Azure 자격증 SC-900 | Azure Storage Account 상세 설명 (07/12)

작성자: azure | 작성일: 2026년 07월 12일 | 조회: 0 | 좋아요: 0

🛡️
FUNDAMENTALS LEVEL

Microsoft Security, Compliance, and Identity Fundamentals (SC-900)

스토리지 핵심 이론 강의

🎓 TODAY'S LECTURE

Azure Storage 계정의 보안 구성 (Security Configurations for Azure Storage Accounts)

데이터 접근 제어 및 보호를 위한 핵심 전략

Azure Storage는 클라우드 기반 애플리케이션의 핵심 데이터 저장소 역할을 합니다. 하지만 중요한 데이터를 안전하게 보호하는 것은 모든 클라우드 아키텍처에서 최우선 과제입니다. 이 강의에서는 Azure Storage 계정에 저장된 데이터를 무단 접근 및 위협으로부터 보호하기 위한 필수 보안 구성 요소들을 살펴봅니다. 올바른 보안 설정을 통해 데이터 무결성과 기밀성을 유지하고 규정 준수를 달성할 수 있습니다.

💡 KEY CONCEPTS

1 스토리지 계정 네트워크 접근 제어 (Network Access Control for Storage Accounts)

스토리지 계정에 대한 네트워크 접근을 제한하는 것은 첫 번째 방어선입니다. Azure Storage 방화벽 (Firewall)을 사용하여 특정 IP 주소 범위 또는 가상 네트워크 (Virtual Network) 내의 서브넷으로만 접근을 허용할 수 있습니다. 또한, 서비스 엔드포인트 (Service Endpoints) 또는 프라이빗 엔드포인트 (Private Endpoints)를 활용하여 트래픽이 Azure 백본망을 통해 안전하게 라우팅되도록 보장하여 공용 인터넷 노출을 최소화합니다.

2 역할 기반 접근 제어 (RBAC) 및 공유 접근 서명 (SAS) (Role-Based Access Control (RBAC) and Shared Access Signatures (SAS))

Azure Storage에 대한 접근 권한을 관리하는 핵심 방법은 RBAC와 SAS입니다. RBAC는 Azure AD ID에 특정 역할을 할당하여 스토리지 계정 수준에서 세분화된 권한을 제공합니다. SAS는 특정 리소스에 대해 제한된 기간 동안 특정 권한으로 접근할 수 있는 토큰을 생성하여 외부 사용자 또는 애플리케이션에 임시 접근을 허용하는 데 유용하며, 최소 권한 원칙 (Principle of Least Privilege)을 준수할 때 효과적입니다.

3 저장 데이터 암호화 및 Azure Defender for Storage (Encryption at Rest and Azure Defender for Storage)

Azure Storage는 기본적으로 저장 데이터 (Encryption at Rest)를 암호화하여 데이터가 디스크에 기록될 때 자동으로 보호합니다. 이는 Microsoft 관리 키 (Microsoft-managed keys) 또는 고객 관리 키 (Customer-managed keys, CMK)를 통해 이루어집니다. 추가적으로, Azure Defender for Storage는 의심스러운 활동 및 악성코드 업로드와 같은 잠재적 위협을 지속적으로 모니터링하고 탐지하여 데이터 보안을 강화하고 위협에 대한 경고를 제공합니다.

🛠️ REAL-WORLD SCENARIO

금융 서비스 회사에서 고객 거래 내역 및 민감한 개인 정보를 Azure Blob Storage와 Azure Files에 저장해야 합니다. 데이터의 기밀성, 무결성, 가용성 (CIA)을 보장하고 규제 준수를 만족시켜야 하는 상황입니다.

**구성 및 활용 모범 사례:**
1. **네트워크 격리**: 스토리지 계정은 인터넷에서 직접 접근할 수 없도록 Azure 가상 네트워크 (Virtual Network) 내의 특정 서브넷에 프라이빗 엔드포인트 (Private Endpoint)를 구성합니다. 이를 통해 모든 스토리지 트래픽은 Azure 백본망을 통해 프라이빗하게 라우팅되며, 온프레미스 데이터센터와 Azure 간에는 VPN Gateway 또는 ExpressRoute를 통해 안전하게 연결됩니다.
2. **세분화된 접근 제어**: 개발팀은 특정 Blob 컨테이너에만 읽기 권한이 필요하므로, 이들에게는 'Storage Blob 데이터 읽기 권한자' (Storage Blob Data Reader) RBAC 역할을 할당합니다. 반면, 백엔드 애플리케이션은 데이터를 쓰고 수정해야 하므로, 관리 ID (Managed Identity)를 생성하고 'Storage Blob 데이터 기여자' (Storage Blob Data Contributor) 역할을 부여합니다. 파트너사에 일시적으로 특정 파일에 접근 권한을 부여해야 할 경우, 파일 수준에서 만료 시간과 읽기 권한만 허용한 공유 접근 서명 (SAS)을 발급하여 최소 권한의 원칙을 준수합니다.
3. **데이터 암호화 및 위협 모니터링**: 모든 데이터는 Azure Storage Service Encryption (SSE)을 통해 기본적으로 암호화되며, 추가적인 보안 요구사항 충족을 위해 Azure Key Vault에 저장된 고객 관리 키 (CMK)를 사용하여 암호화를 구성합니다. 또한, Azure Defender for Storage를 활성화하여 의심스러운 접근 패턴, 무단 데이터 유출 시도, 혹은 악성코드 업로드와 같은 잠재적 위협을 실시간으로 감지하고 경고를 받아 SOC (Security Operations Center) 팀에서 즉시 대응할 수 있도록 합니다.

🎯 EXAM TIPS
📌

**RBAC와 SAS의 사용 시나리오 비교**: RBAC는 Azure AD ID에 영구적인 권한을 부여하고 관리하는 데 적합하며, SAS는 익명 사용자 또는 외부 애플리케이션에 제한된 시간과 권한으로 임시 접근을 허용할 때 사용됩니다. 이 둘의 차이점과 적절한 사용 시점을 명확히 이해해야 합니다.

📌

**네트워크 보안 기능**: 스토리지 계정 방화벽 (Firewall), 서비스 엔드포인트 (Service Endpoints), 프라이빗 엔드포인트 (Private Endpoints) 각각의 역할과 보안 강화 효과를 구분할 수 있어야 합니다. 특히, 프라이빗 엔드포인트가 공용 인터넷 노출 없이 Azure 백본망을 통한 접근을 제공한다는 점이 중요합니다.

📌

**저장 데이터 암호화 (Encryption at Rest)**: Azure Storage가 기본적으로 데이터를 암호화하지만, 고객 관리 키 (CMK)를 사용하는 이유와 이점이 무엇인지 이해해야 합니다. (CMK는 암호화 키에 대한 제어권을 고객이 가질 수 있도록 하여 키 관리의 통제권을 강화합니다.)

🏷️ 관련 Azure 서비스

Azure Storage AccountAzure Blob StorageAzure FilesAzure Key VaultAzure Virtual NetworkAzure Private EndpointAzure Defender for StorageAzure Active Directory (Azure AD)

📚 Azure 자격증 합격을 위한 데일리 이론 강의

매일 새로운 강의 노트가 업데이트됩니다 | 더 많은 자료 보기 →