Network Watcher에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0에서 Network Watcher에 대한 지침을 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 제어 및 Network Watcher에 적용되는 관련 지침에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Network Watcher에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Network Watcher가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Network Watcher 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-7: 보안 DNS(Domain Name Service)

참고 자료: Network Watcher는 기본 DNS 구성을 노출하지 않습니다. 이러한 설정은 Microsoft에서 유지 관리합니다.

책임: Microsoft

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-7: 충분한 관리 수행(최소 권한 원칙)

참고 자료: Network Watcher는 Azure RBAC와 통합되어 리소스에 대한 액세스를 관리합니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 다음 역할을 할당합니다.

  • 사용자
  • 그룹
  • 서비스 주체
  • 관리 ID

특정 리소스에 대해 미리 정의된 기본 제공 역할이 있습니다. 다음과 같은 도구를 통해 이러한 역할의 목록을 작성하거나 쿼리할 수 있습니다.

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 항상 제한합니다. 이 방법은 Azure AD PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완합니다. 이러한 권한을 주기적으로 검토합니다.

기본 제공 역할을 사용하여 권한을 부여합니다. 필요한 경우에만 사용자 지정 역할을 만듭니다.

Network Watcher 기능을 사용하려면 Azure에 로그인한 계정을 다음 기본 제공 역할 중 하나에 할당합니다.

  • 소유자
  • 참가자
  • 네트워크 기여자

또는 특정 Network Watcher 기능에 대해 나열된 작업이 할당된 사용자 지정 역할을 사용합니다.

책임: Customer

PA-8: Microsoft 지원에 대한 승인 프로세스 선택

참고 자료: Azure Network Watcher는 고객 lockbox를 지원하지 않습니다. Microsoft는 고객 데이터 액세스에 대한 승인을 위해 비 Lockbox 방법을 통해 고객과 협력할 수 있습니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-3: 중요한 데이터의 무단 전송 모니터링

참고 자료: Microsoft는 Azure Network Watcher 및 관련 리소스에 대한 기본 인프라를 관리합니다. 고객 데이터의 손실 또는 노출을 방지하기 위해 엄격한 제어를 구현합니다.

책임: Microsoft

DP-4: 전송 중인 중요한 정보 암호화

참고 자료: Azure Network Watcher는 TLS v1.2 이상을 사용하여 전송 중 데이터 암호화를 지원합니다. Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.

책임: Microsoft

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-2: 보안 팀이 자산 인벤토리 및 메타데이터에 액세스할 수 있는지 확인

참고 자료: 보안 팀이 Network Watcher와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 종종 새로운 위험에 대한 조직의 잠재적 노출을 평가하기 위해 이 인벤토리가 필요합니다. 인벤토리는 또한 지속적인 보안 개선을 위한 입력입니다. 조직의 승인된 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 모든 Network Watcher 리소스에 대한 보안 팀에 대한 읽기 권한을 부여합니다. 이러한 작업은 구독 내 단일 상위 수준 역할 할당으로 단순화할 수 있습니다.

논리적으로 분류 체계를 구성하려면 다음 항목에 태그를 적용합니다.

  • : Azure 리소스
  • 리소스 그룹
  • Subscriptions

각 태그는 이름과 값 쌍으로 이루어져 있습니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

참고 자료: Network Watcher에는 리소스와 관련된 보안 위협을 모니터링하는 기본 기능이 없습니다.

Azure Network Watcher와 관련된 모든 로그를 SIEM에 전달합니다. SIEM을 사용하여 사용자 지정 위협 검색을 설정할 수 있습니다. 다양한 유형의 Azure 자산을 모니터링하여 잠재적 위협 및 비정상 활동이 있는지 확인합니다. 분석가가 면밀히 살펴볼 수 있도록 가양성을 줄여 고품질 경고를 얻는 데 중점을 둡니다. 로그 데이터, 에이전트 또는 기타 데이터에서 경고를 소싱할 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

참고 자료: NSG(네트워크 보안 그룹) 리소스 로그 및 NSG 흐름 로그를 사용하도록 설정하고 수집합니다. 다음 로그를 사용하여 보안 분석을 지원합니다.

  • 인시던트 조사
  • 위협 헌팅
  • 보안 경고 생성

Azure Monitor Log Analytics 작업 영역에 흐름 로그를 보냅니다. 그런 다음, 트래픽 분석을 사용하여 인사이트를 제공합니다. Network Watcher는 DNS 쿼리 로그를 생성하거나 처리하지 않습니다.

책임: 공유됨

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 제어와 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수도 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

LT-4: Azure 리소스에 대한 로깅 사용

참고 자료: Azure 활동 로그를 사용하여 Azure Network Watcher 인스턴스에 대한 구성을 모니터링하고 변경 내용을 검색합니다. 컨트롤 플레인(예: Azure Portal) 외에 Network Watcher 자체는 감사 로그를 생성하지 않습니다. Azure 가상 네트워크의 리소스에 대해 Network Watcher는 다음을 위한 도구를 제공합니다.

  • Monitor
  • 진단
  • 메트릭 보기
  • 로그 사용 또는 사용하지 않도록 설정

자세한 내용은 다음 문서를 읽어보세요.

책임: Customer

LT-5: 보안 로그 관리 및 분석 중앙 집중화

참고 자료: Azure Network Watcher 로그 데이터의 상관 관계를 사용하도록 설정하려면 로깅 스토리지 및 분석을 중앙 집중화합니다. 각 로그 원본에 대해 다음을 할당합니다.

  • 데이터 소유자
  • 액세스 참고 자료
  • 스토리지 위치
  • 데이터를 처리하고 액세스하는 데 사용되는 도구
  • 데이터 보존 요구 사항

Azure 활동 로그를 중앙 로깅에 통합합니다. Azure Monitor를 통해 로그를 수집하여 다음에서 생성한 보안 데이터를 집계합니다.

  • 엔드포인트 디바이스
  • 네트워크 리소스
  • 기타 보안 시스템

Azure Monitor에서 Log Analytics 작업 영역을 사용하여 쿼리하고 분석합니다. Azure Storage 계정을 장기 보관 스토리지에 사용합니다.

또한 데이터를 사용하도록 설정하여 Microsoft Sentinel 또는 타사 SIEM에 온보딩합니다. 많은 조직에서 "자주 사용되는 핫 데이터"에 Microsoft Sentinel을 사용합니다. 그런 다음 조직은 "자주 사용되지 않는 콜드 데이터"에 대해 Azure Storage를 선택합니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

참고 자료: Network Watcher 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

참고 자료: Azure Policy를 사용하여 Azure Network Watcher에 대한 표준 보안 구성을 정의 및 구현합니다. “Microsoft.Network” 네임스페이스에서 Azure Policy 별칭을 사용하여 Network Watcher 인스턴스의 네트워크 구성을 감사 및 시행하는 사용자 지정 정책을 만듭니다. 또한 다음과 같은 기본 제공 정책 정의를 사용합니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

참고 자료: Azure 리소스에서 Azure Network Watcher에 대한 보안 설정을 적용하려면 Azure Policy에서 Deny 및 DeployIfNotExists 정책 정의를 사용합니다.

책임: Customer

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행합니다. 모든 중요한 보안 결과를 수정합니다.

침투 테스트가 Microsoft 정책을 위반할 까봐 걱정되나요? 그런 다음 Microsoft Cloud 침투 테스트 참여 규칙을 따릅니다. Microsoft의 전략과 Microsoft 관리형에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

  • 클라우드 인프라
  • 서비스
  • 애플리케이션

자세한 내용은 다음 문서를 읽어보세요.

책임: 공유됨

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

참고 자료: Azure Network Watcher는 고객이 맬웨어 방지 보호를 구성해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Microsoft는 Azure Network Watcher의 기본 인프라를 처리합니다. 이 인프라에는 맬웨어 방지 처리가 포함됩니다.

책임: Microsoft

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되었는지 확인

참고 자료: Azure Network Watcher는 고객이 맬웨어 방지 보호를 구성해야 하는 고객 대면 컴퓨팅 리소스를 배포하지 않습니다. Microsoft는 Azure Network Watcher의 기본 인프라를 처리합니다. 이 인프라에는 맬웨어 방지 처리가 포함됩니다.

책임: Microsoft

다음 단계