이 문서에는 Blob Storage에 대한 보안 권장 사항이 포함되어 있습니다. 이러한 권장 사항을 구현하면 공유 책임 모델에 설명된 대로 보안 의무를 충족하는 데 도움이 됩니다. Microsoft가 서비스 공급자의 책임을 이행하는 방법에 대한 자세한 내용은 클라우드에서의 공동 책임을 참조하세요.
이 문서에 포함된 권장 사항 중 일부는 Azure에서 리소스를 보호하는 첫 번째 방어선인 클라우드용 Microsoft Defender에서 자동으로 모니터링할 수 있습니다. 클라우드용 Microsoft Defender에 대한 자세한 내용은 클라우드용 Microsoft Defender란 무엇인가요?를 참조하세요.
클라우드용 Microsoft Defender는 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음 이를 해결하는 방법에 대한 권장 사항을 제공합니다. 클라우드용 Microsoft Defender 권장 사항에 대한 자세한 내용은 보안 권장 사항 검토를 참조하세요.
데이터 보호
권장
설명
Defender for Cloud
Azure Resource Manager 배포 모델 사용
Azure RBAC(역할 기반 액세스 제어) 및 감사, Resource Manager 기반 배포 및 거버넌스, 관리 ID 액세스, 비밀에 대한 Azure Key Vault 액세스, Microsoft Entra 인증 및 Azure Storage 데이터 및 리소스에 대한 액세스 권한 부여를 비롯하여 중요한 보안 향상을 위해 Azure Resource Manager 배포 모델을 사용하여 새 스토리지 계정을 만듭니다. 가능하면 클래식 배포 모델을 사용하는 기존 스토리지 계정을 마이그레이션하여 Azure Resource Manager를 사용합니다. Azure Resource Manager에 대한 자세한 내용은 Azure Resource Manager 개요를 참조하세요.
-
모든 스토리지 계정에 대해 Microsoft Defender를 사용하도록 설정합니다.
Microsoft Defender for Storage는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 검색하는 추가 보안 인텔리전스 계층을 제공합니다. 비정상적인 작업이 발생하면 클라우드용 Microsoft Defender에서 보안 경고가 트리거되며, 의심스러운 작업에 대한 세부 정보와 위협을 조사하고 해결하는 방법에 대한 권장 사항과 함께 메일을 통해 구독 관리자에게도 전송됩니다. 자세한 내용은 스토리지용 Microsoft Defender 구성을 참조하세요.
Blob에 대한 일시 삭제를 통해 Blob 데이터를 삭제한 후 복구할 수 있습니다. Blob의 일시 삭제에 대한 자세한 내용은 Azure Storage Blob의 일시 삭제를 참조하세요.
-
컨테이너에 대한 일시 삭제 켜기
컨테이너에 대해 일시 삭제를 사용하면 컨테이너를 삭제한 후 복구할 수 있습니다. 컨테이너의 일시 삭제에 대한 자세한 내용은 컨테이너의 일시 삭제를 참조하세요.
-
실수로 또는 악의적으로 삭제 또는 구성 변경 내용을 방지하기 위해 스토리지 계정 잠금
Azure Resource Manager 잠금을 스토리지 계정에 적용하여 우발적이거나 악의적인 삭제 또는 구성 변경으로부터 계정을 보호합니다. 스토리지 계정을 잠그면 해당 계정의 데이터가 삭제되는 것을 방지할 수 없습니다. 계정 자체가 삭제되는 것을 방지할 뿐입니다. 자세한 내용은 스토리지 계정에 Azure Resource Manager 잠금 적용을 참조하세요.
변경할 수 없는 Blob에 중요한 비즈니스 데이터 저장
WORM(한 번 쓰기, 여러 번 읽기) 상태로 Blob 데이터를 저장하도록 법적 보존 및 시간 기반 보존 정책을 구성합니다. 불변으로 저장된 Blob은 읽을 수 있지만 보존 간격 동안 수정하거나 삭제할 수 없습니다. 자세한 내용은 변경이 불가능한 스토리지로 업무상 중요한 Blob 데이터 저장을 참조하세요.
-
스토리지 계정에 대한 보안 전송(HTTPS) 필요
스토리지 계정에 대한 보안 전송이 필요한 경우 스토리지 계정에 대한 모든 요청은 HTTPS를 통해 이루어져야 합니다. HTTP를 통해 수행된 모든 요청은 거부됩니다. 모든 스토리지 계정에 대해 항상 보안 전송을 요구하는 것이 좋습니다. 자세한 내용은 보안 연결을 위해 보안 전송 필요를 참조하세요.
기본적으로 권한 있는 사용자는 원본 계정이 하나의 Microsoft Entra 테넌트에 있고 대상 계정이 다른 테넌트에 있는 개체 복제 정책을 구성할 수 있습니다. 개체 복제 정책에 참여하는 원본 및 대상 계정이 동일한 테넌트에 있도록 테넌트 간 개체 복제를 허용하지 않습니다. 자세한 내용은 Microsoft Entra 테넌트 간 개체 복제 방지를 참조하세요.
-
ID 및 액세스 관리
권장
설명
Defender for Cloud
Microsoft Entra ID를 사용하여 Blob 데이터에 대한 액세스 권한 부여
Microsoft Entra ID는 Blob Storage에 대한 요청에 권한을 부여하기 위해 공유 키보다 뛰어난 보안과 사용 편의성을 제공합니다. 자세한 내용은 Azure Storage의 데이터에 대한 액세스 권한 부여를 참조하세요.
-
Azure RBAC를 통해 Microsoft Entra 보안 주체에 권한을 할당할 때 최소 권한 원칙에 유의하세요.
사용자, 그룹 또는 애플리케이션에 역할을 할당할 때 해당 보안 주체에게 작업을 수행하는 데 필요한 권한만 부여합니다. 리소스에 대한 액세스를 제한하면 데이터의 의도하지 않은 악의적인 오용을 방지할 수 있습니다.
-
사용자 위임 SAS를 사용하여 Blob 데이터에 대한 제한된 액세스 권한을 클라이언트에 부여합니다.
Microsoft Entra ID를 사용하여 Azure Storage에 대한 요청을 승인하는 것이 좋습니다. 그러나 공유 키 인증을 사용해야 하는 경우에는 Azure Key Vault를 사용하여 계정 키를 보호합니다. 애플리케이션에 키를 저장하는 대신 런타임에 키 자격 증명 모음에서 키를 검색할 수 있습니다. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault 모음 개요를 참조하세요.
-
정기적으로 계정 키 다시 생성
정기적으로 계정 키를 회전하면 악의적인 행위자에게 데이터를 노출하는 위험을 줄일 수 있습니다.
-
공유 키 승인 허용 안 함
스토리지 계정에 대한 공유 키 권한 부여를 허용하지 않으면 Azure Storage는 계정 액세스 키로 권한 부여된 해당 계정에 대한 모든 후속 요청을 거부합니다. Microsoft Entra ID로 권한이 부여된 보안 요청만 성공합니다. 자세한 내용은 Azure Storage 계정에 대한 공유 키 권한 부여 방지를 참조하세요.
-
SAS에 권한을 할당할 때 최소 권한의 원칙에 유의하세요.
SAS를 만들 때 클라이언트가 기능을 수행하는 데 필요한 권한만 지정합니다. 리소스에 대한 액세스를 제한하면 데이터의 의도하지 않은 악의적인 오용을 방지할 수 있습니다.
-
클라이언트에게 발급하는 SAS에 대한 해지 계획 보유
SAS가 손상되면 가능한 한 빨리 해당 SAS를 해지하는 것이 좋습니다. 사용자 위임 SAS를 해지하려면 사용자 위임 키를 해지하여 해당 키와 관련된 모든 서명을 신속하게 무효화합니다. 저장된 액세스 정책과 연결된 서비스 SAS를 해지하려면 저장된 액세스 정책을 삭제하거나, 정책의 이름을 바꾸거나, 만료 시간을 과거 시간으로 변경할 수 있습니다. 자세한 내용은 SAS(공유 액세스 서명)를 사용하여 Azure Storage 리소스에 대한 제한된 액세스 권한 부여를 참조하세요.
-
서비스 SAS가 저장된 액세스 정책과 연결되지 않은 경우 만료 시간을 1시간 이하로 설정
저장된 액세스 정책과 연결되지 않은 서비스 SAS는 취소할 수 없습니다. 이러한 이유로, SAS가 1시간 이내에 유효하도록 만료 시간을 제한하는 것이 좋습니다.
-
컨테이너 및 Blob에 대한 익명 읽기 권한 비활성화
컨테이너 및 해당 Blob에 대한 익명 읽기 권한은 모든 클라이언트에 해당 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. 시나리오에 필요한 경우를 제외하고 익명 읽기 권한을 사용하지 않도록 합니다. 스토리지 계정에 대한 익명 액세스를 사용하지 않도록 설정하는 방법을 알아보려면 개요: Blob 데이터에 대한 익명 읽기 권한 수정을 참조하세요.
지정된 IP 주소, IP 범위 또는 Azure VNet(Virtual Network)의 서브넷 목록에서 시작되는 요청에 대한 스토리지 계정에 대한 액세스를 제한하는 방화벽 규칙을 구성합니다. 방화벽 규칙 구성에 대한 자세한 내용은 Azure Storage 방화벽 및 가상 네트워크 구성을 참조하세요.
-
신뢰할 수 있는 Microsoft 서비스가 스토리지 계정에 액세스하도록 허용
스토리지 계정에 대해 방화벽 규칙을 켜면 기본적으로 Azure VNet(Virtual Network) 내에서 작동하는 서비스 또는 허용되는 퍼블릭 IP 주소에서 요청하지 않는 한, 들어오는 데이터 요청이 차단됩니다. 차단되는 요청에는 다른 Azure 서비스, Azure Portal, 로깅 및 메트릭 서비스 등이 포함됩니다. 신뢰할 수 있는 Microsoft 서비스에서 스토리지 계정에 액세스할 수 있도록 허용하는 예외를 추가하여 다른 Azure 서비스에서의 요청을 허용할 수 있습니다. 신뢰할 수 있는 Microsoft 서비스에 대한 예외를 추가하는 방법에 대한 자세한 내용은 Azure Storage 방화벽 및 가상 네트워크 구성을 참조하세요.
-
프라이빗 엔드포인트 사용
프라이빗 엔드포인트는 Azure VNet(가상 네트워크)의 개인 IP 주소를 스토리지 계정에 할당합니다. 프라이빗 링크를 통해 VNet과 스토리지 계정 간의 모든 트래픽을 보호합니다. 프라이빗 엔드포인트에 대한 자세한 내용은 Azure 프라이빗 엔드포인트를 사용하여 스토리지 계정에 비공개로 연결을 참조하세요.
-
VNet 서비스 태그 사용
서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함된 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다. Azure Storage에서 지원하는 서비스 태그에 대한 자세한 내용은 Azure 서비스 태그 개요를 참조하세요. 서비스 태그를 사용하여 아웃바운드 네트워크 규칙을 만드는 방법을 보여 주는 자습서는 PaaS 리소스에 대한 액세스 제한을 참조하세요.
-
특정 네트워크에 대한 네트워크 액세스 제한
액세스를 요구하는 클라이언트를 호스트하는 네트워크에 대한 네트워크 액세스를 제한하면 리소스가 네트워크 공격에 노출되는 것을 줄일 수 있습니다.
Azure Storage 계정에 대한 네트워크 라우팅 기본 설정을 구성하여 Microsoft 글로벌 네트워크 또는 인터넷 라우팅을 사용하여 인터넷을 통해 클라이언트에서 계정으로 네트워크 트래픽을 라우팅하는 방법을 지정할 수 있습니다. 자세한 내용은 Azure Storage에 대한 네트워크 라우팅 기본 설정 구성을 참조하세요.