Container Registry에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 3.0 의 지침을 Container Registry에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의하는 보안 제어 및 Container Registry에 적용되는 관련 지침에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준선에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Container Registry에 적용되지 않는 기능은 제외되었습니다. Container Registry를 Azure Security Benchmark에 완전히 매핑하는 방법을 확인하려면 전체 Container Registry 보안 기준 매핑 파일을 참조하세요.

보안 프로필

보안 프로필에는 컨테이너 레지스트리의 영향력이 큰 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.

서비스 동작 특성
제품 범주 컴퓨팅, 컨테이너
고객이 HOST/OS에 액세스할 수 있음 액세스 권한 없음
서비스를 고객의 가상 네트워크에 배포할 수 있습니다. 거짓
고객 콘텐츠를 휴지 상태 저장 True

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 네트워크 구분 경계 설정

기능

가상 네트워크 통합

설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

네트워크 보안 그룹 지원

설명: 서비스 네트워크 트래픽은 해당 서브넷에 대한 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스

기능

설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.

참조: Azure Private Link 사용하여 Azure 컨테이너 레지스트리에 비공개로 연결

공용 네트워크 액세스 사용 안 함

설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: 서비스 수준 IP ACL 필터링 규칙을 사용하거나 서비스에서 '공용 네트워크 액세스 사용 안 함' 설정을 사용하도록 설정하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.

참조: 공용 네트워크 액세스 사용 안 함

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description 효과 버전
(GitHub)
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적 위협으로부터 레지스트리를 보호하려면 특정 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 IP/방화벽 규칙이나 구성된 가상 네트워크가 없는 경우 상태가 좋지 않은 리소스에 표시됩니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 1.1.0
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. 감사, 사용 안 함 1.0.1

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: 중앙 ID 및 인증 시스템 사용

기능

데이터 평면 액세스에 필요한 Azure AD 인증

설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure 컨테이너 레지스트리를 사용하여 인증

데이터 평면 액세스에 대한 로컬 인증 방법

설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

기능 정보: 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능하면 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.

구성 지침: 데이터 평면 액세스에 대한 로컬 인증 방법 사용을 제한합니다. 대신 Azure Active Directory(Azure AD)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.

참조: 리포지토리 범위 권한이 있는 토큰 만들기

IM-3: 애플리케이션 ID를 안전하게 자동으로 관리

기능

관리 ID

설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: 가능하면 서비스 주체 대신 Azure 관리 ID를 사용합니다. 이 ID는 Azure 서비스 및 azure active Directory(Azure AD) 인증을 지원하는 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다.

참조: Azure 관리 ID를 사용하여 Azure 컨테이너 레지스트리에 인증

서비스 주체

설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

추가 지침: 서비스 주체는 인증 패턴으로 서비스에서 지원되지만 가능한 경우 관리 ID를 대신 사용하는 것이 좋습니다.

참조: 서비스 주체를 사용한 Azure Container Registry 인증

IM-7: 조건에 따라 리소스 액세스 제한

기능

데이터 평면에 대한 조건부 액세스

설명: Azure AD 조건부 액세스 정책을 사용하여 데이터 평면 액세스를 제어할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: Privileged Access를 참조하세요.

PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한

기능

로컬 관리 계정

설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

기능 정보: 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능하면 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.

구성 지침: 일상적인 관리 작업에 필요하지 않은 경우 긴급 사용에 대해서만 로컬 관리자 계정을 사용하지 않도록 설정하거나 제한합니다. 각 컨테이너 레지스트리에는 관리 사용자 계정이 포함되어 있으며 기본적으로 사용하지 않도록 설정되어 있습니다.

참조: Azure 컨테이너 레지스트리를 사용하여 인증

PA-7: 충분한 관리 수행(최소 권한) 원칙

기능

데이터 평면용 Azure RBAC

설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: 역할 및 권한 Azure Container Registry

PA-8: 클라우드 공급자 지원에 대한 액세스 프로세스 결정

기능

고객 Lockbox

설명: 고객 Lockbox를 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다.

참조: Microsoft Azure용 고객 Lockbox

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

기능

중요한 데이터 검색 및 분류

설명: 도구(예: Azure Purview 또는 Azure Information Protection)를 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링

기능

데이터 누출/손실 방지

설명: 서비스는 중요한 데이터 이동을 모니터링하는 DLP 솔루션을 지원합니다(고객의 콘텐츠에서). 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: 컨테이너 레지스트리 내보내기를 사용하지 않도록 설정하여 데이터 평면('docker pull')을 통해서만 데이터에 액세스할 수 있도록 합니다. 이렇게 하면 'acr import' 또는 'acr transfer'를 통해 레지스트리에서 데이터를 이동할 수 없습니다.

참조: 컨테이너 레지스트리에 내보내기 사용 안 함

DP-3: 전송 중인 중요한 데이터 암호화

기능

전송 암호화의 데이터

설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure Container Registry TLS 1.2를 사용하도록 설정하는 방법

DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정

기능

플랫폼 키를 사용하여 미사용 데이터 암호화

설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: 플랫폼 관리형 키를 사용하여 레지스트리 암호화

DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용

기능

CMK를 사용한 미사용 데이터 암호화

설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 범위를 정의합니다. 해당 서비스에 대해 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.

참조: 고객 관리형 키를 사용하여 레지스트리 암호화

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description 효과 버전
(GitHub)
컨테이너 레지스트리는 고객 관리형 키로 암호화해야 함 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.1.2

DP-6: 보안 키 관리 프로세스 사용

기능

Azure Key Vault 키 관리

설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-2: 승인된 서비스만 사용

기능

Azure Policy 지원

설명: Azure Policy 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히 알아봅니다.

지원 여부 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: Microsoft Defender for Cloud를 사용하여 Azure 리소스의 구성을 감사하고 적용하는 Azure Policy 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. Azure Policy [거부] 및 [존재하지 않는 경우 배포] 효과를 사용하여 Azure 리소스에 보안 구성을 적용합니다.

참조: Azure Policy 사용하여 Azure 컨테이너 레지스트리의 규정 준수 감사

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 검색을 참조하세요.

LT-1: 위협 탐지 기능 사용하도록 설정

기능

서비스용 Microsoft Defender/제품 제공

설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: 클라우드용 Microsoft Defender 기본 제공 위협 탐지 기능을 사용하고 컨테이너 레지스트리 리소스에 대해 Microsoft Defender를 사용하도록 설정합니다. Container Registry용 Microsoft Defender는 또 다른 보안 인텔리전스를 제공합니다. Container Registry 리소스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 검색합니다.

참조: 컨테이너용 Microsoft Defender 개요

LT-4: 보안 조사를 위한 로깅 사용

기능

Azure 리소스 로그

설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 Customer

구성 지침: Container Registry에 Azure 리소스 로그를 사용하도록 설정합니다. Microsoft Defender for Cloud 및 Azure Policy를 사용하여 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 이러한 로그는 보안 인시던트 조사와 포렌식 연습에 중요할 수 있습니다.

참조: Azure Container Registry 모니터링

Backup 및 복구

자세한 내용은 Azure Security Benchmark: Backup 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

기능

Azure Backup

설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

서비스 네이티브 백업 기능

설명: 서비스는 자체 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

다음 단계