2025년 Azure 보안 모범 사례 및 체크리스트"

Azure는 전 세계적으로 7억 명 이상의 활성 사용자를 지원합니다. 이처럼 방대한 사용자 기반의 신뢰를 유지하기 위해 Microsoft는 Azure 보안 인프라 강화를 위해 매년 10억 달러 이상을 투자하고 있습니다. 그러나 클라우드 보안 공격이 날로 정교해짐에 따라 조직은 경계를 늦추지 않아야 합니다.

이러한 경계를 클라우드 보안 제공자와 고객 간에 분담하기 위해, Azure는 공유 책임 모델(SRM)을 기반으로 운영됩니다. 공유 책임 모델은 Microsoft Azure가 기본 클라우드 인프라를 보호하는 반면, 고객은 자신의 애플리케이션, 데이터 및 신원 보안을 책임진다는 원칙에 따라 작동합니다.

이러한 역학 관계를 고려하여, 본 문서에서는 사용자가 효과적으로 강력한 보안 태세를 유지할 수 있도록 Azure 보안 모범 사례 체크리스트를 제공합니다.

하지만 먼저 Azure의 SRM에 대해 조금 더 알아봅시다.

Azure의 공동 책임 모델(SRM)이란 무엇인가요?

서비스 유형에 기반한 Azure의 SRM 모델을 통해 클라우드 공급자와 고객이 각각 담당할 보안 통제 사항을 결정할 수 있습니다. 공유 책임 모델은 Azure 보안의 핵심으로, 클라우드 공급자와 고객 간의 보안 책임 분담을 규정합니다. 귀하의 책임을 다하기 위해 Singularity™ Cloud Workload Security와 같은 솔루션은 귀하의 클라우드 워크로드를 보호하여 고급 위협으로부터 안전하게 지키며, 귀하는 환경을 관리할 수 있습니다.

서비스 유형은 세 가지입니다:

• IaaS(Infrastructure as a Service): 이 경우 Azure는 가상 머신 및 스토리지와 같은 기본 인프라를 보호하며, 고객은 운영 체제, 애플리케이션 및 데이터의 보안을 관리해야 합니다.
• 서비스형 플랫폼(PaaS): 이 경우 Azure는 런타임 및 미들웨어 계층도 보호합니다. 고객은 애플리케이션 보안과 데이터 보호를 책임집니다.
• 서비스형 소프트웨어(SaaS): SaaS 모델에서는 Azure가 인프라 레이어와 애플리케이션 레이어 모두를 보호하며 더 많은 책임을 집니다. 그러나 고객은 여전히 데이터 보안 및 접근 제어를 관리해야 합니다.

Azure 보안 모범 사례

최근 연구에 따르면, 80%의 기업이 지난 1년 동안 최소 한 건의 클라우드 보안 사고를 경험했습니다. 더 많은 사용자가 Azure 클라우드로 이전함에 따라, 위 통계는 다음과 같은 Azure 클라우드 보안 모범 사례를 구현해야 할 시급한 필요성을 강조합니다:

#1 신원 및 접근 관리(IAM)

Microsoft Azure Active Directory(AD)는 클라우드 기반의 신원 및 접근 관리 서비스로, 직원들이 OneDrive 및 Exchange Online과 같은 데이터 및 애플리케이션에 액세스할 수 있도록 합니다.

Azure AD의 이점을 극대화하기 위해 조직은 다음과 같은 Azure IAM 모범 사례를 구현해야 합니다:

• 다단계 인증 (MFA): 다단계 인증은 계정에 추가적인 보안 계층을 추가하는 데 도움이 됩니다. 이 인증 방식은 다음 요소 중 두 가지 이상을 사용합니다. 알고 있는 정보(비밀번호), 가지고 있는 물건(기기), 본인의 생체 정보(지문이나 얼굴 인식) 등입니다. (생체 정보)를 활용합니다. 간단히 말해, MFA는 사용자가 소유한 기기, 알고 있는 비밀번호, 그리고 사용자의 생체 정보(지문이나 얼굴 인식)를 고려합니다. 따라서 비밀번호를 입력하면 기기에 로그인하거나 계정에 등록된 생체 정보를 통해 본인 인증을 요청받게 됩니다. 이렇게 하면 위협 행위자가 사용자의 기기나 본인 없이 계정에 접근할 수 없습니다. Azure AD MFA도 동일한 원리로 작동합니다. 다만 Azure AD에서는 Microsoft Authenticator 앱, OATH 하드웨어 토큰, SMS, 음성 통화 등 다양한 인증 방법 중 선택할 수 있습니다.
• 조건부 액세스: 조건부 액세스는 장치 규정 준수, 사용자 컨텍스트, 위치, 세션 위험 요소 등의 실시간 신호를 활용하여 Azure 기반 조직 리소스에 대한 액세스를 허용, 차단 또는 제한하거나 추가 인증 단계를 요구할 시점을 결정합니다.
• Azure 역할 기반 액세스 제어(RBAC): 역할 기반 액세스 제어(RBAC)&는 역할 기반 보안으로도 알려져 있습니다. 이는 조직이 권한이 없는 사람의 접근을 제한하는 데 도움이 되는 메커니즘입니다. RBAC 모델을 통해 조직은 승인된 사용자만 접근할 수 있도록 권한과 특권을 설정할 수 있습니다.

#2 제로 트러스트 아키텍처

제로 트러스트는 이름에서 알 수 있듯이 '절대 신뢰하지 말고 항상 검증하라!'는 원칙에 기반합니다. 간단히 말해, 사람, 기계, 애플리케이션 등 모든 주체는 네트워크 내부 또는 외부 여부와 상관없이 기본적으로 신뢰받지 않습니다. 네트워크 자원에 접근하려는 모든 주체는 반드시 검증을 거쳐야 합니다.

• 명시적 검증: 접근 시 인증, 식별, 권한 부여가 필수적입니다. 시스템에 존재하는 데이터 포인트에 따라 이를 수행해야 합니다.
• 최소 권한 접근 사용: 사용자에게 '필요 시점, 필요한 만큼의 접근 권한'(JIT/JEA)만 부여하십시오.
• 침해 발생 가정: 침해가 발생할 것이라고 가정하는 사고방식으로 작업할 때는 네트워크를 분할하고 종단 간 암호화를 사용하여 잠재적 침해의 공격 영역을 최소화해야 합니다.&

• #3 네트워크 보안

  다층 방어 전략을 기반으로 구축된 Azure의 네트워크 보안 기반은 공유 환경에서 데이터 보호를 보장합니다. 이는 논리적 격리, 액세스 제어, 암호화 및 SOC2, SOC1, ISO27001과 같은 표준 프레임워크 준수를 통해 달성됩니다.

  그리고 이 디지털 시대에 클라우드 인프라 내의 네트워크 보안은 중요한 역할을 합니다.

  Azure 방화벽 및 네트워크 보안 그룹(NSG)으로 Azure 네트워크를 보호하세요.

  • Azure 방화벽: Azure 가상 네트워크 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고급 위협 방지를 제공하며 고가용성과 확장성을 통해 트래픽을 제어할 수 있습니다.
  • NSG: 네트워크 보안 그룹(NSG)은 가상 네트워크 내 다양한 Azure 리소스로부터 허용되거나 차단될 인바운드 트래픽을 조직이 결정하는 데 도움이 되는 보안 규칙으로 구성됩니다. 이는 보안 규칙을 정의하여 수행할 수 있습니다. 트래픽은 포트, IP 주소 및 프로토콜 기준에 따라 제어됩니다.

  #4 가상 네트워크(VNet) 구성

  Azure에서 사설 네트워크의 기본 구성 요소인 가상 네트워크(VNet)는 Azure 가상 머신(VM)과 같은 다양한 Azure 리소스가 클라우드 및 온프레미스 네트워크에서 서로 안전하게 통신할 수 있도록 지원합니다.

  Windows Azure 보안 모범 사례에는 가상 네트워크(VNet) 구성, 네트워크 세분화, 사설 엔드포인트 및 NSG 규칙에 대한 모범 사례가 포함됩니다.

  • VPN 게이트웨이: VPN 게이트웨이를 활용하여 암호화된 VPN 연결을 통해 온프레미스 네트워크를 Azure로 안전하게 확장함으로써 두 환경 간 전송되는 데이터가 무단 액세스로부터 보호되도록 합니다.&
  • ExpressRoute: ExpressRoute를 구현하여 온프레미스 인프라와 Azure 간에 공용 인터넷을 우회하는 사설 연결을 생성함으로써 성능과 보안을 향상시키고 보안 및 안정성을 강화하십시오.
  • 전송 중 데이터 암호화: 인터넷 프로토콜 보안(IPsec) 및 인터넷 키 교환(IKE) 프로토콜을 사용하여 VPN 연결을 암호화함으로써 전송 중인 데이터를 보호합니다. 이 프로토콜들은 인터넷을 통한 데이터 전송을 위한 안전한 채널을 제공합니다.

  #5 저장 시 및 전송 중 데이터 암호화

  효과적인 암호화 관행은 저장 시와 전송 중 모두 민감한 정보를 보호하여 규정 준수를 보장하고 데이터 기밀성을 유지합니다. 저장 시 및 전송 중 데이터를 보호하는 방법은 다음과 같습니다.

  • Azure Key Vault: 데이터 암호화에 사용되는 암호화 키 및 비밀 정보를 관리하고 보호하기 위해 Azure Key Vault를 사용하세요. 이 서비스는 민감한 정보에 대한 안전한 저장소 및 접근 제어를 제공하여 무단 접근 위험을 줄입니다.
  • Azure 업데이트 관리: Azure 업데이트 관리를 사용하여 패치 적용 및 규정 준수 평가를 자동화하세요. 또한, 모든 Azure 가상 머신과 서비스를 최신 보안 패치로 업데이트하여 예상치 못한 사고를 방지해야 합니다.
  • Azure Storage 서비스 암호화: Azure 저장소 서비스 암호화를 활용하여 저장 중인 데이터를 보호하세요. 이 기능은 데이터가 클라우드에 기록될 때 자동으로 암호화하여 민감한 정보가 저장 중에도 안전하게 유지되도록 합니다.&
  • 전송 계층 보안(TLS): 전송 중인 데이터에 TLS 암호화를 적용하여 전송 중 가로채기를 방지하세요. TLS는 강력한 인증과 메시지 무결성을 제공하여 전송 중인 데이터에 대한 무단 접근이나 변조를 어렵게 합니다.
  • Azure 백업 및 재해 복구: Azure 백업을 사용하여 데이터를 정기적으로 백업하십시오. 또한 강력한 재해 복구 계획을 수립하고 정기적인 테스트를 수행하여 비즈니스 연속성을 보장해야 합니다.

  #6 위협 탐지 및 모니터링

  위협 탐지 및 모니터링은 견고한 보안 아키텍처를 위해 조직이 따라야 하는 또 다른 Azure 보안 모범 사례입니다.

  • Azure Security Center: 통합 인프라 보안 관리 시스템을 제공하는 Azure Security Center를 사용하세요. Azure 및 하이브리드 워크로드 전반에 걸쳐 고급 위협 보호 기능을 제공하여 데이터 센터의 보안 태세를 강화합니다.
  • Azure Sentinel: 클라우드 네이티브 보안 정보 및 이벤트 관리(SIEM) 및 보안 오케스트레이션, 자동화 및 대응 (SOAR) 솔루션을 활용하세요. 기업 전반에 걸쳐 지능형 보안 분석 및 위협 인텔리전스를 제공하여 전반적인 보안 가시성을 향상시킵니다.
  • 지속적인 모니터링 및 경고: Azure Security Center 및 Azure Sentinel에서 경보를 설정하여 잠재적 위협이나 의심스러운 활동에 대한 알림을 받으세요. 이를 통해 위험을 효과적으로 완화하기 위한 신속한 실시간 대응이 가능해집니다.
  • AI 기반 위협 탐지: Azure의 AI 기반 보안 도구를 활용하여 방대한 양의 데이터를 분석하고 잠재적 위협을 나타내는 패턴을 식별합니다. 이 도구들은 머신 러닝과 행동 분석을 활용하여 기존 방식에 비해 더 정확한 위협 탐지 기능을 제공합니다.

  #7 애플리케이션 보안

  다음 관행을 따라 애플리케이션의 보안을 유지하십시오.

  • 안전한 코딩 관행: 안전한 코딩 표준을 준수하여 애플리케이션의 취약점을 최소화하십시오.
  • 웹 애플리케이션 방화벽(WAF): WAF를 사용하여 HTTP 트래픽을 필터링하고 잠재적 위협을 모니터링하여 웹 앱을 보호하십시오.
  • CI/CD 파이프라인 보안: Azure DevOps를 사용하여 CI/CD 파이프라인에 보안 스캔 도구를 통합하여 개발 프로세스 중에 취약점을 탐지하고 수정하십시오. 배포 전에 코드 무결성을 확인하세요.
  • Azure 애플리케이션 게이트웨이: SSL 종료, WAF, URL 기반 라우팅 등의 기능으로 트래픽을 관리하고 보안을 강화하세요.

  #8 규정 준수 및 거버넌스

  규정 준수 및 거버넌스 요구 사항을 준수하는 것은 비즈니스에 필수적입니다. Azure 정책 및 규정 준수용 블루프린트를 활용하는 방법은 다음과 같습니다.

  • Azure 정책 및 블루프린트: Azure 정책을 사용하여 조직 표준을 시행하고 규정 준수를 평가하세요. 규정 준수 요구 사항을 충족하기 위해 배포를 자동화하고 반복 가능한 프로세스를 위한 거버넌스 도구를 사용하세요.
  • 규제 준수: 정기적인 감사를 수행하고 Azure의 규정 준수 도구를 활용하여 GDPR 및 HIPAA와 같은 규정을 준수하십시오. Azure Monitor를 통해 적절한 감사 및 로깅 메커니즘을 구현하여 텔레메트리 데이터를 수집하고 조치하십시오.

  CNAPP 마켓 가이드

  클라우드 네이티브 애플리케이션 보호 플랫폼에 대한 가트너 시장 가이드에서 CNAPP 시장 현황에 대한 주요 인사이트를 확인하세요.

  가이드 읽기

  2025년 Azure 보안 체크리스트

  위에서 논의한 모범 사례를 바탕으로, 2025년 Azure 보안을 보장하기 위한 편리한 체크리스트를 제공합니다.

  #1 ID 및 액세스 관리

  • 조직은 모든 사용자, 특히 권한 계정에 대해 다단계 인증을 반드시 시행해야 합니다.
  • 주기적으로 검토를 수행하고 접근 권한 및 역할 할당을 업데이트해야 합니다.
  • 사용자 위치, 장치 규정 준수 또는 위험 수준과 같은 특정 조건에 따라 접근을 제한하기 위해 조건부 접근 정책을 사용해야 합니다.

  #2 제로 트러스트 아키텍처

  • 사용 가능한 데이터 포인트를 기반으로 모든 접근 요청을 인증, 식별 및 승인해야 합니다.
  • 역할에 필요한 권한만 부여하기 위해 "적시(Just in Time)" 및 "필요한 만큼의 접근(Just Enough Access)" 원칙(JIT/JEA)을 적용합니다.
  • 보안 침해가 발생할 수 있다는 가정 하에 운영하십시오. 네트워크를 분할하고 종단 간 암호화를 사용하여 잠재적 공격 표면을 제한하십시오.

  #3 네트워크 보안

  • NSG 규칙을 검토하고 현재 보안 상태와 일치하는지 확인해야 합니다.
  • 서브넷 분할, 사설 엔드포인트, Azure 방화벽 통합을 포함해야 하는 VNet의 보안 구성을 반드시 확인해야 합니다.
  • VPN 및 ExpressRoute 연결에 대해 IPsec 암호화 및 액세스 제어와 같은 강력한 보안 조치를 구현해야 합니다.

  #4 데이터 보호

  • Azure의 기본 제공 암호화 서비스 및 Azure Key Vault를 사용하여 저장 중 및 전송 중인 민감한 데이터가 암호화되었는지 확인해야 합니다.
  • 안전한 데이터 백업 프로세스를 수립하고 유지 관리해야 합니다.
  • 데이터 액세스 로그에 대한 정기적인 감사를 수행하여 무단 또는 의심스러운 활동을 모니터링해야 합니다. Azure Monitor 및 Azure Sentinel을 사용하여 이상 징후 탐지를 자동화할 수 있습니다.

  #5 모니터링 및 위협 탐지

  • Azure Security Center 및 Azure Sentinel을 구성하여 지속적인 모니터링 및 위협 탐지를 수행해야 합니다.
  • Azure 환경에 맞게 조정하기 위해 사고 대응 계획을 수립하고 정기적으로 업데이트해야 합니다.
  • 환경의 복원력을 테스트하고 회사의 보안 태세를 강화하기 위해 정기적인 위협 탐지 훈련을 수행해야 합니다.

  #6 애플리케이션 보안

  • Azure DevOps를 활용하면 CI/CD 파이프라인에 안전한 코딩 관행을 통합하고 빌드 및 배포 과정에서 보안 검사를 자동화할 수 있습니다.
  • 웹 애플리케이션과 API의 취약점을 정기적으로 테스트하면 SQL 인젝션 및 XSS 위험을 완화할 수 있습니다.

  #7 규정 준수 및 거버넌스

  • Azure 정책을 정기적으로 검토 및 업데이트하고 조직 및 규제 요구 사항을 준수하는지 확인해야 합니다.
  • Azure Monitor를 사용하여 적절한 감사 추적이 유지되고 정기적으로 검토되도록 해야 합니다.
  • Azure 규정 준수 관리자를 사용하여 규정 준수 요구 사항을 추적하고 관리함으로써 Azure 환경을 정기적으로 평가해야 합니다.

  Azure 보안 체크리스트를 따를 때 인프라에 대한 지속적인 보호를 제공하는 자동화된 보안 도구를 통합하는 것이 필수적입니다. Singularity™ 클라우드 보안 상태 관리를 사용하면 클라우드 오설정을 손쉽게 식별하고 해결하여 전반적인 클라우드 보안 상태를 강화할 수 있습니다.

  Azure 보안을 위해 SentinelOne을 사용해야 하는 이유는 무엇인가요?

  기존의 사고 탐지 및 위험 관리 솔루션을 사용할 수는 있지만, Azure의 방대한 데이터 양과 다양한 구성은 최고의 보안 전문가조차 당황하게 만들 수 있습니다.

  SentinelOne는 차세대 AI 기반 자율 사이버 보안 보호 기능을 통해 기업의 업그레이드를 지원하기 때문에 선호되는 선택입니다. SentinelOne은 클라우드 워크로드 보호를 간소화하고 민첩성을 높이며 자동화된 런타임 컨테이너 보안을 가능하게 합니다.

  사이드카 에이전트 없이 포드, 컨테이너, K8s 워커 노드를 보호하는 단일 에이전트를 탑재했습니다. 클라우드 메타데이터와 자동화된 Storyline™ 공격 시각화로 강화된 고성능 EDR 및 클라우드 메타데이터와 자동화된 Storyline™ 공격 시각화로 강화된 가시성을 제공하며, MITRE ATT&CK® TTPs에 매핑됩니다.

  Cloud Security Demo

  Discover how AI-powered cloud security can protect your organization in a one-on-one demo with a SentinelOne product expert.

  Get a Demo

  마무리: Azure 생태계 보안 강화

  사이버 공격의 정교화 및 SHRM의 고유한 취약성은 Azure 사용자에게 새로운 보안 과제를 야기할 것입니다. Azure는 Azure Security Center, Azure Firewall, Azure Key Vault와 같은 강력한 보안 도구 세트를 제공합니다.

  이 외에도 조직은 당사가 제시한 Azure 보안 모범 사례 권장 사항을 구현해야 합니다. 클라우드에서 보안 관리는 일회성 작업이 아니라는 점을 명심하십시오. Azure 보안은 공동 책임이므로 클라우드 사용자는 접근 권한 및 권한 부여를 적절히 구성하고 네트워크 트래픽을 모니터링 및 보호할 책임이 있습니다. 이것이 우리가 이를 지속적인 과정이라고 말하는 이유입니다.

  SentinelOne의 클라우드 보안 플랫폼은 광범위한 클라우드 네이티브 Microsoft Azure 빌드, 인프라, 배포 및 런타임 서비스를 대상으로, 이미지 빌드부터 배포에 이르기까지 일관된 정책과 제어 기능을 통해 클라우드 네이티브 애플리케이션의 전체 라이프사이클과 구성을 포괄적으로 보호합니다. 데모 예약하여 자세히 알아보세요.

  "

Azure 보안 FAQ