Azure Resource Manager에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Microsoft Azure Resource Manager에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Azure Resource Manager에 적용되는 관련 지침에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 Microsoft Defender for Cloud 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준선에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Resource Manager에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Azure Resource Manager가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Azure Resource Manager 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

지침: Azure Resource Manager는 배포 및 관리 서비스입니다. 가상 네트워크에 직접 배포하는 것은 지원하지 않습니다. Azure Resource Manager는 네트워크 보안 그룹, 경로 테이블 또는 Azure Firewall과 같은 네트워크 종속 어플라이언스와 같은 네트워크 기능을 사용할 수 없습니다.

Azure Resource Manager에 연결하는 동안 TLS v1.2 이상 버전을 사용하는 것이 좋습니다.

참고: 서비스는 이전 버전과의 호환성을 위해 TLS v1.1을 지원합니다.

포트 443을 통해 Azure Resource Manager와 통신해야 합니다.

책임: Customer

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

지침: Azure Private Link를 사용하여 인터넷을 통하지 않고 가상 네트워크에서 Azure Resource Manager에 프라이빗하게 액세스할 수 있습니다. 프라이빗 액세스는 Azure 인증 및 트래픽 보안에 대한 심층 방어 수단을 추가합니다.

Azure Resource Manager에 대한 프라이빗 링크는 프라이빗 미리 보기에 있습니다.

Azure Resource Manager는 Virtual Network 서비스 엔드포인트를 구성하는 기능을 제공하지 않습니다.

책임: Customer

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

지침: Azure Resource Manager는 배포 및 관리 서비스이며 Microsoft는 외부 네트워크 공격으로부터 엔드포인트를 보호합니다. Azure Resource Manager는 가상 네트워크에 직접 배포하는 것을 지원하지 않습니다. Resource Manager는 기존 네트워킹 기능을 사용하여 DDoS Protection 표준과 같은 네이티브 Azure 네트워크 기능으로 서비스 거부(DDoS) 공격을 방지할 수 없습니다.

Azure Resource Manager는 웹 애플리케이션을 실행하기 위한 것이 아닙니다. 또한 웹 애플리케이션을 대상으로 하는 외부 네트워크 공격으로부터 보호하기 위해 다른 설정을 구성하거나 추가 네트워크 서비스를 배포할 필요가 없습니다.

책임: Microsoft

NS-6: 네트워크 보안 규칙 간소화

지침: Azure Virtual Network 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 Azure Resource Manager 리소스에 대한 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 적절한 규칙 원본 또는 대상 필드에 서비스 태그 이름을 지정하여 트래픽을 허용하거나 거부합니다. Microsoft는 서비스 태그가 포함하는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다.

AzureResourceManager 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 규칙을 구성할 수 있습니다.

책임: 공유됨

NS-7: 보안 DNS(Domain Name Service)

지침: Azure Resource Manager는 기본 DNS 구성을 노출하지 않습니다. 이러한 설정은 Microsoft에서 유지 관리합니다.

책임: Microsoft

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-7: 의도하지 않은 자격 증명 노출 제거

지침: Azure Resource Manager를 통해 고객은 잠재적으로 비밀을 포함할 수 있는 IaC(Infrastructure as Code) 템플릿을 사용하여 리소스를 배포할 수 있습니다. ARM 템플릿을 호스팅하는 리포지토리에 대해 Credential Scanner를 구현하는 것이 좋습니다. 코드 내에서 자격 증명을 식별하고 방지하는 데 도움이 됩니다. 또한 자격 증명 스캐너는 검사된 자격 증명을 Azure Key Vault와 같은 보다 안전한 위치로 이동하도록 권장합니다.

GitHub의 경우 기본 비밀 검사 기능을 사용하여 코드에서 자격 증명 또는 기타 비밀을 식별할 수 있습니다.

책임: 공유됨

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-3: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure Resource Manager는 Azure AD 계정을 사용하여 리소스를 관리하고 사용자 계정을 검토합니다. Azure AD는 정기적으로 할당에 액세스하여 계정 및 해당 액세스가 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 발견하는 데 유용한 로그를 제공합니다. Azure AD Privileged Identity Management를 사용하여 검토 프로세스를 용이하게 하는 액세스 검토 보고서 워크플로를 만듭니다.

Azure Resource Manager는 다음 기본 제공 Azure RBAC 역할을 지원합니다.

  • 기여자 - 모든 리소스를 관리할 수 있는 모든 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나, Azure Blueprints에서 할당을 관리하거나, 이미지 갤러리를 공유할 수는 없습니다.

  • 소유자 - Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.

  • 읽기 권한자 - 모든 리소스를 볼 수 있지만 변경할 수는 없습니다.

  • 사용자 액세스 관리자 - Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.

또한 과도한 수의 관리자 계정이 만들어질 때 경고하고 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 Azure Privileged Identity Management를 구성할 수도 있습니다.

참고: 일부 Azure 서비스는 Azure AD를 통해 관리되지 않는 로컬 사용자 및 역할을 지원합니다. 이러한 사용자를 별도로 관리합니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Resources:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
더 이상 사용되지 않는 계정은 구독에서 제거해야 합니다. 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 3.0.0
소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 3.0.0
소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0

PA-6: 권한 있는 액세스 워크스테이션 사용

참고 자료: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 매우 안전한 사용자 워크스테이션 및/또는 Azure Bastion을 사용합니다. Azure AD, Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 안전하고 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리할 수 있습니다. 이렇게 하면 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하는 보안 구성을 적용할 수 있습니다.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

지침: Azure Resource Manager는 리소스를 관리하기 위해 Azure RBAC와 통합됩니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 역할은 사용자, 그룹 서비스 주체 및 관리 ID에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 역할 쿼리의 인벤토리를 수행할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한해야 합니다. 이 방법은 Azure AD PIM의 JIT 방법을 보완하며 주기적으로 검토해야 합니다.

기본 제공 역할을 사용하여 권한을 할당하고 필요할 때만 사용자 지정 역할을 만듭니다.

  • 기여자 - 모든 리소스를 관리할 수 있는 모든 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나 Azure Blueprints에서 할당을 관리하거나 이미지 갤러리를 공유할 수는 없습니다.

  • 소유자 - Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.

  • 읽기 권한자 - 모든 리소스를 볼 수 있지만 변경할 수는 없습니다.

  • 사용자 액세스 관리자 - Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.

자세한 내용은 다음을 참조하세요.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Authorization:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
사용자 지정 RBAC 규칙 사용 감사 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. 감사, 사용 안 함 1.0.0

PA-8: Microsoft 지원에 대한 승인 프로세스 선택

지침: Azure Resource Manager는 고객 Lockbox를 지원하지 않습니다. Azure Resource Manager 리소스와 연결된 고객 데이터에 액세스하기 위해 Microsoft는 다른 방법을 통한 승인을 위해 지원 시나리오에서 고객과 협력할 수 있습니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

지침: 보안 팀이 Azure Resource Manager와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 조직이 새로운 위험에 노출될 가능성을 평가하고 지속적인 보안 개선을 위한 입력으로 이 인벤토리가 필요한 경우가 많습니다. 조직의 승인된 보안 팀을 포함할 Azure AD 그룹을 만들고 모든 Azure Resource Manager 리소스에 대한 읽기 권한을 할당합니다. 구독에서 하나의 상위 수준 역할 할당으로 프로세스를 단순화할 수 있습니다.

Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 구성됩니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

지침: 모든 Azure Resource Manager 로그를 SIEM 시스템으로 전달합니다. SIEM을 사용하여 사용자 지정 위협 검색을 설정할 수 있습니다.

다양한 유형의 Azure 자산을 모니터링하여 잠재적 위협 및 비정상 활동이 있는지 확인합니다. 분석가가 면밀히 살펴볼 수 있도록 가양성을 줄여 고품질 경고를 얻는 데 중점을 둡니다. 로그 데이터, 에이전트 또는 기타 데이터에서 경고를 소싱할 수 있습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Resources:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
App Service용 Microsoft Defender를 사용하도록 설정해야 함 Microsoft Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure SQL Database 서버용 Microsoft Defender를 사용하도록 설정해야 함 Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
컨테이너 레지스트리용 Microsoft Defender를 사용하도록 설정해야 함 컨테이너 레지스트리용 Microsoft Defender는 지난 30일 내에 끌어와서 레지스트리에 푸시한 이미지의 취약성을 검사하고, 각 이미지에 대해 발견한 자세한 내용을 공개합니다. AuditIfNotExists, 사용 안 함 1.0.3
DNS용 Microsoft Defender를 사용하도록 설정해야 합니다. Microsoft Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Microsoft Defender는 DNS 계층에서 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-dns에서 DNS용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
Key Vault용 Microsoft Defender를 사용하도록 설정해야 함 Key Vault용 Microsoft Defender는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.3
Kubernetes용 Microsoft Defender를 사용하도록 설정해야 함 Kubernetes용 Microsoft Defender는 실시간 위협 방지를 컨테이너화된 환경에 제공하고 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
Resource Manager용 Microsoft Defender를 사용하도록 설정해야 합니다. Resource Manager용 Microsoft Defender는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Microsoft Defender는 위협을 검색하고 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Resource Manager용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
서버용 Microsoft Defender를 사용하도록 설정해야 함 서버용 Microsoft Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
컴퓨터에서 SQL Server용 Microsoft Defender를 사용하도록 설정해야 함 Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
스토리지용 Microsoft Defender를 사용하도록 설정해야 함 스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.3

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD는 다음 사용자 로그를 제공합니다. Azure AD 보고에서 로그를 볼 수 있습니다. 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM 및 모니터링 도구와 통합할 수 있습니다.

  • 로그인 - 관리되는 응용프로그램 사용 현황 및 사용자 로그인 작업에 대한 정보를 제공합니다.

  • 감사 로그 - 다양한 Azure AD 기능으로 이루어진, 모든 변경 내용에 대한 로그를 통해 추적성을 제공합니다. 감사 로그에는 Azure AD 내의 모든 리소스에 대한 변경 내용이 포함됩니다. 변경 내용에는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거가 포함됩니다.

  • 위험한 로그인 - 사용자 계정의 합법적인 소유자가 아닐 수도 있는 사람의 로그인 시도에 대한 표시기입니다.

  • 위험 플래그가 지정된 사용자 - 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender는 인증 시도가 너무 많이 실패했거나 더 이상 사용되지 않는 계정과 같은 의심스러운 작업에 대한 경고를 트리거할 수도 있습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Resources:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
App Service용 Microsoft Defender를 사용하도록 설정해야 함 Microsoft Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure SQL Database 서버용 Microsoft Defender를 사용하도록 설정해야 함 Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
컨테이너 레지스트리용 Microsoft Defender를 사용하도록 설정해야 함 컨테이너 레지스트리용 Microsoft Defender는 지난 30일 내에 끌어와서 레지스트리에 푸시한 이미지의 취약성을 검사하고, 각 이미지에 대해 발견한 자세한 내용을 공개합니다. AuditIfNotExists, 사용 안 함 1.0.3
DNS용 Microsoft Defender를 사용하도록 설정해야 합니다. Microsoft Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Microsoft Defender는 DNS 계층에서 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-dns에서 DNS용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
Key Vault용 Microsoft Defender를 사용하도록 설정해야 함 Key Vault용 Microsoft Defender는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.3
Kubernetes용 Microsoft Defender를 사용하도록 설정해야 함 Kubernetes용 Microsoft Defender는 실시간 위협 방지를 컨테이너화된 환경에 제공하고 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
Resource Manager용 Microsoft Defender를 사용하도록 설정해야 합니다. Resource Manager용 Microsoft Defender는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Microsoft Defender는 위협을 검색하고 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Resource Manager용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
서버용 Microsoft Defender를 사용하도록 설정해야 함 서버용 Microsoft Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
컴퓨터에서 SQL Server용 Microsoft Defender를 사용하도록 설정해야 함 Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
스토리지용 Microsoft Defender를 사용하도록 설정해야 함 스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.3

LT-4: Azure 리소스에 대한 로깅 사용

지침: 자동으로 사용 가능한 활동 로그에는 읽기 작업(GET)을 제외한 Azure Resource Manager 리소스에 대한 모든 쓰기 작업(PUT, POST, DELETE)이 포함됩니다. 활동 로그를 사용하여 문제를 해결할 때 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

Azure Resource Manager는 현재 Azure 리소스 로그를 생성하지 않습니다.

책임: 공유됨

LT-6: 로그 스토리지 보존 구성

지침: Azure Resource Manager 활동 로그를 저장하는 데 사용되는 모든 스토리지 계정 또는 Log Analytics 작업 영역에 조직의 규정 준수 규정에 따라 로그 보존 기간이 설정되어 있는지 확인합니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

지침: Azure Resource Manager는 자체 시간 동기화 원본 구성을 지원하지 않습니다.

Azure Resource Manager 서비스는 Microsoft 시간 동기화 원본에 따라 다르며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

지침: Azure Blueprints를 사용하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화할 수 있습니다. 단일 청사진 정의에는 Azure 리소스 관리자 템플릿, Azure RBAC 역할 및 Azure Policy 할당이 포함될 수 있습니다.

Azure Policy 별칭을 사용하여 Azure 리소스의 구성을 감사하거나 적용하는 사용자 지정 정책을 만듭니다. 기본 제공 Azure Policy 정의를 사용할 수도 있습니다.

Azure Resource Manager는 템플릿을 JSON(JavaScript Object Notation) 형식으로 내보낼 수 있는 기능이 있으며, 내보낸 템플릿은 검토하여 조직의 보안 요구 사항을 충족하는지 확인해야 합니다.

클라우드용 Microsoft Defender의 권장 사항을 Azure 리소스에 대한 보안 구성 기준으로 사용할 수도 있습니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

지침: 클라우드용 Microsoft Defender를 사용하여 구성 기준을 모니터링하고 Azure Policy [거부] 및 [존재하지 않는 경우 배포]를 사용하여 적용하여 VM, 컨테이너 등을 비롯한 Azure 컴퓨팅 리소스 전반에 보안 구성을 적용합니다.

또한 관리자는 구독, 리소스 그룹 또는 리소스에 잠금을 설정하여 조직의 다른 사용자가 실수로 중요한 리소스를 삭제 또는 수정하지 못하게 할 수 있습니다. 잠금 수준을 CanNotDelete 또는 ReadOnly로 설정할 수 있습니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가 수행

지침: Microsoft는 Azure Resource Manager를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

지침: Microsoft는 Azure Resource Manager를 지원하는 기본 시스템에서 검색된 관리를 수행합니다.

책임: Microsoft

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행하고 모든 중요한 보안 결과를 수정합니다.

Microsoft 클라우드 침투 테스트 사용자 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft의 Red Teaming 전략 및 실행을 사용합니다. Microsoft 관리 클라우드 인프라, 서비스 및 응용프로그램에 대한 실시간 사이트 침투 테스트를 수행합니다.

책임: 공유됨

백업 및 복구

자세한 내용은 Azure Security Benchmark: 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

지침: Azure Resource Manager 템플릿 내보내기는 미사용 데이터를 캡처하는 데 사용할 수 없습니다. 리소스 구성의 경우 원본 템플릿에서 인프라를 만들고 필요한 경우 해당 원본에서 다시 배포하는 것이 좋습니다. 템플릿 내보내기는 해당 프로세스를 부트스트랩하는 데 도움이 될 수 있지만 재해 복구를 설명할 만큼 강력하지 않습니다.

책임: Customer

BR-3: 고객 관리형 키를 비롯한 모든 백업 유효성 검사

지침: API, CLI 또는 Azure Portal을 통해 필요한 경우 격리된 구독에 정기적으로 Azure Resource Manager 템플릿 배포를 정기적으로 수행할 수 있는 기능이 있는지 확인합니다.

책임: Customer

다음 단계