Azure Data Factory에 대한 Azure 보안 기준

이 보안 기준은 Azure 보안 벤치마크 버전 2.0의 지침을 Azure Data Factory에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 제어 및 Azure Data Factory에 적용되는 관련 지침에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Data Factory에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Azure Data Factory가 Azure 보안 벤치마크에 완전히 매핑되는 방법을 확인하려면 전체 Azure Data Factory 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

지침: Data Factory 리소스를 배포할 때 기존 가상 네트워크를 만들거나 사용합니다. 모든 Azure 가상 네트워크가 비즈니스 위험에 적합한 엔터프라이즈 구분 원칙을 준수해야 합니다. 자체 가상 네트워크 내에서 조직에 더 높은 위험을 초래할 수 있는 모든 시스템을 격리합니다. NSG(네트워크 보안 그룹) 또는 Azure Firewall을 사용하여 시스템을 충분히 보호합니다.

클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 네트워크 보안 그룹 구성을 권장합니다. 구성은 외부 네트워크 트래픽 규칙에 대한 참조를 기반으로 포트 및 원본 IP를 제한해야 합니다.

Azure-SSIS Integration Runtime은 고객의 가상 네트워크에서 가상 네트워크 주입을 지원합니다. 가상 네트워크에서 고객이 설정한 모든 NSG 및 방화벽 규칙을 준수합니다. Azure-SSIS IR(Integration Runtime)을 만들 때 가상 네트워크와 연결할 수 있습니다. 이를 통해 Azure Data Factory는 NSG 및 부하 분산 장치와 같은 특정 네트워크 리소스를 만들 수 있습니다. 또한 고유한 고정 공용 IP 주소를 제공하거나 Azure Data Factory에서 사용자를 위한 해당 주소를 만들도록 할 수 있습니다. Azure Data Factory에서 자동으로 생성하는 NSG에서 포트 3389는 기본적으로 모든 트래픽에 열려 있습니다. 관리자만 액세스할 수 있도록 포트를 잠급니다.

고객의 가상 네트워크 내 IaaS VM에서 자체 호스팅 IR(통합 런타임)을 설정할 수 있습니다. 또한 네트워크 트래픽이 고객의 NSG 및 방화벽 설정에 의해 제어됩니다.

응용프로그램 및 기업 세분화 전략을 바탕으로 NSG 규칙에 기반하여 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 3계층 앱과 같이 잘 정의된 특정 응용프로그램의 경우 기본적으로 매우 안전한 거부일 수 있습니다.

책임: Customer

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

지침: Azure Private Link를 사용하여 인터넷을 통하지 않고 가상 네트워크에서 Data Factory에 프라이빗 액세스할 수 있습니다. 프라이빗 액세스는 Azure 인증 및 트래픽 보안에 대한 심층 방어 수단을 추가합니다.

Azure Data Factory Managed Virtual Network에서 프라이빗 엔드포인트를 구성하여 데이터 저장소에 비공개로 연결할 수 있습니다.

Data Factory는 Virtual Network 서비스 엔드포인트를 구성하는 기능을 제공하지 않습니다.

Azure-SSIS IR(Integration Runtime)을 만들 때 가상 네트워크와 연결할 수 있습니다. 이를 통해 Azure Data Factory는 NSG 및 부하 분산 장치와 같은 특정 네트워크 리소스를 만들 수 있습니다. 또한 고유한 고정 공용 IP 주소를 제공하거나 Azure Data Factory에서 사용자를 위한 해당 주소를 만들도록 할 수 있습니다. Azure Data Factory에서 자동으로 생성하는 NSG에서 포트 3389는 기본적으로 모든 트래픽에 열려 있습니다. 관리자만 액세스할 수 있도록 포트를 잠급니다. 온-프레미스 머신 또는 가상 네트워크 내의 Azure VM에 자체 호스팅 IR을 배포할 수 있습니다. 가상 네트워크 서브넷 배포에 관리 액세스만 허용하도록 구성된 NSG가 있는지 확인합니다. Azure-SSIS IR에서는 보호를 위해 각 IR 노드에 대한 Windows 방화벽 규칙에 기본적으로 포트 3389 아웃바운드를 허용하지 않습니다. NSG를 서브넷과 연결하고 엄격한 규칙을 설정하여 가상 네트워크 구성 리소스를 보호할 수 있습니다.

책임: Customer

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

지침: 다음을 포함한 외부 네트워크의 공격으로부터 Data Factory 리소스를 보호합니다.

  • DDoS(분산 서비스 거부) 공격

  • 응용프로그램별 공격.

  • 원치 않는 잠재적인 악성 인터넷 트래픽.

Azure Firewall을 사용하면 인터넷 및 기타 외부 위치의 잠재적인 악성 트래픽으로부터 애플리케이션 및 서비스를 보호할 수 있습니다. Azure 가상 네트워크에서 DDoS 표준 보호를 사용하도록 설정하면 DDoS 공격으로부터 자산을 보호할 수 있습니다. 클라우드용 Microsoft Defender를 사용하여 네트워크 관련 리소스에 대한 잘못된 구성 위험을 검색합니다.

Data Factory는 웹 응용프로그램을 실행하기 위한 것이 아닙니다. 웹 응용프로그램을 대상으로 하는 외부 네트워크 공격으로부터 보호하기 위해 다른 설정을 구성하거나 추가 네트워크 서비스를 배포할 필요가 없습니다.

책임: Customer

NS-6: 네트워크 보안 규칙 간소화

지침: Azure Virtual Network 서비스 태그를 사용하여 NSG 또는 Azure Firewall의 Data Factory 리소스에 대한 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 서비스에 대한 트래픽을 허용하거나 거부하려면 적절한 규칙 원본 또는 대상 필드에 서비스 태그 이름을 지정합니다. Microsoft는 서비스 태그가 포함하는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다.

Azure 통합 런타임의 IP 범위는 서비스 태그 아래에 나열됩니다. 데이터 이동(복사), 외부 및 파이프라인 작업에는 적용되지만 데이터 흐름 실행에는 적용되지 않습니다.

책임: Customer

NS-7: 보안 DNS(Domain Name Service)

지침: 다음과 같은 일반적인 공격을 완화하기 위해 DNS 보안 모범 사례를 따릅니다.:

  • 현수 DNS

  • DNS 증폭 공격

  • DNS 중독 및 스푸핑

Azure DNS를 DNS 서비스로 사용하는 경우 Azure RBAC(Azure 역할 기반 액세스 제어) 및 리소스 잠금을 사용하여 실수 또는 악의적인 변경 내용으로부터 DNS 영역 및 레코드를 보호합니다.

Data Factory에서 Managed Virtual Network를 사용하는 경우 프라이빗 엔드포인트를 통한 연결에는 DNS 업데이트가 필요합니다. Microsoft에서 관리합니다. 고객이 Data Factory의 관리형 가상 네트워크에서 프라이빗 엔드포인트를 만드는 동안 DNS 항목을 지정할 수 있습니다.

책임: Customer

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Data Factory는 Azure AD를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 관리합니다.

  • Microsoft 클라우드 리소스. 리소스에는 다음이 포함됩니다.

    • Azure Portal

    • Azure Storage

    • Azure Linux 및 Windows VM

    • Azure Key Vault

    • PaaS(Platform-as-a-Service)

    • SaaS(Software-as-a-Service) 응용프로그램

  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 우선 순위가 높아야 합니다. Azure AD는 ID 보안 태세를 Microsoft의 모범 사례 권장 사항과 비교할 수 있도록 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

참고: Azure AD는 Microsoft 계정이 없는 사용자가 애플리케이션 및 리소스에 로그인할 수 있게 하는 외부 ID를 지원합니다.

데이터 팩터리 기여자 역할의 멤버 자격이 있는 사용자는 다음 작업을 수행할 수 있습니다.

  • 다음과 같은 데이터 팩터리 및 자식 리소스를 만들고 편집하고 삭제합니다.

    • 데이터 세트

    • 연결된 서비스

    • Pipelines

    • 트리거

    • 통합 런타임

  • Resource Manager 템플릿을 배포할 수 있습니다. Resource Manager 배포는 Azure Portal의 데이터 팩터리에서 사용되는 배포 방법입니다.

  • 데이터 팩터리에 대한 App Insights 경고를 관리할 수 있습니다.

  • 지원 티켓을 작성할 수 있습니다.

Azure VM에서 자체 호스팅 IR을 실행 중인 경우, 관리 ID를 사용하면 코드 내 자격 증명 없이 Key Vault를 포함하여 Azure AD 인증을 지원하는 모든 서비스에 인증할 수 있습니다. VM에 실행되는 코드는 관리 ID를 사용하여 Azure AD 인증을 지원하는 서비스용 액세스 토큰을 요청할 수 있습니다.

Data Factory에서는 관리 ID, 서비스 원칙을 사용하여 데이터 저장소에 대해 인증하고 AAD 인증을 지원하는 컴퓨팅을 사용할 수 있습니다.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

지침: Data Factory는 Azure 리소스에 대한 관리 ID를 지원합니다. 서비스 주체를 만드는 대신 Data Factory에서 관리 ID를 사용하여 다른 리소스에 액세스합니다. Data Factory는 기본적으로 Azure AD 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 미리 정의된 액세스 권한 부여 규칙을 통해 인증이 지원됩니다. 소스 코드나 구성 파일에 하드 코드된 자격 증명을 사용하지 않습니다.

Data Factory에서는 Azure AD를 사용하여 리소스 수준에서 권한이 제한된 서비스 사용자를 만들어 인증서 자격 증명으로 서비스 사용자를 구성하고 클라이언트 암호로 대체할 것을 권장합니다. 두 경우 모두 Azure 관리 ID와 함께 Azure Key Vault를 사용하여 런타임 환경(예: Azure 함수)이 키 자격 증명 모음에서 자격 증명을 검색할 수 있습니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

지침: Data Factory는 Azure AD 및 Azure 리소스, 클라우드 응용프로그램 및 온-프레미스 응용프로그램에 대한 ID 및 액세스 관리를 사용합니다. ID에는 직원과 같은 엔터프라이즈 ID와 파트너, 공급자 및 공급자와 같은 외부 ID가 포함됩니다.

Azure AD는 SSO(Single Sign-On)를 제공하여 조직의 온-프레미스 및 클라우드 데이터 및 리소스에 대한 액세스를 관리하고 보호합니다.

모든 사용자, 응용프로그램 및 장치를 Azure AD에 연결합니다. Azure AD는 원활하고 안전한 액세스와 향상된 가시성 및 제어 기능을 제공합니다.

책임: Customer

IM-7: 의도하지 않은 자격 증명 노출 제거

지침: Data Factory를 사용하면 고객이 코드나 구성을 배포 및 실행하거나 잠재적으로 ID 또는 비밀을 포함하는 데이터를 유지할 수 있습니다. 자격 증명 스캐너를 사용하여 코드, 구성 또는 데이터에서 이러한 자격 증명을 검색합니다. 자격 증명 스캐너는 검사된 자격 증명을 Azure Key Vault와 같이 안전한 위치로 이동하도록 권장합니다.

GitHub의 경우 기본 비밀 검사 기능을 사용하여 코드에서 자격 증명 또는 기타 비밀을 식별할 수 있습니다.

Data Factory의 시각적 UI 기반 제작 도구를 사용하는 경우 연결된 서비스에 저장된 모든 자격 증명 및 비밀은 서비스에 의해 직접 암호화되거나 키 자격 증명 모음을 사용하여 런타임에서 참조할 수 있습니다. 따라서 이러한 자격 증명은 JSON 코드에 표시되지 않습니다. 이러한 자격 증명은 코드 또는 시각적 UI로 검색할 수 없습니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

지침: Azure AD의 가장 중요한 기본 제공 역할은 전역 관리자와 권한 있는 역할 관리자입니다. 다음 두 역할이 있는 사용자는 관리자 역할을 위임할 수 있습니다.

  • 전역 관리자 또는 회사 관리자는 모든 Azure AD 관리 기능 및 Azure AD ID를 사용하는 서비스에도 액세스할 수 있습니다.

  • 권한 있는 역할 관리자는 Azure AD 및 Azure AD PIM(Privileged Identity Management)에서 역할 할당을 관리할 수 있습니다. 이 역할은 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.

참고: 특정 권한이 할당된 사용자 지정 역할을 사용하는 경우 관리해야 할 다른 중요한 역할이 있을 수 있습니다. 중요한 비즈니스 자산의 Administrator 계정에 유사한 컨트롤을 적용할 수도 있습니다.

권한이 높은 계정 또는 역할의 수를 제한하고 이러한 계정을 높은 수준에서 보호합니다. 권한이 높은 사용자는 모든 Azure 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

Azure AD PIM을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정할 수 있습니다. JIT는 사용자가 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동에 대하여 보안 경고를 생성할 수 있습니다.

Data Factory 참가자는 Data Factory 인스턴스에 대한 모든 권한을 제공하는 Azure AD 기본 제공 역할입니다. 더 낮은 권한을 제공하거나 이러한 사용자로부터 Data Factory 내의 특정 기능을 제한하려는 경우 "사용자 지정 역할"을 만드는 것이 좋습니다.

Azure VM에서 자체 호스팅 통합 런타임을 실행하는 경우 VM을 Microsoft Sentinel에 온보딩할 수도 있습니다. Microsoft Sentinel은 확장 가능한 클라우드 네이티브 SIEM 및 SOAR 솔루션입니다. Microsoft Sentinel은 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공합니다. 경고 검색, 위협 표시, 사전 예방식 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

지침: Data Factory는 Azure AD 계정을 사용하여 리소스를 관리합니다. 사용자 계정 및 액세스 할당을 정기적으로 검토하여 계정 및 액세스 권한이 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 구성원, 엔터프라이즈 애플리케이션 액세스 및 역할 할당을 검토할 수 있습니다.

Azure AD 보고는 부실 계정을 검색하는 데 도움이 되는 로그를 제공할 수 있습니다. Azure AD PIM에서 액세스 검토 보고서 워크플로를 만들어 검토 프로세스를 간소화할 수도 있습니다.

Azure VM에서 자체 호스팅 IR을 실행하는 경우 로컬 보안 그룹 및 사용자를 검토해야 합니다. 시스템을 손상시킬 수 있는 예기치 않은 계정이 없는지 확인합니다.

관리자 계정이 너무 많은 경우 경고하도록 Azure AD PIM을 구성할 수 있습니다. PIM은 오래되었거나 부적절하게 구성된 관리자 계정을 식별할 수 있습니다.

참고: 일부 Azure 서비스는 Azure AD를 통해 관리되지 않는 로컬 사용자 및 역할을 지원합니다. 이러한 사용자는 별도로 관리합니다.

Azure Data Factory에 대한 역할 및 사용 권한 /azure/data-factory/concepts-roles-permissions

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자, 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 매우 안전한 사용자 워크스테이션 및 Azure Bastion을 사용합니다.

Azure AD, Microsoft Defender ATP 또는 Microsoft Intune을 사용하여 관리 작업을 위해 안전하게 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 다음을 포함하는 보안 구성을 적용할 수 있습니다.

  • 강력한 인증

  • 소프트웨어 및 하드웨어 기준

  • 제한된 논리적 액세스 및 네트워크 액세스

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

지침: Data Factory와 Azure RBAC를 통합하여 리소스를 관리합니다. RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에는 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.

Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 제한합니다. 이 방법은 Azure AD PIM의 JIT(Just-In-Time) 방법을 보완합니다. 역할과 할당을 주기적으로 검토합니다.

기본 제공 역할을 사용하여 권한을 부여합니다. 필요한 경우에만 사용자 지정 역할을 만듭니다.

Data Factory에 대해 보다 제한적인 액세스를 사용하여 Azure AD에서 사용자 지정 역할을 만들 수 있습니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-2: 중요한 데이터 보호

지침: Azure RBAC, 네트워크 기반 액세스 제어 및 Azure 서비스의 특정 제어로 액세스를 제한하여 중요한 데이터를 보호합니다. 예를 들어 SQL 및 기타 데이터베이스에서 암호화를 사용합니다.

일관성을 위해 모든 유형의 액세스 제어를 기업 세분화 전략에 맞춥니다. 중요한 데이터 또는 중요 비즈니스용 데이터 및 시스템의 위치를 기준으로 기업 세분화 전략을 알립니다.

Microsoft는 기본 Microsoft 관리 플랫폼의 모든 고객 콘텐츠를 중요한 것으로 취급합니다. Microsoft는 고객 데이터 손실 및 노출을 방지합니다. Microsoft에는 Azure 고객 데이터를 안전하게 유지하기 위한 기본 데이터 보호 제어 및 기능이 있습니다.

책임: Customer

DP-4: 전송 중인 중요한 정보 암호화

지침: 액세스 제어를 보완하려면 트래픽 캡처와 같은 대역 외 공격으로부터 전송 중인 데이터를 보호합니다. 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용합니다.

Data Factory는 TLS(전송 계층 보안) v1.2로 전송 중 데이터 암호화를 지원합니다.

이 요구 사항은 개인 네트워크의 트래픽에는 선택 사항이지만 외부 및 공용 네트워크의 트래픽에는 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트가 TLS v1.2 이상을 사용할 수 있는지 확인합니다.

원격 관리의 경우 Linux용 SSH(보안 셸) 또는 Windows용 RDP(원격 데스크톱 프로토콜) 및 TLS를 사용합니다. 암호화되지 않은 프로토콜을 사용하지 마세요. 약한 암호와 더 이상 사용되지 않는 SSL, TLS 및 SSH 버전과 프로토콜을 사용하지 않도록 설정합니다.

Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터를 암호화합니다.

책임: Customer

DP-5: 중요한 미사용 데이터 암호화

지침: 액세스 제어를 보완하기 위해 Data Factory가 암호화를 사용하여 미사용 데이터를 대역 외 공격(예: 기본 저장소 액세스)으로부터 보호합니다. 암호화는 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 합니다.

Azure는 미사용 데이터에 대한 암호화를 기본적으로 제공합니다. 매우 중요한 데이터의 경우, 사용 가능하다면 Azure 리소스에서 휴지 상태의 암호화를 추가로 구현할 수 있습니다. Azure는 기본적으로 암호화 키를 관리하지만 특정 Azure 서비스는 고객 관리형 키에 대한 옵션을 제공합니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: 보안 팀에 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여해야 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.

보안 위험에 대한 모니터링은 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.

보안 읽기 권한자 권한을 전체 테넌트의 루트 관리 그룹에 광범위하게 적용하거나 권한 범위를 특정 관리 그룹 또는 구독에 적용할 수 있습니다.

참고: 워크로드 및 서비스를 표시하려면 더 많은 권한이 필요할 수도 있습니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

지침: 보안 팀이 Data Factory와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 조직이 새로운 위험에 노출될 가능성을 평가하기 위해, 그리고 지속적인 보안 개선을 위한 노력의 일환으로 보안 팀에서 이 인벤토리를 필요로 하는 경우가 많습니다. 조직의 권한 있는 보안 팀을 포함하여 Azure AD 그룹을 만들고 해당 팀원에게 모든 Data Factory 리소스에 대한 읽기 권한을 할당합니다. 이 작업은 구독 내에서 단일 상위 수준 역할 할당으로 단순화할 수 있습니다.

Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 구성됩니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

Azure Virtual Machine Inventory를 사용하여 VM의 소프트웨어에 대한 정보 수집을 자동화합니다. Azure Portal에서 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간을 사용할 수 있습니다. 설치 날짜 및 기타 정보에 액세스하려면 게스트 수준 진단을 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져옵니다.

Data Factory는 해당 리소스에 응용프로그램을 실행하거나 소프트웨어를 설치하는 것을 허용하지 않습니다. 해당되는 경우 이 기능을 허용하거나 지원하는 제품의 다른 기능을 설명합니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스를 검색할 때 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

AM-6: 승인된 애플리케이션만 컴퓨팅 리소스에 사용

지침: Azure VM Azure Automation에서 자체 호스팅 IR을 실행하는 경우 다음 중에 완전한 제어를 제공합니다.

  • 배포

  • 작업

  • 워크로드 및 리소스 서비스 해제

변경 내용 추적을 사용하여 VM에 설치된 모든 소프트웨어를 식별할 수 있습니다. 사용자 고유의 프로세스를 구현하거나 인증되지 않은 소프트웨어를 제거하기 위해 Azure Automation State Configuration을 사용할 수 있습니다.

참고: 승인된 응용프로그램 사용은 자체 호스팅 IR이 Azure VM에서 실행되는 경우에만 적용됩니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

지침: 클라우드용 Microsoft Defender 기본 제공 위협 검색 기능을 사용합니다. Data Factory 리소스에 대해 Microsoft Defender를 사용하도록 설정합니다. Microsoft Defender for Data Factory는 보안 인텔리전스의 추가 계층을 제공합니다. Microsoft Defender는 Azure Data Factory 리소스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 검색합니다.

Data Factory의 모든 로그를 SIEM으로 전달합니다. 로그를 사용하여 사용자 지정 위협 검색을 설정합니다. 잠재적인 위협 및 변칙에 대해 다양한 유형의 Azure 자산을 모니터링하고 있는지 확인합니다. 경고의 품질을 높이는 데 집중하여 분석가가 분류하는 가양성을 줄여야 합니다. 경고는 로그 데이터, 에이전트 또는 기타 데이터로부터 제공될 수 있습니다.

책임: Customer

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD는 다음 사용자 로그를 제공합니다. Azure AD 보고에서 로그를 볼 수 있습니다. 보다 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM 및 모니터링 도구와 로그를 통합할 수 있습니다.

  • 로그인 - 관리되는 응용프로그램 사용 현황 및 사용자 로그인 작업에 대한 정보입니다.

  • 감사 로그 - 다양한 Azure AD 기능으로 이루어진 모든 변경 내용에 대한 로그를 통한 추적 기능입니다. 감사 로그에는 Azure AD 내의 모든 리소스에 대한 변경 내용이 포함됩니다. 변경 내용에는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거가 포함됩니다.

  • 위험한 로그인 - 사용자 계정의 합법적인 소유자가 아닐 수도 있는 사람의 로그인 시도에 대한 표시기입니다.

  • 위험 플래그가 지정된 사용자 - 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender에서 과도한 인증 시도 실패 횟수와 같은 의심스러운 작업에 대해 경고할 수도 있습니다. 구독에서 사용되지 않는 계정도 경고를 트리거할 수 있습니다.

기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 다음에서 보다 심층적인 보안 경고를 수집할 수 있습니다.

  • VM, 컨테이너 및 App Service와 같은 개별 Azure 컴퓨팅 리소스.

  • Azure SQL Database 및 Azure Storage와 같은 데이터 리소스.

  • Azure 서비스 계층.

이 기능을 사용하면 개별 리소스의 계정 변칙에 대한 가시성을 얻을 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

지침: 보안 분석을 위해 다음 로그를 사용하도록 설정하고 수집합니다.

  • NSG 리소스 로그

  • NSG 흐름 로그

  • Azure Firewall 로그

  • WAF(웹 응용프로그램 방화벽) 로그

로그는 인시던트 조사, 위협 추적 및 보안 경고 생성을 지원합니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.

Data Factory는 DNS 쿼리 로그를 생성하거나 처리하지 않습니다.

책임: Customer

LT-4: Azure 리소스에 대한 로깅 사용

지침: 활동 로그가 자동으로 제공됩니다. 로그에는 Azure Machine Learning 리소스에 대한 모든 PUT, POST 및 DELETE 작업이 포함되지만 GET 작업은 포함되지 않습니다. 활동 로그를 사용하여 문제 해결 시 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

Data Factory에 대해 Azure 리소스 로그를 사용하도록 설정합니다. Microsoft Defender for Cloud 및 Azure Policy를 사용하여 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 이러한 로그는 보안 인시던트 조사 및 포렌식 연습을 수행하는 데 중요할 수 있습니다.

책임: Customer

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: Azure Monitor를 통해 로그를 수집하여 Azure Data Factory에서 생성된 보안 데이터를 집계합니다. Azure Monitor 내에서 Azure Data Factory 활동 로그를 수신하도록 구성된 Log Analytics 작업 영역을 쿼리할 수 있습니다. 장기/보관 로그 스토리지 또는 이벤트 허브에 Azure Storage 계정을 사용하면 데이터를 다른 시스템으로 내보낼 수 있습니다.

또는 Microsoft Sentinel 또는 타사 SIEM에 데이터를 사용하도록 설정하고 온보딩할 수 있습니다. 또한 Azure Data Factory를 Git과 통합하여 변경 내용을 추적 및 감사하는 기능, 버그를 발생시키는 변경 내용을 되돌리는 기능과 같은 몇 가지 원본 제어 이점을 사용할 수 있습니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

지침: Azure Data Factory에 대한 진단 설정을 사용하도록 설정합니다. Log Analytics 작업 영역에 로그를 저장할 경우 조직의 규정 준수 규칙에 따라 Log Analytics 작업 영역 보존 기간을 설정합니다. 장기 보관 스토리지에 Azure Storage 계정을 사용합니다.Azure Data Factory에서 진단 로그를 사용하도록 설정하는 방법:/azure/data-factory/monitor-using-azure-monitor#configure-diagnostic-settings-and-workspaceLog Analytics 작업 영역에 대해 로그 보존 매개 변수를 설정하는 방법:/azure/azure-monitor/platform/manage-cost-storage#change-the-data-retention-period

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

지침: 해당 사항 없음 Data Factory는 고유한 시간 동기화 원본 구성을 지원하지 않습니다.

Data Factory 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

지침: Azure Policy를 사용하여 Azure Data Factory에 대한 표준 보안 구성을 정의 및 구현합니다. "Microsoft.DataFactory" 네임스페이스의 Azure Policy 별칭을 사용하여 사용자 지정 정책을 만듭니다. Azure Data Factory 인스턴스의 네트워크 구성을 감사하거나 적용하도록 정책을 구성합니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

지침: [거부] 및 [존재하지 않으면 배포] Azure Policy를 사용하여 Azure HDInsight 클러스터 및 관련 리소스에 대한 보안 설정을 적용합니다.

책임: Customer

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

지침: Microsoft Defender for Cloud 및 Azure Policy를 사용하여 Azure VM 및 컨테이너에서 실행되는 모든 자체 호스팅 IR에서 보안 구성을 설정합니다.

책임: Customer

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

지침: Azure VM에서 자체 호스팅 IR을 실행하는 경우 배포를 위해 VM에 대한 보안 구성을 유지 관리하는 몇 가지 옵션이 있습니다.

  • Azure Resource Manager 템플릿: Azure Portal에서 VM을 배포하는 데 사용되는 JSON 기반 파일로, 사용자 지정 템플릿을 유지 관리해야 합니다. Microsoft는 기본 템플릿에 대해 유지 관리를 수행합니다.
  • 사용자 지정 VHD(가상 하드 디스크): 경우에 따라 다른 방법을 통해 관리할 수 없는 복잡한 환경을 처리할 때와 같이 사용자 지정 VHD 파일을 사용해야 할 수 있습니다.

Azure Automation State Configuration: 기본 OS가 배포되면 설정을 보다 세부적으로 제어하고 자동화 프레임워크를 통해 적용할 수 있습니다. Azure Automation State Configuration과 결합된 Microsoft VM 템플릿은 보안 요구 사항을 충족하고 유지하는 데 도움이 될 수 있습니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가 수행

지침: 해당 사항 없음 Microsoft는 Data Factory를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

지침: Azure VM(Virtual Machine)에서 자체 호스팅 IR을 실행하는 경우 Azure 업데이트 관리 솔루션을 사용하여 VM에 대한 업데이트 및 패치를 관리합니다. 업데이트 관리는 로컬에 구성된 업데이트 리포지토리를 사용하여 지원되는 Windows 시스템을 패치합니다. System Center Updates Publisher와 같은 도구를 사용하면 WSUS(Windows Server Update Service)에 사용자 지정 업데이트를 게시할 수 있습니다. 이 시나리오에서는 업데이트 관리에서 타사 소프트웨어를 통해 Configuration Manager를 업데이트 리포지토리로 사용하는 머신을 패치할 수 있습니다.

Azure VM에서 자체 호스팅 IR을 실행하는 경우 네이티브 취약성 검사기를 사용할 수 있습니다. 클라우드용 Microsoft Defender에 포함된 취약성 검사기는 Qualys에서 구동됩니다. Qualys의 검사기는 Azure VM에서 실시간으로 취약성을 식별하기 위한 최고의 도구입니다.

클라우드용 Microsoft Defender는 취약성을 식별하는 경우 발견 사항 및 관련 정보를 권장 사항으로 표시합니다. 관련 정보에는 수정 단계, 관련 CVE, CVSS 점수 등이 포함됩니다. 하나 이상의 구독 또는 특정 VM에 대해 식별된 취약성을 볼 수 있습니다.

책임: Customer

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행하고 모든 중요한 보안 결과를 수정합니다.

Microsoft 클라우드 침투 테스트 사용자 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft의 Red Teaming 전략 및 실행을 사용합니다. Microsoft 관리 클라우드 인프라, 서비스 및 응용프로그램에 대한 실시간 사이트 침투 테스트를 수행합니다.

책임: Customer

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

지침: Azure VM에서 자체 호스팅 IR을 실행하는 경우 Azure Windows VM용 Microsoft 맬웨어 방지 프로그램을 사용하여 리소스를 지속적으로 모니터링하고 방어할 수 있습니다.

책임: Customer

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인

지침: Azure VM에서 자체 호스팅 IR을 배포하는 경우 Azure용 Microsoft 맬웨어 방지 프로그램이 기본적으로 최신 서명, 플랫폼, 엔진 업데이트를 자동으로 설치합니다. 클라우드용 Microsoft Defender: 컴퓨팅 & 앱의 권장 사항에 따라 모든 엔드포인트가 최신 서명으로 최신 상태인지 확인합니다. Azure Security Center와 통합되는 클라우드용 Microsoft Defender Advanced Threat Protection 서비스를 사용하여 바이러스 또는 맬웨어 기반 공격의 위험을 제한하는 추가 보안으로 Windows OS를 추가로 보호할 수 있습니다.

책임: Customer

백업 및 복구

자세한 내용은 Azure Security Benchmark: 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

지침: VM에서 자체 호스팅 IR을 실행하는 경우 Azure Backup을 사용하도록 설정하고 VM 및 자동 백업에 필요한 빈도 및 보존 기간을 구성합니다. Azure Data Factory의 모든 코드를 백업하려면 Data Factory에서 원본 제어 기능을 사용합니다.

책임: 공유됨

BR-2: 백업 데이터 암호화

지침: Azure VM에서 자체 호스팅 IR을 실행하는 경우 Azure Backup을 사용하도록 설정하고 Azure VM을 대상으로 하며 필요한 빈도 및 보존 기간을 설정합니다. 이러한 VM은 Azure Key Vault 내에서 고객 관리형 키를 사용하여 백업할 수 있습니다.

책임: 공유됨

BR-3: 고객 관리형 키를 비롯한 모든 백업 유효성 검사

지침: Azure VM에서 자체 호스팅 IR을 실행하는 경우 Azure Backup 내에서 콘텐츠의 데이터 복원을 주기적으로 수행할 수 있는지 확인합니다. 필요한 경우 격리된 네트워크에 대한 콘텐츠 복원을 테스트합니다. 백업된 고객 관리형 키의 복원을 주기적으로 테스트합니다.

책임: 공유됨

BR-4: 분실한 키의 위험 완화

지침: Azure Data Factory 메타데이터를 암호화하는 데 사용되는 키 손실을 방지하고 복구하기 위한 조치가 마련되어 있는지 확인합니다. 실수 또는 악의적인 삭제로부터 키를 보호하기 위해 Data Factory의 암호화 키를 저장하는 Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하도록 설정합니다.

책임: 공유됨

다음 단계