다음을 통해 공유

Azure 데이터베이스 보안 검사 목록

보안을 개선하기 위해 Azure SQL Database 및 Azure SQL Managed Instance에는 액세스를 제한 및 제어하고, 데이터를 보호하고, 위협을 모니터링하는 데 사용할 수 있는 기본 제공 보안 컨트롤이 포함되어 있습니다.

보안 컨트롤에는 다음이 포함됩니다.

  • IP 주소 및 가상 네트워크에 의한 연결을 제한하는 방화벽 규칙
  • 중앙 집중식 ID 관리를 위한 Microsoft Entra 인증
  • TLS 암호화를 사용하여 연결 보호
  • 액세스 관리 및 권한 부여
  • 저장 중 및 전송 중 데이터 암호화
  • 데이터베이스 감사 및 위협 감지
  • 고급 데이터 보안 기능

소개

클라우드 컴퓨팅에는 많은 애플리케이션 사용자, 데이터베이스 관리자 및 프로그래머에게 익숙하지 않을 수 있는 새로운 보안 패러다임이 필요합니다. 조직은 Azure SQL의 포괄적인 보안 기능을 활용하여 중요한 데이터를 보호하고 규정 준수 요구 사항을 충족할 수 있습니다.

검사 목록

이 검사 목록을 검토하기 전에 Azure SQL Database 보안 모범 사례 문서를 읽는 것이 좋습니다. 모범 사례를 이해하면 이 검사 목록에서 가장 많은 가치를 얻는 데 도움이 됩니다. 이 검사 목록을 사용하여 Azure 데이터베이스 보안의 중요한 보안 제어를 해결했는지 확인합니다.

검사 목록 범주 설명
데이터 보호

전송 중 암호화
  • TLS(전송 계층 보안) 는 클라이언트와 데이터베이스 간에 이동 중인 데이터를 암호화합니다. Azure SQL은 보안 연결을 위해 TLS 1.2 이상이 필요합니다.
  • 데이터베이스에는 TLS를 통한 TDS(테이블 형식 데이터 스트림) 프로토콜을 기반으로 하는 클라이언트의 보안 통신이 필요합니다.

미사용 데이터 암호화
  • TDE(투명한 데이터 암호화) 는 미사용 데이터 및 로그 파일을 암호화합니다. TDE는 기본적으로 모든 새 Azure SQL 데이터베이스에서 사용하도록 설정됩니다.
  • BYOK(Bring Your Own Key) 를 사용하면 Azure Key Vault에서 TDE 암호화 키를 관리할 수 있습니다.

사용 중인 암호화
  • Always Encrypted는 클라이언트 애플리케이션 내에서 암호화하여 중요한 데이터를 보호합니다. 암호화 키는 데이터베이스 엔진에 도달하지 않으며 데이터 소유자와 데이터 관리자 간의 분리를 보장합니다.
  • CLE(Column-Level Encryption) 는 중요한 데이터를 추가로 보호하기 위해 대칭 암호화를 사용하여 특정 열을 암호화합니다.
액세스 제어

데이터베이스 액세스
  • Microsoft Entra 인증 은 SSO(Single Sign-On) 기능을 사용하여 중앙 집중식 ID 관리를 제공합니다.
  • 강력한 암호를 사용하는 SQL 인증은 대체 인증 방법을 제공합니다.
  • 권한 부여 는 사용자에게 역할 기반 액세스 제어를 사용하는 데 필요한 최소 권한을 부여합니다.

네트워크 액세스 컨트롤

애플리케이션 액세스 제어
  • Row-Level 보안(RLS) 은 사용자의 ID, 역할 또는 실행 컨텍스트에 따라 행 수준 액세스를 제한합니다.
  • 동적 데이터 마스킹 은 기본 데이터를 변경하지 않고 권한이 없는 사용자에게 마스킹하여 중요한 데이터 노출을 제한합니다.
  • 데이터 검색 및 분류 는 향상된 보호 및 규정 준수를 위해 중요한 데이터를 식별, 분류 및 레이블 지정합니다.
사전 모니터링

감사 및 탐지
  • 감사는 데이터베이스 이벤트를 추적하고 Azure Storage 계정, Log Analytics 작업 영역 또는 Event Hubs의 감사 로그에 기록합니다.
  • Azure Monitor 및 진단 설정을 사용하여 Azure SQL Database 상태를 추적합니다.
  • MICROSOFT Defender for SQL은 SQL 삽입, 무차별 암호 대입 공격 및 취약성 악용을 비롯한 잠재적 보안 위협을 나타내는 비정상적인 데이터베이스 활동을 검색합니다.

취약점 평가
  • 취약성 평가 는 잠재적인 데이터베이스 취약성을 검색, 추적 및 수정하는 데 도움이 됩니다.
  • 규정 준수를 위한 실행 가능한 보안 권장 사항 및 위험 보고서를 제공합니다.

중앙 집중식 보안 관리
데이터 무결성

원장 기능
  • 원장은 변경 불가능한 데이터베이스 트랜잭션 레코드를 만들어 변조 방지 기능을 제공합니다.
  • 데이터 무결성 확인을 위한 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

결론

Azure SQL Database 및 Azure SQL Managed Instance는 조직 및 규정 준수 요구 사항을 충족하는 포괄적인 보안 기능을 갖춘 강력한 데이터베이스 플랫폼을 제공합니다. 투명한 데이터 암호화, Always Encrypted 및 TLS를 사용하여 미사용, 전송 중 및 사용 중인 수명 주기 동안 데이터를 보호할 수 있습니다. Row-Level 보안, 동적 데이터 마스킹 및 Microsoft Entra 인증을 비롯한 세분화된 액세스 제어를 통해 권한 있는 사용자만 중요한 데이터에 액세스할 수 있습니다. 감사, MICROSOFT Defender for SQL 및 취약성 평가를 통한 지속적인 모니터링은 보안 위협을 사전에 식별하고 수정하는 데 도움이 됩니다.

다음 단계

다음과 같은 몇 가지 간단한 단계를 통해 악의적인 사용자 또는 무단 액세스로부터 데이터베이스 보호를 개선할 수 있습니다.

  • Last updated on