Cloud/Azure
AZ-900, 07. Azure 보안
by 에르모사 쩐뉴
2025. 11. 11.
07. Azure 보안
7.1 Azure ID 서비스 (Identity Services) 🔐
🔹 핵심 개념
- Azure의 보안은 ID 기반 접근 제어(Identity-based Security) 가 핵심이에요.
- 모든 사용자, 그룹, 애플리케이션 접근은 Microsoft Entra ID (구 Azure AD) 를 통해 제어됩니다.
🔹 주요 ID 서비스 비교
서비스설명주요 기능시험 포인트
| Microsoft Entra ID (Azure Active Directory) |
Azure 전역의 ID 관리 서비스 |
사용자 인증, 권한 관리, 디바이스 등록 |
기본 인증 플랫폼 |
| Azure Multi-Factor Authentication (MFA) |
다단계 인증 |
비밀번호 + OTP, SMS, 인증앱 |
계정 탈취 방지 |
| Single Sign-On (SSO) |
한 번 로그인으로 여러 서비스 접근 |
Microsoft 365, Teams 등 통합 로그인 |
로그인 피로도 줄임 |
| Conditional Access |
조건부 접근 정책 |
위치·디바이스·사용자 상태 기반 접근 제어 |
정책 기반 보안 |
| Role-Based Access Control (RBAC) |
역할 기반 권한 부여 |
Owner, Contributor, Reader 등 역할 |
최소 권한 원칙 구현 |
| Privileged Identity Management (PIM) |
관리자 권한 일시적 부여 |
필요 시에만 고권한 활성화 |
보안 사고 예방 |
🔹 주요 역할(Role) 구분
역할권한 범위
| Owner |
모든 리소스 제어 가능 + 권한 위임 가능 |
| Contributor |
리소스 생성·편집 가능, 권한 위임 불가 |
| Reader |
리소스 읽기 전용 |
| User Access Administrator |
RBAC 권한 설정 가능 |
🧠 시험 포인트
- Azure AD → 현재 이름: Microsoft Entra ID
- MFA = 2단계 인증
- SSO = 한 번 로그인으로 여러 앱 접근
- RBAC = 역할 기반 접근 제어
- PIM = 관리자 권한을 일시적으로만 활성화
7.2 Azure 보안 서비스 (Security Services) 🛡️
🔹 핵심 개념
Azure는 리소스 보호를 위해 위협 탐지, 암호화, 네트워크 보안, 비밀 관리 서비스를 제공합니다.
보안의 기본은 인증 → 권한 → 데이터 보호 → 모니터링 순서로 이루어집니다.
🔹 주요 보안 서비스
서비스설명주요 기능시험 포인트
Microsoft Defender for Cloud
(구: Security Center) |
통합 보안 관리 플랫폼 |
취약점 분석, 위협 탐지, 권장 사항 제공 |
리소스 보안 점검 |
| Microsoft Defender for Cloud Apps (CASB) |
클라우드 앱 보안 브로커 |
SaaS 앱 모니터링, 데이터 유출 방지 |
Shadow IT 관리 |
| Microsoft Sentinel |
SIEM + SOAR 클라우드 보안 분석 플랫폼 |
로그 수집, 위협 탐지, 자동 대응 |
AI 기반 보안 관제 |
| Azure Key Vault |
비밀, 암호, 인증서 안전 저장소 |
앱 내 비밀번호, 키 저장 |
앱 코드 내 하드코딩 방지 |
| Azure DDoS Protection |
네트워크 공격 방어 |
대규모 트래픽 공격 차단 |
표준 버전은 자동 완화 지원 |
| Network Security Group (NSG) |
서브넷/VM 수준 트래픽 제어 |
인바운드·아웃바운드 규칙 |
기본 방화벽 역할 |
🔹 보안 관리 계층별 구분
보안 계층관련 서비스주요 역할
| ID 및 접근 제어 |
Entra ID, MFA, RBAC, PIM |
사용자 인증, 권한 관리 |
| 데이터 보호 |
Key Vault, Encryption, Disk Encryption |
데이터 암호화 및 비밀 저장 |
| 네트워크 보안 |
NSG, Firewall, DDoS Protection |
트래픽 제어, 공격 방어 |
| 위협 탐지 및 관리 |
Defender for Cloud, Sentinel |
보안 모니터링, 위협 탐지 |
| 클라우드 앱 보안 |
Defender for Cloud Apps |
SaaS 앱 보안 및 데이터 유출 방지 |
🔹 데이터 암호화 방식
구분방식설명
| At Rest |
저장 중 암호화 |
저장소·디스크 내 데이터 보호 |
| In Transit |
전송 중 암호화 |
TLS/SSL 기반 통신 보안 |
| In Use |
처리 중 암호화 |
Confidential Computing 기술 |
🧠 시험 포인트
- Defender for Cloud = 보안 점검 + 권장 사항 + 위협 탐지
- Sentinel = 보안 로그 통합 분석 (SIEM)
- Key Vault = 비밀/암호 안전 보관소
- MFA = 로그인 2단계 인증
- RBAC = 역할 기반 권한 부여
- NSG = VM/서브넷 트래픽 제어
📊 서비스 비교 요약표
구분서비스주요 역할
| ID 관리 |
Entra ID, MFA, RBAC, PIM |
인증·권한 관리 |
| 보안 관리 |
Defender for Cloud, Sentinel |
위협 탐지 및 보안 분석 |
| 데이터 보호 |
Key Vault, Encryption |
비밀 저장 및 암호화 |
| 네트워크 보호 |
NSG, DDoS, Firewall |
네트워크 트래픽 제어 |
| 앱 보안 |
Defender for Cloud Apps |
SaaS 보안 관리 |
🧩 OX 복습 노트
문항내용정답
| 1 |
Azure AD의 새로운 이름은 Microsoft Entra ID이다 |
⭕ |
| 2 |
MFA는 단일 인증 단계만 제공한다 |
❌ |
| 3 |
RBAC는 역할 기반으로 접근 권한을 제어한다 |
⭕ |
| 4 |
PIM은 항상 고권한을 유지하도록 하는 서비스이다 |
❌ |
| 5 |
Defender for Cloud는 Azure 리소스의 위협을 탐지한다 |
⭕ |
| 6 |
Azure Key Vault는 암호, 키, 인증서를 안전하게 저장한다 |
⭕ |
| 7 |
Sentinel은 로그 수집과 자동화된 위협 대응을 수행한다 |
⭕ |
| 8 |
NSG는 애플리케이션 계층 보안을 제공한다 |
❌ (네트워크 계층 제어) |
🌐 시각적 구조 요약
┌──────────────────────────────────────────┐
│ ID 및 접근 제어 계층 │
└──────────────┬──────────────┬────────────┘
▼ ▼
[Entra ID / MFA] [RBAC / PIM / SSO]
┌──────────────────────────────────────────┐
│ 보안 관리 계층 │
└──────────────┬──────────────┬─────────────┘
▼ ▼
[Defender for Cloud] [Microsoft Sentinel]
│
▼
위협 탐지 / 자동 대응
┌──────────────────────────────────────────┐
│ 데이터 및 네트워크 보호 계층 │
└──────────────┬──────────────┬────────────┘
▼ ▼
[Key Vault] [NSG / DDoS / Firewall]
🧠 시험에서 자주 나오는 핵심 정리
- Azure AD → Entra ID (이름 변경)
- MFA → 비밀번호 + OTP로 인증 강화
- RBAC → 역할 단위 접근 제어
- PIM → 필요 시에만 고권한 부여
- Defender for Cloud → 보안 관리·위협 탐지
- Sentinel → 로그 기반 SIEM 플랫폼
- Key Vault → 비밀·암호 저장소
- NSG → 네트워크 레벨 트래픽 필터