Azure Arc 사용 서버에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 참고 자료를 Azure Arc 사용 서버에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 컨트롤 및 Azure Arc 사용 서버에 적용되는 관련 참고 자료에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Arc 사용 서버에 적용되지 않는 컨트롤과 글로벌 지침이 권장되는 컨트롤은 제외되었습니다. Azure Arc 사용 서버가 Azure Security Benchmark에 완전히 매핑되는 방법을 보려면 전체 Azure Arc 사용 서버 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

참고 자료: Azure Arc 사용 서버는 가상 네트워크에 직접 배포를 지원하지 않습니다. 제품의 리소스에는 특정 네트워킹 기능을 적용할 수 없습니다. 이러한 리소스에는 NSG(네트워크 보안 그룹), 경로 테이블 또는 기타 네트워크 종속 어플라이언스(예: Azure Firewall)가 포함됩니다.

서버에서 실행되는 Azure Connected Machine 에이전트의 경우 TCP 포트 443(HTTPS)을 통해 Azure Arc 서비스와 통신할 수 있는지 확인합니다.

책임: Customer

NS-2: 여러 사설망 함께 연결

지침: Azure ExpressRoute 또는 Azure VPN(가상 사설망)을 사용하여 공동 배치 환경의 온-프레미스 인프라와 Azure 데이터 센터와 간에 프라이빗 연결을 만듭니다. ExpressRoute 연결은 공용 인터넷을 사용하지 않습니다. 일반적인 인터넷 연결과 비교할 때 이러한 연결은 다음을 제공합니다.

  • 더 높은 안정성
  • 더 빠른 속도
  • 더 짧은 대기 시간

지점 및 사이트 간 VPN 및 사이트 간 VPN의 경우 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다. 이러한 VPN 옵션과 Azure ExpressRoute를 조합하여 사용합니다.

Azure에 둘 이상의 가상 네트워크를 함께 연결하려면 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 보관됩니다.

책임: Customer

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

참고 자료: 해당 없음. Azure Arc 사용 서버는 기존 네트워크 보호를 사용하여 보호해야 하는 외부 네트워크에 엔드포인트를 노출하지 않습니다.

Azure Arc 사용 서버는 가상 네트워크에 직접 배포를 지원하지 않습니다. 따라서 기존 네트워킹 기능을 사용하여 DDoS Protection 표준과 같은 네이티브 Azure 네트워크 기능으로 서비스 거부(DDoS) 공격을 방지할 수 없습니다.

Azure Arc 사용 서버는 웹 애플리케이션을 실행하기 위한 것이 아닙니다. 웹앱을 대상으로 하는 외부 네트워크 공격으로부터 보호하기 위해 설정을 구성하거나 추가 네트워크 서비스를 배포할 필요가 없습니다.

책임: Customer

NS-5: IDS/IPS(침입 탐지 시스템/침입 방지 시스템) 배포

참고 자료: 해당 없음. Azure Arc 사용 서버는 가상 네트워크에 배포를 지원하지 않습니다. 네트워크의 위협을 감지하거나 방지하기 위해 IDS 또는 IPS 솔루션으로 해당 서버를 구성할 수 없습니다.

책임: Customer

NS-6: 네트워크 보안 규칙 간소화

참고 자료: Azure 가상 네트워크 서비스 태그를 사용하여 Azure Arc 사용 서버 리소스에 구성된 NSG 또는 Azure Firewall에 대한 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 서비스 태그 이름을 원본 또는 대상 규칙 필드에 지정하면 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft에서는 서비스 태그가 포함된 주소 접두사를 관리합니다. 주소가 변경되면 서비스 태그가 자동으로 업데이트됩니다.

다음 서비스 태그는 서버에서 실행되는 Azure Connected Machine 에이전트에서 액세스하는 IP 범위를 요약합니다.

  • AzureArcInfrastructure
  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureStorage

이러한 서비스 태그를 온-프레미스 또는 클라우드 방화벽에서 아웃바운드 규칙으로 구성합니다.

책임: Customer

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

참고 자료: Azure Arc 사용 서버가 기본 ID 및 액세스 관리 서비스로 Azure AD(Azure Active Directory)를 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 제어합니다.

  • 다음과 같은 Microsoft Cloud 리소스
    • Azure portal
    • Azure Storage
    • Azure Virtual Machines(Linux 및 Windows)
    • Azure Key Vault
    • PaaS(Platform as a Service)
    • SaaS(Software as a Service) 애플리케이션
  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 ID 보안 점수를 제공합니다. 이 점수는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 상태를 평가하는 데 도움이 됩니다. 이 점수를 사용하여 구성이 모범 사례 모범 사례와 얼마나 일치하는지 측정합니다. 또한 이를 사용해서 보안 상태를 개선합니다.

참고: Azure AD는 외부 ID를 지원합니다. 이 기능을 사용하면, Microsoft 계정이 없는 사용자는 외부 ID를 사용하여 애플리케이션과 리소스에 로그인할 수 있습니다.

두 가지 기본 제공 역할은 최소 권한으로 Azure Arc 사용 서버를 관리하는 데 도움이 될 수 있습니다.

  • Azure Connected Machine 온보딩 역할을 사용하면 사용자가 새 컴퓨터를 Azure Arc 사용 서버로 등록할 수 있습니다. 그러나 컴퓨터가 생성된 후에는 사용자가 컴퓨터를 관리할 수 없습니다. Azure Arc에 서버를 자동으로 등록하는 데 사용하는 모든 서비스 계정에만 이 역할을 할당합니다.
  • Azure Connected Machine 관리자 역할은 Azure Arc 사용 서버에 대한 모든 권한을 부여합니다. 이 역할이 할당된 사용자는 다음을 수행할 수 있습니다.
    • 새 서버를 등록합니다.
    • 서버에서 확장을 배포하고 관리합니다.
    • 리소스 삭제.
    • Azure Arc Private Link 범위를 만들고 관리할 수 있는 권한을 부여합니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

참고 자료: Azure Arc 사용 서버는 Azure 리소스에 대한 관리 ID를 지원합니다. 다른 리소스에 액세스하기 위해 서비스 주체를 만드는 대신 Azure Arc 사용 서버에서 관리 ID를 사용합니다. Azure Arc 사용 서버는 기본적으로 Azure AD 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 인증은 사전 정의된 액세스 인증 규칙을 통해 발생합니다. 소스 코드나 구성 파일에 하드코딩된 자격 증명을 사용하지 않습니다.

모든 Azure Arc 사용 서버에는 시스템이 할당한 고유한 관리 ID가 자동으로 할당됩니다. 이 ID는 다음에서 사용됩니다.

  • Azure Connected Machine 에이전트.
  • 확장.
  • 컴퓨터에서 Azure 서비스와 통신할 수 있는 권한을 부여할 애플리케이션입니다.

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

참고 자료: Azure Arc 사용 서버는 Azure AD를 사용하여 다음에 대한 ID 및 액세스 관리를 제공합니다.

  • : Azure 리소스
  • 클라우드 응용 프로그램
  • 온-프레미스 애플리케이션

ID 및 액세스 관리에는 직원과 같은 엔터프라이즈 ID와 다음과 같은 외부 ID가 포함됩니다.

  • 파트너
  • 공급업체
  • 공급업체

이 관리를 통해 SSO(Single Sign-On)는 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. SSO는 온-프레미스와 클라우드 모두에서 작동합니다. 원활하고 안전한 액세스 및 향상된 가시성과 제어를 위해 Azure AD에 다음을 모두 연결합니다.

  • 사용자
  • 애플리케이션
  • 디바이스

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

IM-4: 모든 Azure AD 기반 액세스에 강력한 인증 제어 사용

참고 자료: Azure Arc 사용 서버는 MFA(다단계 인증)를 통해 강력한 인증 제어를 지원하는 Azure AD를 사용하며 강력한 암호 없는 메서드를 사용합니다.

  • MFA. Azure AD MFA를 사용하도록 설정합니다. 그런 다음, MFA 설정의 모범 사례에 대한 클라우드용 Microsoft Defender ID 및 액세스 관리 권장 사항을 따릅니다. 로그인 조건 및 위험 요소에 따라 다음에 대해 MFA를 적용할 수 있습니다.
    • 모든 사용자가 액세스할 수 있습니다.
    • 사용자 선택
    • 사용자 수준별
  • 암호 없는 인증. 다음과 같은 세 가지 암호 없는 인증 옵션을 사용할 수 있습니다.
    • 비즈니스용 Windows Hello
    • Microsoft Authenticator 앱.
    • 온-프레미스 인증 방법(예: 스마트 카드).

관리자 및 권한 있는 사용자의 경우 가장 높은 수준의 강력한 인증 방법을 사용합니다. 그리고 기타 사용자에게는 적절하며 강력한 인증 정책을 펼쳐야 합니다.

Azure Arc 사용 서버는 레거시 암호 기반 인증을 지원합니다. 이 지원에는 기준 암호 정책이 있는 클라우드 전용 계정(Azure에서 직접 만든 사용자 계정)이 포함됩니다. 온-프레미스 암호 정책을 따르는 하이브리드 계정(온-프레미스 Active Directory에서 가져온 사용자 계정)도 여기에 포함됩니다. 암호 기반 인증을 사용하는 경우 Azure AD는 암호 보호 기능을 제공합니다. 이 기능을 사용하면 사용자가 추측하기 쉬운 암호를 설정할 수 없습니다. Microsoft는 원격 분석을 기반으로 업데이트되는 금지된 암호의 전역 목록을 제공합니다. 고객은 브랜딩 또는 문화적 준거와 같은 요구 사항에 따라 목록을 보강할 수 있습니다. 이 암호 보호는 클라우드 전용 및 하이브리드 계정에 사용할 수 있습니다.

참고: 암호 자격 증명에만 기반을 둔 인증은 일반적인 공격 방법에 취약합니다. 보안을 강화하려면 MFA 및 강력한 암호 정책과 같은 강력한 인증을 사용합니다. 기본 암호가 있을 수 있는 타사 애플리케이션 및 마켓플레이스 서비스의 경우 초기 서비스 설정 중에 암호를 변경합니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.HybridCompute:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Linux 머신에 대한 인증에 SSH 키가 필요함 SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. 자세한 정보: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, 사용 안 함 2.0.1

IM-5: 비정상 계정 활동 모니터링 및 경고

참고 자료: Azure Arc 사용 서버는 다음 데이터 원본을 제공하는 Azure AD와 통합됩니다.

  • 로그인. 로그인 보고서는 관리형 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.
  • 감사 로그. 감사 로그는 Azure AD 내에서 다양한 기능이 수행하는 모든 변경 내용에 대한 추적 가능성을 제공합니다. 다음을 추가 또는 제거와 같이 Azure AD 내 리소스에 대한 변경 사항을 예로 들 수 있습니다.
    • 사용자
    • 그룹
    • 역할
    • 정책
  • 위험한 로그인. 위험한 로그인은 사용자 계정의 합법적인 소유자가 아닌 다른 사람이 로그인을 시도했을 수 있음을 나타냅니다.
  • 위험 플래그가 지정된 사용자. 위험 사용자는 손상되었을 수 있는 사용자 계정을 나타냅니다.

이러한 데이터 원본을 다음과 통합할 수 있습니다.

  • Azure Monitor
  • Microsoft Sentinel
  • 타사 SIEM(보안 정보 및 이벤트 관리) 시스템

클라우드용 Microsoft Defender는 의심스러운 특정 활동을 경고할 수도 있습니다. 이러한 활동에는 구독에 실패한 과도한 인증 시도 횟수 또는 사용되지 않는 계정이 포함됩니다.

Azure ATP(Advanced Threat Protection)는 보안 솔루션입니다. Active Directory 신호를 사용하여 다음을 식별, 감지 및 조사할 수 있습니다.

  • 지능형 위협
  • 손상된 ID
  • 악의적인 참가자 작업

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

참고 자료: 가장 중요한 기본 제공 Azure AD 역할은 전역 관리자와 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있습니다.

  • 전역 관리자/회사 관리자. 이 역할이 있는 사용자는 Azure AD의 모든 관리 기능에 액세스할 수 있습니다. 이러한 사용자는 Azure AD ID를 사용하는 서비스에도 액세스할 수 있습니다.

  • 권한 있는 역할 관리자. 이 역할을 가진 사용자는 Azure AD에서 역할 할당을 관리할 수 있습니다. 이러한 사용자는 Azure AD PIM(Privileged Identity Management) 내에서 역할 할당을 관리할 수도 있습니다. 이 역할을 통해 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.

참고: 특정 권한이 할당된 사용자 지정 역할을 사용하는 경우 관리해야 할 다른 중요한 역할이 있을 수 있습니다. 중요 비즈니스 자산의 관리자 계정에 유사한 컨트롤을 적용할 수도 있습니다.

권한이 높은 계정 또는 역할의 수를 제한합니다. 이러한 계정을 높은 수준에서 보호합니다. 이 권한이 있는 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

Azure AD PIM을 사용하여 Azure 리소스와 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용할 수 있습니다. JIT는 사용자가 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM는 Azure AD 조직에 의심스럽거나 안전하지 않은 활동이 있으면 보안 경고를 생성할 수 있습니다.

Azure Connected Machine 관리자 역할은 Azure Arc 사용 서버 관리에 대한 모든 권한을 부여합니다. 이 권한에는 Azure Arc 확장을 사용하여 서버에서 에이전트를 배포하고 스크립트를 실행하는 권한이 포함됩니다. 이 역할의 멤버 및 Azure Arc 리소스에 대한 모든 권한이 있는 기타 역할의 멤버는 Azure Arc에 연결된 Windows 또는 Linux 운영 체제의 간접 관리자로 취급합니다.

책임: Customer

PA-2: 중요 비즈니스용 시스템에 대한 관리 액세스 제한

참고 자료: Azure Arc 사용 서버는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 중요 비즈니스용 시스템에 대한 액세스를 격리합니다. 구독 및 해당 관리 그룹에 대한 권한 있는 액세스 권한이 부여되는 계정을 제한합니다.

다음과 같은 중요 비즈니스용 액세스 컨트롤에 대한 관리 액세스 권한이 있는 관리, ID 및 보안 시스템에 대한 액세스를 제한합니다.

  • Active Directory DC(도메인 컨트롤러).
  • 보안 도구.
  • 중요 비즈니스용 시스템에 설치된 에이전트와 시스템 관리 도구.

해당 관리 및 보안 시스템을 손상시키는 공격자는 중요 비즈니스용 자산을 손상시키기 위해 시스템을 즉시 무기화할 수 있습니다.

일관된 액세스 제어를 보장하려면 모든 유형의 액세스 제어를 엔터프라이즈 구분 전략에 할당합니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

참고 자료: 두 개의 Azure AD RBAC 역할은 Azure Arc 사용 서버를 위해 특별히 설계되었습니다.

  • Azure Connected Machine 관리자. 이 역할은 다음을 부여합니다.

    • Azure Arc 사용 서버 리소스에 대한 모든 권한.
    • Azure Arc 사용 서버에서 확장을 관리할 수 있는 권한.
    • Azure Arc Private Link 범위를 관리할 수 있는 권한.
  • Azure Connected Machine 온보딩. 이 역할은 Azure Arc에 서버를 등록하기에 충분한 액세스 권한을 부여합니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

PA-4: Azure AD에서 응급 액세스 설정

참고 자료: Azure Arc 사용 서버는 Azure AD를 사용하여 리소스를 관리합니다. 실수로 Azure AD 조직에서 잠기는 것이 걱정되나요? 그러면 일반 관리 계정을 사용할 수 없는 경우 액세스할 긴급 액세스 계정을 설정합니다. 긴급 액세스 계정은 높은 권한을 가집니다. 특정 개인에게 이러한 계정을 할당하지 마세요. 긴급 액세스 계정은 일반 관리 계정을 사용할 수 없는 '비상' 시나리오의 긴급한 상황으로 제한됩니다.

긴급 액세스 계정에 대한 자격 증명(예: 암호, 인증서 또는 스마트 카드)을 안전하게 유지합니다. 이러한 자격 증명은 긴급 상황에서만 사용할 수 있는 권한이 있는 개인에게만 공개합니다.

책임: Customer

PA-5: 권한 관리 자동화

참고 자료: Azure Arc 사용 서버는 Azure AD와 통합되어 리소스를 관리합니다. Azure AD 권한 관리 기능을 사용하여 다음을 비롯한 액세스 요청 워크플로를 자동화합니다.

  • 액세스 할당
  • 검토
  • 만료

이중 또는 다단계 승인도 지원됩니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 다음과 같은 중요한 역할의 보안에 매우 중요합니다.

  • 관리자
  • 개발자
  • 중요 서비스 운영자

관리 작업에는 보안 수준이 높은 사용자 워크스테이션 또는 Azure Bastion을 사용합니다. 안전한 관리 사용자 워크스테이션을 배포하려면 다음을 사용합니다.

  • Azure AD
  • Microsoft Defender ATP(Advanced Threat Protection)
  • Microsoft Intune

다음을 포함하여 보안 구성을 적용하도록 보안 워크스테이션을 중앙에서 관리합니다.

  • 강력한 인증
  • 소프트웨어 및 하드웨어 기준
  • 제한된 논리적 및 네트워크 액세스

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

참고 자료: Azure Arc 사용 서버는 Azure RBAC와 통합되어 리소스를 관리합니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 다음 역할을 할당합니다.

  • 사용자
  • 그룹
  • 서비스 주체
  • 관리 ID

특정 리소스에 대해 미리 정의된 기본 제공 역할이 있습니다. 다음과 같은 도구를 통해 이러한 역할의 목록을 작성하거나 쿼리합니다.

  • Azure CLI
  • Azure PowerShell
  • Azure portal

항상 Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 제한합니다. 이 방법은 Azure AD PIM의 JIT 방법을 보완하며 주기적으로 검토되어야 합니다.

기본 제공 역할을 사용하여 권한을 부여합니다. 필요한 경우에만 사용자 지정 역할을 만듭니다.

두 가지 기본 제공 역할은 Azure Arc 사용 서버 전용으로 고안된 것입니다.

  • Azure Connected Machine 관리자: Azure Arc 사용 서버를 변경해야 하는 사용자에게만 이 역할을 부여합니다. 이러한 변경 내용에는 확장을 통한 에이전트 또는 스크립트 배포가 포함됩니다. 이 그룹의 멤버는 기본 서버 운영 체제의 간접 관리자입니다.
  • Azure Connected Machine 온보딩. 이 역할에는 Azure Arc에 새 서버를 등록하는 데 필요한 최소한의 권한 집합이 있습니다. 대규모 온보딩 솔루션과 함께 사용되는 서비스 주체를 위한 것입니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

PA-8: Microsoft 지원에 대한 승인 프로세스 선택

참고 자료: 해당 없음. Azure Arc 사용 서버는 고객 Lockbox를 지원하지 않습니다. Microsoft는 고객 데이터 액세스에 대한 승인을 위해 비 Lockbox 방법을 통해 고객과 협력할 수 있습니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-2: 중요한 데이터 보호

참고 자료: Azure RBAC 및 네트워크 기반 액세스 제어를 통해 Azure Arc 사용 서버에 대한 액세스를 제한하여 중요한 데이터를 보호합니다. 일관된 액세스 제어를 보장하려면 모든 유형의 액세스 제어를 엔터프라이즈 구분 전략에 할당합니다. 또한 중요하거나 중요 비즈니스용 데이터 및 시스템의 위치와 함께 엔터프라이즈 구분 전략을 알립니다.

Microsoft는 기본 Microsoft 관리 플랫폼의 모든 고객 콘텐츠를 중요한 콘텐츠로 취급합니다. 고객 데이터 손실과 노출을 방지합니다. Azure 내에서 고객 데이터가 안전하게 유지되도록 Microsoft는 몇 가지 기본 데이터 보호 컨트롤과 기능을 구현했습니다.

책임: 공유됨

DP-4: 전송 중인 중요한 정보 암호화

참고 자료: 액세스 제어를 보완하려면 트래픽 캡처와 같은 ‘대역 외’ 공격으로부터 전송 중인 데이터를 보호합니다. 암호화를 사용하여 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 합니다.

Azure Arc 사용 서버는 TLS(전송 계층 보안) v1.2 이상을 사용하여 전송 중 데이터 암호화를 지원합니다.

암호화는 프라이빗 네트워크의 트래픽에는 선택 사항이지만 외부 네트워크와 공용 네트워크의 트래픽에는 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트에서 TLS v1.2 이상을 협상할 수 있는지 확인합니다. 원격 관리에는 암호화되지 않은 프로토콜을 사용하지 않습니다. 대신, Linux용 SSH(Secure Shell) 또는 Windows용 RDP(원격 데스크톱 프로토콜) 및 TLS를 사용합니다. 다음 항목을 사용하지 않도록 설정합니다.

  • 다음에 대한 사용되지 않는 버전 및 프로토콜:

    • SSL
    • TLS
    • SSH
  • 약한 암호화

Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.

책임: 공유됨

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.HybridCompute:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Windows 웹 서버는 보안 통신 프로토콜을 사용하도록 구성해야 함 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 웹 서버에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 보안 인증서를 사용하여 컴퓨터 간의 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0

DP-5: 중요한 미사용 데이터 암호화

참고 자료: 액세스 제어를 보완하려면 암호화를 사용하여 미사용 데이터를 ‘대역 외’ 공격(예: 기본 스토리지 액세스)으로부터 보호합니다. 그러면 공격자가 데이터를 쉽게 읽거나 수정할 수 없습니다. Azure에서는 기본적으로 미사용 데이터 암호화를 제공합니다. Azure는 서버에 대한 메타데이터(예: 호스트 이름) 및 Azure에서 저장하는 확장 설정을 미사용 시 암호화합니다. 확장에 대한 보호된 설정도 서버에 다운로드되면 미사용 시 암호화됩니다.

책임: Microsoft

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

참고 자료: Azure 테넌트와 구독에서 보안 팀에 보안 읽기 권한자 권한을 부여합니다. 그런 다음, 팀에서 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.

보안 팀 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀이 보안 위험 모니터링을 담당할 수 있습니다. 그러나 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.

보안 읽기 권한자 권한을 전체 테넌트(루트 관리 그룹)에 광범위하게 적용할 수 있습니다. 또는 해당 권한 범위를 관리 그룹이나 특정 구독으로 지정할 수 있습니다.

참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 더 많은 권한이 필요할 수 있습니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

참고 자료: 보안 팀이 Azure Arc 사용 서버와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있도록 합니다. 조직이 새로운 위험에 노출될 가능성을 평가하기 위해 이 인벤토리가 보안 팀에 필요한 경우가 많습니다. 자산 인벤토리는 또한 지속적인 보안 개선을 위한 입력입니다. 조직의 권한 있는 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 모든 Azure Arc 사용 서버 리소스에 그룹 읽기 권한을 할당합니다. 구독 내에서 단일 상위 수준 역할 할당으로 이 프로세스를 간소화할 수 있습니다.

논리적으로 분류를 구성하려면 다음 항목에 태그를 적용합니다.

  • : Azure 리소스
  • 리소스 그룹
  • Subscriptions

각 태그는 이름과 값 쌍으로 이루어져 있습니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

Azure 가상 머신 인벤토리를 사용하여 Azure Virtual Machines의 소프트웨어에 대한 정보 수집을 자동화할 수 있습니다. Azure Portal에서 사용할 수 있는 정보는 다음과 같습니다.

  • 소프트웨어 이름
  • 버전
  • 게시자
  • 새로 고침 시간

설치 날짜 및 기타 정보에 액세스하려면 게스트 수준 진단을 사용하도록 설정합니다. 그런 다음, Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져옵니다.

규칙이 적용되거나 적용되지 않을 수 있는 파일 형식을 지정하려면 클라우드용 Microsoft Defender의 적응형 애플리케이션 제어를 사용합니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 사용자가 환경에서 프로비전할 수 있는 서비스를 감사하고 제한합니다. 구독 내에서 리소스를 쿼리하고 검색하려면 Azure Resource Graph를 사용합니다. 그리고 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색될 때 경고를 트리거하는 규칙을 만듭니다.

책임: Customer

AM-5: Azure Resource Manager와 상호 작용하는 사용자 기능 제한

참고 자료: Azure 조건부 액세스를 사용하여 사용자가 Azure Resource Manager와 상호 작용하는 기능을 제한합니다. "Microsoft Azure 관리" 앱에 대한 "액세스 차단"을 구성합니다.

책임: Customer

AM-6: 승인된 애플리케이션만 컴퓨팅 리소스에 사용

참고 자료: Azure 가상 머신 인벤토리를 사용하여 Virtual Machines의 모든 소프트웨어에 대한 정보 수집을 자동화합니다. Azure Portal에서 사용할 수 있는 정보는 다음과 같습니다.

  • 소프트웨어 이름
  • 버전
  • 게시자
  • 새로 고침 시간

설치 날짜와 기타 정보에 액세스하려면 게스트 수준 진단을 사용합니다. 그런 다음 Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져옵니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

참고 자료: Azure AD는 다음 사용자 로그를 제공합니다.

  • 로그인. 로그인 보고서는 관리형 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.

  • 감사 로그. 감사 로그는 Azure AD 내에서 다양한 기능이 수행하는 모든 변경 내용에 대한 추적 가능성을 제공합니다. 다음을 추가하거나 제거하는 것과 같이 Azure AD 내의 리소스에 대한 변경 내용을 예로 들 수 있습니다.

    • 사용자
    • 그룹
    • 역할
    • 정책
  • 위험한 로그인. 위험한 로그인은 사용자 계정의 합법적인 소유자가 아닌 다른 사람이 로그인을 시도했을 수 있음을 나타냅니다.

  • 위험 플래그가 지정된 사용자. 위험한 사용자는 손상되었을 수 있는 사용자 계정을 나타냅니다.

Azure AD 보고에서 로그를 볼 수 있습니다. 더욱 정교한 모니터링 및 분석 사용 사례의 경우 다음과 로그를 통합할 수 있습니다.

  • Azure Monitor
  • Microsoft Sentinel
  • 기타 SIEM 또는 모니터링 도구

클라우드용 Microsoft Defender는 의심스러운 특정 작업에 대한 경고를 트리거할 수도 있습니다. 이러한 활동에는 구독에 실패한 과도한 인증 시도 횟수 또는 사용되지 않는 계정이 포함됩니다. 기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 보호 모듈은 다음에서 보다 심층적인 보안 경고를 수집할 수도 있습니다.

  • 개별 Azure 컴퓨팅 리소스(가상 머신, 컨테이너 또는 앱 서비스)
  • 데이터 리소스(SQL DB 및 스토리지)
  • Azure 서비스 계층

이 기능을 사용하면 개별 리소스 내의 계정 변칙에 대한 가시성을 확보할 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

참고 자료: Azure Arc 사용 서버는 가상 네트워크에 배포하기 위한 것이 아닙니다. 따라서 다음을 사용하도록 설정할 수 없습니다.

  • NSG 흐름 로깅
  • 방화벽을 통한 트래픽 라우팅
  • 패킷 캡처 수행

인시던트 조사, 위협 헌팅 및 보안 경고 생성을 지원하려면 보안 분석에 다음 로그를 사용하도록 설정하고 수집할 수 있습니다.

  • NSG 리소스 로그
  • NSG 흐름 로그
  • Azure Firewall 로그
  • WAF(웹 애플리케이션 방화벽) 로그

Azure Monitor Log Analytics 작업 영역에 흐름 로그를 보낼 수 있습니다. 그런 다음, 트래픽 분석을 사용하여 인사이트를 제공합니다.

Azure Arc 사용 서버는 DNS 쿼리 로그를 생성하거나 처리하지 않습니다.

책임: Customer

LT-4: Azure 리소스에 대한 로깅 사용

참고 자료: 활동 로그에는 Azure Arc 사용 서버 리소스의 모든 쓰기 작업(PUT, POST 및 DELETE)이 포함됩니다. 이러한 로그는 자동으로 사용 가능하지만 읽기 작업(GET)을 포함하지 않습니다. 문제를 해결할 때 활동 로그를 사용하여 오류를 찾을 수 있습니다. 또는 로그를 사용하여 조직 내 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

Azure Arc 사용 서버는 현재 Azure 리소스 로그를 생성하지 않습니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

참고 자료: Microsoft는 대부분의 Azure PaaS 및 SaaS 서비스에 대한 시간 원본을 유지 관리합니다. Azure 외부에서 실행되는 서버의 경우 시간 동기화를 위해 신뢰할 수 있는 NTP(네트워크 시간 프로토콜) 서버를 사용합니다. 서버의 로컬 시간이 Azure 시간에서 크게 벗어날 경우 Azure Connected Machine 에이전트의 작동이 중지될 수 있습니다. 자체 NTP 서버를 설정해야 하는 경우 UDP 서비스 포트 123을 보호합니다. Azure 내의 리소스가 생성하는 모든 로그는 기본적으로 지정된 표준 시간대의 타임스탬프를 제공합니다.

책임: 공유됨

사고 대응

자세한 내용은 Azure Security Benchmark: 인시던트 응답을 참조하세요.

IR-1: 준비 - Azure에 대한 인시던트 응답 프로세스 업데이트

지침: 조직에서 다음을 확인합니다.

  • 보안 인시던트에 대응하는 프로세스가 있는지 여부.
  • Azure에 대해 이러한 프로세스를 업데이트했는지 여부.
  • 준비 상태를 보장하기 위해 정기적으로 실행하고 있는지 여부.

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

IR-2: 준비 - 인시던트 알림 설정

지침: 클라우드용 Microsoft Defender에서 보안 인시던트 연락처 정보를 설정합니다. MSRC(Microsoft 보안 대응 센터)에서 불법적이거나 권한이 없는 당사자가 데이터에 액세스한 것으로 확인되면 어떻게 되나요? 그러면 Microsoft는 이 연락처 정보를 사용하여 사용자에게 연락합니다. 또한 인시던트 대응 요구 사항에 따라 다양한 Azure 서비스에서 인시던트 경고 및 알림을 사용자 지정할 수 있습니다.

책임: Customer

IR-3: 탐지 및 분석 – 고품질 경고를 기반으로 인시던트 만들기

참고 자료: 고품질 경고를 만들고 경고 품질을 측정하는 프로세스를 확보합니다. 그런 다음, 과거 인시던트에서 교훈을 얻을 수 있습니다. 분석가가 가양성에 시간을 낭비하지 않도록 분석가를 위한 경고에 집중합니다.

다양한 신호 원본을 융합하고 상관 관계를 지정하여 다음의 경험을 기반으로 고품질 경고를 구축할 수 있습니다.

  • 과거의 인시던트.
  • 검증된 커뮤니티 원본.
  • 경고를 생성하고 정리하도록 설계된 도구.

클라우드용 Microsoft Defender는 많은 Azure 자산에 대해 고품질 경고를 제공합니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍합니다. 조사를 위해 인시던트를 자동으로 생성하려면 Microsoft Sentinel을 사용하여 고급 경고 규칙을 만들 수 있습니다.

Azure 리소스에 대한 위험을 식별하려면 내보내기 기능을 사용하여 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 수동으로 경고 및 권장 사항을 내보냅니다. 또는 지속적인 방식으로 내보낼 수 있습니다.

책임: Customer

IR-4: 검색 및 분석 – 인시던트 조사

참고 자료: 분석가가 다양한 데이터 원본을 쿼리하고 사용할 수 있는지 확인합니다. 그런 다음, 분석가는 잠재적 인시던트를 조사하여 발생한 일에 대한 전체 보기를 구축할 수 있습니다. 탐지되지 않는 문제를 방지하려면 다양한 로그를 수집하여 킬 체인에서 잠재적인 공격자의 활동을 추적합니다. 다른 분석가 및 향후 기록 참조를 위해 인사이트 및 습득 지식을 캡처합니다.

조사할 데이터 원본에는 범위 내 서비스 및 실행 중인 시스템에서 이미 수집되고 있는 중앙 집중식 로깅 원본이 포함됩니다. 그러나 데이터 원본에는 다음이 포함될 수도 있습니다.

  • 네트워크 데이터. 네트워크 흐름 로그 및 기타 분석 정보를 캡처하려면 다음을 사용합니다.

    • NSG의 흐름 로그
    • Azure Network Watcher
    • Azure Monitor
  • 실행 중인 시스템의 스냅샷

    • Azure 가상 머신의 스냅샷 기능을 사용하여 실행 중인 시스템의 디스크에 대한 스냅샷을 만듭니다.

    • 운영 체제의 기본 메모리 덤프 기능을 사용하여 실행 중인 시스템의 메모리에 대한 스냅샷을 만듭니다.

    • Azure 서비스의 스냅샷 기능 또는 소프트웨어의 자체 기능을 사용하여 실행 중인 시스템의 스냅샷을 만듭니다.

Microsoft Sentinel은 거의 모든 로그 원본에 대한 광범위한 데이터 분석을 제공합니다. 인시던트의 전체 수명 주기를 관리하는 사례 관리 포털을 제공합니다. 조사 중에 추적 및 보고를 위해 인텔리전스 정보를 인시던트와 연결할 수 있습니다.

책임: Customer

IR-5: 검색 및 분석 – 인시던트에 집중

참고 자료: 경고 심각도 및 자산 민감도에 따라 먼저 집중해야 하는 인시던트에 대한 컨텍스트를 분석가에게 제공합니다.

클라우드용 Microsoft Defender는 먼저 조사해야 하는 경고를 강조하는 데 도움이 되도록 각 경고에 심각도를 할당합니다. 심각도는 다음을 기반으로 합니다.

  • 클라우드용 Microsoft Defender 결과의 신뢰도.
  • 경고를 실행하는 데 사용된 분석.
  • 경고를 유발한 활동에 악의적인 의도가 숨겨져 있다는 사실에 대한 신뢰 수준.

또한 태그를 사용하여 리소스를 표시합니다. Azure 리소스, 특히 중요한 데이터를 처리하는 리소스를 식별하고 분류하는 명명 시스템을 만듭니다. 사용자는 다음을 기반으로 경고 수정을 강조할 책임이 있습니다.

  • Azure 리소스의 위험도.
  • 인시던트가 발생한 환경.

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

IR-6: 차단, 제거, 복구 – 인시던트 처리 자동화

참고 자료: 응답 시간을 단축하고 분석가의 부담을 줄이려면 반복적인 수동 작업을 자동화합니다. 수동 작업은 실행하는 데 시간이 더 오래 걸립니다. 실행 시간이 길어질수록 각 인시던트가 느려지고 분석가가 처리할 수 있는 인시던트 수가 감소합니다. 또한 수동 작업은 분석가의 피로도를 높입니다. 피로도는 사용자 오류의 위험을 증가시켜 지연을 유발합니다. 또한 분석가가 복잡한 작업에 효과적으로 집중할 수 있는 능력도 저하됩니다.

클라우드용 Microsoft Defender 및 Microsoft Sentinel에서 워크플로 자동화 기능을 사용하세요. 이러한 기능은 자동으로 작업을 트리거할 수 있습니다. 또는 다음과 같은 작업을 수행하여 들어오는 보안 경고에 응답하기 위해 플레이북을 실행할 수 있습니다.

  • 알림 보내기
  • 계정 비활성화
  • 문제가 있는 네트워크 격리

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 보안 상태 및 취약성 관리를 참조하세요.

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

참고 자료: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 가상 머신, 컨테이너 등을 포함한 모든 컴퓨팅 리소스에 대한 보안 구성을 만듭니다.

책임: Customer

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

참고 자료: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 Azure 컴퓨팅 리소스에 대한 구성 위험을 정기적으로 평가하고 수정합니다. 이러한 리소스에는 가상 머신, 컨테이너 등이 포함됩니다. 조직에서 요구하는 운영 체제의 보안 구성을 유지하려면 다음을 사용합니다.

  • Azure Resource Manager 템플릿.
  • 사용자 지정 운영 체제 이미지.
  • Azure Automation State Configuration

Azure Automation State Configuration과 결합된 Microsoft 가상 머신 템플릿은 보안 요구 사항을 충족하고 유지 관리하는 데 도움이 될 수 있습니다.

Microsoft에서 게시하는 Azure Marketplace 가상 머신 이미지도 Microsoft에서 관리 및 유지 관리합니다.

클라우드용 Microsoft Defender는 컨테이너 이미지의 취약성을 검색할 수 있습니다. CIS Docker 벤치마크를 기준으로 컨테이너의 Docker 구성을 지속적으로 모니터링할 수 있습니다. 권장 사항을 확인하고 문제를 해결하려면 클라우드용 Microsoft Defender 권장 사항 페이지를 사용합니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.HybridCompute:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Linux 머신이 Azure 컴퓨팅 보안 기준에 대한 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 1.1.1-preview
Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 1.0.1 - 미리 보기

PV-6: 소프트웨어 취약성 평가

참고 자료: 해당 없음. Microsoft는 Azure Arc 사용 서버를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.HybridCompute:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행합니다. 모든 중요한 보안 결과에 대한 수정을 보장합니다.

침투 테스트가 Microsoft 정책을 위반하지 않는지 확인하려면 Microsoft Cloud 침투 테스트 사용자 참여 규칙을 따릅니다. Microsoft에서 관리하는 레드 팀 구성과 라이브 사이트 침투 테스트의 Microsoft 전략 및 실행을 사용합니다.

  • 클라우드 인프라
  • 서비스
  • 애플리케이션

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

참고 자료: 중앙에서 관리되는 최신 맬웨어 방지 소프트웨어를 사용하여 Azure Arc 사용 서버 또는 해당 리소스를 보호합니다. 실시간 및 주기적 검사를 할 수 있는 중앙 관리 엔드포인트 맬웨어 방지 솔루션을 사용합니다. 클라우드용 Microsoft Defender는 다음을 수행할 수 있습니다.

  • 가상 머신에 널리 사용되는 여러 맬웨어 방지 솔루션의 사용을 자동으로 식별.
  • 엔드포인트 보호 실행 상태 보고.
  • 권장 사항 수행.

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.HybridCompute:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). AuditIfNotExists, 사용 안 함 1.1.1

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되었는지 확인

참고 자료: 맬웨어 방지 서명을 빠르고 일관되게 업데이트합니다.

자동 업데이트를 구성하고 오래된 서명을 사용하는 머신을 모니터링하려면 맬웨어 방지 공급업체의 권장 사항을 따르세요.

책임: Customer

거버넌스 및 전략

자세한 내용은 Azure Security Benchmark: 거버넌스 및 전략을 참조하세요.

GS-1: 자산 관리 및 데이터 보호 전략 정의

지침: 시스템과 데이터를 지속적으로 모니터링하고 보호하기 위한 명확한 전략을 문서화하고 전달합니다. 중요 비즈니스용 데이터 및 시스템의 경우 다음 사항에 집중합니다.

  • 검색
  • 평가
  • 보호
  • 모니터링

이 전략에는 다음 요소에 대한 문서화된 지침, 정책, 표준이 포함되어야 합니다.

  • 비즈니스 위험에 따른 데이터 분류 기준

  • 위험 및 자산 인벤토리에 대한 보안 조직의 가시성

  • 사용할 Azure 서비스에 대한 보안 조직의 승인

  • 수명 주기 전체에서 자산 보안

  • 조직 데이터 분류에 따른 필수 액세스 제어 전략

  • Azure 기본 및 타사 데이터 보호 기능 사용

  • 전송 중 및 미사용 사용 사례에 대한 데이터 암호화 요구 사항

  • 적절한 암호화 표준

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

GS-2: 엔터프라이즈 구분 전략 정의

지침: 다음과 같은 조합을 사용하여 자산에 대한 액세스를 분할하기 위한 엔터프라이즈 차원의 전략을 수립합니다.

  • ID
  • 네트워크
  • 애플리케이션
  • Subscription
  • 관리 그룹
  • 기타 컨트롤

다음의 균형을 신중하게 조정합니다.

  • 보안 분리의 필요성.
  • 서로 통신하고 데이터에 액세스해야 하는 시스템의 일상적인 작업을 사용하도록 설정해야 할 필요성.

다음을 비롯한 컨트롤 유형 간에 일관되게 세분화 전략을 구현합니다.

  • 네트워크 보안
  • ID 및 액세스 모델
  • 애플리케이션 권한 및 액세스 모델
  • 사용자 프로세스 컨트롤

자세한 내용을 보려면 다음 링크로 이동하세요.

책임: Customer

GS-3: 보안 태세 관리 전략 정의

지침: 개별 자산과 해당 자산이 호스트되는 환경에 대한 위험을 지속적으로 측정하고 완화합니다. 다음과 같은 고부가가치 자산 및 노출이 많은 공격 표면에 집중합니다.

  • 게시된 애플리케이션
  • 네트워크 수신 및 송신 지점
  • 사용자 및 관리자 엔드포인트

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

GS-4: 조직 역할, 책임, 의무 조정

참고 자료: 보안 조직의 역할 및 책임에 대한 명확한 전략을 문서화하고 전달합니다. 다음에 대한 명확한 책임을 제공하는 데 집중합니다.

  • 보안 결정.
  • 모든 사람에게 공동 책임 모델 교육.
  • 기술 팀에게 클라우드 보안 기술 교육.

자세한 내용을 보려면 다음 링크로 이동하세요.

책임: Customer

GS-5: 네트워크 보안 전략 정의

참고 자료: Azure 네트워크 보안 접근 방식을 설정합니다. 이 접근 방식을 조직의 전반적인 보안 액세스 제어 전략의 일부로 만듭니다.

이 전략에는 다음 요소에 대한 문서화된 지침, 정책, 표준이 포함되어야 합니다.

  • 중앙 집중식 네트워크 관리 및 보안 책임

  • 엔터프라이즈 구분 전략에 맞춘 조정된 가상 네트워크 구분 모델

  • 다양한 위협 및 공격 시나리오에서 수정 전략

  • 인터넷 에지, 송수신 전략

  • 하이브리드 클라우드 및 온-프레미스 상호 연결 전략

  • 최신 네트워크 보안 아티팩트(예: 네트워크 다이어그램 및 참조 네트워크 아키텍처)

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

GS-6: ID 및 권한 있는 액세스 전략 정의

참고 자료: Azure ID 및 권한 있는 액세스 접근 방식을 설정합니다. 이 접근 방식을 조직의 전반적인 보안 액세스 제어 전략의 일부로 만듭니다.

이 전략에는 다음 요소에 대한 문서화된 지침, 정책, 표준이 포함되어야 합니다.

  • 중앙 집중식 ID/인증 시스템 및 다른 내부/외부 ID 시스템과의 상호 연결

  • 다양한 사용 사례 및 조건에서 강력한 인증 방법

  • 권한이 높은 사용자 보호

  • 비정상적인 사용자 활동 모니터링 및 처리

  • 사용자 ID 및 액세스 검토와 조정 프로세스

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

GS-7: 로깅 및 위협 대응 전략 정의

참고 자료: 규정 준수 요구 사항을 충족하면서 위협을 신속하게 탐지하고 수정하려면 로그 및 위협 대응 전략을 수립합니다. 분석가에게 고품질 경고 및 원활한 환경을 제공하는 데 집중합니다. 그러면 분석가가 통합 및 수동 조치 대신 위협에 집중할 수 있습니다.

이 전략에는 다음 요소에 대한 문서화된 지침, 정책 및 표준이 포함되어야 합니다.

  • 보안 작업(SecOps) 조직의 역할 및 책임

  • NIST(National Institute of Standards and Technology)와 같은 업계 프레임워크에 부합하는 잘 정의된 인시던트 대응 프로세스

  • 지원할 로그 캡처 및 보존:

    • 위협 탐지
    • 사고 대응
    • 규정 준수 요구 사항
  • 다음을 사용하는 위협에 대한 중앙 집중식 가시성 및 상관 관계 정보

    • SIEM
    • 네이티브 Azure 기능
    • 기타 원본
  • 다음 당사자와의 통신 및 알림 계획:

    • 고객
    • 공급업체
    • 관련 공공 당사자
  • 다음과 같은 인시던트 처리에 Azure 네이티브 및 타사 플랫폼을 사용합니다.

    • 로깅 및 위협 탐지
    • 법정
    • 공격 수정 및 근절
  • 확인한 상황 및 증거 보존을 포함하여 인시던트 및 인시던트 후 활동을 처리하는 프로세스

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

GS-8: 백업 및 복구 전략 정의

지침: 조직을 위한 Azure 백업 및 복구 전략을 수립합니다.

이 전략에는 다음 요소에 대한 문서화된 지침, 정책, 표준이 포함되어야 합니다.

  • 비즈니스 복원력 목표에 따라 RTO(복구 시간 목표) 및 RPO(복구 지점 목표) 정의

  • 애플리케이션 및 인프라 설정의 중복도 설계

  • 액세스 제어 및 데이터 암호화를 사용한 백업 보호

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

다음 단계