Azure Files 에 관련 실습은 아래 글을 참고하기 바란다.
[MS Azure/AZ104] - AZ104 실습 : Azure Files Shares 만들기 및 연결
공유파일을 만들고 가상 머신과의 공유 설정을 완료 했다면 이 파일들에 대한 엑세스 보호도 해야한다.
엑세스 보호에는 4가지 방법이 있다.
1. IP 기반 방화벽 규칙 설정
2. 모든 연결에 보안 전송 요구
1, 2 방법은 앞의 글에서 다루고 있으니 첨부된 글을 확인하기 바란다.
3. Azure AD DS 인증 설정 및 사용
4. 공유 스냅샷을 사용하여 실수를 인한 삭제를 방지
Azure AD DS 인증 설정 및 사용
금융 회사는 Azure에서 호스트되는 VM에서 새 보고 애플리케이션을 실행하고 있습니다. 이 때문에 파일 공유에 액세스하기 위한 Azure AD DS 인증을 설정하려는 것입니다. 회사는 더 많은 처리를 클라우드로 이동하기 전에 이를 수행하려고 합니다.
Azure AD DS의 이점은 역할 기반 액세스 제어 RBAC 를 사용하여 액세스를 관리할 수 있다는 것입니다. 파일은 기존의 NTFS DACL을 상속합니다.
Azure AD DS를 설정하는 첫 번째 단계는 테넌트에 대해 Azure AD Domain Services를 사용하도록 설정하고 VM이 동일한 가상 네트워크에 상주하도록 하는 것입니다. 이러한 설정을 완료되면 스토리지 계정에서 Azure AD DS 인증을 사용하도록 설정합니다. 그런 다음 스토리지 계정에서 공유에 대한 액세스 권한을 부여할 수 있습니다. 이러한 권한은 사용자, 그룹 또는 서비스 사용자 수준일 수 있습니다.
Microsoft는 SMB 파일 공유 액세스 권한 수준에 대한 새로운 사용자 역할 세 가지를 만들었습니다.
- 스토리지 파일 데이터 SMB 공유 Reader
- 스토리지 파일 데이터 SMB 공유 Contributor
- 스토리지 파일 데이터 SMB 공유 관리자 권한 Contributor
공유 스냅샷을 사용하여 실수를 인한 파일 삭제를 방지
공유 스냅샷은 추가 보안 수준을 제공하고 데이터 손상 또는 실수로 인한 삭제의 위험을 줄여줍니다. 재해 복구를 위한 일반 백업으로 사용할 수도 있습니다.
스냅샷은 Azure Portal에서 또는 REST API, 클라이언트 라이브러리, Azure CLI 및 PowerShell을 사용하여 쉽게 만들 수 있습니다.
스냅샷은 파일 공유의 루트 수준에 위치하며 여기에 포함된 모든 폴더와 파일에 적용됩니다.
Reference
docs.microsoft.com/en-us/learn/modules/store-and-share-with-azure-files/5-secure-azure-files