시작: 엔터프라이즈 환경 전체에 보안 구현

보안은 비즈니스의 기밀성, 무결성 및 가용성을 보장하는 데 도움이 됩니다. 보안 작업은 내부 및 외부의 악의적이며 의도하지 않은 행위로 인해 발생하는 잠재적 영향으로부터 작업을 보호하는 데 중점을 둡니다.

이 시작 가이드에서는 사이버 보안 공격으로 인한 비즈니스 위험을 방지하거나 완화하는 주요 단계를 간략하게 설명합니다. 클라우드에서 필수적인 보안 방침을 신속하게 수립하고 클라우드 채택 프로세스에 보안을 통합하는 데 도움이 될 수 있습니다.

이 가이드의 단계는 클라우드 환경 및 랜딩 존에 대한 보안 보증을 지원하는 모든 역할을 위한 것입니다. 작업에는 즉각적인 위험 완화 우선 순위, 최신 보안 전략 구축, 접근 방식 운영, 해당 전략 실행에 대한 지침이 포함됩니다.

이 가이드의 단계를 따르면 프로세스의 중요한 지점에서 보안을 통합하는 데 도움이 됩니다. 목표는 클라우드 채택의 장애물을 피하고 불필요한 비즈니스 또는 운영 중단을 줄이는 것입니다.

Microsoft는 Microsoft Azure에서 이러한 보안 지침의 구현을 가속화하는 데 도움이 되는 기능과 리소스를 구축했습니다. 이 가이드 전체에서 이러한 리소스가 참조되는 것을 볼 수 있습니다. 이러한 리소스는 보안을 설정하고 모니터링하고 적용하는 데 도움이 되도록 설계되었으며 자주 업데이트 및 검토됩니다.

다음 다이어그램은 보안 지침 및 플랫폼 도구를 사용하여 Azure에서 클라우드 자산에 대한 보안 가시성과 컨트롤을 설정하기 위한 전체적인 접근 방식을 보여줍니다. 이 접근 방식을 사용하는 것이 좋습니다.

다음 단계를 사용하여 클라우드 자산을 보호하고 클라우드를 사용하여 보안 작업을 현대화하기 위한 전략을 계획하고 실행합니다.

1단계: 필수 보안 방침 설정

클라우드의 보안은 가장 중요한 보안 방침을 시스템의 사람, 프로세스 및 기술 요소에 적용하는 것부터 시작됩니다. 또한 일부 아키텍처 결정은 기초적이라서 나중에 변경하기가 매우 어렵기 때문에 신중하게 적용해야 합니다.

클라우드를 이미 운영 중이든 향후 채택을 계획 중이든, 다음 11가지 필수 보안 방침을 따르는 것이 좋습니다. 물론 명시적 규정 준수 요구 사항을 충족하는 것도 필요합니다.

사람:

1. 클라우드 보안 여정에 대한 팀 교육
2. 클라우드 보안 기술에 대한 팀 교육

프로세스:

3. 클라우드 보안 결정에 대한 책임 할당
4. 클라우드에 대한 인시던트 대응 프로세스 업데이트
5. 보안 태세 관리 설정

기술:

6. 암호 없는 인증 또는 다단계 인증 필요
7. 네이티브 방화벽 및 네트워크 보안 통합
8. 네이티브 위협 탐지 통합

기초 아키텍처 결정:

9. 단일 디렉터리 및 ID로 표준화
10. 키 대신 ID 기반 액세스 제어 사용
11. 통합된 단일 보안 전략 수립

참고 항목

각 조직은 자체적인 최소 표준을 정의해야 합니다. 위험 상태 및 그에 대한 내성은 산업, 문화 및 기타 요인에 따라 크게 달라질 수 있습니다. 예를 들어, 은행은 테스트 시스템에 대한 공격이 경미하더라도 은행의 평판에 대한 잠재적인 손상을 용인하지 않을 수 있습니다. 어떤 조직은 동일한 위험이 디지털 혁신을 3~6개월 정도 앞당긴다면 기꺼이 감수하기도 합니다.

2 단계: 보안 전략 현대화

클라우드의 효과적인 보안을 위해서는 현재 위협 환경과 엔터프라이즈 자산을 호스트하는 클라우드 플랫폼의 특성을 반영하는 전략이 필요합니다. 전략이 명확하면 안전하고 지속 가능한 엔터프라이즈 클라우드 환경을 제공하기 위해 노력한 모든 팀의 성과가 향상됩니다. 보안 전략은 정의된 비즈니스 결과를 낼 수 있도록 하고 위험을 수용 가능한 수준으로 줄이고 직원의 생산성을 높일 수 있도록 해야 합니다.

클라우드 보안 전략은 이러한 채택을 위해 기술, 프로세스 및 인력 준비를 담당하는 모든 팀에 지침을 제공합니다. 전략은 클라우드 아키텍처와 기술 기능을 알리고 보안 아키텍처 및 기능을 안내하며 팀의 학습 및 교육에 영향을 주어야 합니다.

결과물:

전략 단계는 조직 내의 많은 관련자에게 쉽게 전달될 수 있도록 문서화해야 합니다. 관련자에는 조직 리더십 팀의 임원을 포함할 수 있습니다.

프레젠테이션에서 전략을 캡처하여 쉽게 논의하고 업데이트할 수 있도록 하는 것이 좋습니다. 문화와 취향에 따라 프레젠테이션을 문서로 뒷받침할 수 있습니다.

• 전략 프레젠테이션: 단일 전략 프레젠테이션을 준비하거나 리더십 대상 그룹을 위한 요약 버전을 만들 수도 있습니다.

  • 전체 프레젠테이션: 기본 프레젠테이션 또는 선택적인 참조 슬라이드에 보안 전략을 위한 전체 요소 집합을 포함해야 합니다.
  • 임원 요약: 고위 경영진 및 이사회 멤버와 함께 사용할 버전에는 그들의 역할과 관련된 중요한 요소(예: 위험 성향, 최우선 순위 또는 허용된 위험)만 포함할 수 있습니다.

• 전략 및 계획 템플릿에 동기, 결과 및 비즈니스 근거를 기록할 수도 있습니다.

보안 전략 구축을 위한 모범 사례:

성공적인 프로그램은 이러한 요소를 보안 전략 프로세스에 통합합니다.

• 비즈니스 전략과 밀접한 연계: 보안의 기본은 비즈니스 가치를 보호하는 것입니다. 모든 보안 작업을 이러한 취지에 맞추고 내부 갈등을 최소화하는 것이 중요합니다.

  • 비즈니스, IT 및 보안 요구 사항에 대해 공유 이해를 구축합니다.
  • 클라우드 채택 초기에 보안을 통합하여 피할 수 있는 위험으로 인한 막바지 위기를 피합니다.
  • Agile 접근 방식을 사용하여 최소 보안 요구 사항을 즉시 설정하고 시간이 지나면서 보안 보장을 지속적으로 개선해나갑니다.
  • 의도적이며 능동적인 리더십 활동을 통해 보안 문화의 변화를 장려합니다.

  자세한 내용은 변환, 사고 방식 및 기대치를 참조하세요.

• 보안 전략 현대화: 보안 전략에는 최신 기술 환경, 현재 위협 환경, 보안 커뮤니티 리소스의 모든 측면에 대한 고려 사항이 포함되어야 합니다.

  • 클라우드의 공유 책임 모델에 맞게 개조합니다.
  • 모든 클라우드 유형과 다중 클라우드 배포를 포함합니다.
  • 불필요하고 유해한 마찰을 피하기 위해 네이티브 클라우드 컨트롤을 우선 사용합니다.
  • 공격자의 진화 속도를 따라잡기 위해 보안 커뮤니티를 통합합니다.

추가 컨텍스트에 대한 관련 리소스:

• 위협 환경, 역할 및 디지털 전략의 진화

• 보안, 전략, 도구 및 위협의 변환

• 클라우드 채택 프레임워크에 대한 전략 고려 사항:

  • 보안 전략 현대화
  • 사이버 보안 복원력
  • 클라우드에서 보안 관계 및 책임이 변화하는 방식

담당 팀	담당 팀과 지원 팀
보안 리더십 팀(CISO(최고 정보 보안 책임자) 또는 이에 준하는 사람)	클라우드 전략 팀 클라우드 보안 팀 클라우드 채택 팀 클라우드 혁신 센터 또는 중앙 IT 팀

전략 승인:

이 전략은 조직 내 사업 분야의 결과 또는 위험에 대해 책임이 있는 임원 및 비즈니스 리더가 승인해야 합니다. 조직에 따라서는 이 그룹에 이사회가 포함될 수 있습니다.

3 단계: 보안 계획 개발

계획은 결과, 마일스톤, 타임라인 및 작업 소유자를 정의하여 보안 전략을 실행에 옮깁니다. 이 계획은 팀의 역할과 책임도 간략하게 설명합니다.

보안 계획과 클라우드 채택 계획을 별개로 처리해서는 안 됩니다. 보안 문제가 너무 늦게 발견되어 작업이 중단되거나 위험이 증가하는 것을 피하려면 클라우드 보안 팀을 계획 주기에 일찍 초대하는 것이 중요합니다. 보안 계획은 디지털 자산과 클라우드 계획 프로세스에 완전히 통합되는 기존 IT 포트폴리오에 대한 심층적인 지식과 인식을 바탕으로 가장 잘 작동합니다.

결과물:

• 보안 계획: 보안 계획은 클라우드 기본 계획 설명서의 일부여야 합니다. 전략 및 계획 템플릿, 자세한 슬라이드 데크 또는 프로젝트 파일을 사용하는 문서일 수 있습니다. 또는 조직의 규모, 문화 및 표준 관행에 따라 이러한 형식을 조합할 수도 있습니다.

  보안 계획에는 다음 요소가 모두 포함되어야 합니다.

  • 조직 기능 계획 - 클라우드로 이전하면 현재 보안 역할과 책임이 어떻게 변화하는지를 팀이 알 수 있습니다.

  • 보안 기술 계획 - 팀 멤버가 기술, 역할 및 책임의 상당한 변화를 탐색할 때 지원할 수 있습니다.

  • 기술 보안 아키텍처 및 기능 로드맵 - 기술 팀을 안내합니다.

    Microsoft는 아키텍처 및 로드맵을 빌드하는 데 도움이 되는 다음과 같은 참조 아키텍처 및 기술 기능을 제공합니다.

    • Azure 보안 역할의 계획 및 디자인을 가속화하기 위한 Azure 구성 요소 및 참조 모델에 대해 알아봅니다.

      

      

    • Microsoft 사이버 보안 참조 아키텍처로 온-프레미스 및 클라우드 리소스를 포괄하는 하이브리드 엔터프라이즈용 사이버 보안 아키텍처를 구축할 수 있습니다.

    • SOC(보안 운영 센터) 참조 아키텍처로 보안 검색, 대응 및 복구를 현대화할 수 있습니다.

    • 제로 트러스트 사용자 액세스 참조 아키텍처로 클라우드 생성을 위한 액세스 제어 아키텍처를 현대화할 수 있습니다.

    • 클라우드용 Microsoft Defender 및 클라우드 앱용 Microsoft Defender는 클라우드 자산을 보호하는 데 도움이 됩니다.

  • 보안 인식 및 교육 계획으로 모든 팀이 기본적인 중요 보안 지식을 갖도록 합니다.

  • 자산 민감도 표시를 통해 비즈니스 영향에 맞춘 분류를 사용하여 중요한 자산을 지정합니다. 이러한 분류는 비즈니스 관련자, 보안 팀 및 기타 이해 당사자가 공동으로 작성합니다.

  • 클라우드 계획에 대한 보안 변경 내용: 보안 계획으로 인해 트리거된 변화를 반영하도록 클라우드 채택 계획의 다른 섹션을 업데이트합니다.

보안 계획 모범 사례:

계획 시 다음을 수행하면 보안 계획이 성공적일 가능성이 더 높아집니다.

• 하이브리드 환경 가정: 여기에는 SaaS(Software as a Service) 애플리케이션과 온-프레미스 환경이 포함됩니다. 또한 여러 클라우드 IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service) 공급자도 포함됩니다(해당하는 경우).

• 민첩한 보안 채택: 최소한의 보안 요구 사항을 먼저 설정하고 중요하지 않은 모든 항목은 다음 단계의 우선 순위 목록으로 이동합니다. 기존처럼 상세한 3~5년 계획이 되어서는 안 됩니다. 클라우드와 위협 환경은 너무 빠르게 변화하기 때문에 이러한 유형의 계획은 유용하게 만들기 어렵습니다. 계획은 다음과 같은 시작 단계와 종료 상태를 전개하는 데 중점을 두어야 합니다.

  • 가까운 미래에 빠른 성과를 내면 장기적 이니셔티브가 시작되기 전에 큰 영향을 미칠 수 있습니다. 이 기간은 조직 문화, 표준 관행 및 기타 요인에 따라 3~12개월 정도가 될 수 있습니다.
  • 원하는 최종 상태에 대한 명확한 비전을 가지고 각 팀의 계획 프로세스를 안내합니다(수년이 걸릴 수 있음).

• 계획을 널리 공유: 관련자의 인식이 향상되고 피드백이 증가하며 동의가 늘어납니다.

• 전략 결과 충족: 계획이 보안 전략에 설명된 전략적 결과에 부합하며 그 결과를 달성하는지 확인합니다.

• 소유권, 책임 및 마감일 설정: 각 작업의 소유자가 식별되고 특정 시간 프레임에 해당 작업을 완료하기 위해 최선을 다하는지 확인합니다.

• 보안의 인간적 측면과 연계: 변환과 새로운 기대의 시기에 다음과 같은 방식으로 사람들의 참여를 유도합니다.

  • 다음 사항에 대한 코칭 및 명확한 의사 소통으로 팀 멤버의 변화를 적극 지원합니다.

    • 학습해야 하는 기술
    • 기술을 학습해야 하는 이유(및 그에 따른 이점)
    • 이런 지식을 얻는 방법(및 학습에 도움이 되는 리소스를 제공)

    전략 및 계획 템플릿을 사용하여 계획을 문서화할 수 있습니다. 온라인 Microsoft 보안 교육을 사용하여 팀원 교육을 지원할 수도 있습니다.

  • 보안 인식에 대한 관심을 높이면 조직의 보안 유지에서 자신이 담당하는 부분을 실질적으로 연계하는 데 도움이 됩니다.

• Microsoft 학습 및 지침 검토: 클라우드로의 변환과 최신 보안 전략을 계획하는 조직에게 도움이 되는 인사이트와 관점이 Microsoft에 게시되어 있습니다. 이러한 자료에는 녹화 학습 자료, 문서, 보안 모범 사례 및 권장 표준 등이 있습니다.

  계획 및 아키텍처를 구축하는 데 도움이 되는 기술 지침은 Microsoft 보안 설명서를 참조하세요.

담당 팀	담당 팀과 지원 팀
클라우드 보안 팀	클라우드 전략 팀 클라우드 거버넌스 팀 조직의 모든 위험 팀 클라우드 혁신 센터 또는 중앙 IT 팀

보안 계획 승인:

이 계획은 보안 리더십 팀(CISO 또는 이에 상응하는 팀)이 승인해야 합니다.

4단계: 새 워크로드 보안

나중에 환경에서 보안을 개조하는 것보다 보안 상태에서 시작하는 것이 훨씬 더 쉽습니다. 보안 구성으로 시작하여 보안 환경에서 워크로드를 마이그레이션하고 개발하고 테스트할 수 있도록 하는 것이 좋습니다.

랜딩 존을 구현하는 동안 다양한 결정이 보안 및 위험 프로필에 영향을 줄 수 있습니다. 클라우드 보안 팀은 랜딩 존 구성을 검토하여 조직의 보안 기준에서 보안 표준 및 요구 사항을 충족하는지 확인해야 합니다.

결과물:

• 새 랜딩 존이 조직의 규정 준수 및 보안 요구 사항을 충족하는지 확인합니다.

결과물 완성 지원을 위한 지침:

• 기존 요구 사항과 클라우드 권장 사항 혼합: 권장 지침으로 시작한 다음, 자체 보안 요구 사항에 맞게 조정합니다. 기존 온-프레미스 정책 및 표준을 적용하는 데 어려움을 겪는 경우가 있는데, 이는 오래된 기술이나 보안 방식을 참조하기 때문인 경우가 많습니다.

  보안 기준을 구축하는 데 도움이 되는 Microsoft 지침이 게시되어 있습니다.

  • 전략 및 아키텍처를 위한 Azure 보안 표준: 환경의 보안 태세를 형성하기 위한 전략 및 아키텍처 권장 사항입니다.
  • Azure 보안 벤치마크: Azure 환경 보안을 위한 특정 구성 권장 사항입니다.
  • Azure 보안 기준 교육.

• 가드레일 제공: 세이프가드는 자동화된 정책 감사 및 적용을 포함해야 합니다. 이러한 새 환경에서 팀은 조직의 보안 기준을 감사하고 적용하기 위해 노력해야 합니다. 이러한 노력을 통해 워크로드를 개발하는 동안은 물론 CI/CD(연속 통합 및 지속적인 배포) 중에 보안 문제를 최소화할 수 있습니다.

  이를 가능하게 하기 위해 Microsoft는 Azure에서 몇 가지 기본 기능을 제공합니다.

  • 보안 점수: Azure 보안 태세에 대해 점수를 매진 평가를 사용하여 조직의 보안 노력과 프로젝트를 추적할 수 있습니다.
  • Azure Blueprints: 클라우드 설계자와 중앙 IT 그룹은 조직의 표준, 패턴 및 요구 사항을 구현하고 준수하는 반복 가능한 Azure 리소스 집합을 정의할 수 있습니다.
  • Azure Policy: 다른 서비스에 사용되는 표시 유형 및 제어 기능의 기초입니다. Azure Policy는 Azure Resource Manager에 통합되어 있으므로 정책 생성 전, 도중 또는 후에 Azure의 모든 리소스에서 변경 사항을 감사하고 정책을 적용할 수 있습니다.
  • 랜딩 존 운영 향상: 랜딩 존 내에서 보안을 개선하기 위한 모범 사례를 사용합니다.

담당 팀	담당 팀과 지원 팀
클라우드 보안 팀	클라우드 채택 팀 클라우드 플랫폼 팀 클라우드 전략 팀 클라우드 거버넌스 팀 클라우드 혁신 센터 또는 중앙 IT 팀

5단계: 기존 클라우드 워크로드 보호

보안 모범 사례를 적용하지 않고 엔터프라이즈 클라우드 환경에 자산을 배포하여 비즈니스 위험을 증가시키는 조직이 많습니다.

새 애플리케이션과 랜딩 존이 보안 모범 사례를 따르는지 확인한 후에는 기존 환경을 동일한 표준으로 끌어올리는 데 집중해야 합니다.

결과물:

• 모든 기존 클라우드 환경 및 랜딩 존이 조직의 규정 준수 및 보안 요구 사항을 충족하는지 확인합니다.
• 보안 기준에 대한 정책을 사용하여 프로덕션 배포의 운영 준비 상태를 테스트합니다.
• 보안 기준에 대한 설계 지침 및 보안 요구 사항을 준수하는지 확인합니다.

결과물 완성 지원을 위한 지침:

• 4단계에서 작성한 것과 동일한 보안 기준을 이상적인 상태로 사용합니다. 적용이 아닌 감사만을 위해 일부 정책 설정을 조정해야 할 수도 있습니다.
• 운영 위험과 보안 위험의 균형을 유지합니다. 이러한 환경은 중요한 비즈니스 프로세스를 지원하는 프로덕션 시스템을 호스트할 수 있기 때문에 운영 중단 시간이 발생하는 위험을 피하기 위해 보안 개선 사항을 점진적으로 구현해야 할 수도 있습니다.
• 비즈니스 중요도에 따라 보안 위험을 검색하고 해결하는 우선 순위를 지정합니다. 위험에 노출될 경우 비즈니스에 큰 영향을 주는 워크로드 및 위험에 많이 노출되는 워크로드부터 시작합니다.

자세한 내용은 중요 비즈니스용 애플리케이션 식별 및 분류를 참조하세요.

담당 팀	담당 팀과 지원 팀
클라우드 채택 팀	클라우드 채택 팀 클라우드 전략 팀 클라우드 보안 팀 클라우드 거버넌스 팀 클라우드 혁신 센터 또는 중앙 IT 팀

6단계: 보안 태세 관리 및 개선을 위한 거버넌스

모든 최신 분야와 마찬가지로 보안은 지속적인 향상에 중점을 두어야 하는 반복적인 프로세스입니다. 보안 태세 역시 계속 집중하지 않으면 시간이 지나면서 쇠퇴할 수 있습니다.

온전한 거버넌스 분야와 자동화된 솔루션이 있어야 보안 요구 사항을 일관되게 적용할 수 있습니다. 클라우드 보안 팀이 보안 기준을 정의한 후에는 해당 요구 사항을 감사하여 모든 클라우드 환경에 일관되게 적용되는지 확인하고, 해당되는 경우 적용해야 합니다.

결과물:

• 조직의 보안 기준이 모든 관련 시스템에 적용되었는지 확인합니다. 보안 점수 또는 유사한 메커니즘을 사용하여 변칙을 감사합니다.
• 보안 기준 정책, 프로세스 및 디자인 지침을 보안 기준 분야 템플릿에서 문서화합니다.

결과물 완성 지원을 위한 지침:

• 4단계에서 작성한 것과 동일한 보안 기준 및 감사 메커니즘을 기준 모니터링의 기술 구성 요소로 사용합니다. 일관성을 유지하기 위해 사용자 및 프로세스 제어로 이러한 기준을 보완합니다.
• 모든 워크로드와 리소스가 적절한 명명/태그 지정 규칙을 따르는지 확인합니다. Azure Policy를 사용하여 태그 지정 규칙을 적용하고 특히 데이터 중요도에 대한 태그에 중점을 둡니다.
• 클라우드 거버넌스를 처음 사용하는 경우 거버넌스 방법론을 사용하여 거버넌스 정책, 프로세스 및 분야를 설정합니다.

담당 팀	담당 팀과 지원 팀
클라우드 거버넌스 팀	클라우드 전략 팀 클라우드 보안 팀 클라우드 혁신 센터 또는 중앙 IT 팀

다음 단계

이 가이드의 단계를 통해 엔터프라이즈 전반의 보안 위험을 일관되게 관리하는 데 필요한 전략, 제어, 프로세스, 기술 및 문화를 구현할 수 있었습니다.

계속해서 클라우드 보안의 운영 모드를 진행하면서 다음 단계를 고려하세요.

• Microsoft 보안 설명서를 검토합니다. 보안 전문가가 사이버 보안 전략, 아키텍처 및 우선 순위가 지정된 로드맵을 빌드하고 개선하는 데 도움이 되는 기술 지침이 제공됩니다.
• Azure 서비스용 기본 제공 보안 컨트롤에서 보안 정보를 검토합니다.
• Azure에서 사용 가능한 보안 서비스 및 기술에서 Azure 보안 도구 및 서비스를 검토합니다.
• Microsoft 보안 센터를 검토합니다. 여기에는 규정 준수 프로세스의 일환으로 위험 평가를 수행하는 데 도움이 되는 광범위한 지침, 보고서 및 관련 문서가 포함되어 있습니다.
• 보안 요구 사항을 충족하는 데 사용할 수 있는 타사 도구를 검토합니다. 자세한 내용은 클라우드용 Microsoft Defender의 보안 솔루션 통합을 참조하세요.