제로빅의 블로그

핸즈온2 : Azure Policy와 DevOps 연계 – 배포 전 Azure Policy 준수 검사Azure DevOps 파이프라인 내에서 Azure Policy 준수 여부를 자동으로 확인하고, 비준수 시 배포를 중단하는 보안/거버넌스 실습을 시행해 보자. 사전 준비 사항 항목설명Azure DevOps 프로젝트Azure DevOps 프로젝트가 있어야 하며 Service Connection 구성 필요프로젝트 만들기 참조 및 Service Connection 참조Azure Policy 정의하나 이상의 정책 정의 및 할당 필요 (예: NSG에 모든 포트를 열지 말 것)Service Principal 권한DevOps의 Service Connection에 Policy Insights Reader 권한 필요Az..

핸즈온1 : Advisor 보안 권고사항의 Azure Policy 연계 이전 글에서 우리는 Azure Advisor에 대하여 살펴보고 핸즈온을 수행해봤다. Advisor에 대해 생소한 독자는 이전 글을 참조한다.Azure Advisor와 Azure Policy는 Azure 환경의 거버넌스와 최적화를 위한 핵심 서비스이며, 상호 보완적인 관계를 가진다. Azure Advisor가 "무엇을 개선해야 할지"에 대한 정보와 통찰을 제공한다면, Azure Policy는 그 통찰을 기반으로 "어떻게 개선하고, 향후 그러한 문제가 발생하지 않도록 강제할 것인지"에 대한 자동화된 메커니즘을 제공한다. 예를 들어, Azure Advisor가 "특정 지역에 보안 그룹이 열려 있어 보안 위험이 있다”라는 권장 사항을 제시..

Azure Policy는 클라우드 환경에서 거버넌스를 구현하고 규정 준수를 보장하는 데 필수적이다. 이 블로그는 Azure Policy의 기본 개념부터 실제 실무 환경에 적용하는 핸즈온 실습까지 단계별로 안내하여 독자들이 Azure 환경을 효율적으로 관리하고 최적화하는 데 도움을 줄 것이다. 특히 이번 편에서도 Azure Advisor와 연계한 내용으로 구성하여 실무에서 필요한 지식을 습득할 수 있도록 구성했다. 전체 컨텐츠의 분량 및 개인 여건상 2~3개의 모듈로 나누어 게시하고자 한다. Azure Policy의 이해 1. 기본 개념Azure Policy 공식 문서는 방대하지만, 실무적인 관점에서 그 핵심을 요약하면 "클라우드 환경의 규칙을 정의하고, 이를 자동으로 평가하며, 나아가 강제하거나 수정..

1. Azure Role 할당1.1 Custom Role 생성 및 할당이번 핸즈 온에서는 Azure 클라우드 엔니지어 특히 MSP 관련 업무를 수행하는 담당자에게 매우 유용한 클라우드 최적화 도구인 Advisor와 관련한 Custom Role 할당을 예시로 진행해 보겠다.구축 단계에서 고객의 요건을 완전하게 이해하고 소위 WAF(Well-Architected Framework)에 입각하여 솔루션 설계 및 구축을 했겠지만 실제 클라우드를 이용하게 되면서 비용, 성능, 보안, 안전성 및 운영효율성 등에 대한 최적화가 필요하고 이루어 지게 된다. Advisor가 바로 이런 기능을 제공해 준다.Advisor란Azure Advisor는 모범 사례를 따라 Azure 배포를 최적화하는 데 도움을 주는 디지털 클라우드..

클라우드 리소스에 대한 액세스 관리는 클라우드에서 가장 기본이 되고 중요한 기능이다. Azure RBAC(Azure role-based access control)은 중요한 도구로서 역할 한다.Azure RBAC는 Azure Resource Manager를 기반으로 구축된 권한 부여 시스템으로, Azure 리소스에 대한 세부적인 액세스 관리를 제공한다.Azure RBAC는 사용자, 그룹, 애플리케이션에 대해 세분화된 접근 권한을 부여함으로써 Azure 리소스의 보안과 관리를 효율적으로 수행할 수 있도록 지원한다. 이를 통해 조직은 “최소 권한 원칙”을 준수하며, 리소스에 대한 접근을 체계적으로 제어할 수 있다. “최소 권한 원칙”은 제로 트러스트의 핵심이 되는 주요 원칙 중 하나이다. 이번 글은 Azur..

이전 편에서 하나의 구독을 새로운 테넌트 즉, Entra ID로 이동시키고 테넌트에서 새로운 사용자를 생성하는 내용을 다루었다. 이번 편에서는 그룹을 추가하여 라이선스를 할당 하는 등의 실습을 진행하도록 하겠다. 1.3 그룹 생성 이제 그룹을 생성하도록 하겠다.1. Entra ID에서 Groups > New Group 을 클릭한다.2. 다음과 같이 값을 선택 및 입력 한다. 참고로 지원되는 그룹의 유형에는 다음 2가지가 존재한다.구분보안 그룹 (Security Group)Microsoft 365 그룹 (M365 Ggroup)주요 기능보안 및 권한 제어공유 리소스에 대한 사용자 및 컴퓨터 액세스를 관리하는 데 사용협업 및 생산성 도구 통합그룹 멤버에게 공유 사서함, 일정, 파일, SharePoint ..

이번 편에서는 하나의 구독을 새로운 테넌트 즉, Entra ID로 이동시키고 테넌트에서 새로운 사용자 및 그룹을 추가하여 라이선스를 할당 하는 등의 실습을 진행하도록 하겠다. 핸즈온 내용이 다소 방대해서 2편으로 나누어 정리 및 게시하도록 하겠다. 조직에는 여러 Azure 구독이 있을 수 있다. 각 구독은 특정 Microsoft Entra 디렉터리와 연결된다. 관리의 용이성 등의 목적으로 임의의 구독을 다른 Microsoft Entra 디렉터리로 이동시킬 수 있다. 이 때 Azure RBAC의 모든 역할 할당들은 대상 디렉터리로 전송되지 않고 영구적으로 유실되므로 사전에 신중하게 계획하고 실행해야 한다. 이와 관련한 상세한 내용은 여기를 참조한다. 핸즈온 1 : Azure 구독 Microsoft 디렉토..

Azure 클라우드 내부에서 최소의 단위는 Resource이며 가상 머신, 스토리지 계정, 가상 네트워크 등등을 의미한다. 이러한 리소스들을 Resource Group 이라는 논리적 컨테이너로 묶어 관리할 수 있다. 함께 수명주기를 공유하고, 모니터링, 액세스 제어 및 배포 설정 등을 할 수 있다. 또한 리소스 그룹을 사용하여 리소스를 기능, 프로젝트 또는 애플리케이션 별로 논리적으로 구성할 수 있다.Azure 구독은 실제 리소스의 경계이며, 리소스 그룹과 리소스 그룹에 포함된 모든 관련 리소스를 함께 그룹화하는 논리적 구조이다. 구독은 Azure Cloud 비용을 결정하기 위한 청구 단위로 사용된다.Azure 구독은 항상 하나의 Microsoft Entra 테넌트에만 연결할 수 있다. Azure 구독을..

이번 시리즈에서는 Azure 클라우드를 처음 실무로 접하게 되는 대상자(관리, 구축 및 설계자)를 위해 준비하게 되었다.물론 어느 정도 Azure 클라우드를 알고 있지만(가량 이미 자격을 취득한 사람들) 핸즈온 위주로 따라하며 다시 기초를 다지고자 하는 사람들에게도 유용한 시리즈가 될 것으로 여겨진다. 참고로 이 글의 목적은 AZ-104 자격증 취득이 아니라 실질적인 핸즈온 기술역량 강화에 그 목적이 있다. 실무에서 Azure 클라우드에 새로 온보딩하는 SA(Soulutions Architect)나 DevOps Engineer에게 기본적으로 요구되는 기술역량이 있는데, 바로 AZ-104가 주로 다루는 내용들이 바로 그것이다. 필자는 수시로 회사에서 신규입사자 또는 고객들을 대상으로 Azure에 대한 기본..

5. Branch 전략 수립하기 터미널 상에서 다음 명령을 수행하여 현재 브랜치 현황을 확인해 본다.git branch -aADO-git-handson# git branch -a* master remotes/origin/masterADO-git-handson# 현재 master 브랜치에서 작업이 이루어 지고 있으며 로컬, 리모트 모두 하나의 브랜치만 존재함을 알 수 있다.이 구조는 Git을 처음으로 접하여 이런 저런 명령을 수행하거나, 단순한 개인 실습을 수행하는데 별 문제 없지만 실무에서의 현실에서는 master 브랜치를 단일로 유지 및 관리하는 것은 바람직 하지 않다.실무 협업 환경에서는 소위 Git 브랜치 전략을 채택하여 보다 보안적으로 안전하게 버전 제어를 사용하여 코드를 공유하고 관리 하는 관..