TRACE

<Cloud 종류>

• IaaS(Infrastructure as a Service) : 상/하수도, 전기, 도로, 항만, 통신 / Network, Server Computer, Firewall, VPN
• PaaS(Platform as a Service) : 시장(거기에 가면 모든 물건을 구매할 수 있다) Amazon, 쿠팡 / OS 및 관련 프로그램 설치 (App Service, Azure SQL, VM with Visual Studio, Azure Container Instance(도커), Azure Kubernetes Service)
  
  
• SaaS(Software as a Service) : 음식, 장난감, 스포츠, 놀이공원, 핸드폰 / Application (DB, Spread Sheet, Document, 통신...) / Microsoft 365, ZOOM, EverNote
  
  
• CaaS(Code as a Service) : VM, Network, Firewall 하기 위해서 Code로 구축하기(DebOps) / GUI(Azure Portal) -> CLI(Azure PowerShell, Azure CLI) -> Template(ARM Template) -> Code(Terraform으로 작업을 하면 AWS, Azure, GCP 등등의 VM을 한 방에 생성할 수 있다(표준)) -> Ansible(VM 관리)
  
  
• DaaS(Desktop as a Service) : WDS(Windows Desktop Service ; AWS, Azure) 데스크톱을 빌림

** DevOps : Development & Operations(개발 및 운영). 개발자가 운영도 같이 해라

** Serverless Computing : Cloud에서 Kubernetes 운영, Azure의 App Service  등

<Azure 보안 기술>

Shared Responsibility Model

- 서비스를 어떻게 하느냐에 따라 신경 쓸 부분(책임)이 달라진다.

- IaaS > PaaS > SaaS 순으로 고객이 할 일이 줄어든다. 보안이 높아진다.

Azure Cloud Security Advantages

- 클라우드 사용 시 보안성이 매우 높다

Azure Hierarchy

- Management Group : 구독을 관리하는 그룹

- Management Group(이건 잘 안씀) > Subscription(그 계정을 위한 제품과 서비스를 준비함) > Resource Group(리소스를 논리적으로 묶어 관리함. 리소스끼리는 life cycle이 같음) > Resource

Azure Policy

- Resource에 Property를 적용(type, locations, tag, SKU 등) 

- 먼저 조사 후 그 규정에 준수하고 있지 않은 Resource를 체크한다

- 장점 : 강제와 규정을 통한 확실한 관리 가능/범위 조정 가능

Azue Role-Based Access Control

- 특정 유저, 그룹에게 특정 자원 액세스 통제권 줌. "자원"에 대해서!!

- OWNER, Contributor, Reader 등 

- Azure AD와 다른 수준임(AAD에서 유저에게 role 주는 경우. Azue Portal에 접속하게 하기 위해서. Global admin, Application admin 등)

** RBAC - 해당 자원에 대해 뭐할건지, 어떤 역할을 둘건지. Azure Resource에 대해 누가 접근할 수 있는지. 

** Azure Policy - 자원을 만들 때 어떤 규칙을 꼭 준수해야 한다.

Built-in Roles for Azure Resources

• Owner : resource에 대한 모든 것 관리
• Contributor : resource 접근 통제 권한은 없고 owner와 같음
• Reader : 볼 수 있지만 수정 불가
• User Access Administrator 등등

Resource Locks 

- Read-only, Delete 등을 못하게 막는 것 

- 대상 : 구독, 리소스 그룹, 리소스

Azure Active Directory

Roles

• Global Administrator : 모든 관리 기능(Resource가 아니라 Azure AD에 대해서) > 가능하면 5명 이내로 지정하는 것을 추천
• Security Administrator : Microsoft 365 등에서 보안 관리
• Billing Administrator : 구독 관리, 서비스 상태 모니터링 등 관리
• Global Reader , Application Administrator , Application Developer; Azure Information Protection Administrator 등등

Azure AD Domain Service

- Azure VNet을 도메인으로 관리 

- On-premise 상의 Active Directory와 통합

Azure AD Users

- 모든 사용자는 account를 가지고 있어야 함

- account는 인증과 권한에 사용

1. Cloud indentities : Azure AD에만 있는 users
2. Directory-syncronized identities : on-premises에 있는 users를 동기화
3. Guest : Azure 바깥에 있는 users
   
   

Azure AD Groups 

- users 모음(permission 주기 위한)

1. Security Groups : 모든 멤버에게 한 번에 permission 주기
2. Microsoft 365 groups : 이메일, 캘린더, files 등에 접근 가능한 그룹

- Types 

1. Assigned : 수동으로 추가
2. Dynamic User : 사용자의 속성값을 보고 자동적으로 추가/삭제
3. Dynamic Device(Security Group only) : 디바이스의 속성값을 보고 자동적으로 추가/삭제
   
   

Administrative Units in Azure AD

- 어떤 user, group에 특정 role을 부여하는 것

Passwordless

ex) Windows hello(생체인식), FIDO2 보안 키, Microsoft Authenticator 앱

- 보안성 강화 : 공격 위험 줄일 수 있음

- 사용자 환경 개선 : 어디서나 편리하게 데이터에 액세스

Azure AD Identity Protection 

Risk Events - 각 탐지된 리스크가 risk event에 기록으로 남음 

User Risk Policy

- user sign-in 할 때 적용됨

- 특정 조건(risk level)에 따라 달라짐

- access, block 설정

Multi-Factor Authentication

- 다단계 인증

1) Account lock : 인증이 안되면 잠궈버림

2) Block/Unblock : mfa 요청 사항 시 block/unblock

3) Fraud Alerts : 경고 

Conditinal Access

- 상황에 따라 Allow, Require MFA, Block 로 Identity 보호

실습) MFA - Conditional Access - Identity Protection 

1. Azure AD multi-factor authentication
2. Azure AD conditional access
3. Azure AD Identity Protection

Exercise 1: Implement Azure MFA

Task 1: Activate Azure AD Premium P2 trial

Task 2: Create Azure AD users and groups.

Task 3: Assign Azure AD Premium P2 licenses to Azure AD users

Task 4: Configure Azure MFA settings.

MFA - service settings 탭에선 검증 옵션을 선택할 수 있다.

MFA - users 탭에서 aaduser1에 대해 Multi-factor을 Enable로 변경한다. 

Fraud alert 창에선 여러 옵션을 선택할 수 있다.

- 사용자의 이상 행위를 제출하도록 허용/불허

- 이상 행위 보고하는 사용자 자동 차단 허용/불허

- 이상 행위 신고코드 설정

Task 5: Validate MFA configuration

하단에 I want to set up a different method 탭을 사용하면, phone, email 등으로 인증이 가능하다.

Exercise 2: Implement Azure AD Conditional Access Policies

Task 1 - Configure a conditional access policy

사용자 선택 칸에서 aaduser2를 선택한다.

클라우드 앱 선택 칸에서는 Microsoft Azure Management를 선택한다.

Muti-Factor Authentication 필요 확인란을 선택하여 On을 선택한다.

각 설정을 마친 뒤 가장 마지막 옵션 Enable policy 를 On으로 설정한 후 create를 마친다.

Task 2 - Test the conditional access policy.

그리고 나서 aaduser2로 로그인하면 aaduser1과 같이 다중 인증을 요구하는 창이 뜬다.

Exercise 3: Implement Azure AD Identity Protection

Task 1: Enable Azure AD Identity Protection

Task 2: Configure a user risk policy

Task 3: Configure sign-in risk policy

Task 4: Simulate risk events against the Azure AD Identity Protection policies

ⓐ InPrivate Internet Explorer 창에서 https://www.torproject.org/projects/torbrowser.html.en Windows 버전을 다운로드하여 설치한다.

Tor은 'The Onion Router'의 약칭이다. 네트워크 우회와 익명화를 위해 사용하는 툴 중 하나며, 딥 웹과 다크 웹에 이용되는 소프트웨어이다. 

ⓑ 설치가 완료되면 ToR 브라우저를 시작하고 초기 페이지의 Connect 옵션을 사용한 후 Application Access Panel(https://myapps.microsoft.com)을 찾는다.

ⓒ 먼저, aaduser3계정으로 로그인을 시도한다.

※  "로그인이 차단되었습니다"라는 메시지가 표시된다. ToR Browser 사용과 관련된 로그인 위험 증가를 고려해 block 했으며 aaduser3이 MFA로 구성되어 있지 않기 때문이다.

ⓓ aduser1 계정으로 로그인한다.

※ 이번에는 의심스러운 활동 탐지 메시지가 표시된다. 이 계정은 MFA로 구성되었으므로 다중 인증을 시도한다.

ⓔ 확인을 완료하고 성공적으로 로그인했는지 확인한다.

Task 5: Review the Azure AD Identity Protection reports

Security 탭에서 위험한 사용자 관리, 위험 탐지 등과 관련된 정보를 볼 수도 있다.

https://aka.ms/AZ-104LearningPaths

혼자 공부할 수 있는 곳

Azure Active Directory

- Azure AD는 Microsoft의 다중 tenant 클라우드 기반 디렉터리 및 ID 관리 서비스이다.

- 사내 AD 와 Azure AD의 sync가 가능하다 = 모든 클라우드 웹앱 또는 온-프레미스 웹앱에 대해 SSO 를 사용할 수 있다.

• Azure AD Join의 목표
  - 회사 소유 디바이스의 Windows 배포
  - 모든 Windows 디바이스에서 조직의 앱 및 리소스에 액세스
  - 회사 소유 디바이스의 클라우드 기반 관리
  - 사용자가 Azure AD 또는 동기화된 Active Directory 회사 또는 학교 계정을 사용하여 디바이스에 로그인

• ID, 계정, 테넌트 등 주요 Azure Active Directory 구성 요소
  - Identity(ID) : user (Credential = ID + Password)
  - Account : 연결된 데이터가 있는 ID
  - Azure AD account : Azure AD 또는 Office365에서 만든 ID
  - Azure AD tenant(=directory) : 조직(입주자). 구독 신청 시 자동으로 생성됨. 구독 하나 당 하나의 tenant
  - Azure subscription : Azure 클라우드 서비스 비용을 지불하는데 사용

구독을 신청한 담당자 = 관리자

회사 직원들이 Azure 를 신청할 수 있도록 계정을 만들어주는 것임. 

ex) 회사의 모든 직원은 하나의 AD에 들어가 있음. 

→ 회사의 총무가 Azure 가입하여 IT부서, 연구 부서, Sales 부서 등 각 부서마다 다른 구독을 신청(각자 다른 Azure tenant가 생김).

→ 관리자 권한을 위임(부여)하기 위해서 각 부서의 담당자들을 Administrator 그룹에 넣어주면 이제 그 담당자들이 Azure tenant를 관리할 수 있는 것임. 

→ 각 부서의 담당자들은 이제 부여받은 관리자 ID로 로그인 하면 됨. 

※ 권한 부여 ※

1) Subscription 에 부여 : 대부분 관리자에게 이 권한을 줌 

2) Resource group 에 부여

3) each user 에 부여

※ 구독의 장점 ※ 

ⓐ 소비자 입장

1) 초기 투자 비용이 적다

2) 합리적이다 (쓴만큼만 지불)

3) 해지 가능하다

4) 최신 기능을 사용할 수 있다

ⓑ 제공자 입장

1) 안정적이고 예측 가능한 소득 확보

User Accounts

- 모든 user들은 account를 갖고 있어야 함 (portal에 들어가서 작업해야 하므로)

- account는 인증과 인가를 위해 사용된다

※ 사용자 계정 유형 

1. Cloud ID
   : Azure AD에만 존재
   ex) 관리자 계정이나 관리자가 직접 관리하는 사용자
2. 디렉토리 동기화된 ID
   : 온-프레미스 Active Directory에 존재(Windows AD)
3. Guest
4. : Azure 외부에 위치
   ex) 다른 클라우드 공급자의 계정과 Xbox LIVE 계정 등의 Microsoft 계정
   이러한 유형의 계정은 외부 공급업체 또는 계약자가 귀하의 Azure 리소스에 액세스해야 하는 경우에 유용.

※ 사용자 생성

• 사용자 프로필(사진, 작업, 연락처 정보)은 선택 사항
• 삭제된 사용자는 30일 내에 복원할 수 있다.
• 로그인 및 감사 로그 정보를 사용할 수 있다.
• 대량으로 사용자를 생성하고 삭제할 수도 있다. Azure Portal에서 템플릿을 다운받아 csv 파일에 올바른 형식으로 사용자를 넣어주면 된다.

Group Accounts

※ 유형 

1. Security Group. 보안 그룹
   사용자 그룹의 공유 리소스에 대한 멤버 및 컴퓨터 액세스를 관리하는 데 사용
   ex) 특정 보안 정책을 적용할 보안 그룹
2. Microsoft 365 Group
   구성원들이 협업을 수행할 수 있도록 공유 사서함, 달력, 파일, SharePoint 사이트 등에 대한 액세스 권한을 제공

※ 할당 유형

1. Assigned : 특정 사용자를 그룹 구성원에 추가하고 고유 권한을 제공
2. Dynamic User : 동적으로 구성원 자격 규칙을 적용시켜 자동으로 구성원을 추가&제거
3. Dynamic Device(보안 그룹에서만 가능) : 동적으로 그룹 자격 규칙을 적용시켜 디바이스를 자동으로 추가&제거

실습) Azure AD 구성하기 

1: Azure AD 사용자 생성 및 구성
2: 할당된 동적 멤버 자격으로 Azure AD 그룹 만들기
3: Azure AD(Active Directory) 테넌트 생성
4: Azure AD 게스트 사용자 관리

생성한 사용자에게 User administrator 권한을 부여하였다.

---

 ** 동적 그룹을 구현하려면 Azure AD Premium P1 또는 P2 라이센스가 필요하기 때문에 라이센스를 먼저 발급받는다.

** 여기서 맨 밑에 Dynamic user members 를 Add 하여 규칙을 통해 구성원을 자동으로 관리할 수 있다.

---

---

** Contoso Lab 디렉토리에 들어가 새로운 사용자를 생성한다.

** 다시 기본 디렉토리로 돌아가서 방금 만든 사용자를 Guest로서 invite 한다.