Contoso는 온프레미스 SQL Server 데이터베이스를 Azure SQL Database로 마이그레이션하고 있습니다. 이 데이터베이스는 매우 민감한 고객 데이터를 포함하고 있습니다. Contoso의 보안 팀은 다음 요구사항을 충족해야 합니다.
1. 모든 데이터베이스 관리자(DBA)는 회사 ID(Corporate Identities)를 사용하여 인증해야 합니다.
2. Azure SQL Database 내의 미사용 데이터(Data at Rest)는 고객 관리형 키(Customer-Managed Keys, CMK)를 사용하여 암호화되어야 합니다.
3. Azure SQL Database에 대한 네트워크 액세스는 특정 Azure 가상 네트워크(Virtual Networks) 및 온프레미스 서브넷으로 제한되어야 합니다.
4. 모든 Azure SQL Database는 특정 보안 구성(예: 투명한 데이터 암호화(Transparent Data Encryption, TDE) 항상 활성화, 가상 네트워크 통합을 위한 특정 방화벽 규칙)을 자동으로 적용하도록 규정 준수를 요구합니다.
5. 데이터베이스에 대한 모든 작업에 대해 최소 권한 액세스(Least Privilege Access)를 보장해야 합니다.
이러한 요구사항을 충족하기 위해 Contoso가 아키텍처 설계의 일부로 구현해야 하는 Azure 서비스 조합은 무엇입니까?
A. 인증을 위해 Azure Active Directory(Azure AD), TDE CMK를 위해 Azure Key Vault, 네트워크 액세스를 위해 Azure Private Link 및 네트워크 보안 그룹(Network Security Groups, NSG), 구성 적용을 위해 Azure Policy, 최소 권한을 위해 Azure RBAC (Role-Based Access Control)
B. 인증을 위해 Azure Active Directory, TDE 키를 위해 Azure Storage 계정, 네트워크 액세스를 위해 Azure Firewall, 구성 적용을 위해 Azure Monitor, 최소 권한을 위해 SQL Database 역할
C. 인증을 위해 로컬 SQL 인증, TDE CMK를 위해 Azure Key Vault, 네트워크 액세스를 위해 Service Endpoints, 구성 적용을 위해 Azure Advisor, 최소 권한을 위해 저장 프로시저(Stored Procedures)
D. 인증을 위해 Azure Active Directory, TDE 키를 위해 온프레미스 하드웨어 보안 모듈(Hardware Security Module, HSM), 네트워크 액세스를 위해 공용 IP 주소(Public IP Addresses) 및 IP 방화벽 규칙, 구성 적용을 위해 Microsoft Defender for Cloud, 최소 권한을 위해 사용자 지정 스크립트(Custom Scripts)