Key Vault에 대한 Azure 보안 기준선

이 보안 기준은 Azure Security Benchmark 버전 3.0의 지침을 Key Vault 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Key Vault에 적용되는 관련 지침에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

규정 준수 섹션에서 클라우드용 Microsoft Defender를 사용하여 나열된 Azure Policy 정의가 있는 경우 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. 각 컨트롤 섹션에는 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 이 제품의 규정 준수를 측정하는 데 도움이 되는 관련 Azure Policy 정의가 포함되어 있습니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Key Vault 적용할 수 없는 기능이 제외되었습니다. Key Vault가 완전히 Azure Security Benchmark에 매핑되는 방법을 보려면 전체 Key Vault 보안 기준 매핑 파일을 참조하세요.

보안 프로필

보안 프로필에는 Key Vault 영향을 많이 미치는 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.

서비스 동작 특성
제품 범주 보안
고객이 HOST/OS에 액세스할 수 있음 액세스 권한 없음
서비스를 고객의 가상 네트워크에 배포할 수 있습니다. True
고객 콘텐츠를 휴지 상태 저장 True

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 네트워크 구분 경계 설정

기능

가상 네트워크 통합

설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure Key Vault 지정된 가상 네트워크에 대한 키 자격 증명 모음 액세스를 제한할 수 있는 가상 네트워크 서비스 엔드포인트를 지원합니다.

참조: Azure Key Vault 네트워크 보안

네트워크 보안 그룹 지원

설명: 서비스 네트워크 트래픽은 해당 서브넷에 대한 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: NSG(네트워크 보안 그룹)를 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. NSG 규칙을 만들어 서비스의 열린 포트를 제한합니다(예: 관리 포트가 신뢰할 수 없는 네트워크에서 액세스되지 않도록 방지). 기본적으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽을 허용합니다.

NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스

기능

설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure Key Vault 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.

참조: Azure Key Vault Private Link

공용 네트워크 액세스 사용 안 함

설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure Key Vault 방화벽 IP 필터링 규칙을 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.

참조: Azure Key Vault 네트워크 보안

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.KeyVault:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: Azure Key Vault에서 공용 네트워크 액세스를 사용할 수 없음 공용 인터넷을 통해 액세스할 수 없도록 키 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 자세히 알아보세요. 감사, 거부, 사용 안 함 2.0.0-preview
[미리 보기]: Key Vault에 미리 보기 프라이빗 엔드포인트를 구성해야 함 프라이빗 링크는 공용 인터넷을 통해 트래픽을 보내지 않고 Key Vault를 Azure 리소스에 연결하는 방법을 제공합니다. 프라이빗 링크는 데이터 반출에 대한 심층 방어 기능을 제공합니다. 감사, 거부, 사용 안 함 1.1.0 - 미리 보기

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: 중앙 ID 및 인증 시스템 사용

기능

데이터 평면 액세스에 필요한 Azure AD 인증

설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure Key Vault 인증

데이터 평면 액세스에 대한 로컬 인증 방법

설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

기능 정보: 일반적으로 로컬 인증 방법 또는 계정의 사용은 권장하지 않으며 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.

구성 지침: 일반적으로 로컬 인증 방법 또는 계정의 사용은 권장하지 않으며 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다. 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

IM-3: 애플리케이션 ID를 안전하게 자동으로 관리

기능

관리 ID

설명: 데이터 평면 작업은 관리 ID를 사용하는 인증을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: 가능하면 서비스 주체 대신 Azure 관리 ID를 사용합니다. 이 ID는 Azure Active Directory(Azure AD) 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다.

참조: Azure Key Vault 인증

서비스 주체

설명: 데이터 평면은 서비스 주체를 사용하여 인증을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

사용자 지정 지침: 서비스 주체 대신 관리 ID를 사용하는 것이 좋습니다. 서비스 주체를 사용해야 하는 경우 자동화 흐름 또는 타사 시스템 통합과 같이 사용자 기반이 아닌 액세스가 필요하고 관리 ID가 지원되지 않는 경우 시나리오를 사용하도록 사용을 제한합니다.

참조: Azure Key Vault 인증

IM-7: 조건에 따라 리소스 액세스 제한

기능

데이터 평면에 대한 조건부 액세스

설명: Azure AD 조건부 액세스 정책을 사용하여 데이터 평면 액세스를 제어할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: 워크로드에서 Azure Active Directory(Azure AD) 조건부 액세스에 해당하는 조건 및 조건을 정의합니다. 특정 위치의 액세스 차단 또는 부여, 위험한 로그인 동작 차단 또는 특정 애플리케이션에 대한 조직 관리 디바이스 요구와 같은 일반적인 사용 사례를 고려합니다.

참조: Azure Key Vault 조건부 액세스

IM-8: 자격 증명 및 비밀 노출 제한

기능

Azure Key Vault 서비스 자격 증명 및 비밀 지원 통합 및 스토리지

설명: 데이터 평면은 자격 증명 및 비밀 저장소에 대한 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: 비밀 및 자격 증명을 코드 또는 구성 파일에 포함하는 대신 Azure Key Vault 같은 보안 위치에 저장해야 합니다.

참조: Azure Key Vault 비밀 정보

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한

기능

로컬 관리 계정

설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

기능 정보: 일반적으로 로컬 인증 방법 또는 계정의 사용은 권장하지 않으며 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.

구성 지침: 일반적으로 로컬 인증 방법 또는 계정의 사용은 권장하지 않으며 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다. 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

PA-7: 충분한 관리 수행(최소 권한) 원칙

기능

데이터 평면용 Azure RBAC

설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 기본 제공 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. Azure RBAC 역할은 사용자, 그룹, 서비스 주체 및 관리 ID에 할당할 수 있습니다.

참조: Azure Key Vault RBAC 지원

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-3: 전송 중인 중요한 데이터 암호화

기능

전송 암호화의 데이터

설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

사용자 지정 지침: Azure Platform에서 관리되므로 추가 구성이 필요하지 않습니다.

참조: Azure Key Vault 보안 기능

DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정

기능

플랫폼 키를 사용하여 미사용 데이터 암호화

설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure Key Vault 비밀 및 키의 보안 저장소

DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용

기능

CMK를 사용한 미사용 데이터 암호화

설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure Key Vault CMK(고객 관리형 키) 암호화에 대한 키를 저장하는 위치입니다. CMK 솔루션에 소프트웨어 보호 키 또는 HSM(하드웨어 보안 모듈)으로 보호된 키를 사용할 수 있습니다.

참조: Azure Key Vault 비밀 및 키의 보안 저장소

참고 사항: 고객 관리형 키 및 HSM 세부 정보는 다음을 참조하세요. https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

DP-6: 보안 키 관리 프로세스 사용

기능

Azure Key Vault 키 관리

설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure Key Vault 모범 사례를 따라 키 자격 증명 모음에서 키 수명 주기를 안전하게 관리합니다. 여기에는 키 생성, 배포, 스토리지, 회전 및 해지가 포함됩니다.

참조: Azure Key Vault 키 관리

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.KeyVault:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Key Vault 키에는 만료 날짜가 있어야 함 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
Key Vault 비밀에는 만료 날짜가 있어야 함 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2

DP-7: 보안 인증서 관리 프로세스 사용

기능

Azure Key Vault 인증서 관리

설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Azure Key Vault 모범 사례를 따라 키 자격 증명 모음에서 인증서 수명 주기를 안전하게 관리합니다. 여기에는 인증서의 키 생성/가져오기, 회전, 해지, 스토리지 및 제거가 포함됩니다.

참조: Azure Key Vault 인증서 관리

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.KeyVault:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 인증서에는 지정된 최대 유효 기간이 있어야 함 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. 감사, 거부, 사용 안 함 2.1.0-preview

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-2: 승인된 서비스만 사용

기능

Azure Policy 지원

설명: Azure Policy 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: Microsoft Defender for Cloud를 사용하여 Azure Key Vault 구성을 감사하고 적용하도록 Azure Policy 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. Azure Policy [거부] 및 [존재하지 않는 경우 배포] 효과를 사용하여 Azure 리소스에서 보안 구성을 적용합니다.

참조: Azure Key Vault 정책

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 검색을 참조하세요.

LT-1: 위협 탐지 기능 사용하도록 설정

기능

Microsoft Defender for Service/ 제품 제품

설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: microsoft Defender for Key Vault 경고가 표시되면 Key Vault Microsoft Defender를 사용하도록 설정하고, 경고를 조사하고 대응합니다.

참조: Azure용 Microsoft Defender Key Vault

LT-4: 보안 조사를 위해 로깅 사용

기능

Azure 리소스 로그

설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아봅니다.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

구성 지침: 키 자격 증명 모음에 대한 리소스 로그를 사용하도록 설정합니다. Azure Key Vault 대한 리소스 로그는 키 만들기, 검색 및 삭제와 같은 키 작업 작업을 기록할 수 있습니다.

참조: Azure Key Vault 로깅

Backup 및 복구

자세한 내용은 Azure 보안 벤치마크: 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

기능

Azure Backup

설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 해당 사항 없음 해당 사항 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

서비스 네이티브 백업 기능

설명: 서비스는 고유한 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True 거짓 고객

사용자 지정 지침: Azure Key Vault 네이티브 백업 기능을 사용하여 비밀, 키 및 인증서를 백업하고 백업 데이터를 사용하여 서비스를 복구할 수 있는지 확인합니다.

참조: Azure Key Vault 백업

다음 단계