Microsoft Defender for IoT에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 참고 자료를 IoT용 Microsoft Defender에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 이 콘텐츠는 Azure Security Benchmark에 의해 정의된 보안 컨트롤 및 IoT용 Microsoft Defender에 해당하는 관련 가이드를 기준으로 그룹화되어 있습니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

IoT용 Microsoft Defender에 적용되지 않는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. IoT용 Microsoft Defender가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Microsoft Defender for IoT 보안 기준 매핑 파일을 참조하세요.

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

참고 자료: IoT용 Microsoft Defender는 Azure의 기본 ID 및 액세스 관리 서비스인 Azure AD(Azure Active Directory)와 통합됩니다. Azure AD를 표준화하여 다음 리소스에서 조직의 ID 및 액세스 관리를 관리해야 합니다.

  • Microsoft 클라우드 리소스(예: Azure Portal, Azure Storage, Azure Virtual Machines(Linux 및 Windows), Azure Key Vault, PaaS 및 SaaS 애플리케이션)
  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 태세를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

Azure AD는 Microsoft 계정이 없는 사용자가 애플리케이션 및 리소스에 로그인할 수 있게 하는 외부 ID를 지원합니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

참고 자료: IoT용 Microsoft Defender는 Azure AD(Azure Active Directory)를 사용하여 Azure 리소스, 클라우드 애플리케이션 및 온-프레미스 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다. 여기에는 엔터프라이즈 ID(예: 직원) 및 외부 ID(예: 파트너, 공급업체 및 공급자)가 포함됩니다. 이를 통해 SSO(Single Sign-On)가 온-프레미스 및 클라우드에서 조직의 데이터와 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. 모든 사용자, 애플리케이션, 디바이스를 Azure AD에 연결하여 원활하고 안전하게 액세스하고 가시성과 제어를 강화할 수 있습니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-7: 충분한 관리 수행(최소 권한 원칙)

참고 자료: IoT용 Microsoft Defender는 Azure RBAC(역할 기반 액세스 제어)와 통합되어 해당 리소스를 관리합니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 역할은 사용자, 그룹 서비스 주체 및 관리 ID에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 이러한 역할은 Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 쿼리하거나 인벤토리에 포함할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한해야 합니다. 이렇게 하면 Azure AD(Azure Active Directory) PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하는 효과가 있으며, 정기적으로 검토해야 합니다.

기본 제공 역할을 사용하여 권한을 할당하고 필요한 경우에만 사용자 지정 역할을 만듭니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

지침: 중요한 정보가 조직의 기술 시스템을 통해 안전하게 저장, 처리 및 전송되는 적절한 제어를 설계할 수 있도록 중요한 데이터를 검색하고, 분류하고, 레이블을 지정하는 것이 좋습니다. Azure, 온-프레미스, Office 365 및 기타 위치에 있는 Office 문서 내의 중요한 정보에 대해서는 Azure Information Protection(및 관련 검색 도구)을 사용합니다.

Azure SQL 정보 보호를 사용하여 Azure SQL Database에 저장된 정보의 분류 및 레이블 지정을 지원할 수 있습니다.

책임: Customer

DP-2: 중요한 데이터 보호

지침: Azure RBAC(Azure 역할 기반 액세스 제어), 네트워크 기반 액세스 제어 및 Azure 서비스의 특정 제어(예: SQL 및 기타 데이터베이스의 암호화)를 통해 액세스를 제한하여 중요한 데이터를 보호합니다. 일관된 액세스 제어를 보장하려면 모든 유형의 액세스 제어를 엔터프라이즈 조각화 전략에 맞게 조정해야 합니다. 또한 엔터프라이즈 조각화 전략은 중요 비즈니스용 데이터 및 시스템의 위치를 통해 알려야 합니다.

Microsoft에서 관리하는 기본 플랫폼의 경우 Microsoft는 모든 고객 콘텐츠를 중요한 것으로 간주하고, 고객 데이터 손실 및 노출로부터 보호합니다. Azure 내의 고객 데이터를 안전하게 유지하기 위해 Microsoft는 몇 가지 기본 데이터 보호 제어 및 기능을 구현했습니다.

책임: Customer

DP-4: 전송 중인 중요한 정보 암호화

지침: 액세스 제어를 보완하려면 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용하여 '대역 외' 공격(예: 트래픽 캡처)으로부터 전송 중 데이터를 보호해야 합니다. 사설망의 트래픽에서는 선택 사항이지만, 외부 및 공용 네트워크의 트래픽에서 매우 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트에서 TLS v1.2 이상을 협상할 수 있는지 확인합니다. 원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다. 더 이상 사용되지 않는 SSL, TLS 및 SSH 버전/프로토콜 및 약한 암호는 사용하지 않도록 설정해야 합니다.

Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: 보안 팀이 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여받아 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있도록 합니다.

보안 팀의 책임이 구성된 방식에 따라 보안 위험 모니터링은 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 즉, 보안 인사이트 및 위험이 항상 조직 내의 중앙에서 집계되어야 합니다.

보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.

워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색되면 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-7: 승인된 시간 동기화 원본 사용

참고 자료: IoT용 Microsoft Defender는 사용자 고유의 시간 동기화 원본 구성을 지원하지 않습니다. IoT용 Microsoft Defender 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 보안 상태 및 취약성 관리를 참조하세요.

PV-6: 소프트웨어 취약성 평가 수행

참고 자료: 해당 없음. Microsoft는 IoT용 Microsoft Defender를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정해야 합니다. Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

다음 단계