 및 모범 사례는 Azure 암호화 개요를 참조하세요.
네트워크 보안
| 서비스 | 설명 |
|---|---|
| Azure Firewall | 위협 인텔리전스, IDPS 기능(프리미엄 SKU) 및 TLS 검사를 사용하는 클라우드 네이티브 네트워크 방화벽 |
| Azure DDoS Protection | 네트워크 수준 DDoS 공격의 상시 트래픽 모니터링 및 실시간 완화. |
| Azure Virtual Network | 보안 연결을 위해 네트워크 보안 그룹, 서비스 엔드포인트 및 Private Link를 사용하여 네트워크 격리 |
| Azure VPN Gateway | IPsec/IKE VPN 터널을 통해 Azure 가상 네트워크에 대한 크로스-프레미스 연결을 보호합니다. |
| WAF를 사용하여 Azure Application Gateway | OWASP 상위 10개 취약성으로부터 보호하는 통합 웹 애플리케이션 방화벽을 사용하여 계층 7 부하 분산 |
| Azure Front Door | 통합 WAF, DDoS 보호 및 SSL/TLS 오프로드를 사용하는 글로벌 HTTP 부하 분산 장치. |
포괄적인 네트워크 보안 지침 및 모범 사례는 Azure 네트워크 보안 개요를 참조하세요.
모니터링 및 거버넌스
| 서비스 | 설명 |
|---|---|
| Azure Monitor | Log Analytics 작업 영역, 메트릭, 경고 및 통합 문서를 사용하여 원격 분석을 수집하고 분석하는 포괄적인 모니터링 솔루션입니다. |
| Azure Policy | 거버넌스 서비스는 조직 표준을 적용하고, 대규모 규정 준수를 평가하고, 자동 수정을 제공합니다. |
| Microsoft Defender for Cloud의 규정 준수 | 기본 제공 및 사용자 지정 규정 준수 평가는 Microsoft 클라우드 보안 벤치마크, ISO 27001 및 NIST와 같은 표준에 부합합니다. |
자세한 보안 관리 기능 및 모범 사례는 Azure 보안 관리 및 모니터링 개요를 참조하세요.
데이터베이스 보안
| 서비스 | 설명 |
|---|---|
| Azure SQL Database 보안 | 네트워크 액세스 제어, 인증, 권한 부여, 미사용 및 전송 중 암호화, 감사 및 위협 탐지. |
| Microsoft Defender for SQL | 취약성, 비정상적인 활동 및 SQL 삽입 시도를 감지하는 고급 위협 방지 |
| Azure Cosmos DB 보안 | 데이터 저장 및 전송 중 암호화, 네트워크 격리, 역할 기반 액세스 제어(RBAC), 및 NoSQL 워크로드에 대한 감사 로깅. |
포괄적인 데이터베이스 보안 검사 목록은 Azure 데이터베이스 보안 검사 목록을 참조하세요.
가상 머신 보안
| 서비스 | 설명 |
|---|---|
| 신뢰할 수 있는 시작 | 부팅 키트 및 루트킷으로부터 보호하기 위해 보안 부팅, vTPM 및 부팅 무결성 모니터링을 제공하는 Gen2 VM의 기본값입니다. |
| Azure 기밀 컴퓨팅 | AMD SEV-SNP를 사용하는 하드웨어 기반 신뢰할 수 있는 실행 환경은 사용 중인 데이터 보호를 보장합니다. |
| 서버용 Microsoft Defender | Windows 및 Linux 가상 머신에 대한 위협 탐지 및 취약성 관리. |
포괄적인 VM 보안 기능 및 지침은 Azure Virtual Machines 보안 개요를 참조하세요.
플랫폼 무결성
| 서비스 | 설명 |
|---|---|
| Azure 플랫폼 보안 | Project Cerberus, 측정된 부팅 및 호스트 증명을 포함한 하드웨어 및 펌웨어 보안 |
| 보안 부팅 및 코드 무결성 | 악성 코드로부터 Azure 인프라를 보호하는 UEFI 보안 부팅 및 코드 무결성 정책 |
자세한 플랫폼 보안 아키텍처는 Azure 플랫폼 무결성 및 보안 개요를 참조하세요.
백업 및 재해 복구
| 서비스 | 설명 |
|---|---|
| Azure Backup | 자본 투자가 필요 없는 독립적이고 격리된 백업과 기본 제공 기능을 통해 애플리케이션 데이터를 보호합니다. |
| Azure Site Recovery | 보조 위치 또는 Azure로 워크로드를 복제하고, 장애 조치(failover) 및 복구하기 위한 재해 복구 오케스트레이션입니다. |
PaaS 배포 보안
App Service, Azure Functions 및 컨테이너 서비스를 비롯한 서비스로서의 플랫폼 배포 보안에 대한 지침은 PaaS 배포 보안을 참조하세요.
다음 단계
- Azure의 엔드 투 엔드 보안 - Azure 의 보안 아키텍처 및 기능에 대한 포괄적인 개요
- Azure 보안 모범 사례 및 패턴 - 다양한 시나리오에 대한 보안 모범 사례 컬렉션
- Microsoft 클라우드 보안 벤치마크 - Azure 서비스에 대한 포괄적인 보안 지침
- 클라우드에서 공동 책임 - 사용자와 Microsoft 간에 공유된 보안 책임 이해