Azure SQL을 보호하기 위한 보안 구현

  • 9분

마이그레이션 및 그 이후의 Azure SQL 리소스에 대한 보호를 보장하려면 서버 및 데이터베이스 방화벽 규칙과 SQL용 Microsoft Defender를 이해하고 효과적으로 관리하는 것이 필수적입니다.

서버 및 데이터베이스 방화벽 규칙 구성

Azure SQL Database에서 서버 수준과 데이터베이스 수준에서 모두 방화벽 규칙을 구성할 수 있습니다.

서버 수준 방화벽 규칙

서버 수준 방화벽 규칙은 더 넓은 수준에서 Azure SQL Database에 대한 액세스를 제어하여 서버에 연결할 수 있는 IP 주소를 결정하는. 반면,

Azure Portal을 통한 서버 규칙 관리 스크린샷

서버 수준 방화벽 규칙은 사용자가 모든 서버 데이터베이스에 연결할 수 있도록 허용하지만 데이터베이스 수준 방화벽은 개별 데이터베이스에 대한 특정 IP 주소에 대한 액세스를 제어합니다.

Azure Portal을 통해 또는 마스터 데이터베이스 내의 sp_set_firewall_rule 저장 프로시저를 사용하여 서버 수준 방화벽 규칙을 구성할 수 있습니다.

비고

Azure 서비스 및 리소스에서 이 서버에 액세스하도록 허용 설정을 사용하도록 설정한 경우 단일 방화벽 규칙으로 계산됩니다. 기본적으로 모든 액세스를 차단하고 필요한 경우에만 엽니다.

데이터베이스 수준 방화벽 규칙

데이터베이스 수준 규칙은 개별 데이터베이스 내에서 보다 구체적인 제어를 제공합니다. 사용자 데이터베이스 내에서 sp_set_database_firewall_rule 저장 프로시저만 사용하여 T-SQL을 통해 데이터베이스 수준 방화벽 규칙을 구성할 수 있습니다.

연결할 때 Azure SQL Database는 제공된 데이터베이스 이름과 관련된 데이터베이스 수준 방화벽 규칙을 확인합니다. 해당 규칙을 찾을 수 없는 경우 서버의 모든 데이터베이스에 적용되는 서버 수준 IP 방화벽 규칙을 확인합니다. 두 규칙 중 하나가 있으면 연결이 설정됩니다.

두 규칙이 모두 존재하지 않으며 사용자가 SQL Server Management Studio 또는 Azure Data Studio를 사용하여 연결하는 경우 방화벽 규칙을 만들라는 메시지가 표시됩니다.

SQL Server Management Studio의 새 방화벽 규칙 대화 상자를 보여 주는 스크린샷

서버 수준 방화벽 규칙 및 데이터베이스 수준 방화벽 규칙에 대한 자세한 내용은 azure SQL Database 및 Azure Synapse IP 방화벽 규칙 참조하세요.

Microsoft Defender for SQL

Microsoft Defender for SQL Azure SQL Database, Azure SQL Managed Instance 및 Azure VM의 SQL Server에 대한 포괄적인 보안 솔루션입니다. 데이터베이스 보안을 지속적으로 모니터링하고 평가하여 강화하도록 사용자 지정된 권장 사항을 제공합니다.

또한 데이터 상태를 사전에 보호하기 위해 SQL 취약성 평가Advanced Threat Protection포함한 고급 보안 기능을 제공합니다. 이 올인원 솔루션은 SQL 환경에서 높은 수준의 보안을 유지하는 데 도움이 됩니다.

SQL용 Microsoft Defender를 사용하도록 설정하는 방법에는 두 가지가 있습니다.

메서드 설명
구독 수준(권장) Azure SQL Database 및 Azure SQL Managed Instance의 모든 데이터베이스를 포괄적으로 보호하기 위해 구독 수준에서 사용하도록 설정합니다. 필요한 경우 개별적으로 사용하지 않도록 설정할 수 있습니다.
리소스 수준 또는 특정 데이터베이스에 대한 보호를 수동으로 관리하려는 경우 리소스 수준에서 사용하도록 설정할 수 있습니다.

SQL 취약성 평가

SQL 취약성 평가 Microsoft의 모범 사례에 따라 규칙의 기술 자료를 사용합니다. 보안 취약성, 잘못된 구성, 과도한 권한 및 보호되지 않는 중요한 데이터에 플래그를 지정합니다.

SQL 취약성 평가에 대한 두 가지 구성 선택 항목이 있습니다.

  1. Express 구성: 기본 옵션이며 기준 및 검사 결과에 외부 스토리지가 필요하지 않습니다.

  2. 클래식 구성: 기준선을 저장하고 결과 데이터를 검사하기 위해 Azure Storage 계정을 관리해야 합니다.

Azure Portal의 SQL 취약성 평가 대시보드를 보여 주는 스크린샷

고급 위협 방어

Advanced Threat Protection 비정상적이거나 잠재적으로 유해한 데이터베이스 액세스 시도를 감지하고 대응하여 Azure SQL의 보안을 향상시킵니다.

Microsoft Defender for Cloud와 통합된 의심스러운 데이터베이스 활동, 잠재적 취약성, SQL 삽입 공격 및 비정상적인 액세스 패턴에 대한 보안 경고를 제공합니다. 이 통합은 위협을 조사하고 완화하기 위한 인사이트와 권장 조치를 제공하여 비보안 전문가가 액세스할 수 있도록 합니다.

Azure Portal의 고급 위협 방지 권장 사항 목록을 보여 주는 스크린샷

경고 목록은 Microsoft Defender for Cloud SQL Database 및 Azure Synapse Analytics에 대한경고를 참조하세요.