Cost Management에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Microsoft Azure Cost Management에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 제어 및 Cost Management에 적용되는 관련 지침에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Cost Management에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Cost Management가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Cost Management 보안 기준 매핑 파일을 참조하세요.

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Azure Cost Management는 Azure의 기본 ID 및 액세스 관리 서비스인 Azure AD(Azure Active Directory)와 통합됩니다. Azure AD를 표준화하여 다음 리소스에서 조직의 ID 및 액세스 관리를 관리해야 합니다.

  • Microsoft 클라우드 리소스(예: Azure Portal, Azure Storage, Azure Virtual Machines(Linux 및 Windows), Azure Key Vault, PaaS 및 SaaS 애플리케이션)
  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 Microsoft의 모범 사례 추천 사항과 관련하여 ID 보안 상태를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 추천 사항에 근접하게 일치하는 정도를 측정하고 보안 상태를 향상시킬 수 있습니다.

참고: Azure AD는 외부 ID 공급자를 지원하므로 Microsoft 계정이 없는 사용자가 외부 ID를 사용하여 애플리케이션 및 리소스에 로그인할 수 있습니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

참고 자료: Azure Cost Management는 Azure AD(Azure Active Directory)를 사용하여 Azure 리소스, 클라우드 응용 프로그램 및 온-프레미스 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다. 여기에는 엔터프라이즈 ID(예: 직원) 및 외부 ID(예: 파트너, 공급업체 및 공급자)가 포함됩니다. 이를 통해 SSO(Single Sign-On)가 온-프레미스 및 클라우드에서 조직의 데이터와 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. 모든 사용자, 애플리케이션, 디바이스를 Azure AD에 연결하여 원활하고 안전하게 액세스하고 가시성과 제어를 강화할 수 있습니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

지침: EA(기업계약)에 대한 Cost Management에는 아래와 같은 높은 권한의 계정이 있습니다.

  • 엔터프라이즈 관리자

EA(기업계약) 내의 역할에 할당된 사용자를 정기적으로 검토하는 것이 좋습니다.

또한 이 권한이 있는 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있으므로 높은 권한이 있는 계정 또는 역할의 수를 제한하고 이러한 계정을 관리자 권한 수준에서 보호하는 것이 좋습니다.

Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정할 수 있습니다. JIT는 사용자가 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수 있습니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure Cost Management는 적절한 액세스를 사용하여 조직의 비용 데이터를 보고 관리합니다. 액세스는 구독 수준에서 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 제어되며, 범위 청구는 EA(기업계약) 또는 MCA(Microsoft 고객 계약)에 포함된 관리 역할을 통해 제어됩니다. 정기적으로 부여된 액세스를 감사하고 검토하여 사용자 또는 그룹에 필수 액세스 권한이 필요한지 확인합니다.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

지침: Azure Cost Management는 Azure RBAC(역할 기반 액세스 제어)와 통합되어 리소스(예: 예산, 저장된 보고서 등)를 관리합니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 역할은 사용자, 그룹 및 서비스 주체에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 이러한 역할은 Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 쿼리하거나 인벤토리에 포함할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한해야 합니다. 이렇게 하면 Azure AD(Azure Active Directory) PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하는 효과가 있으며, 정기적으로 검토해야 합니다.

기본 제공 역할을 사용하여 권한을 할당하고 필요한 경우에만 사용자 지정 역할을 만듭니다.

Azure Cost Management는 기본 제공 역할, 읽기 권한자 및 기여자를 제공합니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

지침: 중요한 정보가 조직의 기술 시스템을 통해 안전하게 저장, 처리 및 전송되도록 적절한 제어를 설계할 수 있도록 중요한 데이터를 검색하고, 분류하고, 레이블을 지정하는 것이 좋습니다.

Azure, 온-프레미스, Office 365 및 기타 위치에 있는 Office 문서 내의 중요한 정보에 대해서는 Azure Information Protection(및 관련 검색 도구)을 사용합니다.

Azure SQL 정보 보호를 사용하여 Azure SQL Database에 저장된 정보의 분류 및 레이블 지정을 지원할 수 있습니다.

책임: Customer

DP-2: 중요한 데이터 보호

지침: Azure RBAC(Azure 역할 기반 액세스 제어), 네트워크 기반 액세스 제어 및 Azure 서비스의 특정 제어(예: SQL 및 기타 데이터베이스의 암호화)를 통해 액세스를 제한하여 중요한 데이터를 보호하는 것이 좋습니다.

일관된 액세스 제어를 보장하려면 모든 유형의 액세스 제어를 엔터프라이즈 조각화 전략에 맞게 조정해야 합니다. 또한 엔터프라이즈 조각화 전략은 중요 비즈니스용 데이터 및 시스템의 위치를 통해 알려야 합니다.

Microsoft에서 관리하는 기본 플랫폼의 경우 Microsoft는 모든 고객 콘텐츠를 중요한 것으로 간주하고, 고객 데이터 손실 및 노출로부터 보호합니다. Azure 내의 고객 데이터를 안전하게 유지하기 위해 Microsoft는 몇 가지 기본 데이터 보호 제어 및 기능을 구현했습니다.

책임: Customer

DP-3: 중요한 데이터의 무단 전송 모니터링

지침: 엔터프라이즈 가시성 및 제어를 벗어난 위치로의 무단 데이터 전송을 모니터링합니다. 여기에는 일반적으로 무단 데이터 반출을 나타낼 수 있는 비정상 활동(대량 또는 비정상 전송)에 대한 모니터링이 포함됩니다.

Azure Storage ATP(Advanced Threat Protection) 및 Azure SQL ATP는 중요한 정보의 무단 전송을 나타낼 수 있는 비정상 정보 전송에 대해 경고할 수 있습니다.

AIP(Azure Information Protection)는 분류되고 레이블이 지정된 정보에 대한 모니터링 기능을 제공합니다.

DLP(데이터 손실 방지)를 준수하는 데 필요한 경우 데이터 반출을 방지하기 위해 호스트 기반 DLP 솔루션을 사용하여 탐지 및/또는 예방 제어를 적용할 수 있습니다.

책임: Customer

DP-4: 전송 중인 중요한 정보 암호화

참고 자료: 액세스 제어를 보완하기 위해 전송 중인 데이터는 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용하여 '대역 외' 공격(예: 트래픽 캡처)으로부터 보호해야 합니다. Azure Cost Management는 TLS v1.2 이상으로 전송 중인 데이터 암호화를 지원합니다. 이는 개인 네트워크의 트래픽에 대해 선택 사항이지만 외부 및 공용 네트워크의 트래픽에 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트에서 TLS v1.2 이상을 협상할 수 있는지 확인합니다. 원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다. 사용되지 않는 SSL, TLS 및 SSH 버전 및 프로토콜과 취약한 암호는 사용하지 않도록 설정해야 합니다. 기본값으로 Azure는 다음 데이터에 대한 암호화를 제공합니다.

책임: Microsoft

DP-5: 중요한 미사용 데이터 암호화

지침: 액세스 제어를 보완하기 위해 Azure Cost Management의 내보내기 기능은 Microsoft 관리형 키 암호화를 사용하여 '대역 외' 공격(예: 기본 스토리지 액세스)으로부터 보호하는 미사용 데이터의 Azure Storage 암호화를 지원합니다. 이 기본값 설정을 사용하면 공격자가 데이터를 쉽게 읽거나 수정할 수 없습니다.

자세한 내용은 다음을 참조하세요.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: 보안 팀이 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여받아 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있도록 합니다.

보안 팀의 책임이 구성된 방식에 따라 보안 위험 모니터링은 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 즉, 보안 인사이트 및 위험이 항상 조직 내의 중앙에서 집계되어야 합니다.

보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.

참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD(Azure Active Directory)는 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure AD 보고에서 보거나 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 사용자 로그를 제공합니다.

  • 로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용 정보를 제공합니다.
  • 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.
  • 위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
  • 위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender는 인증 시도 실패 횟수 및 구독에서 더 이상 사용되지 않는 계정과 같은 특정 의심스러운 작업에 대해 경고할 수도 있습니다. 기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 Threat Protection 모듈은 개별 Azure 컴퓨팅 리소스(가상 머신, 컨테이너, App Service), 데이터 리소스(SQL DB 및 스토리지), Azure 서비스 레이어에서 보다 심층적인 보안 경고를 수집할 수도 있습니다. 이 기능을 사용하면 개별 리소스 내에서 비정상 계정 활동을 볼 수 있습니다.

또한 EA(기업계약) 내의 역할에 할당된 사용자를 정기적으로 검토하는 것이 좋습니다.

책임: Customer

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 보안 상태 및 취약성 관리를 참조하세요.

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

참고 자료: 소프트웨어 업데이트를 신속하게 배포하여 운영 체제 및 애플리케이션의 소프트웨어 취약성을 수정합니다. 일반적인 위험 채점 프로그램(예: 일반 취약성 채점 시스템) 또는 타사 검사 도구에서 제공하는 기본 위험 등급 사용 우선 순위를 지정하고 보안 위험이 높은 애플리케이션과 높은 작동 시간이 필요한 애플리케이션의 컨텍스트를 사용하여 환경에 맞게 조정합니다.

책임: Customer

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정해야 합니다. Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

다음 단계