-
3일차교육/클라우드 보안 및 준수 기본과정(SC-900)-WISET 2024. 3. 6. 13:05728x90
사용 권한 관리
Microsoft Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 모든 ID 및 리소스에 대한 사용 권한을 포괄적으로 표시하고 제어
- 검색 : 부여된 권한과 사용된 사용 권한 사이의 간격을 평가하여 사용 권한 위험을 평가
- 위험, 수정 : 사용량에 따라 적절한 크기의 사용 권한을 부여하고 주문형 사용 권한을 부여함
- 모니터링 : 기계 학습 기반 경고를 사용하여 비정상적인 활동을 검색하고 자세한 포렌식 보고서를 생성
Azure DDoS Protection
DDoS(분산형 서비스 거부) : 리소스가 응답하지 않게 만드는 공격
네트워크 트래픽을 분석하고 DDoS공격처럼 보이는 모든 항목을 삭제함
Always-On 트래픽 모니터링, 적응형 실시간 조정, DDoS Protection 원격 분석, 모니터링 및 경고
Azure Firewall
공격자로부터 Azure Virtual Network(VNet) 리소스를 보호
웹 어플리케이션 방화벽
일반적인 악용과 취약성으로부터 웹 어플리케이션을 중앙 집중식으로 보호
네트워크 구분 및 Azure VNet
네트워크 구분의 이유?1. 관련 자산을 그룹화할 수 있는 기능 2. 리소스 격리 3. 조직에서 설정한 거버넌스 정책
Azure NSG(네크워크 보안 그룹)
Azure Virtual Network에 있는 Azure 리소스의 네트워크 트래픽을 허용하거나 거부
NSG는 VNet의 여러 서브넷, 네트워크 인터페이스와 연결가능
NSG는 인바운드 및 아웃바운드 보안 규칙을 구성
각 규칙은 다음 속성 중 하나 이상을 지정 : 이름, 우선순위, 원본 또는 대상, 프로토콜, 방향, 포트 범위, 작업
VM에 대한 보안 원격 액세스 : Azure Bastion
Azure Bastion - Azure Portal에서 VM에 대한 보안 연결
Azure Key Vault
API키, 암호, 인증서 또는 암호화 키와 같은 비밀을 안전하게 저장하고 액세스하기 위한 클라우드 서비스
Key Vault 이점
- 어플리케이션 비밀 중앙화
- 안전하게 비밀 및 키 저장
- 액세스 및 사용 모니터링
- 간편하게 어플리케이션 비밀 관리
- 2개 계층 : 표준(SW 기반 암호화)/프리미엄(HSM(HW보안모듈) 보호키)
클라우드용 Microsoft Defender
다양한 사이버 위협 및 취약성으로부터 클라우드 기반 어플리케이션을 보호하도록 설계된 일련의 보안조치 및 사례를 갖춘 CNAPP(클라우드 네이티브 어플리케이션 보호 플랫폼)
CSPM(클라우드 보안 태세 관리) : 위반을 방지하기 위해 수행할 수 있는 작업을 표시
CWPP(클라우드 워크로드 보호 플랫폼) : 서버, 컨테이너, 스토리지, 데이터베이스 및 기타 워크로드에 대한 특정 보호
개발보안작업(DevSecOps) : 다중 클라우드 및 다중 파이프라인 환경에서 코드 수준에서 보안 관리를 통합