향상된 액세스 제어 경험으로 보안을 개선하는 Azure
3 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
마이크로소프트는 그들이 두배로 줄다 최근 라스베이거스에서 열린 Black Hat 컨퍼런스에서 Azure 보안에 대해 설명했습니다.
오늘 Microsoft는 액세스 제어 경험을 향상시킬 새로운 보안 기능을 발표했습니다. SMB(서버 메시지 블록) 액세스를 위한 Azure AD DS(Azure Active Directory Domain Service) 인증 지원 도입을 포함합니다.
이제 도메인에 가입된 Windows 가상 머신은 시행된 NTFS 액세스 제어 목록과 함께 AD DS 자격 증명을 사용하여 SMB를 통해 Azure 파일 공유를 탑재하고 액세스할 수 있습니다.
또한 RBAC(역할 기반 액세스 제어)를 사용하여 특정 파일 및 폴더에 대한 공유 수준 액세스를 제한할 수 있습니다. 권한 할당 기능은 NTFS와 유사하므로 응용 프로그램을 "들어 올리고 이동"하는 프로세스가 더 쉽습니다.
Azure Files에 대한 Azure AD DS 인증을 통해 사용자는 공유, 파일 및 폴더에 대한 세분화된 권한을 지정할 수 있습니다. LOB(기간 업무) 응용 프로그램에 대한 단일 작성기 및 다중 판독기 시나리오와 같은 일반적인 사용 사례를 차단 해제합니다. 파일 권한 할당 및 적용 경험이 NTFS와 일치하므로 애플리케이션을 Azure로 들어올리고 옮기는 것은 새 SMB 파일 서버로 옮기는 것만큼 쉽습니다. 따라서 Azure Files는 클라우드 기반 서비스를 위한 이상적인 공유 스토리지 솔루션이기도 합니다. 예를 들어, Windows 가상 데스크탑 Azure Files를 사용하여 다양한 사용자 프로필을 호스팅하고 액세스 제어를 위해 Azure AD DS 인증을 활용할 것을 권장합니다.
또한 Azure Files에서 NTFS DACL(임의 액세스 제어 목록) 시행을 지원하므로 복사 및 데이터 복구 프로세스에서 DACL을 유지 관리할 수 있습니다.
Azure Files는 NTFS DACL(임의 액세스 제어 목록)을 엄격하게 적용하므로 다음과 같은 친숙한 도구를 사용할 수 있습니다. Robocopy 모든 중요한 보안 제어를 유지하는 Azure 파일 공유로 데이터를 이동합니다. Azure Files 액세스 제어 목록은 백업 및 재해 복구 시나리오를 위한 Azure 파일 공유 스냅샷에도 캡처됩니다. 이렇게 하면 파일 스냅샷을 활용하는 Azure Backup과 같은 서비스를 사용하여 데이터 복구 시 파일 액세스 제어 목록이 보존됩니다.
또한 이제 파일 탐색기를 통해 권한을 재할당할 수 있습니다.
계속해서 파일 탐색기를 통한 권한 수정이 강조 표시되었습니다. 이 기능은 Ignite 2018에서 처음 선보였습니다. 그 당시 권한을 보고 변경하려면 'icacls'라는 Windows 명령줄 도구가 필요했습니다. 그러나 이 도구는 쉽게 검색할 수 없거나 사용자 행동과 일치하지 않는 것으로 나타났습니다. 따라서 이제 이 기능이 파일 탐색기와 함께 제공되어 Azure Files에 대한 권한 할당이 쉽게 가능합니다.
Microsoft는 공유 수준 액세스 관리를 보다 쉽게 하기 위해 세 가지 새로운 기본 제공 역할 기반 액세스 제어(Storage File Data SMB Share Elevated Contributor, Contributor 및 Reader)를 도입했습니다.
공유 수준 액세스 관리를 단순화하기 위해 세 가지 기본 제공 역할 기반 액세스 제어(Storage File Data SMB Share Elevated Contributor, Contributor 및 Reader)가 도입되었습니다. 사용자 지정 역할을 만드는 대신 기본 제공 역할을 사용하여 Azure Files에 대한 SMB 액세스에 대한 공유 수준 권한을 부여할 수 있습니다.
Azure Files 팀은 액세스 제어 경험의 일부로 인증 지원을 온-프레미스 또는 클라우드에서 호스팅되는 Windows Server Active Directory로 확장하는 것을 목표로 합니다.
Azure Active Directory Domain Services로 인증을 지원하는 것은 애플리케이션 리프트 앤 시프트 시나리오에 가장 유용하지만 Azure Files는 애플리케이션 또는 최종 사용자를 위한 스토리지를 제공하는지 여부에 관계없이 모든 온-프레미스 파일 공유를 이동하는 데 도움이 될 수 있습니다. 우리 팀은 온프레미스 또는 클라우드에서 호스팅되는 Windows Server Active Directory로 인증 지원을 확장하기 위해 노력하고 있습니다.
여기에서 Azure Files Active Directory 인증에 대한 업데이트를 선택할 수 있습니다. 링크.
