ExpressRoute에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 1.0의 지침을 ExpressRoute에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의된 보안 제어 및 ExpressRoute에 적용되는 관련 지침에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

ExpressRoute에 적용되지 않거나 Microsoft의 책임인 컨트롤은 제외되었습니다. ExpressRoute가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 ExpressRoute 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

1.9: 네트워크 디바이스에 대한 표준 보안 구성 유지

참고 자료: Azure Policy를 사용하여 Azure ExpressRoute에 대한 표준 보안 구성을 정의 및 구현합니다. “Microsoft.Network” 네임스페이스에서 Azure Policy 별칭을 사용하여 ExpressRoute의 네트워크 구성을 감사 및 시행하는 사용자 지정 정책을 만듭니다.

책임: Customer

1.10: 문서 트래픽 구성 규칙

참고 자료: Azure ExpressRoute 인스턴스에 대한 태그를 사용하여 메타데이터 및 논리 조직을 제공합니다.

태그 지정과 관련된 기본 제공 Azure Policy 정의(예: "태그 및 해당 값 필요")를 사용하여 모든 리소스에서 태그를 포함하도록 만들고 태그가 없는 기존 리소스를 알립니다.

Azure PowerShell 또는 Azure CLI를 사용하여 태그를 기반으로 리소스를 조회하거나 작업을 수행할 수 있습니다.

책임: Customer

1.11: 자동화된 도구를 사용하여 네트워크 리소스 구성 모니터링 및 변경 내용 검색

참고 자료: Azure Activity Log를 사용하여 네트워크 리소스 구성을 모니터링하고 ExpressRoute 연결 관련 네트워크 리소스에 대한 변경 내용을 검색합니다. Azure Monitor 내에서 중요한 리소스가 변경되면 트리거되는 경고를 만듭니다.

책임: Customer

로깅 및 모니터링

자세한 내용은 Azure Security Benchmark: 로깅 및 모니터링을 참조하세요.

2.2: 중앙 보안 로그 관리 구성

지침: Azure 활동 로그 진단 설정을 사용하도록 설정하고 보관을 위해 로그를 Log Analytics 작업 영역, Azure 이벤트 허브 또는 Azure 스토리지 계정으로 보냅니다. 활동 로그는 컨트롤 플레인 수준에서 Azure ExpressRoute 리소스에 대해 수행된 작업에 대한 인사이트를 제공합니다. Azure 활동 로그 데이터를 사용하면 ExpressRoute 리소스의 컨트롤 플레인 수준에서 수행되는 모든 쓰기 작업(PUT, POST, DELETE)에 대한 “무엇을, 누가, 언제”를 판단할 수 있습니다.

책임: Customer

2.3: Azure 리소스에 대한 감사 로깅 사용

지침: Azure 활동 로그 진단 설정을 사용하도록 설정하고 보관을 위해 로그를 Log Analytics 작업 영역, Azure 이벤트 허브 또는 Azure 스토리지 계정으로 보냅니다. 활동 로그는 컨트롤 플레인 수준에서 Azure ExpressRoute 리소스에 대해 수행된 작업에 대한 인사이트를 제공합니다. Azure 활동 로그 데이터를 사용하면 ExpressRoute 리소스의 컨트롤 플레인 수준에서 수행되는 모든 쓰기 작업(PUT, POST, DELETE)에 대한 “무엇을, 누가, 언제”를 판단할 수 있습니다.

책임: Customer

2.5: 보안 로그 스토리지 보존 구성

지침: Azure Monitor에서 조직의 규정 준수 규정에 따라 Azure ExpressRoute 리소스와 연결된 Log Analytics 작업 영역의 로그 보존 기간을 설정합니다.

책임: Customer

2.6: 로그 모니터링 및 검토

지침: Azure 활동 로그 진단 설정을 사용하도록 설정하고, 로그를 Log Analytics 작업 영역에 보냅니다. Log Analytics에서 쿼리를 수행하여 용어를 검색하고, 추세를 식별하고, 패턴을 분석하고, Azure ExpressRoute에 대해 수집되었을 수 있는 활동 로그 데이터를 기반으로 하여 다양한 인사이트를 제공합니다.

책임: Customer

2.7: 비정상 활동에 대한 경고 사용

지침: Azure ExpressRoute 리소스와 관련된 메트릭과 활동 로그에 따라 경고를 받도록 구성할 수 있습니다. Azure Monitor를 사용하면 이메일 알림을 보내거나, 웹후크를 호출하거나, Azure Logic App을 호출하도록 경고를 구성할 수 있습니다.

책임: Customer

ID 및 Access Control

자세한 내용은 Azure Security Benchmark: ID 및 액세스 제어를 참조하세요.

3.1: 관리 계정 인벤토리 유지 관리

지침: Azure ExpressRoute 리소스의 컨트롤 플레인(예: Azure Portal)에 대한 관리 액세스 권한이 있는 사용자 계정의 인벤토리를 유지 관리합니다.

구독에 대한 Azure Portal의 IAM(ID 및 액세스 제어) 창을 사용하여 Azure RBAC(역할 기반 액세스 제어)를 구성할 수 있습니다. 이러한 역할은 Active Directory의 사용자, 그룹, 서비스 사용자 및 관리 ID에 적용됩니다.

또한 ExpressRoute 파트너 리소스 관리자 API를 사용하는 파트너는 expressRouteCrossConnection 리소스에 역할 기반 액세스 제어를 적용할 수 있습니다. 이러한 컨트롤은 계정에서 expressRouteCrossConnection 리소스를 수정하고 피어링 구성을 추가/업데이트/삭제할 수 있는 사용자에 대한 권한을 정의할 수 있습니다.

책임: Customer

3.2: 기본 암호 변경(해당하는 경우)

지침: Azure AD(Azure Active Directory)에는 기본 암호 개념이 없습니다. 암호를 요구하는 다른 Azure 리소스는 복잡성 요구 사항과 최소 암호 길이(서비스에 따라 다름)를 준수하여 암호를 강제로 만들도록 합니다. 타사 애플리케이션 및 마켓플레이스 서비스의 경우 재량에 따라 기본 암호를 사용할 수 있습니다.

책임: Customer

3.3: 전용 관리 계정 사용

지침: 전용 관리 계정 사용에 대한 표준 운영 절차를 만듭니다. 클라우드용 Microsoft Defender ID 및 액세스 관리를 사용하여 관리 계정 수를 모니터링합니다.

또한 전용 관리 계정을 추적하는 데 도움이 되도록 다음과 같은 클라우드용 Microsoft Defender 또는 기본 제공 Azure 정책의 권장 사항을 사용할 수 있습니다.

  • 구독에 둘 이상의 소유자를 할당해야 합니다.
  • 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다.
  • 소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

3.4: Azure Active Directory Single Sign-On(SSO) 사용

지침: 해당 사항이 없습니다. SSO(Single Sign-On)는 사용자가 Azure AD(Azure Active Directory)의 애플리케이션에 로그인할 때 보안 및 편리함을 제공합니다. Azure ExpressRoute 컨트롤 플레인(예: Azure Portal)에 대한 액세스는 이미 Azure AD와 통합되었으며 Azure Portal뿐만 아니라 Azure Resource Manager REST API를 통해 액세스됩니다.

책임: Customer

3.5: 모든 Azure Active Directory 기반 액세스에 다단계 인증 사용

참고 자료: Azure AD(Azure Active Directory) 다단계 인증을 사용하도록 설정하고 클라우드용 Microsoft Defender ID 및 액세스 관리 권장 사항을 따릅니다.

책임: Customer

3.6: 모든 관리 작업에 전용 컴퓨터(Privileged Access Workstation) 사용

참고 자료: Azure AD(Azure Active Directory) Multi-Factor Authentication을 사용하도록 설정한 PAW(Privileged Access Workstation)를 사용하여 Microsoft Sentinel 관련 리소스에 로그인하고 구성합니다.

책임: Customer

3.7: 관리 계정의 의심스러운 활동에 대한 로그 및 경고

지침: 환경에서 의심스럽거나 안전하지 않은 활동이 발생하는 경우 로그와 경고를 생성하기 위해 Azure AD(Azure Active Directory) PIM(Privileged Identity Management)을 사용합니다.

또한 Azure AD 위험 탐지를 사용하여 위험한 사용자 동작에 대한 경고 및 보고서를 봅니다.

책임: Customer

3.8: 승인된 위치에서만 Azure 리소스 관리

지침: 조건부 액세스 명명된 위치를 사용하여 IP 주소 범위 또는 국가/지역의 특정 논리적 그룹화에서만 Azure Portal에 액세스할 수 있도록 허용합니다.

책임: Customer

3.9: Azure Active Directory 사용

참고 자료: Azure AD(Azure Active Directory)를 Microsoft Sentinel 인스턴스의 중앙 인증 및 권한 부여 시스템으로 사용합니다. Azure AD는 강력한 암호화를 저장 데이터 및 전송 중 데이터에 사용하여 데이터를 보호합니다. 또한 Azure AD는 사용자 자격 증명을 솔트하고, 해시하고, 안전하게 저장합니다.

책임: Customer

3.10: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure AD(Azure Active Directory)는 부실 계정을 발견하는 데 도움이 되는 로그를 제공합니다. 또한 Azure ID 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리합니다. 사용자의 액세스를 정기적으로 검토하여 적합한 사용자만 계속 액세스할 수 있도록 합니다.

책임: Customer

3.11: 비활성화된 자격 증명에 대한 액세스 시도 모니터링

지침: Azure AD(Azure Active Directory)를 Azure ExpressRoute 리소스의 중앙 인증 및 권한 부여 시스템으로 사용합니다. Azure AD는 강력한 암호화를 저장 데이터 및 전송 중 데이터에 사용하여 데이터를 보호합니다. 또한 Azure AD는 사용자 자격 증명을 솔트하고, 해시하고, 안전하게 저장합니다.

Azure AD 로그인 작업, 감사 및 위험 이벤트 로그 원본에 액세스할 수 있으며, 이를 통해 Microsoft Sentinel 또는 타사 SIEM과 통합할 수 있습니다.

Azure AD 사용자 계정에 대한 진단 설정을 생성하고 감사 로그 및 로그인 로그를 Log Analytics Workspace로 보내면 이 프로세스를 간소화할 수 있습니다. Log Analytics 내에서 원하는 로그 경고를 구성할 수 있습니다.

책임: Customer

3.12: 계정 로그인 동작 편차에 대한 경고

지침: 컨트롤 플레인(예: Azure Portal)의 계정 로그인 동작 편차의 경우 Azure Active Directory(Azure AD) ID 보호 및 위험 검색 기능을 사용하여 사용자 ID와 관련하여 검색된 의심스러운 작업에 대한 자동화된 대응을 구성합니다. 추가 조사를 위해 Microsoft Sentinel로 데이터를 수집할 수도 있습니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

4.4: 전송 중인 모든 중요한 정보 암호화

지침: IPsec은 IETF 표준입니다. IP(인터넷 프로토콜) 수준 또는 네트워크 계층 3에서 데이터를 암호화합니다. IPsec을 사용하여 온-프레미스 네트워크와 Azure의 VNET(가상 네트워크) 간 엔드투엔드 연결을 암호화할 수 있습니다.

책임: 공유됨

4.6: Azure RBAC를 사용하여 리소스에 대한 액세스 제어

지침: 구독에 대한 Azure Portal의 IAM(ID 및 액세스 제어) 창을 사용하여 Azure RBAC(역할 기반 액세스 제어)를 구성할 수 있습니다. 이러한 역할은 Active Directory의 사용자, 그룹, 서비스 사용자 및 관리 ID에 적용됩니다. 개인 및 그룹에 대해 기본 제공 역할 또는 사용자 지정 역할을 사용할 수 있습니다.

Azure ExpressRoute에는 회로 소유자 및 회로 사용자 역할도 있습니다. 회로 사용자는 ExpressRoute 회로와 동일한 구독 내에 있지 않은 가상 네트워크 게이트웨이의 소유자입니다. 회로 소유자는 언제든지 부여된 권한을 수정하고 해지할 수 있습니다. 권한 부여를 해지하면 액세스가 해지된 구독에서 모든 링크 연결이 삭제됩니다. 회로 사용자는 가상 네트워크당 하나의 권한 부여를 사용할 수 있습니다.

또한 ExpressRoute 파트너 리소스 관리자 API를 사용하는 파트너는 expressRouteCrossConnection 리소스에 역할 기반 액세스 제어를 적용할 수 있습니다. 이러한 컨트롤은 계정에서 expressRouteCrossConnection 리소스를 수정하고 피어링 구성을 추가/업데이트/삭제할 수 있는 사용자에 대한 권한을 정의할 수 있습니다.

책임: Customer

4.9: 중요한 Azure 리소스에 대한 변경 내용 기록 및 경고

지침: Azure Monitor에서 Azure 활동 로그를 사용하여 Azure ExpressRoute 및 기타 중요하거나 관련된 리소스의 프로덕션 인스턴스가 변경되는 경우에 관한 경고를 만듭니다.

책임: Customer

인벤토리 및 자산 관리

자세한 내용은 Azure Security Benchmark: 인벤토리 및 자산 관리를 참조하세요.

6.1: 자동화된 자산 검색 솔루션 사용

지침: Azure Resource Graph를 사용하여 구독 내 모든 리소스(예: 컴퓨팅, 스토리지, 네트워크, 포트, 프로토콜 등)를 쿼리/검색합니다. 테넌트에서 적절한 권한(읽기)을 확인하고, 모든 Azure 구독 및 구독 내의 리소스를 열거합니다.

클래식 Azure 리소스는 Resource Graph를 통해 검색할 수 있지만, 추후에는 Azure Resource Manager 리소스를 만들어 사용하는 것이 좋습니다.

책임: Customer

6.3: 권한 없는 Azure 리소스 삭제

지침: 해당하는 경우 태그 지정, 관리 그룹 및 별도의 구독을 사용하여 Azure 리소스를 구성하고 추적합니다. 정기적으로 인벤토리를 조정하고, 구독에서 권한 없는 리소스가 적시에 삭제되도록 합니다.

또한 Azure Policy에서 다음과 같은 기본 제공 정책 정의를 사용하여 고객 구독에서 만들 수 있는 리소스 유형을 제한합니다.

  • 허용되지 않는 리소스 종류
  • 허용되는 리소스 유형

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

6.5: 승인되지 않은 Azure 리소스 모니터링

지침: Azure Policy를 사용하여 구독에 만들 수 있는 리소스 종류에 대한 제한을 설정합니다.

Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리/검색합니다. 환경에 있는 모든 Azure 리소스가 승인되었는지 확인합니다.

책임: Customer

6.9: 승인된 Azure 서비스만 사용

지침: Azure Policy에서 다음 기본 제공 정책 정의를 사용하여 고객 구독에서 만들 수 있는 리소스 종류를 제한합니다.

  • 허용되지 않는 리소스 종류
  • 허용되는 리소스 유형

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

6.11: Azure Resource Manager와 상호 작용하는 사용자 기능 제한

지침: "Microsoft Azure 관리" 앱에 대한 "액세스 차단"을 구성하여 사용자가 Azure Resource Manager와 상호 작용하는 기능을 제한하도록 Azure 조건부 액세스를 구성합니다.

책임: Customer

보안 구성

자세한 내용은 Azure Security Benchmark: 보안 구성을 참조하세요.

7.1: 모든 Azure 리소스에 대한 보안 구성 설정

참고 자료: Azure Policy를 사용하여 Azure ExpressRoute에 대한 표준 보안 구성을 정의 및 구현합니다. “Microsoft.Network” 네임스페이스에서 Azure Policy 별칭을 사용하여 ExpressRoute의 네트워크 구성을 감사 및 시행하는 사용자 지정 정책을 만듭니다.

책임: Customer

7.7: Azure 리소스를 위한 구성 관리 도구 배포

참고 자료: Azure Policy를 사용하여 Azure ExpressRoute에 대한 표준 보안 구성을 정의 및 구현합니다. “Microsoft.Network” 네임스페이스에서 Azure Policy 별칭을 사용하여 ExpressRoute의 네트워크 구성을 감사 및 시행하는 사용자 지정 정책을 만듭니다.

책임: Customer

7.9: Azure 리소스에 대한 자동화된 구성 모니터링 구현

지침: "Microsoft.Network" 네임스페이스에서 기본 제공 Azure Policy 정의 및 Azure Policy 별칭을 사용하여 시스템 구성을 경고, 감사 및 적용하는 사용자 지정 정책을 만듭니다. [감사], [거부], [존재하지 않으면 배포] Azure Policy를 사용하여 Azure 리소스에 대한 구성을 자동으로 적용합니다.

책임: Customer

7.13: 의도하지 않은 자격 증명 노출 제거

지침: 자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.

책임: Customer

맬웨어 방어

자세한 내용은 Azure Security Benchmark: 맬웨어 방어를 참조하세요.

8.2: 비 컴퓨팅 Azure 리소스에 업로드할 파일 미리 검사

지침: Microsoft 맬웨어 방지는 Azure 서비스(예: Azure ExpressRoute)를 지원하는 기본 호스트에서 사용하도록 설정되어 있지만, 고객 콘텐츠에서 실행되지 않습니다.

비계산 Azure 리소스에 업로드되는 콘텐츠를 미리 검사하는 것은 사용자의 책임입니다. Microsoft는 고객 데이터에 액세스할 수 없으므로 사용자를 대신해서 고객 콘텐츠의 맬웨어 방지 검사를 수행할 수 없습니다.

책임: Customer

사고 대응

자세한 내용은 Azure Security Benchmark: 인시던트 응답을 참조하세요.

10.1: 인시던트 대응 지침 만들기

지침: 조직에 대한 인시던트 대응 지침을 작성합니다. 검색에서 사후 검토에 이르는 인시던트 처리/관리 단계뿐만 아니라 담당자의 모든 역할을 정의하는 인시던트 대응 계획이 있는지 확인합니다.

책임: Customer

10.2: 인시던트 점수 매기기 및 우선 순위 지정 절차 만들기

지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 클라우드용 Microsoft Defender에서 경고를 발행하는 데 사용되는 결과 또는 분석의 신뢰도 및 경고가 발생한 작업에 악의적인 의도가 있었다는 신뢰도 수준을 기반으로 합니다.

또한 구독(예: 프로덕션, 비프로덕션)을 명확하게 표시하고 이름 지정 시스템을 만들어 Azure 리소스를 명확하게 식별하고 분류합니다.

책임: Customer

10.3: 보안 대응 프로시저 테스트

지침: 시스템의 인시던트 대응 기능을 정기적으로 테스트합니다. 약점과 격차를 식별하고 필요에 따라 계획을 수정합니다.

책임: Customer

10.4: 보안 인시던트 연락처 세부 정보 제공 및 보안 인시던트에 대한 경고 알림 구성

지침: MSRC(Microsoft 보안 대응 센터)에서 불법적이거나 권한이 없는 당사자가 고객 데이터에 액세스했다고 검색하는 경우 Microsoft에서 보안 인시던트 연락처 정보를 사용하여 사용자에게 연락합니다. 문제가 해결되었는지 확인하기 위해 사후에 인시던트를 검토합니다.

책임: Customer

10.5: 보안 경고를 인시던트 대응 시스템에 통합

지침: 연속 내보내기 기능을 사용하여 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 연속 내보내기를 사용하면 경고 및 추천 사항을 수동으로 또는 지속적으로 내보낼 수 있습니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍할 수 있습니다.

책임: Customer

10.6: 보안 경고에 대한 대응 자동화

지침: 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 사용하여 보안 경고 및 권장 사항에 대해 "Logic Apps"를 통해 응답을 자동으로 트리거합니다.

책임: Customer

침투 테스트 및 레드 팀 연습

자세한 내용은 Azure Security Benchmark: 침투 테스트 및 레드 팀 연습을 참조하세요.

11.1: Azure 리소스에 대한 침투 테스트를 정기적으로 수행 및 모든 중요한 보안 결과를 수정

지침: 침투 테스트가 Microsoft 정책을 위반하지 않도록 Microsoft Cloud 침투 테스트 참여 규칙을 따릅니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

다음 단계