보안 컨트롤: 보안 구성
참고
최신 Azure 보안 벤치마크는 여기에서 제공됩니다.
공격자가 취약한 서비스 및 설정을 악용하지 못하도록 Azure 리소스의 보안 구성을 설정, 구현, 적극적으로 관리(추적, 보고, 수정)합니다.
7.1: 모든 Azure 리소스에 대한 보안 구성 설정
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.1 | 5.1 | Customer |
Azure Policy 별칭을 사용하여 Azure 리소스의 구성을 감사하거나 적용하는 사용자 지정 정책을 만듭니다. 기본 제공 Azure Policy 정의를 사용할 수도 있습니다.
또한 Azure Resource Manager는 구성이 조직의 보안 요구 사항을 충족하거나 초과하는지 확인하기 위해 검토해야 하는 JSON(JavaScript Object Notation)에서 템플릿을 내보낼 수 있습니다.
Azure Security Center의 권장 사항을 Azure 리소스에 대한 보안 구성 기준으로 사용할 수도 있습니다.
7.2: 보안 운영 체제 구성 설정
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.2 | 5.1 | Customer |
Azure Security Center 권장 사항을 사용하여 모든 컴퓨팅 리소스에 대한 보안 구성을 유지 관리합니다. 또한 사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 조직에 필요한 운영 체제의 보안 구성을 설정할 수 있습니다.
7.3: 보안 Azure 리소스 구성 유지 관리
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.3 | 5.2 | Customer |
[거부] 및 [존재하지 않으면 배포] Azure 정책을 사용하여 보안 설정을 Azure 리소스 전체에 적용합니다. 또한 Azure Resource Manager 템플릿을 사용하여 조직에서 요구하는 Azure 리소스의 보안 구성을 유지 관리할 수 있습니다.
7.4: 보안 운영 체제 구성 유지 관리
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.4 | 5.2 | 공유됨 |
Azure 컴퓨팅 리소스에 대한 취약성 평가를 수행하는 Azure Security Center의 권장 사항을 따릅니다. 또한 Azure Resource Manager 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 조직에 필요한 운영 체제의 보안 구성을 유지 관리할 수 있습니다. Azure Automation Desired State Configuration과 결합된 Microsoft 가상 머신 템플릿은 보안 요구 사항을 충족하고 유지 관리하는 데 도움이 될 수 있습니다.
Microsoft에서 게시하는 Azure Marketplace 가상 머신 이미지는 Microsoft에서 관리하고 유지관리합니다.
7.5: Azure 리소스 구성을 안전하게 저장
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.5 | 5.3 | Customer |
Azure DevOps를 사용하여 사용자 지정 Azure 정책, Azure Resource Manager 템플릿, Desired State Configuration 스크립트와 같은 코드를 안전하게 저장하고 관리합니다. Azure DevOps에서 관리하는 리소스에 액세스하려면 Azure DevOps와 통합된 경우 Azure AD(Azure Active Directory) 또는 TFS와 통합된 경우 Active Directory에 정의된 특정 사용자, 기본 제공 보안 그룹 또는 그룹에 대한 권한을 부여하거나 거부하면 됩니다.
7.6: 사용자 지정 운영 체제 이미지를 안전하게 저장
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.6 | 5.3 | Customer |
사용자 지정 이미지를 사용하는 경우 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 권한 있는 사용자만 이미지에 액세스할 수 있도록 합니다. 공유 이미지 갤러리를 사용하면 조직 내의 여러 사용자, 서비스 주체 또는 AD 그룹에게 이미지를 공유할 수 있습니다. 컨테이너 이미지의 경우 Azure Container Registry에 저장하고 Azure RBAC를 활용하여 권한 있는 사용자만 이미지에 액세스할 수 있도록 합니다.
7.7: Azure 리소스를 위한 구성 관리 도구 배포
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.7 | 5.4 | Customer |
Azure Policy를 사용하여 Azure 리소스에 대한 표준 보안 구성을 정의하고 구현합니다. Azure Policy 별칭을 사용하여 Azure 리소스의 네트워크 구성을 감사하거나 적용하는 사용자 지정 정책을 만듭니다. 특정 리소스와 관련된 기본 제공 정책 정의도 사용할 수 있습니다. 또한 Azure Automation을 사용하여 구성 변경 내용을 배포할 수 있습니다.
7.8: 운영 체제용 구성 관리 도구 배포
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.8 | 5.4 | Customer |
Azure Automation State Configuration은 클라우드나 온-프레미스 데이터 센터의 DSC(Desired State Configuration) 노드를 위한 구성 관리 서비스입니다. 컴퓨터를 쉽게 온보드하고, 컴퓨터에 선언적 구성을 할당하고, 사용자가 지정한 필요 상태에 대한 각 컴퓨터의 규정 준수를 나타내는 보고서를 확인할 수 있습니다.
7.9: Azure 리소스에 대한 자동화된 구성 모니터링 구현
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.9 | 5.5 | Customer |
Azure Security Center를 사용하여 Azure 리소스에 대한 기준 검색을 수행합니다. 또한 Azure Policy를 사용하여 Azure 리소스 구성을 경고하고 감사합니다.
7.10: 운영 체제에 대한 자동화된 구성 모니터링 구현
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.10 | 5.5 | Customer |
Azure Security Center를 사용하여 OS에 대한 기준 검색사를 수행하고 컨테이너에 대한 Docker 설정을 수행합니다.
7.11: 안전하게 Azure 비밀 관리
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.11 | 13.1 | Customer |
Azure Key Vault와 함께 관리 서비스 ID를 사용하여 클라우드 애플리케이션에 대한 비밀 관리를 간소화하고 보호합니다.
7.12: 안전하게 자동으로 ID 관리
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.12 | 4.1 | Customer |
관리 ID를 사용하여 Azure AD에서 자동으로 관리되는 ID를 Azure 서비스에 제공합니다. 관리 ID를 사용하면 코드에 자격 증명 없이 Key Vault를 포함하여 Azure AD 인증을 지원하는 모든 서비스에 인증할 수 있습니다.
7.13: 의도하지 않은 자격 증명 노출 제거
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 7.13 | 18.1, 18.7 | Customer |
자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.
다음 단계
- 다음 보안 제어: 맬웨어 방어 참조