Cloud-(1) 핵심 개념

6 분 소요

클라우드의 종류

퍼블릭 클라우드

공용 인터넷을 통해 서비스가 제공되며 서비스 구매를 원하는 누구에게나 제공됩니다.
서버, 스토리지와 같은 클라우드 리소스는 타사 클라우드 서비스 공급자가 소유하고 운영하며 인터넷을 통해 제공됩니다

프라이빗 클라우드

프라이밋 클라우드는 특정 기업 또는 조직의 사용자만 독점적으로 사용하는 컴퓨팅 리소스로 구성됩니다.
프라이빗 클라우드는 실제로 조직의 온사이트 데이터 센터에 위치할 수 있으며,
타사 서비스 공급자가 호스트할 수도 있습니다.

하이브리드 클라우드

하이브리드 클라우드는 퍼블릭 클라우드와 프라이빗 클라우드 간에 데이터 및 애플리케이션을 공유할 수 있도록 하여 두 클라우드를 결합하는 컴퓨팅 환경입니다

호스트가 무엇인가요 ?

IP를 가지고 있고 양방향 통신이 가능한 컴퓨터
영어 사전에서 확인해보면 host는 주인, 주최국, 진행자 라는 뜻을 갖는다.
IT에서는 네트워크에 연결되어 있는 컴퓨터들을 호스트(host)라고 칭합니다.
인터넷은 TCP/IP 프로토콜을 이용하여 통신을 하는데, 통신을 하려고 해도 목적지와 출발지가 없으면
어디로 데이터를 보낼지 받을지 모르죠. (현실의 택배 시스템이라고 생각하면 이해가 쉽습니다.)
하지만, 이것을 IP라는 약간의 고유한 주소를 통해 정할 수 있습니다.
즉, 호스트는 IP 주소를 갖는 시스템이라고 말할 수 있겠네요.
하나의 예를 들자면, 친구 컴퓨터에 원격 접속을 하고 싶어서 텔넷을 이용할 때 호스트에 친구 컴퓨터의 IP를 적어주는 것이죠.

온프레미스와 오프 프레미스는 무엇인가요 ?

온프레미스(On-premises)란 필요한 시스템을 구축하기 위해서 값 비싼 하드웨어와 어플리케이션을 구매하여 기업 상황에 맞게 커스터마이징하는 것을 의미합니다.
즉 데이터센터나 서버룸과 같은 특정 공간에 IT 인프라를 구축하여 소프트웨어를 사용하는 방식으로, 인프라를 구축하기 위한 시간도 수개월 이상 걸리며 초기 도입 비용, 운영 및 관리를 위한 유지보수 등 비용이 많이 드는 단점이 있습니다.
오프프레미스(Off-premises)란 온프레미스의 반대로 인터넷 네트워크에 연결된 서버팜이나 클라우드의 원격 실행환경을 의미합니다.
이렇게 되면 하드웨어 구매, 소프트웨어 설치 없이 필요한 소프트웨어를 필요한 만큼 쓰고 비용을 지불하면 되므로 구축이나 유지보수를 위한 비용이 절감되며 네트워크가 연결된 곳이라면 어디서든지 이용이 가능합니다.
대표적으로 Amazon AWS나 MS Azure를 예로 들 수 있습니다.

프라이빗 클라우드는 온프레미스 방식인가요?

온프레미스 클라우드는 내부 프라이빗 클라우드라고도 부르며. 사내에서 프라이빗 클라우드를 호스팅하는 방식을 말합니다. 이 방식을 이용하면 유연성이 개선되고 클라우드 서버를 완벽하게 제어할 수 있습니다. 그러나 서버와 기타 하드웨어의 프로비저닝 및 유지보수 비용과 소프트웨어 라이선스 지불 비용이 증가하는 단점이 있습니다.

VPN 게이트웨이와 피어링의 차이점은 무엇인가요?

VPN 게이트웨이는 환경과 상관없이 장비끼리 연결할 때 사용하는 것
피어링은 Azure 네트워크끼리 연결할 때 사용하는 것

Azure 핵심 기능

Azure Functions

이벤트에 응답하고 원할하게 다른 서비스에 연결할 수 있게 해주는 트리거와 바인딩을 기반으로 한 통합 프로그래밍 모델
빌드 및 디버깅에서 배포 및 모니터링에 이르기까지 통합 도구 및 기본 제공하고, DevOps 기능이 포함된 엔드투엔드 개발 환경 제공
워크로드 볼륨을 기반으로 크기 조정이 유연하게 자동화되어 인프라를 관리하는 대신 가치를 더하는데 집중함 (무슨 가치?)
다양한 프로그래밍 언어 및 호스팅 옵션 제공 (항상 각 시나리오에 가장 적합한 것을 선택하여 비즈니스 요구 사항에 맞게 빠르게 조정함)

보안 네트워크 연결

개념 및 기능 설명:

Defense in depth
Network Security Groups (NSG)
Azure Firewall
Azure DDoS protection

심층 방어

컴퓨터 시스템 보안에 대한 계층화된 접근
여러 수준의 보호를 제공합니다
한 계층에 대한 공격은 후속 계층과 격리됩니다

Network Security Groups (NSGs)

Azure Virtual Network의 Azure 리소스와 주고 받는 네트워크 트래픽을 필터링합니다.
소스 및 대상 IP 주소, 포트 및 프로토콜별로 필터링하도록 인바운드 및 아웃바운드 규칙을 설정합니다
필요에 따라 구독 제한 내에서 여러 규칙을 추가합니다
Azure는 새 NSG에 기본 보안 규칙을 적용합니다
우선순위가 더 높은 새 규칙으로 기본 규칙을 재정의합니다

일반적으로 인터넷으로부터 VM으로 트래픽이 들어오는 것을 ‘인바운드’라고 합니다 ‘아웃바운드’는 그 반대의 경우를 말합니다. 즉, VM에서 인터넷으로 트래픽이 나가는 것을 ‘아웃바운드’라고 합니다

Azure Firewall

네트워크 리소스를 보호하기 위해 원래 IP 주소를 기반으로 서버 액세스를 허용/거부하는 상태 저장 관리형 FaaS (Firewall as a Service)
인바운드 및 아웃 바운드 트래픽 필터링 규칙을 적용합니다
기본 제공 고 가용성
무제한 클라우드 확장성
Azure Monitor 로깅 사용

Azure Application Gateway

HTTP 교차 , SQL 쿼리문 삽입과 같은 웹 전용 공격을 막아주는 서비스
Azure Application Gateway는 방화벽인 WAF(웹 애플리케이션 방화벽)도 제공합니다.
WAF는 웹 애플리케이션에 대한 중앙 집중식 인바운드 보호를 제공합니다.
Azure Application Gateway는 L7RB와 합쳐서 사용할 수 있는 것

Azure Distributed Denial of Service (DDoS) protection

DDoS 공격은 네트워크 리소스를 압도하고 고갈시켜 앱을 느리게 하거나 응답하지 않게 만듭니다.
서비스 가용성에 영향을 미치기 전에 원치 않는 네트워크 트래픽을 제거합니다
기본 서비스 계층은 Azure에서 자동으로 활성화됩니다
표준 서비스 계층은 Azure Virtual Network 리소스를 보호하도록 조정된 완화 기능을 추가합니다

SKU : Stock Keep Unit : 쉽게 말하면 라이센스 입니다 비용에 대한 것으로 성능에 대한 제약을 걸고 있음 하나는 기본(basic) , 다른 하나는 표준(standard) 표준 : 비용을 지불합니다, 트래픽 건당 비용 받음 기본 : 비용을 받지 않습니다

Azure Backbone이 1차적으로 필터링을 해줍니다

Module 05: ID, 거버넌스, 개인 정보 보호 및 규정 준수

Azure Identity Services

인증과 승인의 차이점 설명
Azure Active Directory 정의
Azure Active Directory의 기능 및 사용법 설명
조건부 액세스, MFA(Multi-Factor Authentication) 및 SSO (Single Sign-On)의 기능 및 사용법 설명

Authentication

내 아이디를 가지고 식별할 수 있는 단계
리소스에 대한 액세스를 원하는 사람 또는 서비스를 식별합니다
합법적인 액세스 자격 증명을 요청합니다
보안 ID 및 액세스 제어 원칙을 만들기 위한 기반 입니다

Authorization

아이디와 비밀번호 인증을 받고 난 이후에, 나한테 액세스 할 수 있는 수준이나 레벨을 정해준다
인증된 사람 또는 서비스의 액세스 수준을 결정합니다
액세스 할 수 있는 데이터와 데이터로 수행할 수 있는 작업을 정의합니다

Azure Multi-Factor Authentication

전체 인증을 위해 두 개 이상의 요소를 요구하여 ID에 대한 추가 보안을 제공합니다

Something you know <-> Something you possess <-> Something you are
Azure Portal - Azure Active Directory - 사용자 - … - Multi-Factor Authentication -
조건부 액세스 - 할당 - 사용자 및 그룹 - 클라우드 앱 또는 작업

Azure Active Directory (AAD)

AAD(Azure Active Directory)는 Microsoft Azure의 클라우드 기반 ID 및 액세스 관리 서비스 입니다.

인증 (직원이 리소스에 액세스하기 위해 로그인)
싱글 사인온 (SSO)
응용 관리
B2B (Business to Business)
B2C (Business to Customer) ID 서비스.
장치 관리

Conditional Access

Conditional Access is used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies.

User or Group Membership
IP Location
Device
Application
Risk Detection

Azure 거버넌스 방법론

Explore Role-based access control (RBAC)

세분화된 액세스 관리.
팀 내에서 업무를 분리하고 작업을 수행하는데 필요한 사용자에게만 액세스 권한을 부여합니다.
Azure Portal에 대한 액세스를 활성화하고 리소스에 대한 액세스를 제어합니다

Resource locks

실수로 인한 삭제 또는 수정으로부터 Azure 리소스를 보호합니다.
Azure Portal 내에서 구독, 리소스 그룹 또는 개별 리소스 수준에서 잠금을 관리합니다

Azure Policy

Azure Policy는 조직 표준을 적용하고 규모에 따라 규정 준수를 평가하는데 도움이 됩니다. 규정 준수, 보안, 비용 및 관리를 통해 거버넌스 및 리소스 일관성을 제공합니다. 정책을 준수하지 않는 Azure 리소스를 평가하고 식별합니다. 스토리지, 네트워킹, 컴퓨팅, 보안 센터 및 모니터링과 같은 범주에서 기본 제공 정책 및 이니셔티브 정의를 제공합니다

Azure Blueprints

Azure Blueprints를 사용하면 개발 팀이 새로운 환경을 빠르게 구축하고 구축할 수 있습니다. 개발 팀은 개발 및 제공 속도를 높이기 위해 일련의 기본 제공 구성 요소 (예: 네트워킹)로 조직의 규정 준수를 통해 신속하게 신뢰를 구축할 수 있습니다.

역할 할당
정책 할당
Azure Resource Manager 템플릿
리소스 그룹

클라우드 채택 프레임 워크

Azure에서 클라우드 채택에 대한 One Microsoft 접근 방식
Microsoft 직원, 파트너 및 고객의 모범 사례.
전략 및 결과를 위한 도구, 지침 및 설명

개인 정보 보호, 규정 준수 및 데이터 보호 표준

Microsoft 개인 정보 보호 정책은 Microsoft가 제품 및 서비스에서 수집한 사용자 데이터를 처리하는 방법에 대한 개방성과 정직성을 제공합니다.

Microsoft 개인 정보 보호 정책은 : Microsoft가 처리하는 데이터 Microsoft가 처리하는 방법 데이터가 사용되는 목적

Online Services Terms

Online Services Terms : 라이선스 조건은 Microsoft 볼륨 라이선스 프로그램을 통해 구입한 제품 및 온라인 서비스에 대한 조건을 정의합니다.

Data Protection Addendum

Data Protection Addendum : DPA는 온라인 서비스와 관련하여 고객 데이터 및 개인 데이터의 처리 및 보안과 관련된 의무를 명시합니다.

Trust Center

Microsoft 클라우드 제품 전반의 보안, 개인 정보 보호, 규정 준수, 정책, 기능 및 관행에 대해 알아보십시오.

보안 센터 웹 사이트는 : 심층적인 전문가 정보 주제별로 정렬된 추천 리소스의 선별된 목록 입니다 비즈니스 관리자, 관리자, 엔지니어, 위험 평가자, 개인 정보 보호 책임자 및 법률 팀을 위한 역할별 정보 입니다.

Azure Compliance Documentation

Microsoft는 조직이 데이터 수집 및 사용을 관리하는 국가, 지역 및 산업별 요구 사항을 준수할 수 있도록 포괄적인 규정 준수 제품을 제공합니다.

Azure Sovereign Regions (US Government services)

미국 연방 기관, 주 및 지방 정부, 솔루션 제공 업체의 보안 및 규정 준수 요구 사항을 충족합니다.

Azure Government : Azure의 별도 인스턴스. 미국 이외의 정부 배포에서 물리적으로 격리됩니다 선별되고 승인된 직원만 접근할 수 있습니다.

Azure Sovereign Regions (Azure China)

Microsoft는 정부 규정을 준수하는 중국 최초의 외국 공용 클라우드 서비스 제공 업체 입니다. Azure china 기능 21Vianet에서 운영하는 Azure 클라우드 서비스의 물리적으로 분리된 인스턴스 모든 데이터는 규정 준수를 위해 중국 내에 보관됩니다

Twitter Facebook LinkedIn

장종욱