Azure Lighthouse에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Azure Lighthouse에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Azure Lighthouse에 적용되는 관련 지침에 정의된 보안 컨트롤에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Lighthouse에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Azure Lighthouse가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Azure Lighthouse 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-7: 보안 DNS(Domain Name Service)

참고 자료: 해당 없음. Azure Lighthouse는 기본 DNS 구성을 노출하지 않으며 이러한 설정은 Microsoft에서 유지 관리합니다.

책임: Microsoft

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Azure Lighthouse는 기본 ID 및 액세스 관리 서비스로 Azure AD(Azure Active Directory)를 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 관리합니다.

  • Microsoft Cloud 리소스(예: Azure Portal, Azure Storage, Azure Virtual Machine(Linux 및 Windows), Azure Key Vault, PaaS 및 SaaS 애플리케이션)
  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure Lighthouse를 사용하면 관리 테넌트의 지정된 사용자에게는 고객 테넌트의 위임된 구독 및/또는 리소스 그룹에 액세스할 수 있는 Azure 기본 제공 역할이 있습니다. 현재는 소유자 역할 또는 DataActions 권한이 있는 기본 제공 역할을 제외한 모든 기본 제공 역할이 지원됩니다. 사용자 액세스 관리자 역할은 관리 ID에 역할 할당에서 제한된 용도로만 지원됩니다. 사용자 지정 역할 및 클래식 구독 관리자 역할은 지원되지 않습니다.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

참고 자료: Azure 관리 ID는 Azure AD(Azure Active Directory) 인증을 지원하는 Azure 서비스 및 리소스를 인증할 수 있습니다. 소스 코드 또는 구성 파일에 자격 증명을 하드 코딩하는 것을 방지하기 위해 미리 정의된 액세스 권한 부여 규칙을 통해 인증을 사용할 수 있습니다. Azure Lighthouse를 사용하면 고객의 구독에 대한 사용자 액세스 관리자 역할을 가진 사용자가 해당 고객의 테넌트에서 관리 ID를 만들 수 있습니다. 이 역할은 일반적으로 Azure Lighthouse에서 지원되지 않지만 이 특정 시나리오에서 사용할 수 있습니다. 이 권한을 가진 사용자는 관리 ID에 특정 기본 제공 역할을 하나 이상 할당할 수 있습니다.

관리 ID를 지원하지 않는 서비스의 경우 Azure AD를 사용하여 리소스 수준에서 제한된 권한을 가진 서비스 주체를 만듭니다. Azure Lighthouse를 사용하면 서비스 주체가 온보딩 프로세스 중에 부여된 역할에 따라 고객 리소스에 액세스할 수 있습니다. 인증서 자격 증명을 사용하여 서비스 사용자를 구성하고 클라이언트 암호를 대체하는 것이 좋습니다. 두 경우 모두 Azure 관리 ID와 함께 Azure Key Vault를 사용하므로 런타임 환경(예: Azure 함수)이 키 자격 증명 모음에서 자격 증명을 검색할 수 있습니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

지침: 높은 권한의 사용자 계정 수를 제한하고 승격된 수준에서 이러한 계정을 보호합니다. Azure Lighthouse를 사용하도록 설정하고 사용하는 데는 전역 관리자 계정이 필요하지 않습니다.

테넌트 수준 활동 로그 데이터에 액세스하려면 루트 범위(/)의 모니터링 리더 Azure 기본 제공 역할을 계정에 할당해야 합니다. 루트 범위의 Monitoring Reader 역할은 광범위한 액세스이기 때문에 개별 사용자 또는 그룹이 아닌 서비스 주체 계정에 이 역할을 할당하는 것이 좋습니다. 이 할당은 승격된 추가 액세스 권한이 있는 전역 관리자 역할을 가진 사용자가 수행해야 합니다. 이 승격된 액세스는 역할 할당을 수행하기 전에 즉시 추가해야 하며, 할당이 완료되면 제거됩니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure Lighthouse는 Azure AD(Azure Active Directory) 계정을 사용하여 리소스를 관리하고, 사용자 계정 및 액세스 할당을 정기적으로 검토하여 계정 및 해당 액세스가 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 발견하는 데 유용한 로그를 제공합니다. 또한 Azure AD Privileged Identity Management를 사용하여 검토 프로세스를 지원하는 액세스 검토 보고서 워크플로를 만들 수 있습니다.

고객은 Azure Portal에서 Azure Lighthouse를 통해 관리 테넌트의 사용자에게 부여된 액세스 수준을 검토할 수 있습니다. 언제든지 이 액세스 권한을 제거할 수 있습니다.

또한 Azure Privileged Identity Management는 과도한 수의 관리자 계정이 생성되었을 때 경고하고, 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 구성할 수 있습니다.

참고: 일부 Azure 서비스는 Azure AD를 통해 관리되지 않는 로컬 사용자 및 역할을 지원합니다. 이러한 사용자는 별도로 관리해야 합니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 요구 사항에 따라 프로덕션 환경에서 Azure Lighthouse를 사용하여 관리 작업을 수행하는 데 매우 안전한 사용자 워크스테이션 및/또는 Azure Bastion을 사용할 수 있습니다. Azure AD(Azure Active Directory), Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 관리형 보안 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 강력한 인증, 소프트웨어 및 하드웨어 기준 설정, 제한된 논리 및 네트워크 액세스를 비롯한 보안 구성을 적용할 수 있습니다.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

지침: Azure Lighthouse는 Azure RBAC(역할 기반 액세스 제어)와 통합되어 해당 리소스를 관리합니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 기본 제공 역할을 사용자, 그룹, 서비스 주체 및 관리 ID에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 이러한 역할은 Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 쿼리하거나 인벤토리에 포함할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한해야 합니다. 이렇게 하면 Azure AD(Azure Active Directory) PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하는 효과가 있으며, 정기적으로 검토해야 합니다. 기본 제공 역할을 사용하여 권한을 할당하고, 필요한 경우에만 사용자 지정 역할을 만듭니다.

Azure Lighthouse를 사용하면 Azure 기본 제공 역할을 사용하여 위임된 고객 리소스에 액세스할 수 있습니다. 대부분의 경우 많은 개별 사용자 계정이 아닌 그룹 또는 서비스 주체에 이러한 역할을 할당하는 것이 좋습니다. 이렇게 하면 액세스 요구 사항이 변경될 때 플랜을 업데이트한 후 다시 게시하지 않고도 개별 사용자에 대한 액세스 권한을 추가하거나 제거할 수 있습니다.

고객 리소스를 관리 테넌트에 위임하려면 온보딩하려는 구독에 대해 소유자 기본 제공 역할이 있는(또는 온보딩하려는 리소스 그룹을 포함하는) 고객 테넌트의 비게스트 계정에서 배포를 수행해야 합니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: 보안 팀이 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여받아 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있도록 합니다.

보안 팀의 책임이 구성된 방식에 따라 보안 위험 모니터링은 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 즉, 보안 인사이트 및 위험이 항상 조직 내의 중앙에서 집계되어야 합니다.

보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.

참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

지침: 고객의 보안 팀은 활동 로그를 검토하여 Azure Lighthouse를 사용하는 서비스 공급자가 수행한 활동을 확인할 수 있습니다.

서비스 공급자가 보안 팀에서 위임된 고객 리소스를 검토할 수 있게 하려는 경우 보안 팀의 권한 부여에는 Reader 기본 제공 역할이 포함되어야 합니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색되면 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 대한 위협 탐지 사용

지침: Azure Lighthouse를 통해 고객의 Azure 리소스를 모니터링하면 잠재적인 위협과 변칙을 확인할 수 있습니다. 분석가가 면밀히 살펴볼 수 있도록 가양성을 줄여 고품질 경고를 얻는 데 중점을 두세요. 경고는 로그 데이터, 에이전트 또는 기타 데이터로부터 제공될 수 있습니다.

클라우드용 Microsoft Defender는 기본 제공 위협 탐지 기능을 사용합니다. 이 기능은 Azure 서비스 원격 분석 모니터링 및 서비스 로그 분석을 기반으로 합니다. 데이터는 시스템에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석용으로 작업 영역에 데이터를 복사하는 Log Analytics 에이전트를 사용하여 수집됩니다.

또한 Microsoft Sentinel을 사용하여 고객 환경 전체에서 특정 조건과 일치하는 위협을 탐지하는 분석 규칙을 작성합니다. 규칙은 조건이 일치할 때 인시던트를 생성하므로 각 인시던트를 조사할 수 있습니다. 또한 Microsoft Sentinel은 타사 위협 인텔리전스를 가져와서 위협 검색 기능을 향상시킬 수 있습니다.

책임: Customer

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

참고 자료: Azure Lighthouse를 통해 클라우드용 Microsoft Defender를 사용하면 사용자가 관리하는 고객 테넌트의 의심스러운 특정 활동(예: 실패한 인증 시도 횟수 초과, 구독에서 더 이상 사용되지 않는 계정)에 대해 경고할 수 있습니다.

Azure AD(Azure Active Directory)는 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure AD 보고에서 보거나 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 사용자 로그를 제공합니다.

  • 로그인 – 로그인 보고서는 관리형 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.
  • 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.
  • 위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
  • 위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender는 인증 시도 실패 횟수 및 구독에서 더 이상 사용되지 않는 계정과 같은 특정 의심스러운 작업에 대해 경고할 수도 있습니다. 기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 Threat Protection 모듈은 개별 Azure 컴퓨팅 리소스(가상 머신, 컨테이너, App Service), 데이터 리소스(SQL DB 및 스토리지), Azure 서비스 레이어에서 보다 심층적인 보안 경고를 수집할 수도 있습니다. 이 기능을 사용하면 개별 리소스 내에서 비정상 계정 활동을 볼 수 있습니다.

책임: Customer

LT-4: Azure 리소스에 대한 로깅 사용

지침: 자동으로 사용할 수 있는 활동 로그에는 Azure Lighthouse 리소스에 대한 모든 쓰기 작업(PUT, POST, DELETE)이 포함되며 읽기 작업(GET)은 제외됩니다. 활동 로그를 사용하면 문제를 해결할 때 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

Azure Lighthouse를 사용하면 사용자가 관리하는 고객 테넌트에서 확장 가능한 방식으로 Azure Monitor 로그를 사용할 수 있습니다. 고객 데이터를 사용자의 테넌트로 내보내지 않고 고객의 테넌트에 유지되도록 고객 테넌트에 직접 Log Analytics 작업 영역을 만듭니다. 또한 Log Analytics에서 지원하는 모든 리소스 또는 서비스를 중앙에서 모니터링할 수 있으므로 모니터링하는 데이터 형식에 대한 유연성을 높일 수 있습니다.

Azure Lighthouse에 대한 구독을 위임 받은 고객은 Azure 활동 로그 데이터를 보면 수행된 모든 작업을 확인할 수 있습니다. 이렇게 하면 고객은 고객 소유의 Azure AD(Azure Active Directory) 테넌트 내에서 사용자가 수행하는 작업과 함께, 서비스 공급자가 수행하는 작업을 완벽하게 파악할 수 있습니다.

책임: 공유됨

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: 상관 관계를 사용하도록 설정하기 위해 로깅 스토리지 및 분석을 중앙 집중화합니다. 각 로그 원본에 대해 데이터 소유자, 액세스 지침, 스토리지 위치, 데이터를 처리하고 액세스하는 데 사용되는 도구, 데이터 보존 요구 사항을 할당했는지 확인합니다.

Azure 활동 로그를 중앙 로깅에 통합해야 합니다. Azure Monitor를 통해 로그를 수집하여 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에 의해 생성된 보안 데이터를 집계합니다. Azure Monitor에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리하고 수행하며, 장기 및 기록 스토리지에 Azure Storage 계정을 사용할 수 있습니다.

또한 Microsoft Sentinel 또는 타사 SIEM에 데이터를 사용하도록 설정하고 온보딩합니다.

Azure Lighthouse를 사용하면 사용자가 관리하는 고객 테넌트에서 확장 가능한 방식으로 Azure Monitor 로그를 사용할 수 있습니다. 고객 데이터를 사용자의 테넌트로 내보내지 않고 고객의 테넌트에 유지되도록 고객 테넌트에 직접 Log Analytics 작업 영역을 만듭니다. 또한 Log Analytics에서 지원하는 모든 리소스 또는 서비스를 중앙에서 모니터링할 수 있으므로 모니터링하는 데이터 형식에 대한 유연성을 높일 수 있습니다.

Azure Lighthouse에 대한 구독을 위임 받은 고객은 Azure 활동 로그 데이터를 보면 수행된 모든 작업을 확인할 수 있습니다. 이렇게 하면 고객은 고객 소유의 Azure AD(Azure Active Directory) 테넌트 내에서 사용자가 수행하는 작업과 함께, 서비스 공급자가 수행하는 작업을 완벽하게 파악할 수 있습니다.

여러 조직에서, 자주 사용되는 '핫' 데이터에는 Microsoft Sentinel을 사용하고 비교적 덜 사용되는 '콜드' 데이터에는 Azure Storage를 사용하고 있습니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

지침: 현재 Azure Lighthouse는 보안 관련 로그를 생성하지 않습니다. 서비스 공급자 작업을 보려는 고객은 규정 준수, 규제 및 비즈니스 요구 사항에 따라 로그 보존을 구성할 수 있습니다.

Azure Monitor에서 조직의 준수 규정에 따라 Log Analytics 작업 영역의 보존 기간을 설정할 수 있습니다. 장기 및 보관 스토리지에 대한 Azure Storage, Data Lake 또는 Log Analytics 작업 영역 계정을 사용합니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

참고 자료: Azure Lighthouse는 자체 시간 동기화 원본 구성을 지원하지 않습니다. Azure Lighthouse 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

참고 자료: Azure Lighthouse는 Azure 리소스의 구성을 감사 및 적용하기 위해 클라우드용 Microsoft Defender에서 사용할 수 있는 아래의 서비스별 정책을 지원합니다. 이것은 클라우드용 Microsoft Defender 또는 Azure Policy 이니셔티브에서 구성할 수 있습니다.

  • 관리 테넌트 ID가 Azure Lighthouse를 통해 온보딩하도록 허용

  • 관리 테넌트에 대한 범위 위임 감사

Azure Blueprints를 사용하여 단일 청사진 정의에서 Azure Resources Manager 템플릿, Azure RBAC 컨트롤 및 정책을 포함한 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화할 수 있습니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

참고 자료: Azure Lighthouse는 Azure 리소스의 구성을 감사 및 적용하기 위해 클라우드용 Microsoft Defender에서 사용할 수 있는 아래의 서비스별 정책을 지원합니다. 이것은 클라우드용 Microsoft Defender 또는 Azure Policy 이니셔티브에서 구성할 수 있습니다.

책임: Customer

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

참고 자료: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 VM, 컨테이너 등을 포함한 모든 컴퓨팅 리소스에 대한 보안 구성을 설정합니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가 수행

참고 자료: Microsoft는 Azure Lighthouse를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정해야 합니다. Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-1: EDR(엔드포인트 검색 및 응답) 사용

참고 자료: Azure Lighthouse는 EDR(엔드포인트 감지 및 응답) 보호가 필요한 고객 대상 컴퓨팅 리소스를 배포하지 않습니다. Azure Lighthouse 서비스의 기본 인프라는 Microsoft에서 처리합니다.

책임: Microsoft

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

참고 자료: Azure Lighthouse는 맬웨어 방지 솔루션으로 구성할 수 있는 고객 대상 컴퓨팅 리소스를 배포하지 않습니다. Azure Lighthouse 서비스의 기본 인프라는 Microsoft에서 처리하며, 여기에는 설치된 맬웨어 방지 소프트웨어를 관리하는 일도 포함됩니다.

책임: Microsoft

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인

참고 자료: Azure Lighthouse는 맬웨어 방지 솔루션으로 구성할 수 있는 고객 대상 컴퓨팅 리소스를 배포하지 않습니다. Azure Lighthouse 서비스의 기본 인프라는 Microsoft에서 처리하며, 여기에는 설치된 맬웨어 방지 소프트웨어를 관리하는 일도 포함됩니다.

책임: Microsoft

다음 단계