반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- classification
- java역사
- tensorflow
- paragraph
- CES 2O21 참여
- bccard
- 웹 용어
- cudnn
- Keras
- 재귀함수
- postorder
- 자료구조
- 결합전문기관
- mglearn
- broscoding
- 대이터
- C언어
- 머신러닝
- 데이터전문기관
- pycharm
- discrete_scatter
- web
- web 용어
- KNeighborsClassifier
- CES 2O21 참가
- html
- web 개발
- inorder
- vscode
- web 사진
Archives
- Today
- Total
bro's coding
AZURE.AZ-305 본문
반응형
CAF( Cloud Adoption Framework ):
- 클라우드 채택 프레임워크로, Microsoft, AWS, Google Cloud와 같은 주요 클라우드 공급업체들이 제공하는 가이드라인입니다.
- 조직이 클라우드 기술을 효과적으로 채택하고, 운영 프로세스를 현대화하는 데 도움을 주기 위해 설계되었습니다.
- 주요 구성 요소: 전략, 계획, 준비, 거버넌스, 관리를 포함하여 클라우드 전환의 각 단계에 대한 지침 제공.
WAF( Web Application Firewall):
- 웹 공격 방어
- SQL 인젝션, 크로스 사이트 스크립팅(XSS), 파일 삽입 공격 등 웹 애플리케이션을 대상으로 한 다양한 공격으로부터 보호합니다.
- 트래픽 모니터링 및 필터링
- 웹 요청을 실시간으로 분석하여 악의적인 요청이나 비정상적인 트래픽을 탐지합니다.
- 정책 기반 보안
- 사전 정의된 규칙 또는 커스터마이징된 보안 정책을 사용하여 위협을 차단합니다.
- DDOS 완화
- WAF는 대규모 트래픽 공격을 완화하는 데 도움을 줄 수 있습니다(특히 클라우드 기반 WAF에서 유용).
WAF의 종류
- 네트워크 기반 WAF
- 하드웨어 형태로 제공되며, 로컬 네트워크에 배치됩니다.
- 낮은 지연 시간과 고성능을 제공하지만 설치 및 유지 관리 비용이 높을 수 있습니다.
- 호스트 기반 WAF
- 서버에 설치된 소프트웨어 형태로 동작하며, 특정 애플리케이션을 보호합니다.
- 유연하지만 서버 리소스를 소모할 수 있습니다.
- 클라우드 기반 WAF
- 클라우드 제공업체의 서비스로 제공되며, 간편한 설치와 확장성을 제공합니다.
- 예: AWS WAF, Azure WAF, Cloudflare WAF 등.
WAF vs 일반 방화벽
- WAF는 애플리케이션 계층(L7)을 보호하며, HTTP/HTTPS 트래픽에 특화되어 있습니다.
- 일반 방화벽은 네트워크 계층(L3/L4)을 보호하며, IP, 포트, 프로토콜 수준에서 트래픽을 제어합니다.
리소스 관리
테넌트 루트 그룹 -> 관리 그룹 -> 구독 -> 리소스 그룹 -> 리소스
RBAC(Role-Based Access Control)
RBAC(Role-Based Access Control)는 역할 기반 접근 제어를 의미하며, 시스템의 리소스와 데이터에 대한 접근을 사용자의 역할에 따라 제어하는 보안 메커니즘입니다. 이는 조직 내에서 사용자 권한을 효율적이고 체계적으로 관리하는 데 널리 사용됩니다.
RBAC의 주요 개념
- Role (역할)
- 사용자가 수행할 수 있는 작업을 정의하는 권한 집합.
- 예: "관리자", "개발자", "읽기 전용 사용자" 등.
- Permission (권한)
- 특정 리소스에 대해 수행할 수 있는 작업.
- 예: "읽기", "쓰기", "삭제", "수정" 등.
- User (사용자)
- 시스템에 접근하는 개별 사용자.
- 사용자는 하나 이상의 역할을 가질 수 있음.
- Resource (리소스)
- 사용자가 접근하려는 데이터, 파일, 시스템 구성 요소.
- Role Assignment (역할 할당)
- 사용자를 특정 역할에 연결하여 권한을 부여하는 과정.
RBAC의 주요 원칙
- 최소 권한 원칙(Principle of Least Privilege)
- 사용자는 작업 수행에 필요한 최소한의 권한만 부여받아야 합니다.
- 역할 중심 관리
- 사용자별로 개별 권한을 설정하지 않고, 역할에 따라 권한을 관리하여 단순화.
- 분리의 원칙(Separation of Duties)
- 단일 사용자나 역할이 시스템의 모든 권한을 가지는 것을 방지하여 보안 강화를 도모.
RBAC의 주요 특징 및 장점
- 효율성
- 대규모 조직에서 사용자 권한을 손쉽게 관리 가능.
- 보안성
- 불필요한 권한 남용을 방지하고, 규정 준수를 지원.
- 유연성
- 역할 기반으로 권한을 확장하거나 축소하기 용이함.
- 감사 용이성
- 역할에 기반한 권한 설정으로 감사 및 보안 모니터링이 더 간단해짐.
RBAC의 주요 사용 사례
- 클라우드 플랫폼
- 예: Azure RBAC 또는 AWS IAM Roles를 통해 리소스와 서비스 접근 제어.
- 기업 네트워크
- 특정 부서(예: HR, IT, 재무)에 따라 데이터베이스나 파일 서버 접근 제어.
- 애플리케이션 개발
- API 요청에 대해 사용자 역할에 따라 요청을 허용하거나 거부.
RBAC vs ABAC vs DAC 비교
특징RBAC (Role-Based Access Control)ABAC (Attribute-Based Access Control)DAC (Discretionary Access Control)
| 기준 | 역할(Role) 기반 | 속성(Attribute) 기반 | 소유자(Owner) 기반 |
| 복잡성 | 상대적으로 단순 | 조건이 많아 복잡 | 단순하지만 사용자 중심 관리로 보안 취약 가능 |
| 유연성 | 역할 변경을 통해 관리 용이 | 매우 유연(다양한 조건 사용 가능) | 소유자가 모든 권한 관리 |
| 사용 사례 | 기업 권한 관리, 클라우드 플랫폼 | 고급 보안 요구, 규정 준수 환경 | 파일 공유 시스템 |
Azure Landing Zone
Azure Landing Zone(에저 랜딩 존)은 Microsoft Azure에서 클라우드 환경을 설정하고 확장 가능한 기반을 제공하기 위한 클라우드 환경 설계 패턴입니다. 이는 대규모 배포를 준비하거나 멀티 팀 환경에서 일관된 관리와 거버넌스를 유지하고자 할 때 사용됩니다.
Azure Landing Zone의 주요 목적
- 클라우드 환경 표준화
- 모든 애플리케이션과 워크로드가 공통된 보안, 네트워크, 규정 준수 및 운영 표준을 따를 수 있도록 지원.
- 확장 가능성 제공
- 초기 소규모 워크로드에서부터 대규모 엔터프라이즈 배포까지 지원할 수 있는 구조 제공.
- 효율적 관리
- 권한 관리, 비용 관리, 정책 적용 등을 쉽게 구현.
- 규정 준수 및 보안
- 조직의 보안 및 규정 준수 요구 사항을 충족하는 기본 아키텍처 제공.
Azure Landing Zone의 구성 요소
Azure Landing Zone은 Azure Well-Architected Framework를 기반으로 설계되며, 다음과 같은 핵심 구성 요소를 포함합니다:
1. Azure 관리 그룹 (Management Groups)
- 구독을 계층적으로 구성하여 정책과 액세스 제어를 관리.
- 예: 프로덕션(Production)과 개발(Development) 구독을 구분.
2. Azure Policy
- 리소스가 규정에 맞게 설정되었는지 확인하고 제약 조건을 적용.
- 예: 특정 지역 외의 리소스 배포 금지.
3. Azure RBAC (Role-Based Access Control)
- 역할에 따라 사용자에게 적절한 권한을 부여.
- 예: 네트워크 관리자는 네트워크 관련 리소스에만 액세스 가능.
4. Azure Networking
- 네트워크 아키텍처 설계(예: 가상 네트워크, 서브넷, 네트워크 보안 그룹).
- 하이브리드 환경에서는 VPN Gateway 또는 ExpressRoute를 포함.
5. Azure Monitor 및 로그 분석
- 성능, 보안, 규정 준수 상태를 실시간으로 모니터링하고 문제 해결.
6. Cost Management
- 비용을 추적하고 예산 및 경고를 설정하여 클라우드 비용 최적화.
Azure Landing Zone 배포 모델
Azure Landing Zone은 조직의 요구 사항에 따라 다양한 배포 모델을 지원합니다:
1. 스타터 (Start Small and Expand)
- 소규모 환경에서 시작하여 점진적으로 확장.
- 적합한 경우: 초기 클라우드 도입 단계.
2. 엔터프라이즈 규모 (Enterprise-Scale)
- 대규모 조직을 위한 사전 설계된 아키텍처.
- 여러 워크로드와 팀을 지원하며 일관성과 보안을 유지.
- Microsoft가 제공하는 표준 참조 아키텍처.
3. 모듈형 접근 (Modular Approach)
- 특정 요구사항에 맞게 개별적으로 구성 요소를 선택하여 배포.
Azure Landing Zone의 주요 장점
- 빠른 클라우드 전환
- 설정 시간 단축 및 신속한 워크로드 배포.
- 일관성 보장
- 모든 팀과 리소스가 표준화된 환경에서 작업 가능.
- 보안 및 규정 준수 강화
- 사전 정의된 보안 및 규정 준수 정책으로 위험 감소.
- 비용 효율성
- 비용 관리 도구와 정책으로 예산 초과 방지.
Azure Landing Zone 아키텍처 예시
plaintext
코드 복사
Management Group ├── Root ├── Corp (엔터프라이즈 관리 그룹) │ ├── Production (프로덕션 구독) │ ├── Development (개발 구독) ├── Policy (정책 및 규정 설정) ├── Networking (허브 및 스포크 네트워크 모델)
Azure Landing Zone의 활용 사례
- 엔터프라이즈 클라우드 채택
- 대규모 기업이 기존 데이터센터를 Azure로 마이그레이션.
- 멀티팀 환경 설정
- 조직 내 여러 팀이 독립적으로 작업하면서도 공통된 표준을 따름.
- 하이브리드 클라우드 아키텍처
- 온프레미스와 Azure를 연결하는 환경 구축.
- 규정 준수 환경
- 금융, 의료와 같은 규정 준수가 중요한 산업에서 표준 준수 보장.
반응형
'[CLOUD] > Azure' 카테고리의 다른 글
| AZ-305.Storage (0) | 2024.12.17 |
|---|---|
| AZ-305.Functions (0) | 2024.12.17 |
| AZ-305.Azure Container Instances(ACI) (0) | 2024.12.17 |
| AZ-305.PaaS.webApp/APIApp/WebJob/MobileApp (0) | 2024.12.16 |
| AZ-305.VM Scale Sets (0) | 2024.12.16 |
| AZ-305.VM vs PaaS (1) | 2024.12.16 |
| AZ-305.PaaS환경 (0) | 2024.12.16 |
| AZ-305.컴퓨팅 서비스 선택 (0) | 2024.12.16 |
Comments