Azure 보안 모범 사례Azure security best practices

이러한 모범 사례는 고객이 고객과 자체 환경에서 얻은 교훈을 바탕으로 권장 하는 최고의 Azure 보안 모범 사례입니다.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

이러한 모범 사례에 대 한 비디오 프레젠테이션은 Microsoft 기술 커뮤니티에서 볼 수 있습니다.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. 사람: 클라우드 보안 경험에 대 한 팀 교육1. People: Educate teams about the cloud security journey

팀에서 진행 중인 여행에 대해 이해 해야 합니다.The team needs to understand the journey they're on.

대상: 클라우드 보안 경험 및 다음을 포함 하 여 탐색 하는 변경 내용에 대 한 보안 및 IT 팀을 교육 합니다.What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • 클라우드의 위협에 대 한 변경 내용Changes to threats in the cloud
  • 공유 책임 모델 및 보안에 미치는 영향Shared responsibility model and how it impacts security
  • 일반적으로 클라우드 도입에 수반 되는 문화 및 역할/책임 변경Cultural and role/responsibility changes that typically accompany cloud adoption

이유: 클라우드로 이동 하는 것은 보안을 위한 사고 및 접근 방식에서 교대조가 필요한 중요 한 변경 내용입니다.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. 조직에서 제공 하는 보안 결과는 변경 되지 않지만 클라우드에서이를 수행 하는 가장 좋은 방법은 종종 변경 되는 경우가 많습니다.While the outcomes security provides to the organization won't change, the best way to accomplish this in the cloud often changes, sometimes significantly.

여러 가지 방법으로 클라우드로 이동 하는 것은 독립 실행형 집에서 고속 luxury 아파트 빌드로 이동 하는 것과 비슷합니다.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. 기본 인프라 (배관, 전기 등)를 사용 하 고 유사한 활동 (socializing, 요리, TV 및 인터넷 등)을 수행 하지만, 건물 (체육관, 식당 등)과 함께 제공 되는 항목, 사용자의 제공 및 유지 관리 및 일상적인 루틴에는 상당한 차이가 있습니다.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

보안 책임이 있는 보안 및 IT 조직의 모든 사용자는이 컨텍스트와 변경 내용 (CIO/CISO에서 기술 전문가)에 대해 잘 알고 있어야 합니다.Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

방법: 클라우드 환경으로 전환 하는 동안 성공적으로 배포 하 고 작동 하는 데 필요한 컨텍스트를 팀에 제공 합니다.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment.

Microsoft는 고객에 게 경험에 대 한 고객의 IT 조직에서 얻은 교훈을 클라우드로 게시 했습니다.Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

또한 Azure 보안 벤치 마크 GS-3: 조직 역할, 책임 및 Accountabilities 정렬을 참조 하세요.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. 사람: 클라우드 보안 기술에 대 한 팀 교육2. People: Educate teams on cloud security technology

사람들은 어디로 이동 하는지 이해 해야 합니다.People need to understand where they're going.

대상: 팀에 다음을 비롯 한 클라우드 리소스 보안 유지에 대 한 기술 교육에 대 한 시간을 별도로 설정 했는지 확인 합니다.What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • 클라우드 기술 및 클라우드 보안 기술Cloud technology and cloud security technology
  • 권장 구성 및 모범 사례Recommended configurations and best practices
  • 필요에 따라 기술 세부 정보에 대 한 자세한 정보Where to learn more technical details as needed

이유: 기술 팀은 보안 결정을 내리는 데 도움이 되도록 기술 정보에 액세스 해야 합니다.Why: Technical teams need access to technical information to make sound informed security decisions. 기술 팀은 작업에 대 한 새로운 기술을 익히는 데 유용 하지만 클라우드의 세부 정보 볼륨은 일상적인 루틴에 대 한 학습을 overwhelms 하는 경우가 많습니다.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

기술 학습을 위한 전용 시간을 구성 하면 사용자가 클라우드 보안을 평가 하 고 기존 기술과 프로세스를 조정 하는 방법을 고려 하는 기능에 대 한 확신을 얻을 수 있습니다.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. 병력에서 가장 교묘한 특별 한 운영 팀에도 가장 적합 한 교육 및 인텔리전스가 필요 합니다.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

사용자: 클라우드 기술 (보안 및 IT 부서)과 직접적으로 상호 작용 하는 모든 역할은 클라우드 플랫폼에 대 한 기술 학습 및 보안 방법에 대 한 시간을 지정 해야 합니다.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

또한 보안 및 IT 기술 관리자 (그리고 종종 프로젝트 관리자)는 클라우드 리소스를 보호 하는 데 도움이 되는 몇 가지 기술적인 정보에 대해 잘 알고 있어야 합니다 .이를 통해 클라우드 이니셔티브를 보다 효과적으로 처리할 수 있습니다.Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

방법: 보안의 기술 전문가에 게 클라우드 자산을 보호 하는 방법에 대 한 자가 학습 교육을 위한 시간을 따로 설정 해야 합니다.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. 항상 가능 하지는 않지만 숙련 된 강사와 실습 교육을 통해 공식적인 교육에 대 한 액세스를 제공 하는 것이 이상적입니다.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

중요

Id 프로토콜은 클라우드에서 액세스를 제어 하는 데 중요 하지만 온-프레미스 보안에서 우선 순위가 낮은 경우가 많기 때문에 보안 팀은 이러한 프로토콜 및 로그를 사용 하 여 친숙 한 개발에 집중 해야 합니다.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

Microsoft는 기술 전문가가 Azure 리소스 및 보고서 준수를 보호 하는 데 도움이 되는 광범위 한 리소스를 제공 합니다.Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

또한 Azure 보안 벤치 마크 GS-3: 조직 역할, 책임 및 Accountabilities 정렬 을 참조 하세요.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. 프로세스: 클라우드 보안 결정에 대 한 책임을 할당 합니다.3. Process: Assign accountability for cloud security decisions

아무도 보안 결정을 내리는 데 도움이 되지 않는 경우에는 그렇지 않습니다.If nobody is accountable for making security decisions, they won't get made.

대상: 엔터프라이즈 Azure 환경에 대 한 각 유형의 보안 결정을 담당 하는 사용자를 지정 합니다.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

이유: 보안 결정의 소유권을 지우면 클라우드 채택을 가속화 되 보안이 강화 됩니다.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. 일반적으로는 결정을 내릴 수 있는 권한이 없다고 생각 하 고, 의사 결정을 요청 하는 사람을 알 수 없으며, 잘 알려진 의사 결정을 연구 하는 데 아무도 incentivized 하지 않기 때문에 일반적이 지 않습니다.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incentivized to research a well-informed decision. 이러한 충돌은 비즈니스 목표, 개발자 일정, IT 목표 및 보안 보증을 impedes 하 여 다음과 같은 결과가 발생 합니다.This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • 보안 승인을 기다리는 지연 된 프로젝트Stalled projects that are waiting for security approval
  • 보안 승인을 기다릴 수 없는 안전 하지 않은 배포Insecure deployments that couldn't wait for security approval

사용자: 보안 리더십은 클라우드에 대 한 보안 결정을 내릴 책임이 있는 팀 또는 개인을 지정 합니다.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

방법: 주요 보안 결정을 담당할 그룹 (또는 개인)을 지정 합니다.How: Designate groups (or individuals) that will be responsible for making key security decisions.

이러한 소유자, 해당 연락처 정보를 문서화 하 고, 보안, IT 및 클라우드 팀 내에서이를 광범위 하 게 친분 모든 역할이 쉽게 연락할 수 있도록 합니다.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

보안 결정이 필요한 일반적인 영역, 설명 및 일반적으로 결정을 내리는 팀입니다.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

의사 결정Decision DescriptionDescription 일반 팀Typical Team
네트워크 보안Network Security Azure 방화벽, 네트워크 가상 어플라이언스 (및 연결 된 라우팅), WAFs, NSGs, ASGs 등의 구성 및 유지 관리Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. 일반적으로 인프라 및 끝점 보안 팀이 네트워크 보안에 집중Typically Infrastructure and endpoint security team focused on network security
네트워크 관리Network Management 엔터프라이즈 전체의 가상 네트워크 및 서브넷 할당Enterprise-wide virtual network and subnet allocation 일반적으로 중앙 IT 운영 팀의 기존 네트워크 운영 팀Typically existing network operations team in Central IT Operations
서버 끝점 보안Server Endpoint Security 서버 보안 모니터링 및 재구성 (패치, 구성, 끝점 보안 등)Monitor and remediate server security (patching, configuration, endpoint security, etc.) 일반적으로 중앙 IT 운영인프라와 끝점 보안 팀 공동Typically Central IT Operations and Infrastructure and endpoint security teams jointly
인시던트 모니터링 및 응답Incident Monitoring and Response SIEM 또는 원본 콘솔 (Azure Security Center, Azure AD ID 보호 등)에서 보안 인시던트를 조사 하 고 수정 합니다.Investigate and remediate security incidents in SIEM or source console (Azure Security Center, Azure AD Identity Protection, etc.) 일반적으로 보안 운영Typically security operations team
정책 관리Policy Management Azure 리소스를 관리 하기 위한 azure RBAC (역할 기반 액세스 제어), Azure Security Center, 관리자 보호 전략 및 Azure Policy 사용 방향 설정Set direction for use of Azure role-based access control (Azure RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources 일반적으로 정책 및 표준 + 보안 아키텍처 팀 공동Typically Policy and Standards + Security Architecture Teams jointly
Id 보안 및 표준Identity Security and Standards Azure AD 디렉터리, PIM/PAM 사용, MFA, 암호/동기화 구성, 응용 프로그램 Id 표준에 대 한 방향 설정Set direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards 일반적으로 id 및 키 관리 + 정책 및 표준 + 보안 아키텍처 팀 공동Typically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

참고

  • 의사 결정권자가이 책임에 대 한 적절 한 교육을 클라우드 영역에 보유 하 고 있는지 확인 합니다.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • 기록을 제공 하 고 장기적으로 조직을 안내 하기 위해 정책 및 표준에 따라 결정 사항을 설명 해야 합니다.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

또한 Azure 보안 벤치 마크 GS-3: 조직 역할, 책임 및 Accountabilities 정렬 을 참조 하세요.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. 프로세스: 클라우드에 대 한 인시던트 응답 프로세스 업데이트4. Process: Update incident response processes for cloud

위기 발생 시 위기를 계획할 시간이 없습니다.You don't have time to plan for a crisis during a crisis.

대상: Azure 클라우드 플랫폼의 보안 인시던트에 대응 하기 위해 프로세스를 업데이트 하 고 분석을 준비 합니다 (사용자가 채택한 모든 네이티브 위협 검색 도구 포함).What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). 프로세스를 업데이트 하 고, 팀을 준비 하 고, 문제를 해결 하 고, 수정 하 고, 위협 요소를 조사 하는 동안 가장 잘 수행할 수 있도록 시뮬레이션 된 공격을 연습 합니다.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

이유: 활성 공격자가 상황을 효과적으로 제어 하기 어려울 수 있는 조직에 즉각적인 위험을 제시 하므로 공격에 신속 하 게 대응 해야 합니다.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. 이 IR (인시던트 응답) 프로세스는 엔터프라이즈 데이터, 시스템 및 계정을 호스트 하는 모든 클라우드 플랫폼을 포함 하 여 전체 공간에 적용 되어야 합니다.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

여러 가지 측면에서 유사 하지만, 클라우드 플랫폼은 일반적으로 정보를 다른 형식으로 사용할 수 있기 때문에 기존 프로세스를 중단할 수 있는 온-프레미스 시스템에서 중요 한 기술적 차이가 있습니다.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. 보안 분석가는 또한 속도가 저하 될 수 있는 익숙하지 않은 환경에 신속 하 게 대응 하는 데 문제가 있을 수 있습니다 (특히 클래식 온-프레미스 아키텍처와 네트워크/디스크의 법적 고 지에 대해서만 학습 되는 경우).Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

사용자: IR 프로세스를 현대화 하는 것은 일반적으로 다른 그룹의 지원과 관련 된 정보 및 전문 지식을 위한 보안 작업 으로 인해 발생 합니다.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • 후원: 이 프로세스 현대화는 일반적으로 보안 작업 담당 이사 또는 동급에서 후원 합니다.Sponsorship: This process modernization is typically sponsored by the Security Operations director or equivalent.

  • 실행: 기존 프로세스를 조정 하거나 처음으로 작성 하는 작업은 다음과 관련 된 공동 작업입니다.Execution: Adapting existing processes (or writing them for the first time) is a collaborative effort involving:

    • 보안 작업 인시던트 관리 팀 또는 리더십 – 법률 및 의사 소통/공용 관계 팀을 포함 하 여 주요 외부 관련자의 프로세스 및 통합을 위한 업데이트 리드Security Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • 보안 작업 보안 분석가 – 기술 문제 조사 및 심사에 대 한 전문 지식을 제공 합니다.Security Operations security analysts – provide expertise on technical incident investigation and triage
    • 중앙 IT 운영 -클라우드 플랫폼에 대 한 전문 지식을 제공 합니다 (직접, 뛰어난 클라우드 센터 또는 외부 컨설턴트를 통해).Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

방법: 프로세스를 업데이트 하 고 팀이 활성 공격자를 발견할 경우 수행할 작업을 알 수 있도록 팀을 준비 합니다.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • 프로세스 및 플레이 북: 기존 조사, 수정 및 위협 구하기 프로세스를 클라우드 플랫폼의 작동 방식 (새로운/다른 도구, 데이터 원본, id 프로토콜 등)에 맞게 조정 합니다.Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • 교육: 전반적인 클라우드 변환, 플랫폼이 작동 하는 방법에 대 한 기술 세부 정보, 무엇이 무엇이 고 무엇이 필요한 지에 대 한 자세한 정보를 확인할 수 있는 새로운/업데이트 된 프로세스를 교육 합니다.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

주요 주요 영역: 리소스 링크에 설명 된 다양 한 세부 정보는 교육 및 계획 작업에 초점을 맞춘 주요 영역입니다.Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • 공유 책임 모델 및 클라우드 아키텍처: 보안 분석가를 위해 Azure는 Vm (친숙 한)을 비롯 한 다양 한 서비스를 제공 하는 소프트웨어 정의 데이터 센터 이며, Azure SQL Azure 함수와 같이 온-프레미스와 매우 다른 기타 서비스를 제공 합니다. 가장 적합 한 데이터는 기본 OS/Vm (Microsoft 및 서비스 여러 고객에 의해 운영 됨)에 대 한 로그가 아닌 서비스 로그 나 특수 위협 검색 서비스에 있습니다.Shared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). 분석가는이 컨텍스트를 이해 하 고 일상 워크플로에 통합 하 여 필요한 데이터, 가져올 위치 및 형식을 파악 해야 합니다.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • 끝점 데이터 원본: 클라우드 호스 티 드 서버에서 공격 및 맬웨어에 대 한 정보 및 데이터를 얻는 것은 일반적인 직접 디스크 액세스 방법과 달리 Azure Security Center 및 EDR 시스템과 같은 기본 클라우드 검색 도구를 사용 하 여 더 빠르고 쉬우며 더 정확 합니다.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. Azure의법적 법률 (proceedings of the)에 필요한 경우에도 직접 디스크를 사용 하는 것이 가능 하 고이를 위해 필요한 시나리오는 공격을 감지 하 고 조사 하는 가장 비효율적인 방법입니다.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • 네트워크 및 id 데이터 원본: 대부분의 클라우드 플랫폼 기능은 주로 id를 사용 하 여 Azure Portal에 대 한 액세스 (네트워크 액세스 제어는 광범위 하 게 사용 됨)와 같은 액세스 제어를 위해 주로 사용 됩니다.Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). 이를 위해서는 분석가가 인시던트 조사 및 재구성을 지원 하기 위해 클라우드 id 프로토콜을 이해 하 여 공격자 활동 (및 합법적인 사용자 활동)을 풍부 하 고 풍부한 그림을 확보 해야 합니다.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Id 디렉터리와 프로토콜은 일반적으로 온-프레미스에서 일반적으로 발견 되는 LDAP, Kerberos, NTLM 및 Active Directory이 아니라 SAML, OAuth, OIDC 및 클라우드 디렉터리를 기반으로 하기 때문에 온-프레미스와도 다릅니다.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • 연습 연습: 시뮬레이션 된 공격 및 응답을 통해 조직에서 보안 분석가, 위협 헌터, 인시던트 관리자 및 기타 관련자를 위한 조직의 muscle 메모리와 기술 준비 상태를 구축할 수 있습니다.Practice exercises: Simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. 작업을 학습 하 고이를 조정 하는 것은 인시던트 응답의 자연의 한 부분 이지만 위기를 파악 해야 하는 정도를 최소화 하기 위해 작업 해야 합니다.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

주요 리소스:Key Resources:

또한 azure 보안 벤치 마크 IR-1: 준비 – azure에 대 한 인시던트 응답 업데이트 프로세스를 참조 하세요.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. 프로세스: 보안 상태 관리 설정5. Process: Establish security posture management

먼저 thyself를 알고 있어야 합니다.First, know thyself.

대상: 다음을 수행 하 여 Azure 환경의 보안 상태를 적극적으로 관리 하는지 확인 합니다.What: Ensure that you are actively managing the security posture of your Azure environment by:

  • 에 대 한 책임의 명확한 소유권 할당Assigning clear ownership of responsibilities for
    • 보안 상태 모니터링Monitoring security posture
    • 자산에 대 한 위험 완화Mitigating risks to assets
  • 이러한 작업 자동화 및 간소화Automating and simplifying these tasks

이유: 일반적인 보안 보안 위험을 신속 하 게 식별 하 고 수정 하는 것이 조직 위험을 크게 줄여줍니다.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

클라우드 데이터 센터의 소프트웨어 정의 특성을 사용 하면 광범위 한 자산 계측을 통해 보안 위험 (소프트웨어 취약점, 보안 오류 등)을 지속적으로 모니터링할 수 있습니다.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. 개발자와 IT 팀이 Vm, 데이터베이스 및 기타 리소스를 배포할 수 있는 속도를 통해 리소스를 안전 하 고 적극적으로 모니터링 하도록 할 필요가 있습니다.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

이러한 새 기능은 새로운 가능성을 제공 하지만, 이러한 기능을 사용 하는 경우 책임을 할당 해야 합니다.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. 신속 하 게 진화 하는 클라우드 작업으로 지속적으로 실행 하려면 사용자 프로세스를 가능한 한 간단 하 고 자동화 된 상태로 유지 해야 합니다.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. "드라이브 단순함" 보안 주체를 참조 하세요.See the "Drive Simplicity" security principle.

참고

단순화 및 자동화의 목표는 작업을 제거 하는 것이 아니라 사용자의 반복적인 작업 부담을 제거 하는 것이 아니라 IT 및 DevOps 팀 참여와 같은 더 높은 가치의 인적 활동에 집중할 수 있도록 하는 것입니다.The goal of simplification and automation isn't about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

사용자: 일반적으로 다음 두 가지 책임 집합으로 나뉩니다.Who: This is typically divided into two sets of responsibilities:

  • 보안 상태 관리 – 이러한 최신 함수는 기존 취약점 관리 또는 거 버 넌 스 함수의 진화를 주로 발생 합니다.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. 여기에는 보안 점수와 기타 데이터 원본 Azure Security Center를 사용 하 여 전체 보안 상태를 모니터링 하 고, 위험을 완화 하 고 위험을 완화 하기 위해 리소스 소유자에 게 적극적으로 작업 하며, 보안 리더십This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • 보안 수정: 이러한 리소스 관리를 담당 하는 팀에 이러한 위험을 해결 하기 위한 책임을 할당 합니다.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. 이는 중앙 IT 운영 팀에서 자체 응용 프로그램 리소스 또는 기술별 팀을 관리 하는 devops 팀 이어야 합니다.This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Compute 및 Apps 리소스:Compute and Apps Resources:
      • App Services -응용 프로그램 개발/보안 팀App Services - Application Development/Security Team(s)
      • 컨테이너 -응용 프로그램 개발 및/또는 인프라/IT 운영Containers - Application Development and/or Infrastructure/IT Operations
      • Vm/확장 집합/계산 -IT/인프라 작업VMs/Scale sets/compute - IT/Infrastructure Operations
    • 데이터 & 저장소 리소스:Data & Storage Resources:
      • SQL/Redis/Data Lake Analytics/Data Lake Store -데이터베이스 팀SQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • 저장소 계정 -저장소/인프라 팀Storage Accounts - Storage/Infrastructure Team
    • Id 및 액세스 리소스:Identity and Access Resources:
      • 구독 -id 팀Subscriptions - Identity Team(s)
      • Key Vault -Id 또는 정보/데이터 보안 팀Key Vault – Identity or Information/Data Security Team
    • 네트워킹 리소스 -네트워크 보안 팀Networking Resources - Network Security Team
    • Iot 보안 -Iot 운영 팀IoT Security - IoT Operations Team

방법: 보안은 모든 사용자의 작업 이지만 현재 모든 사용자가 중요 한 것, 수행할 작업 및 수행 방법에 대해 알고 있는 것은 아닙니다.How: Security is everyone's job, but not everyone currently knows how important it is, what to do, and how to do it.

  • 보유 리소스 소유자는 가용성, 성능, 비용 및 기타 성공 요인에 대 한 책임을 보유 하 고 있는 것 처럼 보안 위험을 담당 합니다.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • 리소스 소유자는 자산에 대 한 보안 위험 요소, 위험을 완화 하기 위해 수행 해야 하는 작업, 생산성 저하를 최소화 하면서 구현 하는 방법에 대 한 명확한 이해를 제공 합니다.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

중요

리소스를 보호 하는 이유와 방법에 대 한 설명은 다양 한 리소스 유형 및 응용 프로그램에서 자주 유사 하지만, 이러한 정보를 각 팀이 이미 알고 있고 관심이 있는 항목에 연결 하는 것이 중요 합니다.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. 보안 팀은 IT 및 DevOps를 신뢰할 수 있는 관리자 및 파트너와 함께 사용 하 여 이러한 팀이 성공적으로 작동 하도록 하는 데 주력 해야 합니다.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

도구: Azure Security Center 보안 점수 는 다양 한 자산에 대 한 Azure의 가장 중요 한 보안 정보에 대 한 평가를 제공 합니다.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. 이는 상황 관리에 대 한 출발점 이며, 필요에 따라 사용자 지정 Azure 정책 및 기타 메커니즘으로 보완할 수 있습니다.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

빈도: 정기적인 주기 (일반적으로 월별)를 설정 하 여 Azure 보안 점수를 검토 하 고 특정 향상 목표를 사용 하 여 이니셔티브를 계획 합니다.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. 필요에 따라 빈도를 늘릴 수 있습니다.The frequency can be increased as needed.

가능한 경우 활동을 Gamify 하 여 가장 많은 점수를 개선 하는 DevOps 팀을 위한 재미 있는 대회 및 상품를 만드는 등의 참여를 높여 보세요.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

또한 Azure 보안 벤치 마크 GS-2: 보안 상태 정의 관리 전략을 참조 하세요.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. 기술: Passwordless 또는 Multi-Factor Authentication 필요 (MFA)6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

전문 공격자가 관리자의 암호를 추측 하거나 도용할 수 없는 기업의 보안을 선택 하 시겠습니까?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

대상: 모든 중요 한 영향 관리자가 암호 없는 또는 multi-factor authentication (MFA)을 사용 하도록 요구 합니다.What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

이유: 살구색 해골 키가 오늘날의 burglar 으로부터 집을 보호 하지 않는 것 처럼 암호는 오늘날 표시 되는 일반적인 공격 으로부터 계정을 보호할 수 없습니다.Why: Just as antique skeleton keys won't protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. 기술 세부 정보는 Pa $ $word 별로설명 되지 않습니다.Technical details are described in Your Pa$$word doesn't matter.

MFA는 작업이 부담이 추가 단계 이지만, 현재는 암호를 기억할 수 없거나 입력할 필요가 없는 Windows Hello 및 모바일 장치의 얼굴 인식과 같은 생체 인식 방법을 사용 하 여 로그온 환경을 개선 하 고 있습니다.While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don't have to remember or type a password). 또한 신뢰할 수 있는 장치는 신뢰할 수 있는 장치를 기억할 수 있는 신뢰할 수 있는 장치를 기억할 수 있습니다 ( 사용자 로그인 빈도참조).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

암호 및 다단계 이니셔티브는 일반적으로 id 및 키 관리 및/또는 보안 아키텍처로인해 발생 합니다.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

방법: passwordless 또는 MFA 인증을 구현 하 고, 필요에 따라 관리자의 교육을 학습 하 고, 관리자에 게 작성 된 정책을 사용 하도록 요구 합니다.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. 다음 기술 중 하나 이상으로이 작업을 수행할 수 있습니다.This can be accomplished by one or more of these technologies:

참고

이제 문자 메시지 기반 mfa가 비교적 저렴 하 게 공격자가 우회할 수 있으므로 암호 없는 & 더 강력한 mfa에 집중 합니다.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

또한 Azure 보안 벤치 마크 ID 4: 모든 Azure Active Directory 기반 액세스에 대해 강력한 인증 제어 사용을 참조 하세요.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. 기술: 기본 방화벽 및 네트워크 보안 통합7. Technology: Integrate native firewall and network security

네트워크 공격 으로부터 시스템 및 데이터 보호를 간소화 합니다.Simplify protection of systems and data against network attacks.

대상: azure 방화벽, AZURE Waf (웹 앱 방화벽) 및 DDoS (배포 된 서비스 거부) 완화를 네트워크 보안 방법에 통합 하 여 네트워크 보안 전략 및 유지 관리를 간소화 합니다.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

이유: 단순성은 보안에 중요 하며 혼동, 잘못 된 오류 및 기타 사용자 오류가 발생할 가능성을 줄여줍니다.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. "드라이브 단순함" 보안 주체를 참조 하세요.See the "Drive Simplicity" security principle.

방화벽과 WAFs는 악의적인 트래픽 으로부터 응용 프로그램을 보호 하기 위한 중요 한 기본 보안 컨트롤 이지만 설정 및 유지 관리는 복잡 해질 수 있으며, 자동차에 사용자 지정 aftermarket을 추가 하는 것과 유사한 방식으로 보안 팀의 시간과 주의를 많이 소비할 수 있습니다.Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team's time and attention (similar to adding custom aftermarket parts to a car). Azure의 기본 기능을 통해 방화벽, 웹 응용 프로그램 방화벽, DDoS (배포 된 서비스 거부) 완화 등의 구현 및 운영을 간소화할 수 있습니다.Azure's native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

이렇게 하면 Azure 서비스의 보안 평가, 보안 작업 자동화, 응용 프로그램 및 IT 솔루션과 보안 통합 등의 높은 가치 보안 작업에 대 한 팀의 시간과 주의가 가능 합니다.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

사용자:Who:

  • 후원: 이 네트워크 보안 전략의 업데이트는 일반적으로 보안 리더십 및/또는 IT 리더십에서 후원 합니다.Sponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership

  • 실행: 이러한 작업을 클라우드 네트워크 보안 전략에 통합 하는 작업은 다음과 관련 된 작업입니다.Execution: Integrating these into your cloud network security strategy is a collaborative effort involving:

    • 보안 아키텍처 -클라우드 네트워크 및 클라우드 네트워크 보안 잠재 고객을 사용 하 여 클라우드 네트워크 보안 아키텍처를 설정 합니다.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • 클라우드 네트워크 리드 (중앙 IT 운영) + 클라우드 네트워크 보안 잠재 고객 (인프라 보안 팀)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • 보안 설계자를 사용 하 여 클라우드 네트워크 보안 아키텍처 설정Establish cloud network security architecture with security architects
      • 방화벽, NSG 및 WAF 기능 구성 및 WAF 규칙에서 응용 프로그램 설계자 작업Configure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • 응용 프로그램 설계자: 네트워크 보안을 사용 하 여 WAF 규칙 집합 및 DDoS 구성을 빌드하고 구체화 하 여 가용성을 중단시 키 지 않고 응용 프로그램 보호Application architects: Work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

방법: 작업을 단순화 하려는 조직은 다음 두 가지 옵션을 사용할 수 있습니다.How: Organizations looking to simplify their operations have two options:

  • 기존 기능 및 아키텍처를 확장 합니다. 대부분의 조직에서는 기존 방화벽 기능의 사용을 확장 하 여 특히 클라우드를 처음 도입 하는 기술 및 프로세스 통합에 대 한 기존 투자를 활용할 수 있도록 선택 하는 경우가 많습니다.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • 네이티브 보안 제어를 수용 합니다. 더 많은 조직이 네이티브 컨트롤을 사용 하 여 타사 기능을 통합 하는 복잡성을 방지 하기 시작 합니다.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. 이러한 조직에서는 일반적으로 부하 분산, 사용자 정의 경로, 방화벽/w i f 자체의 잘못 된 구성 및 여러 기술 팀 간의 핸드 오프 지연 위험을 방지 합니다.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. 이 옵션은 기본 제공 기능을 자동화 하 고 타사 기능 보다 더 쉽게 계측할 수 있으므로 인프라를 코드 방식으로 수용 하는 조직에 특히 유용 합니다.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

Azure 기본 네트워크 보안 기능에 대 한 설명서는 다음에서 찾을 수 있습니다.Documentation on Azure native network security capabilities can be found at:

Azure Marketplace 에는 많은 타사 방화벽 공급자가 포함 되어 있습니다.Azure Marketplace includes many third-party firewall providers.

또한 Azure 보안 벤치 마크 NS-4: 외부 네트워크 공격 으로부터 응용 프로그램 및 서비스 보호를 참조 하세요.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. 기술: 네이티브 위협 감지를 통합 합니다.8. Technology: Integrate native threat detection

Azure 시스템 및 데이터에 대 한 공격 검색 및 대응을 간소화 합니다.Simplify detection and response of attacks against Azure systems and data.

대상: 보안 작업 및 siem에 기본 위협 검색 기능을 통합 하 여 위협 검색 및 응답 전략을 단순화 합니다.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

이유: 보안 작업의 목적은 해당 환경에 대 한 액세스 권한을 얻는 활성 공격자의 영향을 줄이는 것입니다 .이는 mtta (평균 승인 시간) 및 MTTR (재구성) 인시던트로 측정 됩니다.Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. 이를 위해서는 인시던트 응답의 모든 요소에 정확성과 속도가 필요 하므로 도구 품질 및 프로세스 실행 효율성이 가장 중요 합니다.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

클라우드 기술의 차이점과 신속한 변경으로 인해 온-프레미스 위협 검색을 위해 설계 된 기존 도구 및 접근 방식을 사용 하 여 높은 위협 검색을 얻는 것은 어렵습니다.It's difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. 기본적으로 통합 된 검색은 클라우드 공급자가 유지 관리 하는 산업 규모의 솔루션을 제공 하 여 현재 위협 및 클라우드 플랫폼 변경 내용을 유지할 수 있습니다.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

이러한 기본 솔루션을 통해 보안 운영 팀은 익숙하지 않은 로그 데이터, 통합 도구 및 유지 관리 작업을 통해 경고를 생성 하는 데 걸리는 시간을 낭비 하는 대신 인시던트 조사 및 수정에 집중할 수 있습니다.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

사용자: 일반적으로 보안 운영 팀에서 결정 합니다.Who: This is typically driven by the Security Operations team.

  • 후원: 이는 일반적으로 보안 작업 (또는 이와 동등한)에서 후원 합니다.Sponsorship: This is typically sponsored by the Security Operations Director (or equivalent)..
  • 실행: 기본 위협 검색을 통합 하는 작업은 다음을 포함 하는 공동 작업입니다.Execution: Integrating native threat detection is a collaborative effort involving those with:
    • 보안 작업: 경고를 siem 및 인시던트 조사 프로세스에 통합 하 고, 클라우드 경고 및 의미에 대 한 분석가를 교육 하며, 기본 클라우드 도구를 사용 하는 방법을 설명 합니다.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • 인시던트 준비: 클라우드 인시던트를 연습 연습에 통합 하 고 팀 준비를 추진 하기 위해 연습 연습을 수행 하는지 확인 합니다.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • 위협 인텔리전스: 팀에 컨텍스트 및 인텔리전스를 알리기 위해 클라우드 공격에 대 한 정보를 연구 하 고 통합 합니다.Threat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • 보안 아키텍처: 네이티브 도구를 보안 아키텍처 설명서에 통합 합니다.Security Architecture: Integrate native tooling into security architecture documentation.
    • 정책 및 표준: 조직 전체에서 네이티브 도구를 사용 하도록 설정 하는 표준과 정책을 설정 합니다.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. 준수를 모니터링 합니다.Monitor for compliance.
    • 인프라 및 끝점 / 중앙 IT 운영: 검색을 구성 하 고 사용 하도록 설정 하 고 자동화 및 인프라를 코드 솔루션으로 통합 합니다.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

방법: Azure security center에서 사용 하는 모든 리소스에 대 한 위협 감지를 사용 하도록 설정 하 고 각 팀에서 위에 설명 된 대로 해당 프로세스를 해당 프로세스로 통합 하도록 합니다.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

또한 Azure 보안 벤치 마크 LT-1: azure 리소스에 대 한 위협 감지 사용을 참조 하세요.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. 아키텍처: 단일 디렉터리 및 id를 기준으로 표준화9. Architecture: Standardize on a single directory and identity

여러 id 및 디렉터리를 처리 하려고 하지 않습니다.Nobody wants to deal with multiple identities and directories.

대상: 단일 azure AD 디렉터리를 표준화 하 고 azure에서 각 응용 프로그램 및 사용자에 대 한 단일 id를 표준화 합니다 (모든 엔터프라이즈 id 기능의 경우).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

참고

이 모범 사례는 특히 엔터프라이즈 리소스를 나타냅니다.This best practice refers specifically to enterprise resources. 파트너 계정에 대해 AZURE AD B2B 를 사용 하므로 디렉터리에서 계정을 만들고 유지 관리할 필요가 없습니다.For partner accounts, use Azure AD B2B so you don't have to create and maintain accounts in your directory. 고객/시민 계정에 대해 Azure AD B2C 를 사용 하 여 관리 합니다.For customer/citizen accounts, use Azure AD B2C to manage them.

이유: 여러 계정 및 id 디렉터리는 생산성 사용자, 개발자, IT 및 id 관리자, 보안 분석가 및 기타 역할에 대 한 일별 워크플로에서 불필요 한 마찰 및 혼동을 만듭니다.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

여러 계정 및 디렉터리를 관리 하면 계정 간에 같은 암호를 다시 사용 하는 것과 같은 잘못 된 보안 방법에 대 한 동기를 만들어 공격자가 대상으로 할 수 있는 부실/중단 된 계정의 가능성을 높일 수 있습니다.Managing multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

특정 응용 프로그램 또는 워크 로드에 대 한 사용자 지정 디렉터리 (LDAP 등 기반)를 신속 하 게 통합 하는 것이 더 쉬울 수도 있지만,이를 통해 더 많은 통합 및 유지 관리 작업을 설정 하 고 관리할 수 있습니다.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. 이는 추가 Azure 테 넌 트 또는 추가 온-프레미스 Active Directory 포리스트를 설정 하는 것과 기존 엔터프라이즈 하나를 사용 하는 등의 다양 한 방법과 비슷합니다.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. "드라이브 단순함" 보안 원칙도 참조 하세요.See also the "Drive Simplicity" security principle.

누가:이는 보안 아키텍처 또는 id 및 키 관리 팀에서 구동 하는 팀 간 활동입니다.Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

  • 후원: 이는 일반적으로 id 및 키 관리보안 아키텍처 에 의해 후원 됩니다 (일부 조직에서는 ciso 또는 CIO의 후원을 요구할 수 있음).Sponsorship: This is typically sponsored by Identity and Key management and Security Architecture (though some organizations may require sponsorship by CISO or CIO)
  • 실행: 다음을 포함 하는 공동 작업입니다.Execution: This is a collaborative effort involving:
    • 보안 아키텍처: 보안 및 IT 아키텍처 문서와 다이어그램에 통합 됩니다.Security Architecture: Incorporates into security and IT architecture documents and diagrams
    • 정책 및 표준: 규정 준수를 위한 문서 정책 및 모니터Policy and standards: Document policy and monitor for compliance
    • Id 및 키 관리 또는 중앙 IT 작업 을 통해 기능을 사용 하도록 설정 하 고 개발자에 게 계정, 교육 등을 지 원하는 방식으로 정책을 구현할 수 있습니다.Identity and Key Management or Central IT Operations to implement the policy by enabling features and supporting developers with accounts, education, and so on.
    • 응용 프로그램 개발자 및/또는 중앙 IT 운영: 응용 프로그램 및 Azure 서비스 구성에서 id 사용 (devops 도입 수준에 따라 책임이 달라 짐)Application developers and/or Central IT Operations: Use identity in applications and Azure service configurations (responsibilities will vary based on level of DevOps adoption)

방법: 새로운 최적의 기능 (오늘 성장)으로 시작 하는 실용적인 방법을 채택 하 고 후속 연습으로 기존 응용 프로그램 및 서비스의 brownfield 문제를 정리 합니다.How: Adopt a pragmatic approach that starts with new greenfield capabilities (growing today) and then clean up challenges with the brownfield of existing applications and services as a follow-up exercise:

  • 최적의: 모든 엔터프라이즈 id에서 각 사용자에 대 한 단일 계정으로 단일 Azure AD 디렉터리를 사용 해야 하는 명확한 정책을 설정 하 고 구현 합니다.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Brownfield: 대부분의 조직에는 레거시 디렉터리와 id 시스템이 여러 개 포함 되어 있는 경우가 많습니다.Brownfield: Many organizations often have multiple legacy directories and identity systems. 지속적인 관리의 비용이 정리에 대 한 투자를 초과 하는 경우이를 해결 합니다.Address these when the cost of ongoing management friction exceeds the investment to clean it up. Id 관리 및 동기화 솔루션은 이러한 문제 중 일부를 완화할 수 있지만 사용자, 관리자 및 개발자가 원활한 환경을 사용할 수 있도록 하는 보안 및 생산성 기능을 완벽 하 게 통합 하지 못합니다.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

Id 사용을 통합 하는 데 이상적인 시간은 다음과 같이 응용 프로그램 개발 주기 중입니다.The ideal time to consolidate your use of identity is during application development cycles as you:

  • 클라우드의 현대화 응용 프로그램Modernize applications for the cloud
  • DevOps 프로세스를 사용 하 여 클라우드 응용 프로그램 업데이트Update cloud applications with DevOps processes

독립적인 비즈니스 단위나 규정 요구 사항이 매우 많은 경우에는 별도의 디렉터리에 대 한 올바른 이유가 있지만 다른 모든 환경에서는 여러 디렉터리를 피해 야 합니다.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

또한 Azure 보안 벤치 마크 ID 1: 중앙 id 및 인증 시스템으로 Azure Active Directory 표준화를 참조 하세요.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

중요

단일 계정 규칙에 대 한 유일한 예외는 권한 있는 사용자 (IT 관리자 및 보안 분석가 포함)가 표준 사용자 작업 및 관리 작업에 대해 별도의 계정을 갖도록 하는 것입니다.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

자세한 내용은 Azure 보안 벤치 마크 권한 있는 액세스를 참조 하세요.For more information, see Azure Security Benchmark Privileged Access.

10. 아키텍처: id 기반 액세스 제어 (키 대신) 사용10. Architecture: Use identity based access control (instead of keys)

대상: 가능한 경우 (azure 서비스, 응용 프로그램, api 등) 키 기반 인증 대신 azure AD id를 사용 합니다.What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

이유: 키 기반 인증을 사용 하 여 클라우드 서비스 및 api를 인증할 수 있지만 키를 안전 하 게 관리 해야 합니다 .이는 잘 작동 하기 어렵습니다 (특히 대규모).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). 보안 키 관리는 개발자 및 인프라 전문가와 같은 보안 되지 않은 전문가의 경우에는 어렵고 종종 안전 하 게 수행 하 여 조직에 대 한 중요 한 보안 위험을 발생 시 키 지 않습니다.Secure key management is difficult for non-security professionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

Id 기반 인증을 사용 하면 비밀 회전, 수명 주기 관리, 관리 위임 등에 대해 성숙 된 기능을 통해 이러한 많은 문제를 극복 합니다.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

누가:이는 보안 아키텍처 또는 id 및 키 관리 팀에서 구동 하는 팀 간 활동입니다.Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

  • 후원: 이는 일반적으로 보안 아키텍처 또는 id 및 키 관리 에 의해 후원 됩니다 (일부 조직에서는 ciso 또는 CIO의 후원을 요구할 수 있음).Sponsorship: This is typically sponsored by Security Architecture or Identity and Key management (though some organizations may require sponsorship by CISO or CIO).
  • 실행: 이는 다음과 관련 된 공동 작업입니다.Execution: This is a collaborative effort involving
    • 보안 아키텍처: 는 보안과 IT 아키텍처 다이어그램 및 문서에 통합 됩니다.Security Architecture: Incorporates into Security and IT Architecture diagrams and documents.
    • 정책 및 표준: 정책 문서화 및 규정 준수를 모니터링 합니다.Policy and standards: Document policy and monitor for compliance.
    • 계정, 교육 등을 통해 기능을 사용 하도록 설정 하 고 개발자를 지원 하 여 정책을 구현 하는 id 및 키 관리 또는 중앙 IT 작업Identity and Key Management or Central IT Operations to implement the policy by enabling features and supporting developers with accounts, education, etc.
    • 앱 개발자 및/또는 중앙 IT 운영: 응용 프로그램 및 Azure 서비스 구성에서 id를 사용 합니다 (책임은 devops 도입 수준에 따라 달라 짐).App developers and/or Central IT Operations: Use identity in applications and Azure service configurations (responsibilities will vary based on level of DevOps adoption).

방법: id 기반 인증을 사용 하기 위해 조직 기본 설정 및 습관을 설정 하려면 프로세스를 수행 하 고 기술을 사용 하도록 설정 해야 합니다.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

프로세스는 다음과 같습니다.The process:

  1. 기본 id 기반 인증 및 허용 되는 예외를 명확 하 게 설명 하는 정책 및 표준을 설정 합니다.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. 개발자 & 인프라 팀에 새로운 접근 방법을 사용 하는 이유, 수행 해야 하는 작업 및 수행 하는 방법을 교육 합니다.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. 지금까지 도입 된 새로운 최적의 기능 (새로운 Azure 서비스, 새 응용 프로그램)으로 시작 하 여 기존 brownfield 구성의 정리를 수행 하 여 실용적인 방법으로 변경 내용을 구현 합니다.Implement changes in a pragmatic way – starting with new greenfield capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing brownfield configurations.
  4. 규정 준수를 모니터링 하 고 개발자 및 인프라 팀과 협력 하 여을 수정 합니다.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

기술: 서비스 또는 자동화와 같은 비 사용자 계정의 경우 관리 id를 사용 합니다.The technologies: For non-human accounts such as services or automation, use managed identities. Azure 관리 되는 id는 azure AD 인증을 지 원하는 Azure 서비스 및 리소스에 인증할 수 있습니다.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. 소스 코드 또는 구성 파일에서 하드 코드 된 자격 증명을 방지 하기 위해 미리 정의 된 액세스 권한 부여 규칙을 통해 인증을 사용할 수 있습니다.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

관리 id를 지원 하지 않는 서비스의 경우 Azure AD를 사용 하 여 리소스 수준에서 제한 된 권한으로 서비스 주체 를 만듭니다.For services that do not support managed identities, use Azure AD to create a service principal with restricted permissions at the resource level instead. 인증서 자격 증명을 사용 하 여 서비스 주체를 구성 하 고 클라이언트 암호를 대체 하는 것이 좋습니다.We recommended configuring service principals with certificate credentials and fall back to client secrets. 두 경우 모두 Azure 관리 id와 함께 Azure Key Vault 를 사용 하 여 런타임 환경 (예: azure 함수)이 키 자격 증명 모음에서 자격 증명을 검색할 수 있습니다.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

또한 Azure 보안 벤치 마크 ID-2: 응용 프로그램 id를 안전 하 게 자동으로 관리를 참조 하세요.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. 아키텍처: 단일 통합 보안 전략을 설정 합니다.11. Architecture: Establish a single unified security strategy

모든 사용자는 보트를 앞으로 이동 하기 위해 동일한 방향으로 행 해야 합니다.Everyone needs to row in the same direction for the boat to go forward.

대상: 모든 팀이 엔터프라이즈 시스템 및 데이터를 사용 하도록 설정 하 고 보호 하는 단일 전략에 부합 하는지 확인 합니다.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

이유: 팀이 일반적인 전략에 부합 하지 않고 격리 상태에서 작업 하는 경우 개별 작업은 실수로 다른 작업을 수행 하 여 모든 사용자의 목표에 대 한 진행률을 저하 시키는 불필요 한 충돌을 만들 수 있습니다.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other's efforts, creating unnecessary friction that slows down progress against everyone's goals.

많은 조직에서 일관 되 게 재생 된이 예의 한 가지 예는 자산의 구분입니다.One example of this that has played out consistently in many organizations is the segmentation of assets:

  • 네트워크 보안 팀플랫 네트워크 를 분할 하 여 보안을 강화 하는 전략을 개발 합니다 (종종 실제 사이트, 할당 된 IP 주소/범위 또는 유사).The network security team develops a strategy for segmenting a flat network to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • Id 팀 은 조직의 이해 및 지식에 따라 그룹 및 Active Directory ou (조직 구성 단위)에 대 한 전략을 개발 했습니다.Separately, the identity team developed a strategy for groups and Active Directory organizational units (OUs) based on their understanding and knowledge of the organization.
  • 응용 프로그램 팀 은 비즈니스 운영, 목표 및 위험에 대 한 제한 된 입력 및 이해로 설계 되었기 때문에 이러한 시스템에 대 한 작업을 어렵게 하는 경우가 많습니다.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

이러한 상황이 발생 하는 조직에서 팀은 방화벽 예외를 통해 충돌이 자주 발생 하며이는 보안 (예외는 일반적으로 승인 됨) 및 생산성 (비즈니스 요구 사항에 맞게 배포 됨)에 부정적인 영향을 미칩니다.In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

보안이 중요 한 생각을 강제 적용 하 여 정상적인 충돌을 만들 수 있지만이 충돌은 목표를 impedes 하는 비정상 충돌만 생성 합니다.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. 자세한 내용은 보안 전략 지침: 보안 마찰의 올바른 수준을 참조 하세요.For more information, see Security strategy guidance: the right level of security friction.

대상을Who:

  • 후원: 일반적으로 통합 전략은 긍정적 (일부 상위 수준 요소에 대 한 비즈니스 리더십 지원)와 각 팀의 담당자가 공동으로 공동 후원 합니다.Sponsorship: The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • 실행: 보안 전략은 모든 사용자가 구현 해야 하므로 소유권, 구매 및 성공 가능성을 높이기 위해 팀 전체의 입력을 통합 해야 합니다.Execution: Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • 보안 아키텍처: 보안 전략 및 결과 아키텍처를 구축 하 고, 팀에서 피드백을 수집 하 고, 다양 한 대상 그룹에 대 한 프레젠테이션, 문서 및 다이어그램으로 문서를 문서화할 수 있습니다.Security architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • 정책 및 표준: 적절 한 요소를 표준 및 정책에 캡처한 다음 규정 준수를 모니터링 합니다.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • 모든 기술 IT 및 보안 팀: 입력 요구 사항을 제공한 다음 엔터프라이즈 전략에 맞추고 구현 합니다.All technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • 응용 프로그램 소유자 및 개발자: 적용 되는 전략 설명서를 읽고 이해 합니다 (이상적으로는 해당 역할에 맞게 조정 된 지침).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

방법:How:

모든 팀의 입력 및 활성 참여를 포함 하는 클라우드에 대 한 보안 전략을 빌드하고 구현 합니다.Build and implement a security strategy for cloud that includes the input and active participation of all teams. 프로세스 문서 형식은 다양 하지만 항상 다음을 포함 해야 합니다.While the process documentation format will vary, this should always include:

  • 팀의 활성 입력: 전략은 일반적으로 조직의 사용자가 구매 하지 않은 경우 실패 합니다.Active input from teams: Strategies typically fail if people in the organization don't buy into them. 이상적으로 전략을 공동 빌드 하기 위해 동일한 방에 있는 모든 팀을 가져옵니다.Ideally, get all teams in the same room to collaboratively build the strategy. 고객을 위해 노력 하 고 있는 워크샵에서 조직이 대부분의 사일로를 통해 운영 되 고 있는 경우가 종종 있으며 이러한 경우에는 사용자가 처음으로 서로 모임을 하 게 됩니다.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. Inclusiveness도 필요 합니다.We also find that inclusiveness is a requirement. 일부 팀이 초대 되지 않은 경우이 모임은 일반적으로 모든 참가자가 참가 하거나 프로젝트가 앞으로 이동 하지 않을 때까지 반복 되어야 합니다.If some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn't move forward).
  • 문서화 되 고 명확 하 게 전달 됩니다. 모든 팀은 보안을 통합 하는 이유를 포함 하 여 보안 전략 (이상적으로 전체 기술 전략의 보안 구성 요소)을 인식 하 고 보안에 중요 한 사항을 제공 하며 보안 성공을 파악 해야 합니다.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. 여기에는 응용 프로그램 및 개발 팀에 대 한 특정 지침이 포함 되어야 하므로 지침의 관련 되지 않은 부분을 읽지 않고도 명확 하 게 우선 순위가 지정 된 지침을 얻을 수 있습니다.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • 안정적 이지만 유연 합니다. 전략은 상대적으로 일관적이 고 안정적으로 유지 되어야 하지만, 이해를 추가 하 고 클라우드의 동적 특성을 수용할 수 있도록 아키텍처와 설명서를 변경 해야 할 수 있습니다.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. 예를 들어 악의적인 외부 트래픽을 필터링 하는 것은 타사 차세대 방화벽을 Azure 방화벽으로 전환 하 고이 작업을 수행 하는 방법에 대 한 다이어그램/지침을 조정 하는 경우에도 전략적으로 일관 되 게 유지 됩니다.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure Firewall and adjust diagrams/guidance on how to do it.
  • 분할 시작: 클라우드 도입 과정을 통해 팀은 크고 작은 여러 가지 전략 항목을 처리 하지만 어디에서 나 시작 해야 합니다.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. 엔터프라이즈 자산의 조각화를 사용 하 여 보안 전략을 시작 하는 것이 좋습니다 .이는 나중에 변경 하는 것이 어려울 수 있으며 비즈니스 입력과 많은 기술 팀이 필요 하기 때문입니다.We recommend starting the security strategy with enterprise asset segmentation as it's a foundational decision that would be challenging to change later and requires both business input and many technical teams.

Microsoft는 Azure에 조각화 전략을 적용 하 고, 기업 구분에 대 한 문서 및 네트워크 보안을 정렬하기 위한 비디오 지침을 게시 했습니다.Microsoft has published video guidance for applying a segmentation strategy to Azure as well as documents on enterprise segmentation and aligning network security to it.

클라우드 채택 프레임 워크에는 팀에 도움이 되는 다음과 같은 지침이 포함 되어 있습니다.The Cloud Adoption Framework includes guidance to help your teams with:

또한 Azure 보안 벤치 마크 거 버 넌 스 및 전략을 참조 하세요.Also see the Azure Security Benchmark governance and strategy.