Azure Resource Graph에 대한 Azure 보안 기준

이 보안 기준은 Azure 보안 벤치마크 버전 2.0의 지침을 Azure Resource Graph에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Azure Resource Graph에 적용되는 관련 지침에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Resource Graph에 적용할 수 없는 컨트롤과 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Azure Resource Graph가 Azure 보안 벤치마크에 완전히 매핑되는 방법을 확인하려면 전체 Azure Resource Graph 보안 기준 매핑 파일을 참조하세요.

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Azure Resource Graph는 Azure AD(Azure Active Directory)를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 관리합니다.

  • Microsoft 클라우드 리소스. 리소스에는 다음이 포함됩니다.

    • Azure Portal

    • Azure Storage

    • Azure Linux 및 Windows 가상 머신

    • Azure Key Vault

    • PaaS(Platform-as-a-Service)

    • SaaS(Software-as-a-Service) 응용프로그램

  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 우선 순위가 높아야 합니다. Azure AD는 ID 보안 태세를 Microsoft의 모범 사례 권장 사항과 비교할 수 있도록 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

참고: Azure AD는 Microsoft 계정이 없는 사용자가 응용프로그램 및 리소스에 로그인할 수 있도록 하는 외부 ID를 지원합니다.

고객은 Azure Resource Manager를 통해 Azure Resource Graph와 통신합니다. 고객은 모든 통신에 유효한 Azure AD 토큰을 제공해야 합니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

지침: 사용자, 응용프로그램 및 디바이스를 Azure AD에 연결합니다. Azure AD는 원활하고 안전한 액세스와 향상된 가시성 및 제어 기능을 제공합니다. Azure Resource Graph는 Azure AD를 사용하여 Azure 리소스, 클라우드 응용프로그램 및 온-프레미스 응용프로그램에 대한 ID 및 액세스 관리를 제공합니다. ID에는 직원과 같은 엔터프라이즈 ID와 파트너, 공급자 및 공급자와 같은 외부 ID가 포함됩니다. Azure AD ID 및 액세스 관리는 SSO(Single Sign-On)를 제공하여 조직의 온-프레미스 및 클라우드 데이터 및 리소스에 대한 액세스를 관리하고 보호합니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-7: 충분한 관리의 최소 권한 원칙을 따릅니다.

지침: Azure Resource Graph는 리소스를 관리하기 위해 Azure RBAC와 통합됩니다. RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에는 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 제한합니다. 이 방법은 Azure AD PIM의 JIT(Just-In-Time) 방법을 보완합니다. 역할과 할당을 주기적으로 검토합니다.

기본 제공 역할을 사용하여 권한을 할당하고 필요할 때만 사용자 지정 역할을 만듭니다.

책임: Customer

PA-8: Microsoft 지원에 대한 승인 프로세스 선택

지침: 해당 사항 없음 Azure Resource Graph는 역할 기반 관리 계정을 지원하지 않습니다.

Azure Resource Graph는 고객이 액세스할 수 있는 데이터를 저장하지 않습니다. Microsoft는 다른 도구를 사용하지 않고 지원 사례 열기 중에 플랫폼 리소스 메타데이터에 액세스할 수 있습니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀이 자산 위험에 대한 가시성을 확보할 수 있도록 합니다.

지침: 보안 팀이 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여받았는지 확인하여 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.

보안 위험에 대한 모니터링은 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.

보안 읽기 권한자 권한을 전체 테넌트의 루트 관리 그룹에 광범위하게 적용하거나 권한 범위를 특정 관리 그룹 또는 구독에 적용할 수 있습니다.

참고: 워크로드 및 서비스에 대한 가시성을 가져오려면 더 많은 권한이 필요할 수 있습니다.

책임: Customer

AM-2: 보안 팀이 자산 인벤토리 및 메타데이터에 액세스할 수 있는지 확인

지침: 보안 팀이 Azure Resource Graph와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 조직이 새로운 위험에 노출될 가능성을 평가하기 위해, 그리고 지속적인 보안 개선을 위한 노력의 일환으로 보안 팀에서 이 인벤토리를 필요로 하는 경우가 많습니다. 조직의 승인된 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 모든 Azure Resource Graph 리소스에 대한 읽기 권한을 할당합니다. 구독에서 하나의 상위 수준 역할 할당으로 프로세스를 단순화할 수 있습니다.

Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 구성됩니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

Azure Virtual Machine Inventory를 사용하여 VM(가상 머신)의 소프트웨어에 대한 정보 수집을 자동화합니다. Azure Portal에서 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간을 사용할 수 있습니다. 설치 날짜 및 기타 정보에 액세스하려면 게스트 수준 진단을 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져옵니다.

Azure Resource Graph는 응용프로그램을 실행하거나 리소스에 소프트웨어를 설치하는 것을 허용하지 않습니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스를 검색할 때 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD는 다음 사용자 로그를 제공합니다. Azure AD 보고에서 로그를 볼 수 있습니다. 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM 및 모니터링 도구와 통합할 수 있습니다.

  • 로그인 - 관리되는 응용프로그램 사용 현황 및 사용자 로그인 작업에 대한 정보를 제공합니다.

  • 감사 로그 - 다양한 Azure AD 기능으로 이루어진, 모든 변경 내용에 대한 로그를 통해 추적성을 제공합니다. 감사 로그에는 Azure AD 내의 모든 리소스에 대한 변경 내용이 포함됩니다. 변경 내용에는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거가 포함됩니다.

  • 위험한 로그인 - 사용자 계정의 합법적인 소유자가 아닐 수도 있는 사람의 로그인 시도에 대한 표시기입니다.

  • 위험 플래그가 지정된 사용자 - 손상될 수도 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender에서 과도한 인증 시도 실패 횟수와 같은 의심스러운 작업에 대해 경고할 수도 있습니다. 구독에서 사용되지 않는 계정도 경고를 트리거할 수 있습니다. 클라우드용 Microsoft Defender에서 인증 시도 실패 횟수가 너무 많거나 사용되지 않는 계정과 같은 의심스러운 작업에 대해 경고할 수도 있습니다.

기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 다음에서 보다 심층적인 보안 경고를 수집할 수 있습니다.

  • VM, 컨테이너 및 App Service와 같은 개별 Azure 컴퓨팅 리소스

  • Azure SQL Database 및 Azure Storage와 같은 데이터 리소스

  • Azure 서비스 계층

이 기능을 사용하면 개별 리소스의 계정 변칙에 대한 가시성을 얻을 수 있습니다.

책임: Customer

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 보안 상태 및 취약성 관리를 참조하세요.

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

지침: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 VM 및 컨테이너를 포함한 모든 컴퓨팅 리소스에 대한 보안 구성을 설정합니다.

책임: Customer

다음 단계