AZ Cloud Service
Providing a Complete Suite of IT Solutions
OrangeTech
Azure Security Service
Azure는 강력한 보안 정책을 통하여 Public Cloud에 제공되고 있는 다양한 보안 기능 및 전략 제공하고 있습니다.
Azure 보안 전략 개요
Azure 관련 보안 영역
서비스 보안을 완벽하게 하기 위하여 24 x 7 물리적 접근 통제, 동작 감시기, 생체정보 기반 시설 접근 통제, 24시간 감시 카메라 가동, 물리적 침입 탐지 등을 통하여 데이터 센터의 물리 보안을 철저하게 하고 있습니다.
Azure 네트워크 보안
Azure는 VLAN과 패킷 필터 네트워크 공격으로부터 완벽하게 보호되고 있습니다.
-
라우터에서 Virtual LAN (VLAN) 과 패킷 필터를 이용해 서비스 요청을 구분, Windows Azure는 인터페이스에 대한 네트워크를 통한 공격으로부터 보호
-
VLAN
- VLAN은 FC (Fabric Controller)와 기타 장치의 구분을 위해 사용 됨
- VLAN의 통신은 무조건 라우터를 거치며, 라우터를 거치지 않은 통신은 원칙적으로 불가 함
- 등록된 VLAN이 아니면 통신이 불가능
-
패킷 필터
- Azure Hyperviso와 Root OS는 네트워크 패킷 필터를 제공
- 승인받지 않은 VM은 위장된 트래픽 발생 불가능
- LB와 Root OS에서 패킷 필터링으로 VM에 대한 접근이 제어 됨
-
DoS 공격 탐지와 블로킹 대응
-
VM Endpoint 설정 및 SQL Database IP 기반 접근 통제
Azure 관리자 및 사용자 인증과 권한 통제
Azure는 강력한 계정 관리 서비스를 통한 인증과 접근 제어 서비스를 통한 서비스에 대한 접근 통제 기능을 제공하고 있습니다.
-
Windows Azure 관리자 계정 관리 및 통제
- Windows Live ID 또는 Self-Signed 인증서를 통해서 인증을 통해 관리자 인증
-
Windows Azure Active Directory의 응용프로그램 인증
- 클라우드 응용프로그램에 대한 사용자 인증 제공
- Windows Live, Google, Facebook 등 다양한 공개 인증과 연동 (Oauth) 제공
- On-premise의 AD(Active Directory)와 연계하여 클라우드에 AD 복제본을 통한 인증 제공
-
Azure Storage에 대한 접근 인증 및 통제
- Shared Access Signatures를 활용한 접근 통제
- 접근 기간을 설정하여 특정 기간 (시간) 동안 접근 통제
- BLOB에 대한 Read, Write, Update, Delete 에 대한 동작을 제어
Azure 가상 컴퓨터 보안
Azure는 가상 컴퓨터(Guest VM)에 대한 보호와 보안을 통해 가상 컴퓨터(Guest VM)간의 간섭 차단합니다.
-
Windows Server의 경량화 버전 기반
- 사전 승인된 드라이버 외 사용 불가하며, GUI 미지원
- 호스트의 방화벽을 이용한 네트워크 연결 통제
-
Hyper-V 기반의 외부 Hypervisor에 의해 호스트의 영역이 강제화 됨
-
모든 Guest VM들은 네트워크와 디스크를 Root VM(via the Hypervisor)을 통해 간접적으로 접근하게 되어 Guest VM간의 통신 차단
-
사전에 정의 된 이미지로부터 복사본 생성, Guest VM을 새로 프로비전하여 사용
- 단, IaaS의 경우 고객의 이미지를 사용할 수 있음
-
Hypervisor 및 Root VM은 Microsoft에서 직접 관리
Azure 어플리케이션 보안 지원
Azure는 클라우드 기반에 적합한 어플리케이션 설계 방안 고려하여 보안 기능을 제공하고 있습니다.
-
어플리케이션 실행권한의 제한을 통한 보안 강화 고려
- ASP.NET partial trust(부분 신뢰)로의 실행(설정이 필요)하여 권한 탈취에 따른 영향도 최소화
- 어플리케이션에의 침입이 성공했을 경우에서도, system resource등에의 액세스를 방지하기 위해(때문에), ASP.NET partial trust(부분 신뢰)로 실행
-
데이터 / 스토리지 액세스의 설계 고려
- VM 또는 인스턴스(Web Role)로부터 직접 스토리지에 액세스 하지 않고 , Worker Role을 통해서 스토리지에 액세스 (Gate Keeper Design)
- 중요도에 따라 스토리지를 구분, 신뢰도의 낮은 서비스에는 상대적으로 덜 민감한 데이터가 있는 스토리지만의 액세스를 허용 (Multi key design)
- 보안 Best Practices 제공
-
Endpoint와 Windows Server 내부 방화벽 서비스 등에서 서비스를 위한 필요 포트만 개방
-
Windows가 제공하는 방화벽 서비스 활용하여 서비스가 사용하는 포트 관리
-
Cloud에 Active Directory를 구성하여 어플리케이션 인증 및 권한 관리 가능
Azure 데이터 보호 정책
Azure는 엄격한 보안 정책을 통하여 안전한 데이터 보호를 위한 데이터 저장공간 제공하고 있습니다.
-
중복 저장장치
- 동일한 데이터 센터 내 최소 3개의 복제본이 유지 됨
- 다른 데이터센터간의 지역 복제
-
저장 공간에 접근을 위해 계정과 암호키가 반드시 필요
- 암호키 유출에 대비한 보조 접근 암호키 제공
-
데이터 백업
-
철저한 데이터 삭제와 파기 수행
-
(데이터 이동과 저장에 대한) 데이터 암호화
- SQL Server 의 암호화 데이터 암호화를 위한 개발
- HTTPS, SSH 지원
-
데이터 보안 매커니즘
- Azure Storage의 Data Block Allocation Table에 데이터의 물리적 위치와 해당 데이터에 대한 접근 권한을 가진 사용자의 맵핑(Mapping) 정보가 기록되어 관리 됨
- 데이터가 삭제되면 초기화가 발생하며 다른 사용자가 사용할 수 있는 공간(Free)이 확보 됨
Azure의 Endpoint Protection 정책
Azure는 서비스에서 운영되는 Windows Azure OS에 대하여 antimalware 보호 기능을 제공하고 있습니다.
-
실시간 보호 (Real-time Protection)
- Microsoft Endpoint Protection for Azure는 malware, spyware 또는 잠재적인 위협을 가진 소프트웨어가 설치 또는 실행되려고 할 때 경고를 발생하여 알림
- 알 수 없는 소프트웨어가 Windows의 설정을 변경하려고 시도 할 때 경고를 통하여 관리자에게 알림
-
스캔 (Scanning)
- 위협, 바이러스, spyware 그리고 다른 잠재적 위헙이되는 소프트웨어가 가상 컴퓨터 (VM)에 설치 되어지려고 할 때, 주기적인 스캔을 통해 자동으로 위험 요소를 탐지하고 제거
-
탐지와 치료 (Detection/Remediation)
- 가상 컴퓨터(VM)에서 악의적인 소프트웨어를 탐지하고 위협적인 소프트웨어를 제거하여 잠재적인 위협으로부터 가상 컴퓨터를 보호
- 위협적인 소프트웨어를 제거하면 자동적으로 윈도우 설정을 일부 변경
- 홈페이지와 검색 프로바이더를 변경하여 안전한 인터넷 사용 환경을 제공
Azure의 IT 규제 인증 현황
Azure 서비스 관련 IT 보안/규제 인증 현황은 아래의 그림과 같습니다.
※ 자세한 기술적 사항은 상담을 통해서 확인해 주세요. Azure의 기능은 수시로 업데이트되고 있으므로 홈페이지의 내용은 참고용입니다.
