클라우드 기본 보안 기준 정책Cloud-native Security Baseline policy

보안 기준 규칙클라우드 거 버 넌 스의 다섯 가지 분야중 하나입니다.The Security Baseline discipline is one of the Five Disciplines of Cloud Governance. 이 항목에서는 네트워크 보호, 디지털 자산 및 데이터를 비롯 한 일반적인 보안 항목에 중점을 둘 것입니다.This discipline focuses on general security topics including protection of the network, digital assets, and data. 이 문서에서는 보안 기준 규칙에 대 한 클라우드 네이티브 샘플 정책에 대해 설명 합니다.This article discusses a cloud-native sample policy for the Security Baseline discipline.

참고

Microsoft는 회사 또는 IT 정책을 규정할 위치에 있지 않습니다.Microsoft is in no position to dictate corporate or IT policy. 이 문서는 내부 정책 검토를 준비 하는 데 도움이 됩니다.This article will help you prepare for an internal policy review. 이 샘플 정책은 사용을 시도 하기 전에 회사 정책에 대해 확장 되 고, 유효성을 검사 하 고, 테스트 한 것으로 간주 됩니다.It's assumed that this sample policy will be extended, validated, and tested against your corporate policy before attempting to use it. 이 샘플 정책은 그대로 사용 하지 않는 것이 좋습니다.Any use of this sample policy as-is is discouraged.

정책 맞춤Policy alignment

이 샘플 정책은 클라우드 기본 시나리오를 합성, Azure에서 제공 하는 도구 및 플랫폼은 배포에 관련 된 비즈니스 위험을 관리 하기에 충분 합니다.This sample policy synthesizes a cloud-native scenario, meaning that the tools and platforms provided by Azure are sufficient to manage business risks involved in a deployment. 이 시나리오에서는 기본 Azure 서비스의 간단한 구성이 충분 한 자산 보호를 제공 하는 것으로 가정 합니다.In this scenario, it's assumed that a simple configuration of the default Azure services provides sufficient asset protection.

클라우드 보안 및 규정 준수Cloud security and compliance

모든 부분에 보안이 통합된 Azure는 글로벌 보안 인텔리전스, 정교한 고객 접점 컨트롤, 강화된 보안 인프라의 고유한 보안 장점을 제공합니다.Security is integrated into every aspect of Azure, offering unique security advantages derived from global security intelligence, sophisticated customer-facing controls, and a secure, hardened infrastructure. 이 강력한 조합을 통해 애플리케이션 및 데이터를 보호하고 규정 준수 활동을 지원하며, 모든 규모의 조직에 비용 효율적인 보안을 제공합니다.This powerful combination helps protect your applications and data, support your compliance efforts, and provide cost-effective security for organizations of all sizes. 이 방법은 모든 보안 정책의 강력한 시작점을 제공하지만, 현재 사용 중인 보안 서비스에도 똑같이 강력한 보안 관행을 구축해야 합니다.This approach creates a strong starting position for any security policy, but does not negate the need for equally strong security practices related to the security services being used.

기본 제공 보안 컨트롤Built-in security controls

보안 제어를 직관적이 지 않으며 별도로 구성 해야 하는 경우 강력한 보안 인프라를 유지 관리 하기가 어렵습니다.It's hard to maintain a strong security infrastructure when security controls are not intuitive and need to be configured separately. Azure는 다양한 서비스에 걸쳐 데이터 및 워크로드를 신속하게 보호하고 하이브리드 환경의 리스크를 관리할 수 있는 기본 제공 보안 컨트롤을 포함하고 있습니다.Azure includes built-in security controls across a variety of services that help you protect data and workloads quickly and manage risk across hybrid environments. 또한 통합 파트너 솔루션을 사용하여 손쉽게 기존 보호 기능을 클라우드로 전환할 수 있습니다.Integrated partner solutions also let you easily transition existing protections to the cloud.

클라우드 네이티브 id 정책Cloud-native identity policies

ID는 기존 네트워크 중심 관점의 역할을 대신하여 보안의 새로운 경계 제어 평면이 되어 가고 있습니다.Identity is becoming the new boundary control plane for security, taking over that role from the traditional network-centric perspective. Network 경계는 점점 더 많은 ou가 되 고 경계 방어는 BYOD (사용자 장치) 및 클라우드 응용 프로그램의 출현 이전에와 동일 하 게 적용 될 수 없습니다.Network perimeters have become increasingly porous and that perimeter defense cannot be as effective as it was before the advent of bring your own device (BYOD) and cloud applications. Azure id 관리 및 액세스 제어를 통해 모든 응용 프로그램에 원활 하 게 안전 하 게 액세스할 수 있습니다.Azure identity management and access control enable seamless secure access to all your applications.

클라우드 및 온-프레미스 디렉터리에서 id에 대 한 샘플 클라우드 기본 정책에는 다음과 같은 요구 사항이 포함 될 수 있습니다.A sample cloud-native policy for identity across cloud and on-premises directories, could include requirements like the following:

  • Azure RBAC (역할 기반 액세스 제어), multi-factor authentication 및 SSO (Single Sign-On)를 사용 하 여 리소스에 대 한 권한 있는 액세스.Authorized access to resources with Azure role-based access control (Azure RBAC), multi-factor authentication, and single sign-on (SSO).
  • 손상 된 것으로 의심 되는 사용자 id를 빠르게 완화 합니다.Quick mitigation of user identities suspected of compromise.
  • JIT (just-in-time), overprivileged admin 자격 증명의 노출을 제한 하기 위해 작업을 기준으로 충분 한 액세스 권한이 부여 됩니다.Just-in-time (JIT), just-enough access granted on a task-by-task basis to limit exposure of overprivileged admin credentials.
  • Azure Active Directory를 통해 여러 환경에서 정책에 대 한 확장 된 사용자 id 및 액세스Extended user identity and access to policies across multiple environments through Azure Active Directory.

보안 기준 규칙의 컨텍스트에서 Id 기준 규칙 을 이해 하는 것이 중요 하지만, 클라우드 거 버 넌 스의 다섯 가지 는이를 별도의 규칙으로 처리 합니다.While it's important to understand the Identity Baseline discipline in the context of the Security Baseline discipline, the Five Disciplines of Cloud Governance treats it as a separate discipline.

네트워크 액세스 정책Network access policies

네트워크 컨트롤에는 가상 네트워킹, 부하 분산, DNS, 게이트웨이 등 네트워크 요소의 구성, 관리 및 보안이 포함됩니다.Network control includes the configuration, management, and securing of network elements such as virtual networking, load balancing, DNS, and gateways. 이 컨트롤은 서비스의 통신 및 상호 운용을 위한 수단을 제공합니다.The controls provide a means for services to communicate and interoperate. Azure에는 사용자의 애플리케이션과 서비스 연결 요구 사항을 지원하기 위한 강력하고 안전한 네트워킹 인프라가 포함되어 있습니다.Azure includes a robust and secure networking infrastructure to support your application and service connectivity requirements. 네트워크 연결은 Azure에 위치한 리소스 간, 온-프레미스 리소스와 Azure 호스팅 리소스 간, 그리고 인터넷과 Azure 간에 가능합니다.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

네트워크 컨트롤용 클라우드 기본 정책에는 다음과 같은 요구 사항이 포함 될 수 있습니다.A cloud-native policy for network controls may include requirements like the following:

  • 온-프레미스 리소스에 대 한 하이브리드 연결은 클라우드 기본 정책에서 허용 되지 않을 수 있습니다.Hybrid connections to on-premises resources, might not be allowed in a cloud-native policy. 하이브리드 연결이 필요한 경우 보다 강력한 엔터프라이즈 보안 정책 샘플이 더 밀접 하 게 관련 된 참조 일 수 있습니다.Should a hybrid connection prove necessary, a more robust enterprise security policy sample would be a more relevant reference.
  • 사용자가 가상 네트워크 및 네트워크 보안 그룹을 사용하여 Azure로/내에서 보안 연결을 설정할 수 있습니다.Users can establish secure connections to and within Azure using virtual networks and network security groups.
  • 기본 Windows Azure 방화벽은 포트 액세스를 제한 하 여 악의적인 네트워크 트래픽 으로부터 호스트를 보호 합니다.The native Windows Azure Firewall protects hosts from malicious network traffic by limiting port access. 이 정책의 좋은 예는 SSH/RDP를 통해 VM에 직접 트래픽을 차단 하거나 사용 하지 않도록 설정 해야 한다는 것입니다.A good example of this policy is a requirement to block or not enable traffic directly to a VM over SSH/RDP.
  • Azure 애플리케이션 Gateway 및 Azure DDoS protection의 Azure WAF (웹 응용 프로그램 방화벽)와 같은 서비스는 응용 프로그램을 보호 하 고 Azure에서 실행 되는 가상 머신에 대 한 가용성을 보장 합니다.Services like the Azure Web Application Firewall (WAF) on Azure Application Gateway and Azure DDoS protection safeguard applications and ensure availability for virtual machines running in Azure. 이러한 기능은 사용 하지 않도록 설정 해야 합니다.These features should not be disabled.

데이터 보호Data protection

클라우드의 데이터를 보호하기 위한 핵심 중 하나는 데이터에서 발생 가능한 상태 그리고 각 상태에 어떤 컨트롤을 제공할 것인지 설명하는 것입니다.One of the keys to data protection in the cloud is accounting for the possible states in which your data may occur, and what controls are available for each state. Azure 데이터 보안 및 암호화 모범 사례를 위해 다음과 같은 데이터 상태와 관련된 추천이 집중적으로 제공됩니다.For the purpose of Azure data security and encryption best practices, recommendations focus on the following data states:

  • 데이터 암호화 컨트롤은 가상 머신의 서비스에서 스토리지 및 SQL Database로 빌드됩니다.Data encryption controls are built into services from virtual machines to storage and SQL Database.
  • 클라우드와 고객 간에 데이터가 이동할 때 업계 표준 암호화 프로토콜을 사용하여 데이터를 보호할 수 있습니다.As data moves between clouds and customers, it can be protected using industry-standard encryption protocols.
  • 사용자는 Azure Key Vault를 사용 하 여 클라우드 응용 프로그램 및 서비스에서 사용 하는 암호화 키, 암호, 연결 문자열 및 인증서를 보호 하 고 제어할 수 있습니다.Azure Key Vault enables users to safeguard and control cryptographic keys, passwords, connection strings and certificates used by cloud applications and services.
  • Azure Information Protection는 응용 프로그램 내에서 중요 한 데이터를 분류, 레이블 및 보호 하는 데 도움이 됩니다.Azure Information Protection will help classify, label, and protect your sensitive data within applications.

이러한 기능은 Azure에 기본적으로 제공되지만, 위의 각 기능을 사용하려면 구성이 필요하고 비용이 증가할 수 있습니다.While these features are built into Azure, each of the above requires configuration and could increase costs. 데이터 분류 전략이 포함 된 각 클라우드 기본 기능의 맞춤은 매우 권장 됩니다.Alignment of each cloud-native feature with a data classification strategy is highly suggested.

보안 모니터링Security monitoring

보안 모니터링은 리소스를 감사하여 조직의 표준 또는 모범 사례를 충족하지 않는 시스템을 식별하는 사전 예방 전략입니다.Security monitoring is a proactive strategy that audits your resources to identify systems that do not meet organizational standards or best practices. Azure Security Center는 하이브리드 클라우드 워크 로드에서 Id에 대 한 통합 보안 기준 및 Microsoft Defender를 제공 합니다.Azure Security Center provides unified security baseline and Microsoft Defender for Identity across hybrid cloud workloads. Security Center를 사용하면 다음을 포함하여 워크로드에 보안 정책을 적용하고, 위협에 대한 노출을 제한하고, 공격을 탐지 및 대응할 수 있습니다.With Security Center, you can apply security policies across your workloads, limit your exposure to threats, and detect and respond to attacks, including:

  • Azure Security Center를 사용 하 여 모든 온-프레미스 및 클라우드 워크 로드에서 통합 된 보안 보기입니다.Unified view of security across all on-premises and cloud workloads with Azure Security Center.
  • 지속적인 모니터링 및 보안 평가를 통해 규정 준수를 보장 하 고 취약성을 해결 합니다.Continuous monitoring and security assessments to ensure compliance and remediate any vulnerabilities.
  • 간소화 된 조사를 위한 대화형 도구 및 상황에 맞는 위협 인텔리전스.Interactive tools and contextual threat intelligence for streamlined investigation.
  • 광범위 한 로깅 및 기존 보안 정보와의 통합.Extensive logging and integration with existing security information.
  • 비용이 많이 들고 nonintegrated 한 보안 솔루션의 필요성이 줄어듭니다.Reduces the need for expensive, nonintegrated, one off security solutions.

클라우드 기본 정책 확장Extend cloud-native policies

클라우드를 사용하면 보안 부담을 일부 완화할 수 있습니다.Using the cloud can reduce some of the security burden. Microsoft는 Azure 데이터 센터에 대한 물리적 보안을 제공하고 DDoS 공격 같은 인프라 위협으로부터 클라우드 플랫폼을 보호합니다.Microsoft provides physical security for Azure datacenters and helps protect the cloud platform against infrastructure threats such as a DDoS attack. Microsoft가 매일 보안에 대해 작업 하는 수천 개의 사이버 보안 전문가를 보유 하 고 있으므로 사이버 공격를 검색, 예방 또는 완화 하는 리소스는 상당히 중요 합니다.Given that Microsoft has thousands of cybersecurity specialists working on security every day, the resources to detect, prevent, or mitigate cyberattacks are considerable. 사실, 조직에서 클라우드를 안전 하 게 보호 하는 경우에는 대부분의 온-프레미스 데이터 센터 보다 더 안전 하 게 클라우드를 사용 하는 것이 좋습니다.In fact, while organizations used to worry about whether the cloud was secure, most now understand that the level of investment in people and specialized infrastructure made by vendors like Microsoft makes the cloud more secure than most on-premises datacenters.

클라우드를 사용하면 보안 부담을 일부 완화할 수 있습니다.Using the cloud can reduce some of the security burden. Microsoft는 Azure 데이터 센터에 대한 물리적 보안을 제공하고 DDoS 공격 같은 인프라 위협으로부터 클라우드 플랫폼을 보호합니다.Microsoft provides physical security for Azure datacenters and helps protect the cloud platform against infrastructure threats such as a DDoS attack. Microsoft가 매일 보안에 대해 작업 하는 수천 개의 사이버 보안 전문가를 보유 하 고 있으므로 사이버 공격를 검색, 예방 또는 완화 하는 리소스는 상당히 중요 합니다.Given that Microsoft has thousands of cybersecurity specialists working on security every day, the resources to detect, prevent, or mitigate cyberattacks are considerable. 사실, 조직에서 클라우드를 안전 하 게 보호 하는 경우에는 대부분의 온-프레미스 데이터 센터 보다 더 안전 하 게 클라우드를 사용 하는 것이 좋습니다.In fact, while organizations used to worry about whether the cloud was secure, most now understand that the level of investment in people and specialized infrastructure made by vendors like Microsoft makes the cloud more secure than most on-premises datacenters.

이러한 투자를 클라우드 기본 보안 기준에도 불구 하 고 모든 보안 기준 정책에서 기본 클라우드 기본 정책을 확장 하는 것이 좋습니다.Even with this investment in a cloud-native security baseline, it's suggested that any Security Baseline policy extend the default cloud-native policies. 다음은 클라우드 기본 환경 에서도 고려해 야 하는 확장 정책의 예입니다.The following are examples of extended policies that should be considered, even in a cloud-native environment:

  • Vm을 보호 합니다.Secure VMs. 보안은 모든 조직의 최우선 순위일 것이며, 효과적인 보안을 구축하려면 여러 가지가 필요합니다.Security should be every organization's top priority, and doing it effectively requires several things. 보안 상태를 평가하고, 보안 위협으로부터 보호하고, 발생하는 위협을 신속하게 탐지하고 대응해야 합니다.You must assess your security state, protect against security threats, and then detect and respond rapidly to threats that occur.
  • VM 콘텐츠를 보호 합니다.Protect VM contents. 사용자 오류를 방지하려면 정기적인 자동화 백업 설정이 필수입니다.Setting up regular automated backups is essential to protect against user errors. 그러나이는 충분 하지 않습니다. 또한 사이버 공격에서 백업이 안전 하 고 필요할 때 사용할 수 있는지 확인 해야 합니다.This isn't enough, though; you must also make sure that your backups are safe from cyberattacks and are available when you need them.
  • 응용 프로그램을 모니터링 합니다.Monitor applications. 이 패턴에는 VM 상태에 대한 인사이트 보기, VM 간의 상호 작용 이해, VM이 실행되는 애플리케이션을 모니터링하는 방법 구축을 포함하여 여러 작업이 포함됩니다.This pattern encompasses several tasks, including getting insight into the health of your VMs, understanding interactions among them, and establishing ways to monitor the applications these VMs run. 이 모든 작업은 애플리케이션을 중단 없이 실행하기 위해 반드시 필요합니다.All of these tasks are essential in keeping your applications running around the clock.
  • 데이터 액세스를 보호 하 고 감사 합니다.Secure and audit data access. 조직은 모든 데이터 액세스를 감사 하 고 고급 기계 학습 기능을 사용 하 여 일반 액세스 패턴의 편차를 호출 해야 합니다.Organizations should audit all data access and use advanced machine learning capabilities to call out deviations from regular access patterns.
  • 장애 조치 (Failover) 연습.Failover practice. 실패에 대 한 공차가 낮은 클라우드 작업은 사이버 보안 또는 플랫폼 인시던트에 대해 장애 조치 (failover) 하거나 복구할 수 있어야 합니다.Cloud operations that have low tolerances for failure must be capable of failing over or recovering from a cybersecurity or platform incident. 이러한 절차는 단순히 문서화 해서는 안 되지만 분기별로 연습 해야 합니다.These procedures must not simply be documented, but should be practiced quarterly.

다음 단계Next steps

이제 클라우드 네이티브 솔루션에 대 한 샘플 보안 기준 정책을 검토 했으므로 정책 검토 가이드로 돌아가서 클라우드 채택을 위한 고유한 정책을 만들어이 샘플에 대 한 빌드를 시작 합니다.Now that you've reviewed the sample Security Baseline policy for cloud-native solutions, return to the policy review guide to start building on this sample to create your own policies for cloud adoption.