Microsoft Azure용 고객 Lockbox의 Azure 보안 기준

이 보안 기준은 Azure 보안 벤치마크 버전 1.0의 지침을 고객 Lockbox에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 고객 Lockbox에 적용되는 관련 지침으로 정의된 보안 컨트롤에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Microsoft Azure에 대한 고객 Lockbox에 적용할 수 없거나 Microsoft의 책임인 컨트롤은 제외되었습니다. Microsoft Azure에 대하여 고객 Lockbox가 Azure 보안 벤치마크에 완전히 매핑되는 방법을 확인하려면 Microsoft Azure 보안 기준 매핑 파일에 대한 전체 고객 Lockbox를 참조하세요.

로깅 및 모니터링

자세한 내용은 Azure Security Benchmark: 로깅 및 모니터링을 참조하세요.

2.2: 중앙 보안 로그 관리 구성

지침: 고객 Lockbox의 감사 로그는 자동으로 사용하도록 설정되고 Azure 활동 로그에서 유지 관리됩니다. Azure 활동 로그에서 Log Analytics 작업 영역으로 스트림하여 이 데이터를 본 다음, 여기에서 데이터에 대한 조사와 분석을 수행할 수 있습니다.

고객 Lockbox에서 생성된 활동 로그를 Microsoft Sentinel 또는 다른 SIEM에 온보딩하여 중앙 로그 집계와 관리를 사용하도록 설정합니다.

책임: Customer

2.3: Azure 리소스에 대한 감사 로깅 사용

지침: 고객 Lockbox의 감사 로그는 자동으로 사용하도록 설정되고 Azure 활동 로그에서 유지 관리됩니다. Azure 활동 로그에서 Log Analytics 작업 영역으로 스트림하여 이 데이터를 본 다음, 여기에서 데이터에 대한 조사와 분석을 수행할 수 있습니다.

책임: Customer

2.5: 보안 로그 스토리지 보존 구성

지침: Azure Monitor에서 조직의 규정 준수 규정에 따라 고객 Lockbox와 연결된 Log Analytics 작업 영역의 로그 보존 기간을 설정합니다.

책임: Customer

2.6: 로그 모니터링 및 검토

지침: 고객 Lockbox의 감사 로그는 자동으로 사용하도록 설정되고 Azure 활동 로그에서 유지 관리됩니다. Azure 활동 로그에서 Log Analytics 작업 영역으로 스트림하여 이 데이터를 본 다음, 여기에서 데이터에 대한 조사와 분석을 수행할 수 있습니다. 고객 Lockbox 요청에서 비정상적인 동작에 대한 로그를 분석하고 모니터링합니다. Microsoft Sentinel 작업 영역에서 “로그” 섹션을 사용하여 쿼리를 수행하거나 고객 Lockbox 로그를 기반으로 경고를 만듭니다.

책임: Customer

2.7: 비정상 활동에 대한 경고 사용

지침: 고객 Lockbox의 감사 로그는 자동으로 사용하도록 설정되고 Azure 활동 로그에서 유지 관리됩니다. Azure 활동 로그에서 Log Analytics 작업 영역으로 스트림하여 이 데이터를 본 다음, 여기에서 데이터에 대한 조사와 분석을 수행할 수 있습니다. 고객 Lockbox 요청에서 비정상적인 동작에 대한 로그를 분석하고 모니터링합니다. Microsoft Sentinel 작업 영역에서 “로그” 섹션을 사용하여 쿼리를 수행하거나 고객 Lockbox 로그를 기반으로 경고를 만듭니다.

책임: Customer

ID 및 Access Control

자세한 내용은 Azure Security Benchmark: ID 및 액세스 제어를 참조하세요.

3.1: 관리 계정 인벤토리 유지 관리

지침: 고객 Lockbox 요청에 대한 관리 액세스 권한이 있는 사용자 계정의 인벤토리를 관리합니다. 구독에 대한 Azure Portal의 IAM(ID 및 액세스 제어) 창을 사용하여 Azure RBAC(역할 기반 액세스 제어)를 구성할 수 있습니다. 역할은 Azure AD(Azure Active Directory)의 사용자, 그룹, 서비스 주체, 관리 ID에 적용됩니다.

고객 조직에서 Azure 구독에 대한 소유자 역할을 가진 사용자는 Microsoft에서 메일을 받아 보류 중인 액세스 요청에 대해 알립니다. 고객 Lockbox 요청의 경우 이 사람은 지정된 승인자입니다.

책임: Customer

3.2: 기본 암호 변경(해당하는 경우)

지침: Azure AD(Azure Active Directory)에는 기본 암호 개념이 없습니다. 암호를 요구하는 다른 Azure 리소스는 복잡성 요구 사항과 최소 암호 길이(서비스에 따라 다름)를 준수하여 암호를 강제로 만들도록 합니다. 타사 애플리케이션 및 마켓플레이스 서비스의 경우 재량에 따라 기본 암호를 사용할 수 있습니다.

책임: Customer

3.3: 전용 관리 계정 사용

지침: 전용 관리 계정 사용에 대한 표준 운영 절차를 만듭니다. 클라우드용 Microsoft Defender ID 및 액세스 관리를 사용하여 관리 계정 수를 모니터링합니다.

또한 전용 관리 계정을 추적하는 데 도움이 되도록 다음과 같은 클라우드용 Microsoft Defender 또는 기본 제공 Azure 정책의 권장 사항을 사용할 수 있습니다.

책임: Customer

3.4: Azure Active Directory SSO(Single Sign-On) 사용

지침: 해당 사항 없음. 고객 Lockbox에 대한 액세스는 Azure Portal을 통해 수행하고 테넌트 역할이 소유자인 계정을 위해 예약됩니다. Single Sign-On은 지원되지 않습니다.

책임: Customer

3.5: 모든 Azure Active Directory 기반 액세스에 다단계 인증 사용

지침: Azure AD Multi-Factor Authentication을 사용하도록 설정하고 클라우드용 Microsoft Defender ID 및 액세스 관리 권장 사항을 따릅니다.

책임: Customer

3.6: 관리 작업에 안전한 Azure 관리 워크스테이션 사용

지침: Azure AD Multi-Factor Authentication을 사용하도록 설정한 PAW(Privileged Access Workstation)를 사용하여 로그인하고 고객 Lockbox 요청을 구성합니다.

책임: Customer

3.7: 관리 계정의 의심스러운 활동에 대한 로그 및 경고

지침: 환경에서 의심스럽거나 안전하지 않은 활동이 발생하는 경우 로그와 경고를 생성하기 위해 Azure AD(Azure Active Directory) PIM(Privileged Identity Management)을 사용합니다.

또한 Azure AD 위험 탐지를 사용하여 위험한 사용자 동작에 대한 경고 및 보고서를 봅니다.

책임: Customer

3.8: 승인된 위치에서만 Azure 리소스 관리

지침: 조건부 액세스 명명된 위치를 사용하여 IP 주소 범위 또는 국가/지역의 특정 논리적 그룹화에서만 Azure Portal에 액세스할 수 있도록 허용합니다.

책임: Customer

3.9: Azure Active Directory 사용

지침: 해당하는 경우 Azure AD(Azure Active Directory)를 중앙 인증 및 권한 부여 시스템으로 사용합니다. Azure AD는 강력한 암호화를 저장 데이터 및 전송 중 데이터에 사용하여 데이터를 보호합니다. 또한 Azure AD는 사용자 자격 증명을 솔트하고, 해시하고, 안전하게 저장합니다.

책임: Customer

3.10: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure AD(Azure Active Directory)는 부실 계정을 검색하는 데 도움이 되는 로그를 제공합니다. 또한 Azure AD 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리합니다. 사용자의 액세스를 정기적으로 검토하여 적합한 사용자만 계속 액세스할 수 있도록 합니다.

책임: Customer

3.11: 비활성화된 자격 증명에 대한 액세스 시도 모니터링

지침: 해당하는 경우 Azure AD(Azure Active Directory)를 중앙 인증 및 권한 부여 시스템으로 사용합니다. Azure AD는 강력한 암호화를 저장 데이터 및 전송 중 데이터에 사용하여 데이터를 보호합니다. 또한 Azure AD는 사용자 자격 증명을 솔트하고, 해시하고, 안전하게 저장합니다.

Azure AD 로그인 작업, 감사 및 위험 이벤트 로그 원본에 액세스할 수 있으며, 이를 통해 Microsoft Sentinel 또는 타사 SIEM과 통합할 수 있습니다.

Azure AD 사용자 계정에 대한 진단 설정을 생성하고 감사 로그 및 로그인 로그를 Log Analytics Workspace로 보내면 이 프로세스를 간소화할 수 있습니다. Log Analytics 내에서 원하는 로그 경고를 구성할 수 있습니다.

책임: Customer

3.12: 계정 로그인 동작 편차에 대한 경고

지침: 컨트롤 플레인(예: Azure Portal)의 계정 로그인 동작 편차의 경우 Azure AD(Active Directory) ID 보호 및 위험 탐지 기능을 사용하여 사용자 ID와 관련하여 탐지된 의심스러운 작업에 대한 자동화된 대응을 구성합니다. 추가 조사를 위해 Microsoft Sentinel로 데이터를 수집할 수도 있습니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

4.6: 역할 기반 액세스 제어를 사용하여 리소스에 대한 액세스 제어

지침: 테넌트 수준에서 소유자 역할을 보유하는 사용자에게 고객 Lockbox 요청 승인이 부여됩니다.

책임: Customer

4.9: 중요한 Azure 리소스에 대한 변경 내용 기록 및 경고

지침: 고객 Lockbox의 감사 로그는 자동으로 사용하도록 설정되고 Azure 활동 로그에서 유지 관리됩니다. Azure 활동 로그를 사용하여 Azure 고객 Lockbox 리소스에 대한 변경 내용을 모니터링하고 검색합니다. 중요한 리소스가 변경될 때 트리거되는 경고를 Azure Monitor 내에서 만듭니다.

책임: Customer

인벤토리 및 자산 관리

자세한 내용은 Azure Security Benchmark: 인벤토리 및 자산 관리를 참조하세요.

6.1: 자동화된 자산 검색 솔루션 사용

지침: Azure Resource Graph를 사용하여 구독 내 모든 리소스(예: 컴퓨팅, 스토리지, 네트워크, 포트, 프로토콜 등)를 쿼리/검색합니다. 테넌트에서 적절한 권한(읽기)을 확인하고, 모든 Azure 구독 및 구독 내의 리소스를 열거합니다.

클래식 Azure 리소스는 Azure Resource Graph를 통해 검색할 수 있지만, Azure Resource Manager 리소스를 만들어 사용하는 것이 좋습니다.

책임: Customer

6.3: 권한 없는 Azure 리소스 삭제

지침: 해당하는 경우 태그 지정, 관리 그룹 및 별도의 구독을 사용하여 Azure 리소스를 구성하고 추적합니다. 정기적으로 인벤토리를 조정하고, 구독에서 권한 없는 리소스가 적시에 삭제되도록 합니다.

또한 Azure Policy에서 다음과 같은 기본 제공 정책 정의를 사용하여 고객 구독에서 만들 수 있는 리소스 유형을 제한합니다.

  • 허용되지 않는 리소스 종류
  • 허용되는 리소스 유형

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

6.5: 승인되지 않은 Azure 리소스 모니터링

지침: Azure Policy를 사용하여 구독에 만들 수 있는 리소스 종류에 대한 제한을 설정합니다.

Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리/검색합니다. 환경에 있는 모든 Azure 리소스가 승인되었는지 확인합니다.

책임: Customer

6.9: 승인된 Azure 서비스만 사용

지침: Azure Policy에서 다음 기본 제공 정책 정의를 사용하여 구독에서 만들 수 있는 리소스 종류를 제한합니다.

  • 허용되지 않는 리소스 종류
  • 허용되는 리소스 유형

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

6.11: Azure Resource Manager와 상호 작용하는 사용자 기능 제한

지침: "Microsoft Azure 관리" 앱에 대한 "액세스 차단"을 구성하여 사용자가 Azure Resource Manager와 상호 작용하는 기능을 제한하도록 Azure 조건부 액세스를 구성합니다.

책임: Customer

보안 구성

자세한 내용은 Azure Security Benchmark: 보안 구성을 참조하세요.

7.13: 의도하지 않은 자격 증명 노출 제거

지침: 자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.

책임: Customer

맬웨어 방어

자세한 내용은 Azure Security Benchmark: 맬웨어 방어를 참조하세요.

8.2: 비 컴퓨팅 Azure 리소스에 업로드할 파일 미리 검사

지침: Microsoft Antimalware는 고객 Lockbox 같은 Azure 서비스를 지원하는 기본 호스트에서 사용됩니다.

비계산 Azure 리소스에 업로드되는 콘텐츠를 미리 검사하는 것은 사용자의 책임입니다. Microsoft는 고객 데이터에 액세스할 수 없으므로 사용자를 대신해서 고객 콘텐츠의 맬웨어 방지 검사를 수행할 수 없습니다.

책임: Customer

사고 대응

자세한 내용은 Azure Security Benchmark: 인시던트 응답을 참조하세요.

10.1: 인시던트 대응 지침 만들기

지침: 조직에 대한 인시던트 대응 지침을 작성합니다. 검색에서 사후 검토에 이르는 인시던트 처리/관리 단계뿐만 아니라 담당자의 모든 역할을 정의하는 인시던트 대응 계획이 있는지 확인합니다.

책임: Customer

10.2: 인시던트 점수 매기기 및 우선 순위 지정 절차 만들기

지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 클라우드용 Microsoft Defender가 경고를 발행하는 데 사용된 메트릭 또는 결과에서 얼마나 확신하는지, 경고를 유발한 작업 뒤에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.

또한 구독(예: 프로덕션, 비프로덕션)을 명확하게 표시하고 이름 지정 시스템을 만들어 Azure 리소스를 명확하게 식별하고 분류합니다.

책임: Customer

10.3: 보안 대응 프로시저 테스트

지침: 시스템의 인시던트 대응 기능을 정기적으로 테스트합니다. 약점과 격차를 식별하고 필요에 따라 계획을 수정합니다.

책임: Customer

10.4: 보안 인시던트 연락처 세부 정보 제공 및 보안 인시던트에 대한 경고 알림 구성

지침: MSRC(Microsoft 보안 대응 센터)에서 불법적이거나 권한이 없는 당사자가 고객 데이터에 액세스했다고 검색하는 경우 Microsoft에서 보안 인시던트 연락처 정보를 사용하여 사용자에게 연락합니다. 문제가 해결되었는지 확인하기 위해 사후에 인시던트를 검토합니다.

책임: Customer

10.5: 보안 경고를 인시던트 대응 시스템에 통합

지침: 연속 내보내기 기능을 사용하여 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 연속 내보내기를 사용하면 경고 및 추천 사항을 수동으로 또는 지속적으로 내보낼 수 있습니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍할 수 있습니다.

책임: Customer

10.6: 보안 경고에 대한 대응 자동화

지침: 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 사용하여 보안 경고 및 권장 사항에 대해 "Logic Apps"를 통해 응답을 자동으로 트리거합니다.

책임: Customer

침투 테스트 및 레드 팀 연습

자세한 내용은 Azure Security Benchmark: 침투 테스트 및 레드 팀 연습을 참조하세요.

11.1: Azure 리소스에 대한 침투 테스트를 정기적으로 수행 및 모든 중요한 보안 결과를 수정

지침: 침투 테스트가 Microsoft 정책을 위반하지 않도록 Microsoft Cloud 침투 테스트 참여 규칙을 따릅니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

다음 단계