다음을 통해 공유

Azure Monitor 배포 보안

이 문서에서는 Azure Monitor를 안전하게 배포하기 위한 지침을 제공하고 Microsoft가 Azure Monitor를 보호하는 방법을 설명합니다.

로그 수집 및 스토리지

필요에 따라 작업 영역의 데이터에 대한 액세스 권한 부여

  1. 리소스 소유자가 작업 영역에 대한 명시적 액세스 권한을 부여하지 않고 리소스 컨텍스트를 사용하여 데이터에 액세스할 수 있도록 리소스또는 작업 영역 권한을 사용하도록 작업 영역 액세스 제어 모드를 설정합니다. 이렇게 하면 작업 영역 구성이 간소화되고 사용자가 필요한 데이터에만 액세스할 수 있습니다.
    지침: Log Analytics 작업 영역에 대한 액세스 관리
  2. 적절한 기본 제공 역할을 할당하여 해당 책임 범위에 따라 구독, 리소스 그룹 또는 작업 영역 수준의 관리자에게 작업 영역 권한을 부여합니다.
    지침: Log Analytics 작업 영역에 대한 액세스 관리
  3. 여러 리소스에서 테이블 집합에 액세스해야 하는 사용자를 위해 테이블 수준 RBAC를 적용합니다. 테이블 권한이 있는 사용자는 리소스 사용 권한에 관계없이 테이블의 모든 데이터에 액세스할 수 있습니다.
    지침: Log Analytics 작업 영역에 대한 액세스 관리

TLS(전송 계층 보안) 1.2 이상을 사용하여 작업 영역으로 데이터 보내기

에이전트, 커넥터 또는 로그 API를 사용하여 데이터를 쿼리 하거나 작업 영역으로 보내는 경우 TLS(전송 계층 보안) 1.2 이상을 사용하여 전송 중인 데이터의 보안을 보장합니다. 이전 버전의 TLS 및 SSL(Secure Sockets Layer)에는 취약성이 있으며 이전 버전과의 호환성을 허용하기 위해 여전히 작동할 수 있지만 권장되지 않으며 업계는 이러한 이전 프로토콜에 대한 지원을 중단하기 위해 신속하게 이동했습니다.

PCI 보안 표준 위원회는2018년 6월 30일 기한을 설정하여 이전 버전의 TLS/SSL을 사용하지 않도록 설정하고 보다 안전한 프로토콜로 업그레이드합니다. Azure에서 레거시 지원을 삭제하면 에이전트가 TLS 1.2 이상을 통해 통신할 수 없는 경우 Azure Monitor 로그에 데이터를 보낼 수 없습니다.

필요한 경우가 아니면 TLS 1.2 사용하도록 에이전트, 데이터 커넥터 또는 API 애플리케이션을 명시적으로 구성하지 마세요. 향후 보안 표준을 자동으로 검색, 협상 및 활용할 수 있도록 하는 것이 좋습니다. 그렇지 않으면 새로운 표준의 추가된 보안 기능을 이용하지 못할 수 있고 TLS 1.2가 새 표준으로 대체되었을 때 문제가 발생할 수 있습니다.

중요합니다

2025년 7월 1일 Azure Wide 레거시 TLS 사용 중지에 따라 Azure Monitor 로그에 대해 TLS 1.0/1.1 프로토콜 버전이 사용 중지됩니다. 동급 최고의 암호화를 제공하기 위해 Azure Monitor 로그는 TLS(전송 계층 보안) 1.2 및 1.3을 선택한 암호화 메커니즘으로 사용합니다.

레거시 TLS 문제 또는 지원되는 암호 그룹을 테스트하는 방법에 대한 일반적인 질문은 TLS 문제 해결Azure Resource Manager TLS 지원을 참조하세요.

로그 쿼리 감사 설정

  1. 작업 영역에서 실행되는 각 쿼리의 세부 정보를 기록하도록 로그 쿼리 감사를 구성합니다.
    지침: Azure Monitor 로그에서 쿼리를 감사하기
  2. 로그 쿼리 감사 데이터를 보안 데이터로 처리하고 LAQueryLogs 테이블에 대한 액세스를 적절하게 보호합니다.
    지침: 필요에 따라 작업 영역의 데이터에 대한 액세스를 구성합니다.
  3. 운영 및 보안 데이터를 분리하는 경우 각 작업 영역에 대한 감사 로그를 로컬 작업 영역으로 보내거나 전용 보안 작업 영역에 통합합니다.
    지침: 필요에 따라 작업 영역의 데이터에 대한 액세스를 구성합니다.
  4. Log Analytics 작업 영역 인사이트를 사용하여 로그 쿼리 감사 데이터를 주기적으로 검토합니다.
    지침: Log Analytics 작업 영역 인사이트.
  5. 권한이 없는 사용자가 쿼리를 실행하려고 시도하는 경우 알려주는 로그 검색 경고 규칙을 만듭니다.
    지침: 로그 검색 경고 규칙.

감사 데이터의 불변성 확인

Azure Monitor는 추가 전용 데이터 플랫폼이지만 규정 준수를 위해 데이터를 삭제하는 프로비저닝을 포함합니다. 감사 데이터를 보호하려면 다음을 수행합니다.

  1. 삭제, 테이블 삭제, 테이블 또는 작업 영역 수준 데이터 보존 변경 내용을 포함하여 데이터를 삭제할 수 있는 모든 활동을 차단하도록 Log Analytics 작업 영역에 잠금을 설정합니다. 그러나 이 잠금을 제거할 수 있습니다.
    지침: 인프라를 보호하기 위해 리소스 잠금

  2. 완전히 변조 방지 솔루션이 필요한 경우 변경 불가능한 스토리지 솔루션으로 데이터를 내보내는 것이 좋습니다.

    1. 내보낼 특정 데이터 형식을 결정합니다. 모든 로그 형식이 규정 준수, 감사 또는 보안과 동일한 관련성을 갖는 것은 아닙니다.
    2. 데이터 내보내기를 사용하여 Azure Storage 계정으로 데이터를 보냅니다.
      지침: Azure Monitor에서 Log Analytics 작업 영역 데이터 내보내기
    3. 데이터 변조로부터 보호하도록 불변성 정책을 설정합니다.
      지침: Blob 버전에 대한 불변성 정책 구성

작업 영역에서 중요한 데이터 필터링 또는 난독 처리

로그 데이터에 중요한 정보가 포함된 경우:

  1. 특정 데이터 원본에 대한 구성을 사용하여 수집해서는 안 되는 레코드를 필터링합니다.
  2. 데이터의 특정 열만 제거하거나 난독 제거해야 하는 경우 변환을 사용합니다.
    지침: Azure Monitor의 변환
  3. 원래 데이터를 수정하지 않아도 되는 표준이 있는 경우 KQL 쿼리에서 'h' 리터럴을 사용하여 통합 문서에 표시된 쿼리 결과를 난독 처리합니다.
    지침: 난독 처리된 문자열 리터럴

실수로 수집된 중요한 데이터 제거

  1. 작업 영역에서 실수로 수집될 수 있는 개인 데이터를 주기적으로 확인합니다.
  2. 데이터 제거를 사용하여 원치 않는 데이터를 제거합니다. 보조 계획이 있는 테이블의 데이터는 현재 제거할 수 없습니다.
    지침: Azure Monitor 로그 및 Application Insights에서 개인 데이터 관리

Azure Monitor는 MMK(Microsoft 관리형 키)를 사용하여 미사용 데이터 및 저장된 쿼리를 모두 암호화합니다. 전용 클러스터에 대한 충분한 데이터를 수집하는 경우 다음을 비롯한 향상된 보안 기능을 위해 작업 영역을 전용 클러스터에 연결합니다.

  • 유연성 및 키 수명 주기 제어를 위한 고객 관리형 키입니다. Microsoft Sentinel을 사용하는 경우 Microsoft Sentinel 고객 관리형 키 설정의 고려 사항을 숙지해야 합니다.
  • Microsoft Azure용 고객 Lockbox 는 고객 데이터 액세스 요청을 검토하고 승인하거나 거부합니다. 고객 Lockbox는 고객이 시작한 지원 티켓 또는 Microsoft에서 식별한 문제에 대한 응답으로 Microsoft 엔지니어가 고객 데이터에 액세스해야 하는 경우에 사용됩니다. 현재 Lockbox는 보조 계획이 있는 테이블에 적용할 수 없습니다.

지침: Azure Monitor 로그에서 전용 클러스터 만들기 및 관리

Microsoft는 엔드 투 엔드 암호화를 사용하여 퍼블릭 엔드포인트에 대한 연결을 보호합니다. 프라이빗 엔드포인트가 필요한 경우 Azure 프라이빗 링크를 사용하여 리소스가 권한 있는 프라이빗 네트워크를 통해 Log Analytics 작업 영역에 연결할 수 있도록 합니다. Private 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터 수집을 강제 적용할 수도 있습니다.

지침: Azure Private Link 설정 디자인

Application Insights TLS 수집

지원되는 TLS 구성

Application Insights는 TLS(전송 계층 보안) 1.2 및 1.3을 사용합니다. 또한 각 버전에서는 다음과 같은 암호 도구 모음 및 타원 곡선도 지원됩니다.

버전 사이퍼 스위트 타원형 곡선
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256		 • NistP384
• NistP256
TLS 1.3 • TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256		 • NistP384
• NistP256

전송 계층 보안(TLS) 구성 사용 권장하지 않음

중요합니다

보안을 개선하기 위해 Azure는 2025년 5월 1일에 Application Insights에 대한 다음 TLS 구성을 사용 중지합니다. 이 변경은 Azure 전체 레거시 TLS 사용 중지의 일부입니다.

  • TLS 1.0 및 TLS 1.1 프로토콜 버전
  • 레거시 TLS 1.2 및 TLS 1.3 암호 그룹
  • 레거시 TLS 타원 곡선

TLS 1.0 및 TLS 1.1

TLS 1.0 및 TLS 1.1은 사용 중지됩니다.

TLS 1.2 및 TLS 1.3

버전 사이퍼 스위트 타원형 곡선
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA		 • curve25519
TLS 1.3 • curve25519

자세한 내용은 Application Insights FAQ의 TLS 지원을 참조하세요.

경고

관리 ID를 사용하여 로그 검색 경고 규칙 권한 제어

개발자에게 일반적인 과제는 서비스 간 통신을 보호하는 데 사용되는 비밀, 자격 증명, 인증서 및 키를 관리하는 것입니다. 관리 ID를 통해 개발자는 이러한 자격 증명을 관리할 필요가 없습니다. 로그 검색 경고 규칙에 대한 관리 ID를 설정하면 경고 규칙의 정확한 권한을 제어하고 확인할 수 있습니다. 언제든지 규칙의 쿼리 권한을 보고 관리 ID에서 직접 권한을 추가하거나 제거할 수 있습니다.

규칙의 쿼리가 ADX(Azure Data Explorer) 또는 ARG(Azure Resource Graph)에 액세스하는 경우 관리 ID를 사용해야 합니다.

지침: 로그 검색 경고 규칙을 만들거나 편집합니다.

구성 권한이 필요하지 않은 모든 사용자에게 모니터링 읽기 권한자 역할 할당

사용자에게 역할에 필요한 최소 권한을 부여하여 보안을 강화합니다.

지침: Azure Monitor의 역할, 권한 및 보안.

가능한 경우 보안 웹후크 작업 사용

경고 규칙에 웹후크 작업을 사용하는 작업 그룹이 포함된 경우 더 강력한 인증을 위해 보안 웹후크 작업을 사용하는 것이 좋습니다.

지침: 보안 웹후크에 대한 인증을 구성합니다.

작업 영역에서 데이터와 저장된 쿼리를 보호하기 위해 자체 암호화 키가 필요한 경우 고객 관리형 키를 사용합니다.

Azure Monitor는 MMK(Microsoft 관리형 키)를 사용하여 모든 데이터와 저장된 쿼리를 미사용 시 암호화합니다. 자체 암호화 키가 필요하고 전용 클러스터에 충분한 데이터를 수집하는 경우 고객 관리형 키를 사용하여 유연성을 높이고 키 수명 주기 제어를 강화합니다.

지침: 고객 관리형 키.

Microsoft Sentinel을 사용하는 경우Microsoft Sentinel 고객 관리형 키 설정을 참조하세요.

가상 머신 모니터링

Azure 보안 서비스를 사용하여 VM의 보안 모니터링 구현

Azure Monitor는 VM에서 보안 이벤트를 수집할 수 있지만 보안 모니터링에는 사용되지 않습니다. Azure에는 완전한 보안 모니터링 솔루션을 함께 제공하는 클라우드용 Microsoft DefenderMicrosoft Sentinel과 같은 여러 서비스가 포함되어 있습니다. 이러한 서비스의 비교는 보안 모니터링 참조하세요.

Microsoft는 엔드 투 엔드 암호화를 사용하여 퍼블릭 엔드포인트에 대한 연결을 보호합니다. 프라이빗 엔드포인트가 필요한 경우 Azure 프라이빗 링크를 사용하여 리소스가 권한 있는 프라이빗 네트워크를 통해 Log Analytics 작업 영역에 연결할 수 있도록 합니다. Private 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터 수집을 강제 적용할 수도 있습니다.

지침: Azure Private Link 설정 디자인

컨테이너 모니터링

관리 ID 인증을 사용하여 컨테이너 인사이트에 클러스터 연결

관리 ID 인증 은 새 클러스터의 기본 인증 방법입니다. 레거시 인증을 사용하는 경우 관리 ID로 마이그레이션하여 인증서 기반 로컬 인증을 제거합니다.

지침: 관리 ID 인증으로 마이그레이션

Prometheus용 Azure 관리형 서비스는 기본적으로 퍼블릭 엔드포인트를 사용하는 Azure Monitor 작업 영역에 데이터를 저장합니다. Microsoft는 엔드 투 엔드 암호화를 사용하여 퍼블릭 엔드포인트에 대한 연결을 보호합니다. 프라이빗 엔드포인트가 필요한 경우 Azure 프라이빗 링크를 사용하여 클러스터가 권한 있는 프라이빗 네트워크를 통해 작업 영역에 연결할 수 있도록 합니다. 프라이빗 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터를 강제로 수집할 수도 있습니다.

지침: 클러스터의 프라이빗 링크 구성을 위한 자세한 내용은 Azure Monitor에서 Kubernetes 모니터링에 프라이빗 링크 사용 설정을 참조하세요. 프라이빗 링크를 사용하여 데이터를 쿼리하는 방법에 대한 자세한 내용은 Managed Prometheus 및 Azure Monitor 작업 영역에 프라이빗 엔드포인트 사용을 참조하세요.

트래픽 분석을 통해 클러스터의 네트워크 트래픽을 모니터링하세요.

트래픽 분석은 Azure Network Watcher NSG 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. 이 도구를 사용하여 클러스터에 대한 데이터 반출이 없는지 확인하고 불필요한 공용 IP가 노출되는지 감지합니다.

네트워크 관찰 기능 사용

AKS용 네트워크 가시성 추가 기능은 Kubernetes 네트워킹 스택의 여러 계층에 걸쳐 가시성을 제공합니다. 클러스터의 서비스 간 액세스를 모니터링하고 관찰합니다(동서 트래픽).

지침: AKS(Azure Kubernetes Service)에 대한 Container Network Observability 설정

Log Analytics 작업 영역 보호

컨테이너 인사이트는 Log Analytics 작업 영역으로 데이터를 보냅니다. Log Analytics 작업 영역에서 로그 수집 및 스토리지를 보호해야 합니다.

지침: 로그 수집 및 스토리지.

Microsoft가 Azure Monitor를 보호하는 방법

이 문서의 지침은 Microsoft 보안 책임 모델을 기반으로 합니다. 이 공동 책임 모델의 일부로 Microsoft는 Azure Monitor 고객에게 다음과 같은 보안 조치를 제공합니다.

Azure 보안 지침 및 모범 사례

Azure Monitor 보안 배포 지침은 다음을 포함하는 Azure의 포괄적인 클라우드 보안 지침 및 모범 사례를 기반으로 하며 일치합니다.

다음 단계