Azure Monitor에 관한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0에서 Azure Monitor에 대한 참고 자료를 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Azure Monitor에 적용되는 관련 지침에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 Microsoft Defender for Cloud 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준선에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Monitor에 적용되지 않는 컨트롤과 글로벌 지침이 권장되는 컨트롤은 제외되었습니다. Azure Monitor가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Azure Monitor 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

참고 자료: Microsoft Azure Monitor 리소스를 배포할 때 기존 가상 네트워크를 만들거나 사용합니다. 모든 Azure 가상 네트워크가 비즈니스 위험에 적합한 엔터프라이즈 구분 원칙을 따르는지 확인합니다. 조직에 더 높은 위험을 초래할 수 있는 시스템이 있나요? 그런 다음, 자체 가상 네트워크 내에서 해당 시스템을 격리하고 NSG(네트워크 보안 그룹) 또는 Azure Firewall을 사용하여 충분히 보호합니다.

클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 포트와 원본 IP를 제한하는 NSG 구성을 사용하는 것이 좋습니다. 외부 네트워크 트래픽 규칙에 대한 구성을 기반으로 합니다.

TLS(전송 계층 보안) 1.2를 사용하도록 Monitor를 구성합니다. ARM 템플릿(Azure Resource Manager 템플릿)을 통해 Monitor의 리소스 배포에서 이 구성을 설정할 수 있습니다. Azure Policy를 통해 구성을 적용합니다. 그러나 레거시 프로토콜을 사용하지 않도록 설정하면 서비스 또는 애플리케이션의 이전 버전과의 호환성에 영향을 줄 수 있습니다.

Log Analytics 작업 영역 및 Application Insights 구성 요소와 통신하려면 네트워크에서 나가는 트래픽이 엔드포인트 목록에 액세스할 수 있어야 합니다. 일반적으로 통신은 포트 443 또는 포트 80을 통과합니다. 가용성 테스트와 같은 일부 Application Insights 기능에는 네트워크에 대한 인바운드 트래픽이 필요합니다.

책임: Customer

NS-2: 여러 사설망 함께 연결

지침: Azure ExpressRoute 또는 Azure VPN(가상 사설망)을 사용하여 공동 배치 환경의 온-프레미스 인프라와 Azure 데이터 센터와 간에 프라이빗 연결을 만듭니다. ExpressRoute 연결은 공용 인터넷을 사용하지 않습니다. 일반적인 인터넷 연결과 비교할 때 ExpressRoute 연결은 다음을 제공합니다.

  • 더 높은 안정성
  • 더 빠른 속도
  • 더 짧은 대기 시간

지점 및 사이트 간 VPN 및 사이트 간 VPN의 경우 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다. 이러한 VPN 옵션과 ExpressRoute를 조합하여 사용합니다.

Azure에 둘 이상의 가상 네트워크를 함께 연결하려면 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간에 발생하는 네트워크 트래픽이 프라이빗 전용입니다. 이 트래픽은 Azure 백본 네트워크에 유지됩니다.

네트워크를 피어링한 후에는 Private Link를 사용하여 Monitor 리소스와 비공개로 통신하는 것이 좋습니다. 네트워크 토폴로지에 적용되는 방법을 계획하려면 "Private Link 설정 디자인"을 참조하세요.

책임: Customer

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

참고 자료: Private Link를 사용하여 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure SaaS(Software as a Service) 서비스(예: Monitor)와 Azure 호스팅 고객/파트너 서비스에 액세스를 허용합니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 통해 이동하여 퍼블릭 인터넷에서 노출을 제거합니다.

액세스를 관리하기 위한 몇 가지 팁은 다음과 같습니다.

  • 트래픽이 Monitor에 도달하도록 허용하려면 "AzureMonitor" 서비스 태그를 사용하여 NSG를 통해 인바운드 및 아웃바운드 트래픽을 허용합니다.
  • 가용성 모니터링의 테스트 트래픽이 Monitor에 도달하게 하려면 NSG를 통해 모든 인바운드 트래픽에 "ApplicationInsightsAvailability" 서비스 태그를 사용합니다.
  • 경고 알림이 고객 엔드포인트에 도달하도록 허용하려면 "ActionGroup" 서비스 태그를 사용하여 NSG를 통해 인바운드 트래픽을 허용합니다.

가상 네트워크 규칙을 사용하여 가상 네트워크 내의 선택된 서브넷에서만 통신을 수신하도록 Monitor를 설정할 수 있습니다.

인터넷에 직접 연결할 수 없는 컴퓨터가 있나요? 그러면 Monitor에서 Log Analytics 작업 영역으로 데이터를 보낼 수 있는 Log Analytics 게이트웨이를 사용합니다. 이 방법을 사용하면 해당 컴퓨터를 인터넷에 연결할 필요가 없습니다.

책임: Customer

NS-6: 네트워크 보안 규칙 간소화

참고 자료: Monitor는 네트워크에 배포된 리소스를 모니터링할 수 있습니다. 따라서 네트워크에서 Monitor 엔드포인트로 나가는 트래픽(예: 로그 수집)을 허용해야 합니다. 네트워크와 Monitor 리소스 간에 Private Link를 사용하는 것이 좋습니다. Private Link를 사용하지 않으려는 경우에도 네트워크의 나가는 트래픽을 Monitor 엔드포인트로 제한할 수 있습니다. NSG 또는 Azure Firewall에서 Azure 가상 네트워크 서비스 태그를 사용하기만 하면 됩니다.

보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 해당 규칙의 원본 또는 대상 필드에 서비스 태그 이름을 지정하여 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft에서는 서비스 태그가 포함된 주소 접두사를 관리합니다. 주소가 변경되면 서비스 태그가 자동으로 업데이트됩니다.

책임: Customer

NS-7: 보안 DNS(Domain Name Service)

참고 자료: DNS(Domain Name System) 보안 모범 사례를 따라 다음과 같은 일반적인 공격을 완화합니다.

  • 현수 DNS
  • DNS 증폭 공격
  • DNS 중독 및 스푸핑

Monitor를 사용하면 일반적으로 DNS를 구성하거나 특정 방식으로 관리할 필요가 없습니다. 그러나 Monitor Private Links를 사용하는 경우에는 DNS를 업데이트해야 합니다. 그러면 DNS 영역이 Monitor 엔드포인트를 개인 IP 주소에 매핑합니다.

Azure DNS를 신뢰할 수 있는 DNS 서비스로 사용하는 경우 의도치 않은 또는 악의적인 수정으로부터 DNS 영역 및 레코드를 보호합니다. Azure RBAC(Azure 역할 기반 액세스 제어) 및 리소스 잠금을 사용하여 보호를 적용합니다.

책임: Customer

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

참고 자료: Monitor는 Azure AD(Azure Active Directory)를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 관리합니다.

  • 다음과 같은 Microsoft Cloud 리소스:
    • Azure portal
    • Azure Storage
    • Azure Virtual Machines(Linux 및 Windows)
    • Azure Key Vault
    • PaaS(Platform as a Service)
    • SaaS(Software as a Service) 애플리케이션
  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 방법에서 높은 우선 순위로 지정합니다. Azure AD는 ID 보안 점수를 제공합니다. 이 점수는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 상태를 평가하는 데 도움이 됩니다. 이 점수를 사용하여 구성이 모범 사례 모범 사례와 얼마나 일치하는지 측정합니다. 그런 다음, 보안 태세를 개선합니다.

참고: Azure AD는 외부 ID를 지원합니다. Microsoft 계정이 없는 사용자는 외부 ID를 사용해서 애플리케이션 및 리소스에 로그인할 수 있습니다.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

참고 자료: Monitor에서는 Azure 리소스의 관리 ID를 지원합니다. 다른 리소스에 액세스하기 위해 서비스 주체를 만드는 대신 Monitor에서 관리 ID를 사용합니다. Monitor는 기본적으로 Azure AD 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 인증은 사전 정의된 액세스 인증 규칙을 통해 발생합니다. 소스 코드나 구성 파일에 하드코딩된 자격 증명을 사용하지 않습니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

참고 자료: Monitor는 Azure AD를 사용하여 다음에 대한 ID 및 액세스 관리를 제공합니다.

  • : Azure 리소스
  • 클라우드 응용 프로그램
  • 온-프레미스 애플리케이션

ID 및 액세스 관리에는 직원과 같은 엔터프라이즈 ID가 포함됩니다. 여기에는 다음과 같은 외부 ID도 포함됩니다.

  • 파트너
  • 공급업체
  • 공급업체

이 정렬을 통해 SSO(Single Sign-On)는 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. SSO는 온-프레미스와 클라우드에서 작동합니다. 원활하고 안전한 액세스 및 향상된 가시성과 제어를 위해 Azure AD에 다음을 모두 연결합니다.

  • 사용자
  • 애플리케이션
  • 디바이스

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

IM-7: 의도하지 않은 자격 증명 노출 제거

참고 자료: 코드에 정의된 비밀이 있을 수 있는 ARM 템플릿을 사용하여 Monitor를 배포합니다. Monitor 인프라 내에서 자격 증명을 코드 템플릿으로 식별하려면 자격 증명 스캐너를 구현합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Key Vault)로 이동하도록 추천합니다.

GitHub의 경우 기본 비밀 검사 기능을 사용합니다. 이 기능은 코드 내에서 자격 증명이나 다른 형태의 비밀을 식별합니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

참고 자료: 가장 중요한 기본 제공 Azure AD 역할은 전역 관리자와 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있습니다.

  • 전역 관리자 또는 회사 관리자. 이 역할의 사용자는 Azure AD의 모든 관리 기능과 Azure AD ID를 사용하는 서비스에 액세스할 수 있습니다.

  • 권한 있는 역할 관리자. 이 역할이 있는 사용자는 Azure AD 및 Azure AD PIM(Privileged Identity Management) 내에서 역할 할당을 관리할 수 있습니다. 이 역할을 사용하면 PIM 및 관리 단위의 모든 측면을 관리할 수도 있습니다.

참고: 특정 권한이 할당된 사용자 지정 역할을 사용하는 경우 제어해야 하는 다른 중요한 역할이 있을 수 있습니다. 중요 비즈니스 자산의 관리자 계정에 유사한 컨트롤을 적용할 수도 있습니다.

권한이 높은 계정 또는 역할의 수를 제한합니다. 이러한 계정을 높은 수준에서 보호합니다. 이 권한이 있는 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

Azure AD PIM을 사용하여 Azure 리소스와 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용합니다. JIT는 사용자가 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM는 Azure AD 조직에 의심스럽거나 안전하지 않은 활동이 있으면 보안 경고를 생성할 수 있습니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

참고 자료: 사용자 계정과 해당 액세스가 유효한지 확인하기 위해 Monitor는 정기적으로 Azure AD 계정을 사용하여 다음을 수행합니다.

  • 리소스 관리.
  • 사용자 계정 검토.
  • 액세스 할당.

Azure AD 액세스 검토를 사용하여 다음을 검토합니다.

  • 그룹 멤버 자격
  • 엔터프라이즈 애플리케이션에 대한 액세스
  • 역할 할당

Azure AD 보고는 부실 계정을 검색하는 데 도움이 되는 로그를 제공할 수 있습니다. 검토 프로세스를 지원하려면 Azure AD PIM을 사용하여 액세스 검토 보고서 워크플로도 만듭니다.

또한 관리자 계정이 너무 많이 생성되면 경고하도록 Azure PIM을 구성할 수 있습니다. 또는 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 구성합니다.

참고: 일부 Azure 서비스에서는 Azure AD를 통해 관리되지 않는 로컬 사용자와 역할을 지원합니다. 이러한 사용자를 별도로 관리합니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 다음과 같은 중요한 역할의 보안에 매우 중요합니다.

  • 관리자
  • 개발자
  • 중요 서비스 운영자

관리 작업에 보안이 강화된 사용자 워크스테이션이나 Azure Bastion을 사용합니다. 안전하고 관리되는 사용자 워크스테이션을 배포하려면 다음 중 하나 이상을 사용합니다.

  • Azure AD
  • Microsoft Defender ATP(Advanced Threat Protection)
  • Microsoft Intune

다음을 포함하여 보안 구성을 적용하기 위해 보안 워크스테이션을 중앙에서 관리할 수 있습니다.

  • 강력한 인증
  • 소프트웨어 및 하드웨어 기준
  • 제한된 논리적 및 네트워크 액세스

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-2: 중요한 데이터 보호

참고 자료: 다음을 사용하여 액세스를 제한해 중요한 정보를 보호합니다.

  • Azure RBAC
  • 네트워크 기반 액세스 제어
  • Azure Monitor 테이블 기반 RBAC 컨트롤.

일관된 액세스 제어를 보장하려면 모든 유형의 액세스 제어를 엔터프라이즈 구분 전략에 할당합니다. 또한 중요하거나 중요 비즈니스용 데이터 및 시스템의 위치와 함께 엔터프라이즈 구분 전략을 알립니다.

Microsoft는 기본 Microsoft 관리 플랫폼의 모든 고객 콘텐츠를 중요한 콘텐츠로 취급합니다. 고객 데이터 손실과 노출을 방지합니다. Azure 내에서 고객 데이터가 안전하게 유지되도록 Microsoft는 몇 가지 기본 데이터 보호 컨트롤과 기능을 구현했습니다.

책임: Customer

DP-3: 중요한 데이터의 무단 전송 모니터링

참고 자료: 해당 없음. Microsoft는 기본 Microsoft 관리 플랫폼의 모든 고객 콘텐츠를 중요한 콘텐츠로 취급합니다. 고객 데이터 손실 및 노출을 방지하기 위해 많은 노력을 기울이고 있습니다. Azure 내의 고객 데이터를 안전하게 유지하기 위해 Microsoft는 강력한 데이터 보호 제어 및 기능 제품군을 구현하고 유지 관리합니다.

책임: 공유됨

DP-4: 전송 중인 중요한 정보 암호화

참고 자료: 액세스 제어를 보완하려면 암호화를 사용하여 트래픽 캡처와 같은 "대역 외" 공격으로부터 전송 중인 데이터를 보호합니다. 그러면 공격자가 데이터를 쉽게 읽거나 수정할 수 없습니다.

Monitor는 TLS v1.2 이상을 사용하여 전송 중 데이터 암호화를 지원합니다. Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.

이 기능은 프라이빗 네트워크의 트래픽에는 선택 사항이지만 외부 네트워크와 공용 네트워크의 트래픽에는 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 클라이언트에서 TLS v1.2 이상을 협상할 수 있는지 확인합니다. 원격 관리의 경우 암호화되지 않은 프로토콜 대신 다음 중 하나를 사용합니다.

  • Linux용 SSH(Secure Shell)
  • Windows용 RDP(원격 데스크톱 프로토콜) 및 TLS

다음에 대한 약한 암호화와 사용되지 않는 버전 및 프로토콜을 사용하지 않도록 설정합니다.

  • SSL(Secure Sockets Layer)

  • TLS

  • SSH

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

DP-5: 중요한 미사용 데이터 암호화

참고 자료: 액세스 제어를 보완하기 위해 Monitor는 미사용 데이터를 암호화합니다. 이 동작은 암호화를 사용하여 "대역 외" 공격(예: 기본 스토리지 액세스)으로부터 보호합니다. 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 하는 데 도움이 됩니다.

Azure에서는 기본값으로 미사용 데이터 암호화를 제공합니다. 매우 중요한 데이터의 경우 사용할 수 있는 모든 Azure 리소스에서 더 많은 미사용 데이터 암호화를 구현할 수 있습니다. Azure는 기본적으로 암호화 키를 관리합니다. 또한 특정 Azure 서비스의 고유한 키(고객 관리형 키)를 관리하는 옵션을 제공합니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: Azure 테넌트 및 구독에서 보안 팀에 보안 읽기 권한자 권한을 부여합니다. 그런 다음, 팀에서 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.

보안 팀 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀이 보안 위험 모니터링을 담당할 수 있습니다. 그러나 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.

보안 읽기 권한자 권한을 전체 테넌트(루트 관리 그룹)에 광범위하게 적용합니다. 또는 이러한 권한의 범위를 관리 그룹 또는 특정 구독으로 지정합니다.

참고: 워크로드 및 서비스에 대한 가시성을 가져오려면 추가 권한이 필요할 수 있습니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

참고 자료: 보안 팀이 Monitor와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있도록 합니다. 조직이 새로운 위험에 노출될 가능성을 평가하기 위해 이 인벤토리가 보안 팀에 필요한 경우가 많습니다. 인벤토리는 또한 지속적인 보안 개선을 위한 입력입니다. 조직의 권한 있는 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 그런 다음, 모든 Monitor 리소스에 대한 읽기 권한을 그룹에 할당합니다. 이 프로세스를 단순화하기 위해 구독 내에서 단일 상위 수준 역할 할당을 사용할 수 있습니다.

논리적으로 분류 체계로 구성하려면 Azure에 태그를 적용합니다.

  • 리소스
  • 리소스 그룹
  • Subscriptions

각 태그는 이름과 값 쌍으로 이루어져 있습니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

Monitor를 사용하면 애플리케이션을 실행하거나 리소스에 소프트웨어를 설치할 수 없습니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 사용자가 환경에서 프로비전할 수 있는 서비스를 감사하고 제한합니다. Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Monitor를 사용하여 승인되지 않은 서비스가 검색될 때 경고를 트리거하는 규칙을 만듭니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

참고 자료: Monitor는 리소스와 관련된 보안 위협을 모니터링하는 기본 기능을 제공하지 않습니다.

사용자 지정 위협 탐지를 설정하는 데 사용할 수 있는 Monitor의 모든 로그를 SIEM으로 전달합니다. 다양한 유형의 Azure 자산을 모니터링하여 잠재적 위협 및 비정상 활동이 있는지 확인합니다. 경고의 품질을 높이는 데 집중하여 분석가가 분류하는 가양성을 줄여야 합니다. 다음으로부터 경고를 시작할 수 있습니다.

  • 로그 데이터
  • 에이전트
  • 기타 데이터

이러한 로그에 대한 경고는 중요한 로그 쿼리, 로그 제거 또는 삭제를 트리거합니다.

책임: Customer

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD(Azure Active Directory)는 다음과 같은 사용자 로그를 제공합니다.

  • 로그인. 로그인 보고서는 관리형 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.

  • 감사 로그. 감사 로그는 Azure AD 내에서 다양한 기능이 수행하는 모든 변경 내용에 대한 추적 가능성을 제공합니다. 다음을 추가 또는 제거와 같이 Azure AD 내 리소스에 대한 변경 사항을 예로 들 수 있습니다.

    • 사용자
    • 그룹
    • 역할
    • 정책
  • 위험한 로그인. 위험한 로그인은 사용자 계정의 합법적인 소유자가 아닌 다른 사람이 로그인을 시도했을 수 있음을 나타냅니다.

  • 위험 플래그가 지정된 사용자. 위험 사용자는 손상되었을 수 있는 사용자 계정을 나타냅니다.

해당 로그는 Azure AD 보고에서 확인할 수 있습니다. 보다 정교한 모니터링 및 분석 사용 사례의 경우 다음과 로그를 통합할 수 있습니다.

  • Monitor
  • Microsoft Sentinel
  • 기타 SIEM/모니터링 도구

클라우드용 Microsoft Defender는 의심스러운 특정 작업에 대한 경고를 트리거할 수도 있습니다. 이러한 작업에는 구독에 실패한 인증 시도의 과도한 횟수 또는 사용되지 않는 계정이 포함됩니다. 기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 보호 모듈은 다음에서 보다 심층적인 보안 경고를 수집할 수도 있습니다.

  • 개별 Azure 컴퓨팅 리소스(가상 머신, 컨테이너 또는 앱 서비스)
  • 데이터 리소스(SQL DB 및 스토리지)
  • Azure 서비스 계층

이 기능을 사용하면 개별 리소스 내의 계정 변칙을 볼 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

참고 자료: 보안 분석을 위해 다음을 사용하고 수집합니다.

  • NSG 리소스 로그
  • NSG 흐름 로그
  • Azure Firewall 로그
  • WAF(웹 애플리케이션 방화벽) 로그

지원할 보안 분석을 적용합니다.

  • 인시던트 조사
  • 위협 헌팅
  • 보안 경고 생성

Azure Monitor Log Analytics 작업 영역에 흐름 로그를 보낼 수 있습니다. 그런 다음, 트래픽 분석을 사용하여 인사이트를 제공합니다.

Monitor는 사용하도록 설정해야 하는 DNS 쿼리 로그를 생성하거나 처리하지 않습니다.

책임: Customer

LT-4: Azure 리소스에 대한 로깅 사용

참고 자료: 활동 로그에는 Monitor 리소스의 모든 쓰기 작업(PUT, POST 및 DELETE)이 포함됩니다. 이러한 로그는 자동으로 사용 가능하지만 읽기 작업(GET)을 포함하지 않습니다. 문제를 해결할 때 활동 로그를 사용하여 오류를 찾습니다. 또는 로그를 사용하여 조직 내 사용자가 리소스를 수정한 방법을 모니터링합니다.

Monitor 작업 그룹은 현재 Azure 리소스 로그를 생성하지 않습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - microsoft.insights:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Data Lake Analytics에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Event Hub에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
IoT Hub에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.1
Key Vault의 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Logic Apps에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Search Services에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: 상관 관계를 사용하도록 설정하기 위해 로깅 스토리지 및 분석을 중앙 집중화합니다. 각 로그 원본에서 다음을 할당합니다.

  • 데이터 소유자
  • 액세스 참고 자료
  • 스토리지 위치
  • 데이터를 처리하고 액세스하는 데 사용되는 도구
  • 데이터 보존 요구 사항

Azure 활동 로그를 중앙 로깅에 통합합니다. Monitor를 통해 로그를 수집하여 다음에 의해 생성된 보안 데이터를 집계합니다.

  • 엔드포인트 디바이스
  • 네트워크 리소스
  • 기타 보안 시스템

Monitor에서 Log Analytics 작업 영역을 사용하여 쿼리하고 분석을 수행합니다. 장기 및 보관 스토리지에 스토리지 계정을 사용합니다.

또한 데이터를 사용하여 Microsoft Sentinel 또는 타사 SIEM으로 온보딩합니다.

많은 조직에서 자주 사용되는 “핫” 데이터에 Microsoft Sentinel을 사용합니다. 그런 다음, 조직은 자주 사용되지 않는 “콜드” 데이터에 대해 스토리지를 선택합니다.

Monitor에서 실행할 수 있는 애플리케이션의 경우 중앙 집중식 관리를 위해 모든 보안 관련 로그를 SIEM으로 전달합니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

참고 자료: Monitor 로그를 저장하는 데 사용되는 스토리지 계정 또는 Log Analytics 작업 영역이 있나요? 그런 다음, 로그 보존 기간을 조직의 규정 준수 규정으로 설정합니다.

Monitor에서 Log Analytics 작업 영역 보존 기간을 조직의 규정 준수 규정으로 설정할 수 있습니다. 장기 및 보관 스토리지의 경우 다음 구성 요소 중 하나를 사용합니다.

  • Azure Storage 계정
  • Azure Data Lake Storage 계정
  • Log Analytics 작업 영역

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

참고 자료: Monitor에서는 고유한 시간 동기화 원본을 구성할 수 없습니다. Monitor 서비스는 Microsoft 시간 동기화 원본에 의존하며, 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

참고 자료: Azure 리소스의 구성을 감사하고 적용해야 하나요? Monitor는 클라우드용 Microsoft Defender에서 사용할 수 있는 다음과 같은 서비스별 정책을 지원합니다. 클라우드용 Microsoft Defender 또는 Azure Policy 이니셔티브에서 이러한 정책을 구성할 수 있습니다.

  • Azure Cloud Services(추가 지원) 역할 인스턴스에 Log Analytics 에이전트를 설치해야 합니다. 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 합니다.
  • 구독에서 Log Analytics 에이전트의 클라우드용 Microsoft Defender 자동 프로비저닝을 기본 작업 영역에서 사용하도록 설정해야 합니다.
  • 구독에서 Log Analytics 에이전트의 클라우드용 Microsoft Defender 자동 프로비저닝을 사용자 지정 작업 영역에서 사용하도록 설정해야 합니다.
  • 클라우드용 Microsoft Defender 모니터링을 위해 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 합니다.
  • 클라우드용 Microsoft Defender 모니터링을 위해 가상 머신에 Log Analytics 에이전트를 설치해야 합니다.
  • 머신에서 Log Analytics 에이전트 상태 문제를 해결해야 합니다.
  • 클라우드용 Microsoft Defender 데이터에 대해 Log Analytics 작업 영역으로 내보내기를 배포해야 합니다.

Monitor는 수집 및 저장을 통해 보안 데이터에 대한 추가 정책을 제공합니다.

  • Private Link를 사용하도록 설정된 Application Insights 구성 요소는 프로파일러 및 디버거에 BYOS(Bring Your Own Storage) 계정을 사용해야 합니다.
  • 통합 문서는 사용자가 제어하는 스토리지 계정에 저장해야 합니다.
  • 로그 암호화를 위해 Monitor에 저장된 쿼리를 고객 스토리지 계정에 저장해야 합니다.
  • 활동 로그가 있는 컨테이너를 보유하는 스토리지 계정은 BYOK(Bring Your Own Key) 보호를 사용하여 암호화해야 합니다.
  • Azure Monitor 로그 클러스터는 고객 관리형 키로 암호화해야 합니다.
  • Azure Monitor 로그 클러스터는 인프라 암호화를 사용하도록 설정한 상태에서 만들어야 합니다(이중 암호화).

Azure Blueprints를 사용하여 단일 청사진 정의에서 서비스와 애플리케이션 환경의 배포 및 구성을 자동화합니다. 이러한 서비스 및 환경에는 다음이 포함됩니다.

  • ARM 템플릿
  • Azure RBAC 컨트롤
  • 정책

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

참고 자료: 클라우드용 Microsoft Defender를 사용하여 구성 기준을 모니터링합니다. Azure Policy의 Deny 및 DeployIfNotExists 정책 정의를 사용하여 다음을 포함한 Azure 컴퓨팅 리소스 전체에 보안 구성을 적용합니다.

  • 가상 머신
  • 컨테이너
  • Others

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

지침: 해당 없음. 이 지침은 컴퓨팅 리소스를 위한 것입니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가

참고 자료: Microsoft는 Monitor를 지원하는 기본 시스템에서 취약성을 관리합니다.

책임: Microsoft

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

참고 자료: 고객은 에이전트를 설치하여 Azure 및 비 Azure 가상 머신에서 Azure Monitor를 사용하도록 설정할 수 있습니다. 운영 체제에서 실행되는 에이전트의 가능한 취약성을 해결하려면 에이전트를 정기적으로 업그레이드합니다.

확장 배포에서 항상 자동 업데이트를 선택하는 것이 좋습니다. 보안 또는 주요 버그 수정을 제공하는 핫픽스 업데이트는 옵트아웃될 수 없습니다.

기본적으로 Azure 가상 머신의 Windows 및 Linux용 Log Analytics 에이전트를 업그레이드하도록 구성합니다. 그러면 보안 또는 주요 버그 수정을 포함하는 모든 업데이트가 신속하게 배포됩니다.

책임: Customer

PV-8: 정기적인 공격 시뮬레이션 수행

참고 자료: 필요한 경우 Azure 리소스에 대해 침투 테스트 또는 레드 팀 활동을 수행합니다. 모든 중요한 보안 결과에 대한 수정을 보장합니다. 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인하려면 Microsoft Cloud 침투 테스트 사용자 참여 규칙을 따릅니다. Microsoft에서 관리하는 레드 팀 구성과 라이브 사이트 침투 테스트의 Microsoft 전략 및 실행을 사용합니다.

  • 클라우드 인프라
  • 서비스
  • 애플리케이션

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

백업 및 복구

자세한 내용은 Azure Security Benchmark: 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

참고 자료: Azure Resource Manager를 사용하여 JSON(JavaScript Object Notation) 템플릿에서 Monitor 및 관련 리소스를 내보냅니다. 이 ARM 템플릿을 사용하여 Monitor 및 관련 구성을 백업할 수 있습니다. Azure Automation을 사용하여 자동으로 백업 스크립트를 실행합니다.

Monitor에는 모든 고객 데이터에 대한 내부 백업이 있습니다. 고객은 아무런 조치도 취할 필요가 없습니다(단, Log Analytics 작업 영역에 저장된 로그 데이터는 예외). 내보내기 기능을 사용하여 Log Analytics 작업 영역에 데이터를 저장하는 Application Insights 콘텐츠를 포함하는 이 데이터를 백업할 수 있습니다.

책임: Customer

BR-3: 고객 관리형 키를 비롯한 모든 백업 유효성 검사

참고 자료: Azure Resource Manager 지원 템플릿 파일을 주기적으로 복원할 수 있는지 확인합니다. 백업된 고객 관리형 키의 복원을 테스트합니다.

책임: Customer

BR-4: 분실한 키의 위험 완화

지침: 키 분실을 방지하고 복구할 수 있는 측정값을 마련합니다. 키가 실수로 또는 악의적으로 삭제되지 않도록 보호하려면 Key Vault에서 일시 삭제 및 제거 방지를 사용합니다.

책임: Customer

다음 단계