<aside> 🔒 Azure Security

• Identity and Access

  • Azure Cloude Security 장점

    1. 전통적인 접근방법: 할 일이 더 없고
    2. Cloud-Enabled Approach

  • Azure Hierarchy

    Subscription → Resource Group(IAM-role, Templates) → Group

    

  • Azure Policy

    → Resource(자원)의 Properties에 적용

    → Tag 필수

  • Azure Role-Based Access Control

    → Azure AD에서 User에게 Role을 줌

  • Azure RBAC vs Azure Policies

    → RBAC: Resource group → IAM

    Owner: 모든것을 관리

    Contributor: 모든 권한을 가졌지만, 다른 사람들한테 권한 위임 못함

    Reader: 모든자원에 읽기만 가능

    → Resource Locks: 삭제로 부터 안전하게 보호

    subscription > resource group > resource

    → Azure Polices: Azure AD role

  • Azure Identity Protection Risk Events

    → 사용경우

    1. 일관된 IP에서 위험이 발생할 경우
    2. 바이러스가 침투할 경우
    3. 하나의 IP에서 위험이 발생할 경우

    등등

    → User Risk Policy

    → Sign-in Risk Policy

    → Azurer MFA Concepts

    • Multifactor authentication( 2단계 인증 )

      → 계정 보안유지 → 다음 → Button → 이메일, 전화번호 등록 → 다음부터 로그인할 때 핸드폰으로 인증번호

    • Enabling MFA

    • MFA Settings

      → 너무 많은 인증실패일 때 잠금 등등

    → Access Reviews

    • group이 조직을 허가하거나 활동들을 체크
    • 기타 여러경우를 체크
    • 등등

  • Privileged Identity Management

    → privileged accounts를 보호할 수 있는 방법들

    1. Traditional = Active Directory
    2. Advanced = Cloud identity랑 사내와 연결
    3. Optimal = Password를 안쓰는 인증, MFA 필수

    → PIM Onboarding = 중요한 accounts에 쓰이는

    • PIM or Roles Adminstrators

    → AD roles 와 Azure resources

</aside>

<aside> 🥽 Perimeter Security

• Defense in Depth

  → 보안은 깊이 !

  

  1. Physical Security = 물리적 보안 (예시: 랜선)

• Virtual Network Security

  1. 동적 & 공인 IP를 받음
  2. Load balancing
  3. Subnet 분리
  4. Point-to-site
  5. VPN Gateway: VN1, VN2, VN3들을 VNhub안에 VPN gateway를 사용하여 VPN transit하여 연결
  6. DDOS 보호설정→ 무조건 적용

  • commands

    → Route table = 한번 들렸다가게 하는

    → service endpoints = 아무나 접근 못하게

• Azure Firewall

  → Network에서 들어오는 접속을 차단

  → Firewall rules

• VPN Forced Tunneling

  → 회사 IP를 경유하고 Cap으로 나가라

  → UDR을 붙여서 반드시 Gateway 다음 NVA로 인터넷사용

  

  → Azuer Portal에서 NVA를 IP fowarding 하고NVA에서도 IP forwarding 필수

  <aside> 🧪 Lab102 실습

  </aside>

  <aside> 🧪 Lab103 실습

  • 반드시 Virtual appliance를 통해서

  

  1. route table 만들기
  2. route를 정의 </aside>

</aside>

<aside> 💡 Hub and Spoke topology with Azure

• Virtual Network를 나눠야할 때 Hub를 중심으로 Peering하면서 VPN Gateway를 만들어 transit

<aside> 🧪 Lab 08 Azure Firewall

→ 네트워크 리소스를 보호하기 위해 요청의 IP주소를 기반으로 서버 액세스 권한을 허용/거부하는 관리형 상태 저장 방화벽 서비스(Paas)(Firewall as a Service)

1. Packet Filtering
2. Application
3. NAT
4. Azure Monitor 로깅 사용 </aside>

</aside>

<aside> 🔐 Network Security

• Network Security Groups (NSG)

  

  → VM NSG, Sub NSG

  : 밖→안 포트 3389

  priority → 작은거 일 수록 더 우선순위 높음 !!

  

• NSG Implementation

  NSG는 독립적으로 subnet과 NIC에 대해 체크당함

  allow rule이 있어야함

• Load Balancing

• Application Security Groups (ASGs)

  <aside> 🧪 Lab07

  1. create virtual network

     • myVirtualNetwork 라는 network 생성

       → Address space: 10.0.0.0/16

       → subnet name: mySubnet

       Address range: 10.0.0.0/24

  2. create application security groups

     • myAsgWebServers 생성
     • myAsgMgmtServers 생성

  3. create network security group

     • myNsg 생성
       • subnet +Associate → Virtual network → mySubnet

  4. create security rules

     • Application security group

       • myAshWebServers → inbound security rule

         Destination: Application security group → myAsgWebServers

         Port ranges: 80,443

         Protocol: TCP

         Name: Allow-Web-All

       • myAsgMgmtServers → inbound security rule

  5. Create Virtual machines

  6. RDP, mstsc로 VM에 들어가서 내부나 외부에서 Web이 잘 열리는지 확인해보기 </aside>

• Service Endpoints

• Web Application Firewall ( WAF ) </aside>

<aside> 🔐 Host Security

</aside>

<aside> 🧰 Container instance

</aside>

<aside> 🌆 Module 03: Application Security

</aside>

<aside> 💡 Azure Security center

</aside>