[Azure] AZ-500: Microsoft Azure Security Technologies 정리

[AZ-400 정리]

 

• AAD PTA(통과인증)
  사용자가 온프레미스와 클라우드 기반 애플리케이션 둘 다 동일한 암호로 로그인 가능
  온프레미스 AD 보안 및 암호 정책을 적용 가능
  Agent가 설치될 서버가 필요함

 

• AAD Risk
  Sign-ins from IP addresses with suspicious activity: Low
  Sign-ins from unfamiliar locations: Medium
  Sign-ins from infected devices: Medium
  Sign-ins from anonymous IP addresses: Medium
  Impossible travel to atypical location: Medium
  Users with leaked credentials: High 

 

• AcrPush Role은 push image, pull image 가능
  AcrPull Role은 pull image 만 가능

 

• Azure CNI Plugin은 VM에 설치된다.
  플러그인은 가상 네트워크의 IP주소를 가상 머신에 가져온 컨테이너에 할당하고 가상네트워크에 연결하고 다른 컨테이너 및 가상네트워크 리소스에 연결해준다.

 

• Azure SQL(Always Encrypted)
  카드나 주민등록 번호와 같은 DB에 저장된 중요한 데이터를 보호하기 위한 기능
  작동방식: 열에 대해 암호화 설정을 하는 경우 열의 데이터를 보호하는데 사용되는 암호화 알고리즘과 암호키에 대한 정보를 지정.
  Always Encrypted 는 column encryption key, column master key 사용
  column encryption: 암호화된 열의 데이터를 암호화하는데 사용
  column master: 하나 이상의 열 암호화 키를 암호화하는 키 보호 키
  
  DB엔진은 각 열 에 대한 암호화 구성을 메타데이터에 저장한다. 암호화된 열에 저장된 데이터에 일반 텍스트로 액세스하려면 application에서 드라이버로 연결 

 

• Azure AD Connect에 사용되는 서비스 계정은 3개
  1. AD DS Connection Account: AD에서 정보를 읽고 쓰는데 사용
  2. Azure AD Connect: Azure AD에 정보를 쓰는데 사용
  3. ADSync 서비스 계정: 동기화 서비스 실행 및 SQL DB에 엑세스
  
  필요에 따라 AAD Connect를 설치하기 위해 아래의 계정이 필요할수도
  1. local admin
  2. AD DS Enterprise 관리자
  3. AAD 전역관리자

 

• Azure AD 설치(두 가지 경로)
  Express, 사용자 지정 설정

 

• Azure 리소스를 위한 PIM 할당 형식
  적격(Eligible): 역할을 사용하는 작업을 수행하기 위해 역할의 구성원이 필요. MFA 검사 수행, 승인 요청 등
  활성(Active): 작업을 수행하기 위해 멤버가 필요하지 않음 항상 역할에 할당된 권한이 있다.

 

• SQL Advanced Threat Protection
  적용대상: Azure SQL DB, AZURE SQL MI, Azure Synapse Analytics, IaaS MS SQL, Azure Arc SQL Server
  의심스러운 DB 활동, 취약성 및 SQL Injection, 비정상적인 쿼리에 대한 경고 ASC와 통합.

 

• Azure AD
  Office365 그룹과 삭제된 일반 사용자는 30일 이전엔 복구 가능
  Security Group 복구 불가

 

• ASG 에 할당된 NIC 은 애플리케이션 보안 그룹에 할당된 첫 번째 네트워크 인터페이스가 있는 가상 네트워크와 동일한 가상 네트워크에 있어야한다.