Virtual Network NAT에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 1.0 의 지침을 Microsoft Virtual Network NAT에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 제어 및 Virtual Network NAT에 적용되는 관련 지침에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Virtual Network NAT에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Virtual Network NAT가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Virtual Network NAT 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

1.1: 가상 네트워크 내에서 Azure 리소스 보호

참고 자료: Virtual Network NAT는 가상 네트워크에 대한 아웃바운드 연결을 제공합니다. NAT 게이트웨이 리소스가 서브넷에 할당되면 서브넷에서 인터넷으로의 기본 경로가 고객 작업 없이 NAT 게이트웨이 리소스에 매핑됩니다. NAT 게이트웨이를 통해 인터넷에서 트래픽을 반환하는 것은 아웃바운드 직접 흐름에 대한 응답에만 허용됩니다.

NSG(네트워크 보안 그룹)는 NAT 게이트웨이를 사용하여 서브넷의 리소스에서 보낸 아웃바운드 트래픽으로 구성할 수 있지만, 아웃바운드 트래픽 흐름에 대한 응답이 아니면 인바운드 트래픽이 NAT 게이트웨이를 통해 흐르지 않습니다.

책임: Microsoft

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 컨트롤과 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에 의해 자동으로 사용하도록 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 클라우드용 Microsoft Defender에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것을 확인했습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신은 승인된 가상 네트워크에 연결되어야 함 이 정책은 승인되지 않은 가상 네트워크에 연결된 모든 가상 머신을 감사합니다. 감사, 거부, 사용 안 함 1.0.0
가상 네트워크는 지정된 가상 네트워크 게이트웨이를 사용해야 함 이 정책은 기본 경로가 지정된 가상 네트워크 게이트웨이를 가리키지 않는 경우 모든 가상 네트워크를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0

1.2: 가상 네트워크, 서브넷, NIC의 구성과 트래픽 모니터링 및 기록

참고 자료: NSG(네트워크 보안 그룹) 흐름 로그를 사용하여 NAT 게이트웨이 리소스를 통과하는 아웃바운드 트래픽 흐름을 모니터링할 수 있습니다.

클라우드용 Microsoft Defender를 사용하고 네트워크 보호 권장 사항을 따라 Azure 네트워크 리소스를 보호합니다. 네트워크 보안 그룹 흐름 로그를 사용하도록 설정하고 감사를 위해 로그를 Azure Storage 계정으로 보냅니다. 또한 흐름 로그를 Log Analytics 작업 영역에 보내고, 트래픽 분석을 사용하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공할 수 있습니다. 트래픽 분석의 장점은 네트워크 활동을 시각화하고, 핫스폿 및 보안 위협을 식별하고, 트래픽 흐름 패턴을 이해 하고, 네트워크 구성이 잘못 구성된 곳을 특정할 수 있다는 것입니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 컨트롤과 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에 의해 자동으로 사용하도록 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

1.5: 네트워크 패킷 기록

지침: Network Watcher 패킷 캡처를 사용하도록 설정하여 비정상적인 활동을 조사할 수 있습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 컨트롤과 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에 의해 자동으로 사용하도록 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

1.9: 네트워크 디바이스에 대한 표준 보안 구성 유지

지침: 기본 제공 또는 사용자 지정 Azure Policy 정의 및 할당을 사용하여 NAT 게이트웨이 리소스로 구성된 서브넷에 대한 표준 보안 구성을 정의하고 구현합니다.

책임: Customer

1.11: 자동화된 도구를 사용하여 네트워크 리소스 구성 모니터링 및 변경 내용 검색

지침: Azure 활동 로그를 사용하여 리소스 구성을 모니터링하고 NAT 게이트웨이 리소스 및 가상 네트워크 리소스에 대한 변경 내용을 검색합니다. 중요 한 리소스가 변경될 때 사용자에게 알리도록 Azure Monitor에 경고를 만듭니다.

책임: Customer

로깅 및 모니터링

자세한 내용은 Azure Security Benchmark: 로깅 및 모니터링을 참조하세요.

2.1: 승인된 시간 동기화 원본 사용

참고 자료: 해당 없음. Azure Network NAT는 사용자의 고유한 시간 동기화 원본 구성을 지원하지 않습니다. Azure Network NAT 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

2.2: 중앙 보안 로그 관리 구성

지침: Azure Monitor를 통해 Virtual Network NAT와 관련된 로그를 수집하여 엔드포인트 장치, 네트워크 리소스 및 기타 보안 시스템에 의해 생성된 보안 데이터를 집계합니다. Azure Monitor에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리하고 수행하며 장기 및 보관 저장소에 Azure Storage 계정을 사용할 수 있습니다.

또는 이 데이터를 Microsoft Sentinel 또는 타사 SIEM에 사용하도록 설정하거나 온보드할 수 있습니다.

책임: Customer

2.3: Azure 리소스에 대한 감사 로깅 사용

참고: 자동으로 사용할 수 있는 활동 로그에는 읽기 작업(GET)을 제외한 NAT 게이트웨이 리소스에 대한 모든 쓰기 작업(PUT, POST, DELETE)이 포함됩니다. 활동 로그를 사용하여 문제를 해결할 때 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

Virtual Network NAT는 현재 고객이 구성할 수 있는 추가 진단 로그를 생성하지 않습니다.

책임: Customer

2.4: 운영 체제에서 보안 로그 수집

참고 자료: 해당 없음. Virtual Network NAT는 운영 체제 구성 또는 보안 로그를 고객에게 노출하지 않습니다. Microsoft는 기본 서비스의 컴퓨팅 인프라를 모니터링할 책임이 있습니다.

책임: Microsoft

2.7: 비정상 활동에 대한 경고 사용

참고 자료: Log Analytics 작업 영역과 함께 클라우드용 Microsoft Defender를 사용하여 보안 로그 및 이벤트에서 발견된 비정상적인 작업을 모니터링하고 경고합니다. 대신, Microsoft Sentinel을 사용하도록 설정하고 여기로 데이터를 온보딩할 수 있습니다.

책임: Customer

2.8: 맬웨어 방지 로깅 중앙 집중화

참고 자료: 해당 없음. Virtual Network NAT는 고객에게 맬웨어 방지 로깅을 생성하거나 노출하지 않습니다. 모든 Microsoft 관리 리소스에 대해 Microsoft는 맬웨어 방지 로깅을 처리합니다.

책임: Microsoft

취약성 관리

자세한 내용은 Azure Security Benchmark: 취약성 관리를 참조하세요.

5.2: 자동화된 운영 체제 패치 관리 솔루션 배포

참고 자료: 해당 없음. Microsoft는 Virtual Network NAT를 지원하는 기본 운영 체제에서 패치 관리를 수행합니다.

책임: Microsoft

인벤토리 및 자산 관리

자세한 내용은 Azure Security Benchmark: 인벤토리 및 자산 관리를 참조하세요.

6.1: 자동화된 자산 검색 솔루션 사용

지침: Azure Resource Graph를 사용하여 구독 내의 모든 리소스(예: 컴퓨팅, 스토리지, 네트워크, 포트, 프로토콜 등)를 쿼리 및 검색합니다.

테넌트에서 적절한 권한(읽기)을 확인하고, 모든 Azure 구독 및 구독 내의 리소스를 열거합니다.

클래식 Azure 리소스는 Resource Graph를 통해 검색할 수 있지만 앞으로 Azure Resource Manager 리소스를 만들어 사용하는 것이 좋습니다.

책임: Customer

6.2: 자산 메타데이터 유지 관리

지침: Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류법으로 구성합니다. 각 태그는 이름과 값 쌍으로 이루어져 있습니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

책임: Customer

6.3: 권한 없는 Azure 리소스 삭제

지침: Azure 리소스 관리를 위한 태그를 적용합니다.

책임: Customer

6.4: 승인된 Azure 리소스의 인벤토리 정의 및 유지 관리

참고 자료: 조직의 요구에 따라 Virtual Network NAT를 허용하고 수명 주기 내내 이러한 리소스를 추적하는 등 승인된 Azure 리소스의 인벤토리를 만듭니다.

책임: Customer

6.5: 승인되지 않은 Azure 리소스 모니터링

지침: Azure Policy를 사용하여 구독에 만들 수 있는 리소스 종류에 대한 제한을 설정합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리/검색합니다. 환경에 있는 모든 Azure 리소스가 승인되었는지 확인합니다.

책임: Customer

6.9: 승인된 Azure 서비스만 사용

지침: Azure Policy를 사용하여 환경에서 프로비전할 수 있는 서비스를 제한합니다.

책임: Customer

보안 구성

자세한 내용은 Azure Security Benchmark: 보안 구성을 참조하세요.

7.5: Azure 리소스 구성을 안전하게 저장

지침: Azure DevOps를 사용하여 사용자 지정 Azure Policy 정의, Azure Resource Manager 템플릿 및 원하는 상태 구성 스크립트와 같은 코드를 안전하게 저장하고 관리합니다. Azure DevOps에서 관리하는 리소스에 액세스하려면 Azure DevOps와 통합된 경우 Azure AD(Azure Active Directory) 또는 TFS와 통합된 경우 Azure AD에 정의된 특정 사용자, 기본 제공 보안 그룹 또는 하나 이상의 그룹에 권한을 부여하거나 거부할 수 있습니다.

책임: Customer

사고 대응

자세한 내용은 Azure Security Benchmark: 인시던트 응답을 참조하세요.

10.1: 인시던트 대응 지침 만들기

지침: 조직에 대한 인시던트 대응 지침을 개발합니다. 탐지에서 인시던트 사후 검토까지의 인시던트 처리 및 관리 단계뿐만 아니라 담당자의 모든 역할도 정의하는 서면 인시던트 대응 계획이 있는지 확인합니다.

책임: Customer

10.2: 인시던트 점수 매기기 및 우선 순위 지정 절차 만들기

지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 클라우드용 Microsoft Defender가 경고를 발행하는 데 사용된 메트릭 또는 결과에서 얼마나 확신하는지, 경고를 유발한 작업 뒤에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.

또한 태그를 사용하여 구독을 표시하고, Azure 리소스, 특히 중요한 데이터를 처리하는 리소스를 식별하고 분류할 수 있는 명명 시스템을 만듭니다. 인시던트가 발생한 Azure 리소스 및 환경의 중요도에 따라 경고의 수정에 대한 우선 순위를 지정해야 합니다.

책임: Customer

10.3: 보안 대응 프로시저 테스트

지침: Azure 리소스를 보호하는 데 도움이 되도록 시스템의 인시던트 대응 기능을 정기적으로 테스트합니다. 약점과 격차를 식별한 다음, 필요에 따라 대응 계획을 수정합니다.

책임: Customer

10.4: 보안 인시던트 연락처 세부 정보 제공 및 보안 인시던트에 대한 경고 알림 구성

지침: MSRC(Microsoft 보안 대응 센터)에서 불법적이거나 권한이 없는 당사자가 데이터에 액세스했다고 검색하는 경우 Microsoft에서 보안 인시던트 연락처 정보를 사용하여 사용자에게 연락합니다. 문제가 해결되었는지 확인하기 위해 사후에 인시던트를 검토합니다.

책임: Customer

10.5: 보안 경고를 인시던트 대응 시스템에 통합

참고 자료: Azure 리소스에 대한 위험을 식별하는 데 도움이 되도록 연속 내보내기 기능을 사용하여 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 연속 내보내기를 사용하면 경고 및 권장 사항을 수동으로 또는 지속적으로 내보낼 수 있습니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍할 수 있습니다.

책임: Customer

10.6: 보안 경고에 대한 대응 자동화

참고 자료: 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 사용하여 보안 경고 및 권장 사항에 대한 응답을 자동으로 트리거하여 Azure 리소스를 보호합니다.

책임: Customer

침투 테스트 및 레드 팀 연습

자세한 내용은 Azure Security Benchmark: 침투 테스트 및 레드 팀 연습을 참조하세요.

11.1: Azure 리소스에 대한 침투 테스트를 정기적으로 수행 및 모든 중요한 보안 결과를 수정

지침: 침투 테스트가 Microsoft 정책을 위반하지 않도록 Microsoft Cloud 침투 테스트 참여 규칙을 따릅니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: Customer

다음 단계