Azure Migrate에 대한 Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 Azure Migrate에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 Azure Migrate에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
Azure Migrate에 적용되지 않는 기능은 제외되었습니다. Azure Migrate가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑된 방법을 확인하려면 전체 Azure Migrate 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필은 Azure Migrate의 영향력이 큰 동작을 요약하여 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 마이그레이션 |
| 고객이 HOST/OS에 액세스할 수 있음 | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 고객 콘텐츠를 미사용으로 저장 | True |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 고객은 Private Link 요구하도록 Azure Migrate를 구성할 수 있습니다.
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
Azure Migrate Private Link 지원을 통해 고객은 개인 네트워크를 통해 서버를 안전하게 검색, 평가 및 마이그레이션하는 동시에 데이터 반출 위험에 대한 보호를 제공하고 마이그레이션 속도를 향상할 수 있습니다.
Private Link 사용하여 Azure ExpressRoute 프라이빗 피어링 또는 S2S(사이트 대 사이트) VPN 연결을 통해 Azure Migrate에 비공개 및 안전하게 연결할 수 있습니다.
참조: Azure Private Link Azure Migrate 사용
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 고객은 Private Link 사용하여 Azure Migrate를 구성하여 퍼블릭 엔드포인트 액세스를 사용하지 않도록 설정할 수 있습니다.
구성 지침: 공용 네트워크 액세스에 대한 스위치를 전환하여 를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
Azure Migrate 프로젝트에 대한 연결 방법을 구성하고 Migrate 프로젝트에 대한 공용 네트워크 액세스를 사용하거나 사용하지 않도록 선택할 수 있습니다.
참조: 프라이빗 엔드포인트와 함께 Azure Migrate 사용
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리를 참조하세요.
IM-1: 중앙 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증을 사용할 수 있도록 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Migrate는 특정 데이터 평면 작업에 Azure AD 관리 ID 및 서비스 주체를 활용합니다. 또한 Azure Migrate는 Azure Portal을 통해 컨트롤 플레인의 사용자 액세스를 위한 Azure AD 지원합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
IM-3: 애플리케이션 ID를 안전하게 자동으로 관리
기능
관리 ID
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Microsoft |
기능 정보: Azure Migrate는 관리 ID를 사용하여 스토리지 계정에 보관된 마이그레이션된 데이터에 안전하게 액세스합니다. 현재 프라이빗 엔드포인트가 구성된 시나리오에서 사용됩니다.
구성 지침: 가능한 경우 서비스 주체 대신 Azure 관리 ID를 사용하여 Azure 서비스 및 Azure Active Directory(Azure AD) 인증을 지원하는 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다.
서비스 주체
설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Migrate 내의 검색 및 평가 서비스는 서비스 주체를 사용하지 않지만 마이그레이션 서비스는 퍼블릭 엔드포인트 시나리오에서 서비스 주체를 사용하여 Hyper-V 복구 관리자 앱을 사용하여 고객의 키 자격 증명 모음에 연결합니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Migrate 어플라이언스 Key Vault 활용하여 Service Bus에 대한 연결 문자열을 관리하고 스토리지 계정의 액세스 키를 복제에 사용합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: 전송 중인 데이터의 암호화는 기본적으로 사용하도록 설정됩니다. Azure Migrate는 TLS v1.2 이상을 사용하여 전송 중 데이터 암호화를 지원합니다.
사설망의 트래픽에서는 선택 사항이지만, 외부 및 공용 네트워크의 트래픽에서 매우 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트(Azure Migrate 어플라이언스 및 Azure Migrate 소프트웨어를 설치한 다른 머신 포함)가 TLS v1.2 이상과 협상할 수 있는지 확인합니다. 원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다. 더 이상 사용되지 않는 SSL, TLS 및 SSH 버전/프로토콜 및 약한 암호는 사용하지 않도록 설정해야 합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Migrate에 유지되는 모든 데이터는 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다.
Azure Migrate의 서버 마이그레이션 도구는 Azure 구독의 스토리지 계정 및 관리 디스크로 마이그레이션되는 서버의 디스크에서 데이터를 복제합니다. 데이터 처리는 구독의 스토리지 계정 또는 관리 디스크에 기록되고 Azure Migrate에 유지되지 않을 때까지 일시적입니다. 스토리지 계정 및 관리 디스크의 복제된 데이터는 Microsoft 관리형 키를 사용하여 미사용으로 암호화됩니다. 매우 중요한 데이터의 경우 스토리지 계정 및 관리 디스크에서 고객 관리형 키를 사용하여 미사용 추가 암호화를 구현하는 옵션을 사용할 수 있습니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 이용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 고객 관리형 키를 사용하여 복제된 데이터에 대해 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.
CMK를 사용하여 VM을 복제하려면 대상 리소스 그룹 아래에 디스크 암호화 집합을 생성해야 합니다. 디스크 암호화 집합 개체는 SSE에 사용할 CMK가 포함된 Key Vault에 Managed Disks를 매핑됩니다.
참조: VMware VM을 Azure로 마이그레이션(에이전트 없음)
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault에서 키 관리
설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Migrate 어플라이언스 Key Vault 활용하여 Service Bus에 대한 연결 문자열을 관리하고 스토리지 계정의 액세스 키를 복제에 사용합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Migrate는 Azure Policy 활용할 수 있지만 고객이 적용하도록 구성해야 합니다.
구성 지침: 클라우드용 Microsoft Defender 사용하여 Azure 리소스의 구성을 감사하고 적용하는 Azure Policy 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. [거부] 및 [존재하지 않는 경우 배포] 효과를 Azure Policy 사용하여 Azure 리소스에 보안 구성을 적용합니다.
참조: Azure Migrate에 대한 기본 제공 정의 Azure Policy
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.