보안 제어 V2: 자산 관리
참고
최신 Azure 보안 벤치마크는 여기에서 제공됩니다.
자산 관리는 Azure 리소스에 대한 보안 가시성과 거버넌스를 보장하기 위한 제어를 다룹니다. 여기에는 보안 담당자에 대한 권한, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스(인벤토리, 추적 및 수정)에 대한 승인 관리에 대한 권장 사항이 포함됩니다.
적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 네트워크 보안을 참조하세요.
AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Azure Security Center를 사용하여 보안 위험을 모니터링할 수 있도록 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 보안 팀에 부여합니다.
보안 팀의 책임이 구성된 방식에 따라 보안 위험 모니터링은 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 즉, 보안 인사이트 및 위험이 항상 조직 내의 중앙에서 집계되어야 합니다.
보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.
참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
보안 팀이 지속적으로 업데이트되는 Azure 자산 인벤토리에 대한 액세스 권한을 가지고 있는지 확인합니다. 보안 팀은 새로운 위험에 대한 조직의 잠재적인 노출을 평가하기 위해, 그리고 지속적으로 보안을 향상하기 위한 입력 정보로서 이 인벤토리가 필요한 경우가 많습니다.
Azure Security Center 인벤토리 기능 및 Azure Resource Graph는 Azure 서비스, 애플리케이션 및 네트워크 리소스를 포함하여 구독에 있는 모든 리소스를 쿼리하고 검색할 수 있습니다.
Azure에서 태그뿐만 아니라 다른 메타데이터(이름, 설명, 범주)도 사용하여 조직의 분류법에 따라 자산을 논리적으로 구성합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
AM-3: 승인된 Azure 서비스만 사용
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Azure Policy를 사용하여 환경에서 사용자가 프로비저닝할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색되면 경고를 트리거하는 규칙을 만들 수 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
AM-4: 자산 수명 주기 관리의 보안 보장
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
잠재적으로 큰 영향을 주는 수정을 위해 자산 수명 주기 관리 프로세스를 처리하는 보안 정책을 설정하거나 업데이트합니다. 이러한 수정에는 ID 공급자 및 액세스, 데이터 민감도, 네트워크 구성 및 관리 권한 할당에 대한 변경이 포함됩니다.
더 이상 필요하지 않은 Azure 리소스를 제거합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
AM-5: Azure Resource Manager와 상호 작용하는 사용자 기능 제한
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Azure AD 조건부 액세스를 사용하여 "Microsoft Azure 관리" 앱에 대한 "액세스 차단"을 구성하여 Azure Resource Manager와 상호 작용하는 사용자의 기능을 제한합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
AM-6: 승인된 애플리케이션만 컴퓨팅 리소스에 사용
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
승인된 소프트웨어만 실행되고 모든 승인되지 않은 소프트웨어는 Azure Virtual Machines에서 실행되지 않도록 차단됩니다.
Azure Security Center의 적응형 애플리케이션 제어를 사용하여 애플리케이션 허용 목록을 검색하고 생성합니다. 또한 적응형 애플리케이션 제어를 사용하여 승인된 소프트웨어만 실행하고 모든 승인되지 않은 소프트웨어는 Azure Virtual Machines에서 실행되지 않도록 차단할 수 있습니다.
Azure Automation 변경 내용 추적 및 인벤토리를 사용하여 Windows 및 Linux VM에서 인벤토리 정보 컬렉션을 자동화합니다. 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간은 Azure Portal에서 사용할 수 있습니다. 소프트웨어 설치 날짜 및 기타 정보를 가져오려면 게스트 수준 진단을 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 보냅니다.
스크립트 유형에 따라 운영 체제별 구성 또는 타사 리소스를 사용하여 Azure 컴퓨팅 리소스에서 스크립트를 실행하는 사용자의 기능을 제한할 수 있습니다.
타사 솔루션을 사용하여 승인되지 않은 소프트웨어를 검색하고 식별할 수도 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):