Virtual Network에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 1.0의 지침을 Azure Virtual Network에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 컨트롤 및 Azure Virtual Network에 적용되는 관련 지침에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Virtual Network에 적용되지 않거나 Microsoft의 책임인 컨트롤은 제외되었습니다. Virtual Network가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Virtual Network 보안 기준 매핑 파일 을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

1.2: 가상 네트워크, 서브넷 및 네트워크 인터페이스의 구성 및 트래픽을 모니터링 및 기록

지침: 클라우드용 Microsoft Defender를 사용하고 네트워크 보호 권장 사항을 따라 Azure에서 네트워크 리소스를 보호합니다.

네트워크 보안 그룹 흐름 로그를 Log Analytics 작업 영역에 보내고, 트래픽 분석을 사용하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공할 수 있습니다. 트래픽 분석은 네트워크 활동을 시각화하고, 핫 스폿을 식별하며, 보안 위협을 식별하고, 트래픽 흐름 패턴을 이해하며, 잘못된 네트워크 구성을 파악할 수 있는 기능을 제공합니다.

Azure Monitor 로그를 사용하여 사용자 환경에 대한 인사이트를 제공합니다. 작업 영역은 데이터를 대조 및 분석하는 데 사용해야 하며 Application Insights 및 클라우드용 Microsoft Defender와 같은 다른 Azure 서비스와 통합할 수 있습니다.

Azure Storage 계정 또는 이벤트 허브로 보낼 리소스 로그를 선택합니다. 다른 플랫폼을 사용하여 로그를 분석할 수도 있습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 컨트롤과 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에 의해 자동으로 사용하도록 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

1.4: 알려진 악성 IP 주소와의 통신 거부

지침: Azure Virtual Network에서 DDoS(분산 서비스 거부) 표준 보호를 사용하도록 설정하여 DDoS 공격으로부터 보호합니다.

위협 인텔리전스 기반 필터링을 사용하도록 설정하고 악성 네트워크 트래픽에 대해 "경고 및 거부"하도록 구성된 조직의 각 네트워크 경계에 Azure Firewall을 배포합니다.

클라우드용 Microsoft Defender의 위협 방지 기능을 사용하여 알려진 악성 IP 주소와의 통신을 검색합니다.

실제 트래픽 및 위협 인텔리전스를 기반으로 포트 및 원본 IP를 제한하는 네트워크 보안 그룹 구성에 대해 클라우드용 Microsoft Defender의 적응형 네트워크 강화 권장 사항을 적용합니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 컨트롤과 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에 의해 자동으로 사용하도록 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 클라우드용 Microsoft Defender에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것을 확인했습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
Azure DDoS Protection 표준을 사용하도록 설정해야 함 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호 표준을 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0

1.5: 네트워크 패킷 기록

지침: 네트워크 패킷을 기록하는 데 일반적으로 사용 가능한 패킷 캡처 도구 외에도 VPN Gateway의 패킷 캡처를 사용합니다.

Azure Marketplace 제품에서 제공하는 패킷 브로커 파트너 솔루션을 통해 TAP(터미널 액세스 지점) 또는 네트워크 표시 기능을 제공하는 에이전트 기반 또는 NVA 솔루션을 검토할 수도 있습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 컨트롤과 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에 의해 자동으로 사용하도록 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

1.6: 네트워크 기반 IDS/IPS(침입 탐지/침입 방지 시스템) 배포

지침: 위협 인텔리전스를 사용하여 가상 네트워크에 배포된 Azure Firewall을 사용합니다. Azure Firewall 위협 인텔리전스 기반 필터링을 사용하면 알려진 악성 IP 주소 및 도메인과 주고받는 트래픽을 경고하거나 거부할 수 있습니다. IP 주소 및 도메인은 Microsoft 위협 인텔리전스 피드에서 제공됩니다.

페이로드 검사 기능을 사용하여 IDS/IPS 기능을 지원하는 Azure Marketplace에서 제공하는 적절한 제품을 선택할 수도 있습니다.

악의적인 트래픽을 탐지 및/또는 거부하기 위해 각 조직의 네트워크 경계에서 원하는 방화벽 솔루션을 배포합니다.

책임: Customer

1.8: 네트워크 보안 규칙의 복잡성 및 관리 오버헤드 최소화

지침: Virtual Network 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 규칙의 적절한 소스 또는 대상 필드에 서비스 태그 이름(예: ApiManagement)을 지정하여 해당 서비스에 대한 트래픽을 허용하거나 거부합니다. Microsoft에서는 서비스 태그에서 압축한 주소 접두사를 관리하고 주소를 변경하는 대로 서비스 태그를 자동으로 업데이트합니다.

애플리케이션 보안 그룹을 사용하여 복잡한 보안 구성을 간소화할 수 있습니다. 애플리케이션 보안 그룹을 통해 네트워크 보안을 애플리케이션 구조의 자연 확장으로 구성할 수 있습니다. 이렇게 하면 가상 머신을 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다.

책임: Customer

1.9: 네트워크 디바이스에 대한 표준 보안 구성 유지

지침: Azure Policy를 사용하여 네트워크 리소스에 대한 표준 보안 구성을 정의 및 구현하고 구현을 위한 기본 제공 네트워크 정책 정의를 검토합니다.

가상 네트워크와 관련하여 사용 가능한 보안 권장 사항이 포함된 클라우드용 Microsoft Defender에 대한 기본 정책을 참조하세요.

Azure Blueprints를 사용하여 주요 환경 아티팩트(예: Azure Resource Manager 템플릿, Azure RBAC(역할 기반 액세스 제어) 할당 및 정책)를 단일 청사진 정의로 패키지하여 대규모 Azure 배포를 간소화할 수 있습니다. 버전 관리를 통해 세부적으로 조정된 제어 및 관리를 위해 새 구독에 Azure Blueprint를 적용할 수 있습니다.

책임: Customer

1.10: 문서 트래픽 구성 규칙

지침: 네트워크 보안 그룹 및 네트워크 보안/트래픽 흐름과 관련된 기타 리소스에 태그를 사용합니다. "설명" 필드를 사용하여 개별 네트워크 보안 그룹 규칙에 대해 네트워크와 주고받는 트래픽을 허용하는 규칙에 대한 비즈니스 요구, 기간 및 기타 정보를 지정합니다. 태그 지정과 관련된 기본 제공 Azure Policy 정의(예: "태그 및 해당 값 필요")를 사용하여 모든 리소스에서 태그를 포함하도록 만들고 태그가 없는 기존 리소스를 알립니다.

Azure PowerShell 또는 Azure CLI를 선택하여 태그를 기반으로 리소스를 조회하거나 작업을 수행합니다.

책임: Customer

1.11: 자동화된 도구를 사용하여 네트워크 리소스 구성 모니터링 및 변경 내용 검색

지침: Azure 활동 로그를 사용하여 리소스 구성을 모니터하고 가상 네트워크의 변경 내용을 검색합니다. Azure Monitor 내에서 중요한 리소스가 변경되면 트리거되는 경고를 만듭니다.

책임: Customer

로깅 및 모니터링

자세한 내용은 Azure Security Benchmark: 로깅 및 모니터링을 참조하세요.

2.2: 중앙 보안 로그 관리 구성

지침: 이벤트 원본, 날짜, 사용자, 타임스탬프, 원본 주소, 대상 주소 및 기타 유용한 요소를 포함하는 감사 및 활동 로그에 액세스할 수 있도록 Azure Monitor를 사용합니다.

Azure Monitor 내에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리 및 수행하고, Azure Storage 계정을 장기/보관 스토리지에 사용할 수 있습니다. 또는 Microsoft Sentinel 또는 타사 SIEM에 데이터를 사용하도록 설정하고 온보딩할 수 있습니다.

책임: Customer

2.3: Azure 리소스에 대한 감사 로깅 사용

지침: 이벤트 원본, 날짜, 사용자, 타임스탬프, 원본 주소, 대상 주소 및 기타 유용한 요소를 포함하는 감사 및 활동 로그에 액세스할 수 있도록 Azure Monitor를 사용합니다.

책임: Customer

2.5: 보안 로그 스토리지 보존 구성

지침: Azure Monitor 내에서 조직의 규정 준수 규칙에 따라 Log Analytics 작업 영역 보존 기간을 설정합니다. 보안 로그 스토리지 보존의 장기/보관 스토리지에 Azure Storage 계정을 사용합니다.

책임: Customer

2.6: 로그 모니터링 및 검토

지침: 로그를 분석하고 모니터링하여 비정상 동작이 있는지 확인하고 결과를 정기적으로 검토합니다. Azure Monitor의 Log Analytics 작업 영역을 사용하여 분석을 쿼리 및 수행하고, Azure Storage 계정을 장기/보관 스토리지에 사용할 수 있습니다.

또는 Microsoft Sentinel 또는 타사 SIEM에 데이터를 사용하도록 설정하고 온보딩할 수 있습니다.

책임: Customer

2.7: 비정상 활동에 대한 경고 사용

지침: Log Analytics 작업 영역과 함께 클라우드용 Microsoft Defender를 사용하여 보안 로그 및 이벤트에서 발견된 비정상적인 작업을 모니터링하고 경고합니다.

또는 경고를 위해 Microsoft Sentinel 또는 타사 SIEM에 데이터를 사용하도록 설정하고 온보딩할 수 있습니다.

책임: Customer

2.9: DNS 쿼리 로깅 사용

지침: 조직의 요구에 따라 DNS 로깅 솔루션을 위한 Azure Marketplace에서 타사 솔루션을 구현합니다.

책임: Customer

ID 및 Access Control

자세한 내용은 Azure Security Benchmark: ID 및 액세스 제어를 참조하세요.

3.1: 관리 계정 인벤토리 유지 관리

지침: 명시적으로 할당하여 쿼리할 수 있는 Azure AD(Azure Active Directory) 기본 제공 관리자 역할을 사용하세요.

Azure AD PowerShell 모듈을 사용하여 임시 쿼리를 수행해서 관리 그룹의 구성원인 계정을 검색합니다.

책임: Customer

3.3: 전용 관리 계정 사용

지침: 전용 관리 계정 사용에 대한 표준 운영 절차를 만듭니다. 클라우드용 Microsoft Defender의 ID 및 액세스 관리를 사용하여 관리 계정 수를 모니터링합니다.

Azure Active Directory(Azure AD) Privileged Identity Management Privileged Roles for Microsoft Services와 Azure Resource Manager를 사용하여 Just-In-Time/Just-Enough-Access를 사용하도록 설정합니다.

책임: Customer

3.4: Azure Active Directory SSO(Single Sign-On) 사용

지침: 서비스별로 개별 독립 실행형 자격 증명을 구성하는 대신 Azure AD(Azure Active Directory)와 함께 SSO를 사용합니다. 클라우드용 Microsoft Defender의 ID 및 액세스 관리 권장 사항을 사용합니다.

책임: Customer

3.5: 모든 Azure Active Directory 기반 액세스에 다단계 인증 사용

지침: Azure AD(Azure Active Directory) 다단계 인증을 사용하도록 설정하고 클라우드용 Microsoft Defender의 ID 및 액세스 관리 권장 사항을 따릅니다.

책임: Customer

3.6: 관리 작업에 안전한 Azure 관리 워크스테이션 사용

지침: Azure 네트워크 리소스를 로그인하고 액세스하도록 구성된 다단계 인증과 함께 PAW(Privileged Access Workstation)를 사용합니다.

책임: Customer

3.7: 관리 계정의 의심스러운 활동에 대한 로그 및 경고

지침: Azure AD(Azure Active Directory) 위험 탐지 기능을 활용하여 위험한 사용자 동작에 대한 경고와 보고서를 볼 수 있습니다.

클라우드용 Microsoft Defender 위험 검색 경고를 Azure Monitor로 수집하고 작업 그룹을 사용하여 사용자 지정 경고/경고를 구성합니다.

책임: Customer

3.8: 승인된 위치에서만 Azure 리소스 관리

지침: 조건부 액세스 명명된 위치를 사용하여 IP 주소 범위 또는 국가/지역의 특정 논리 그룹에서만 액세스하도록 허용합니다.

책임: Customer

3.9: Azure Active Directory 사용

지침: Azure AD(Azure Active Directory)를 서비스에 대한 중앙 인증 및 권한 부여 시스템으로 사용합니다. Azure AD는 미사용 데이터와 전송 중인 데이터에 강력한 암호화를 사용하여 데이터를 보호하며 사용자 자격 증명을 솔트 및 해시하고 안전하게 저장합니다.

책임: Customer

3.10: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure AD(Azure Active Directory)를 사용하여 부실 계정을 검색하는 데 도움이 되는 로그를 제공합니다.

Azure ID 액세스 검토를 수행하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다. 사용자 액세스를 정기적으로 검토하여 활성 사용자만 계속 액세스할 수 있도록 합니다.

책임: Customer

3.11: 비활성화된 자격 증명에 대한 액세스 시도 모니터링

지침: Azure AD(Azure Active Directory) 로그인 활동, 감사 및 위험 이벤트 로그 원본을 액세스를 기반으로 하는 모든 SIEM 또는 모니터링 도구와 통합합니다.

Azure AD 사용자 계정에 대한 진단 설정을 만들고 감사 로그 및 로그인 로그를 Log Analytics 작업 영역으로 보내서 이 프로세스를 간소화합니다. Log Analytics 작업 영역 내에서 원하는 경고를 구성할 수 있습니다.

책임: Customer

3.12: 계정 로그인 동작 편차에 대한 경고

지침: Azure AD(Azure Active Directory) 위험 및 ID 보호 기능을 사용해 가상 네트워크에 대한 사용자 ID와 관련하여 탐지된 의심스러운 동작에 대한 자동 응답을 구성합니다. 추가 조사를 위해 Microsoft Sentinel에 데이터를 수집합니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

4.4: 전송 중인 모든 중요한 정보 암호화

지침: 전송 중인 모든 중요한 정보를 암호화합니다. 가상 네트워크의 Azure 리소스에 연결하는 클라이언트가 TLS 1.2 이상을 협상할 수 있는지 확인합니다. 저장 데이터 암호화 및 전송 중 암호화에 대한 클라우드용 Microsoft Defender 권장 사항을 따릅니다.

Microsoft에서는 내부적으로는 Azure 네트워크 내에서 전송 중인 데이터를, 외부적으로는 인터넷을 통해 최종 사용자에게 전송 중인 데이터를 보호하기 위해 고객이 사용할 수 있는 여러 옵션을 제공합니다. 해당 옵션에는 가상 사설망(IPsec/IKE 암호화 활용), TLS(전송 계층 보안) 1.2 이상(Application Gateway, Azure Front Door 등 Azure 구성 요소 사용), Azure Virtual Machines의 직접 프로토콜(예: Windows IPsec 또는 SMB) 등을 통한 통신이 포함됩니다.

또한 Azure 데이터 센터 간에 이동하는 모든 Azure 트래픽에 대해 MACsec(데이터 링크 계층의 IEEE 표준)를 사용하는 “기본적으로 암호화”가 지원되도록 설정되어 있어 고객 데이터의 기밀성과 무결성이 보장됩니다.

책임: 공유됨

4.6: Azure RBAC를 사용하여 리소스에 대한 액세스 관리

지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 데이터 및 리소스에 대한 액세스를 관리합니다. 그렇지 않으면 서비스별 액세스 제어 메서드를 사용합니다.

소유자, 기여자 또는 네트워크 기여자와 같은 기본 제공 역할을 선택하고 역할을 적절한 범위에 할당합니다. 예를 들어 가상 네트워크에 필요한 특정 권한이 있는 가상 네트워크 기능의 하위 집합을 이러한 역할 중 하나에 할당할 수 있습니다.

책임: Customer

4.9: 중요한 Azure 리소스에 대한 변경 내용 기록 및 경고

지침: Azure 활동 로그와 함께 Azure Monitor를 사용하여 Virtual Networks 및 네트워크 보안 그룹과 같은 중요한 Azure 리소스에 변경 내용이 발생하는 경우에 대한 경고를 만듭니다.

책임: Customer

인벤토리 및 자산 관리

자세한 내용은 Azure Security Benchmark: 인벤토리 및 자산 관리를 참조하세요.

6.1: 자동화된 자산 검색 솔루션 사용

지침: Azure Resource Graph를 사용하여 Virtual Networks, 구독 내 하위 집합 같은 모든 네트워킹 리소스를 쿼리하고 발견합니다. 테넌트에서 적절한 권한(읽기)이 있는지 확인하고, 모든 Azure 구독 및 구독 내의 리소스를 열거할 수 있습니다.

책임: Customer

6.2: 자산 메타데이터 유지 관리

지침: 메타데이터를 제공하는 Azure 리소스에 태그를 적용하여 논리적으로 분류 체계로 구성합니다.

책임: Customer

6.3: 권한 없는 Azure 리소스 삭제

지침: 적합할 경우 태그 지정, 관리 그룹, 별도의 구독을 사용하여 Virtual Network 및 관련 리소스를 구성하고 추적합니다. 정기적으로 인벤토리를 조정하고, 구독에서 권한 없는 리소스가 적시에 삭제되도록 합니다.

책임: Customer

6.4: 승인된 Azure 리소스의 인벤토리 정의 및 유지 관리

지침: 조직 요구 사항에 따라 승인된 Azure 리소스 및 계산 리소스에 승인된 소프트웨어의 인벤토리를 만듭니다.

책임: Customer

6.5: 승인되지 않은 Azure 리소스 모니터링

지침: Azure Policy에서 다음의 기본 제공 정책 정의를 사용해 고객 구독에서 만들 수 있는 리소스 종류를 제한합니다.

  • 허용되지 않는 리소스 종류

  • 허용되는 리소스 유형

Azure Storage 계정을 사용하는 것과 같은 높은 보안 기반 환경에서 Azure 리소스 그래프를 사용하여 구독 내의 리소스를 쿼리하거나 검색합니다.

책임: Customer

6.7: 승인되지 않은 Azure 리소스 및 소프트웨어 애플리케이션 제거

지침: 조직의 정책에서 요구하는 대로 Azure Policy에서 리소스 생성 또는 사용을 차단합니다. 권한 없는 리소스를 제거하는 프로세스를 구현합니다.

책임: Customer

6.9: 승인된 Azure 서비스만 사용

지침: Azure Policy에서 다음의 기본 제공 정책 정의를 사용해 고객 구독에서 만들 수 있는 리소스 종류를 제한합니다.

  • 허용되지 않는 리소스 종류

  • 허용되는 리소스 유형

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

6.11: Azure Resource Manager와 상호 작용하는 사용자 기능 제한

지침: "Microsoft Azure 관리" 앱에 대한 액세스 차단을 구성함으로써 Azure 조건부 액세스를 사용하여 Azure Resource Manager와 상호 작용하는 사용자 기능을 제한합니다.

책임: Customer

보안 구성

자세한 내용은 Azure Security Benchmark: 보안 구성을 참조하세요.

7.1: 모든 Azure 리소스에 대한 보안 구성 설정

지침: Azure Policy 별칭을 사용하여 Azure 네트워크 리소스의 구성을 감사하거나 적용하고 기본 제공 Azure Policy 정의를 사용하는 사용자 지정 정책도 만듭니다.

JSON(JavaScript Object Notation) 형식의 Azure Resource Manager를 사용하여 빌드 템플릿을 내보내고 이를 검토하여 구성이 조직의 보안 요구 사항을 충족하거나 초과하는지 확인합니다.

Azure 리소스에 대한 보안 구성 기준으로 클라우드용 Microsoft Defender의 권장 사항을 구현합니다.

책임: Customer

7.3: 보안 Azure 리소스 구성 유지 관리

지침: Azure Resource Manager 템플릿 및 Azure Policy를 사용하여 가상 네트워크 및 관련 리소스에 연결된 Azure 리소스를 안전하게 구성합니다. Azure Resource Manager 템플릿은 Azure 리소스와 함께 가상 머신을 배포하는 데 사용되는 JSON(JavaScript Object Notation) 기반 파일입니다. Microsoft는 기본 템플릿에 대한 유지 관리를 수행합니다.

[거부] 및 [존재하지 않으면 배포] Azure Policy 효과를 사용하여 보안 설정을 Azure 리소스 전체에 적용합니다.

책임: Customer

7.5: Azure 리소스 구성을 안전하게 저장

지침: Azure DevOps를 사용하여 사용자 지정 Azure Policy, Azure Resource Manager 템플릿 및 원하는 상태 구성 스크립트와 같은 코드를 안전하게 저장하고 관리합니다. 등

Azure DevOps에서 관리할 리소스(예: 코드, 빌드 및 작업 추적)에 액세스할 수 있는 권한이 있어야 합니다. 대부분의 권한은 기본 제공 보안 그룹을 통해 부여됩니다. Azure AD(Azure Active Directory)(Azure DevOps와 통합된 경우)나 Active Directory(Team Foundation Server와 통합된 경우)에 정의된 특정 사용자, 기본 제공 보안 그룹 또는 그룹에 대한 권한을 부여하거나 거부할 수 있습니다.

책임: Customer

7.7: Azure 리소스를 위한 구성 관리 도구 배포

지침: Azure Policy를 사용하여 Azure 리소스에 대한 표준 보안 구성을 정의하고 구현합니다. Azure Policy 별칭을 사용하여 Azure 리소스의 네트워크 구성과 특정 리소스와 관련된 기본 제공 정책 정의를 감사하거나 적용하는 사용자 지정 정책을 만듭니다.

책임: Customer

7.9: Azure 리소스에 대한 자동화된 구성 모니터링 구현

지침: 클라우드용 Microsoft Defender를 사용하여 Azure Virtual Network 및 관련 리소스에 대한 기준 검사를 수행합니다. Azure Policy를 사용하여 Azure 리소스 구성을 경고하고 감사합니다.

책임: Customer

7.11: 안전하게 Azure 비밀 관리

지침: Azure Key Vault와 함께 관리되는 서비스 ID를 사용하여 Azure Virtual Network에서 호스트되는 Azure 리소스를 위한 비밀 관리를 간소화하고 보호합니다.

책임: Customer

7.13: 의도하지 않은 자격 증명 노출 제거

지침: 자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.

책임: Customer

데이터 복구

자세한 내용은 Azure Security Benchmark: 데이터 복구를 참조하세요.

9.1: 자동화된 정기 백업 보장

지침: Azure Resource Manager를 사용하여 가상 네트워크 및 관련 리소스를 배포합니다. Azure Resource Manager는 가상 네트워크 및 관련 리소스를 복원하기 위한 백업으로 사용할 수 있는 템플릿을 내보내는 기능을 제공합니다. Azure Automation을 사용하여 정기적으로 Azure Resource Manager 템플릿 내보내기 API를 호출합니다.

책임: Customer

9.2: 전체 시스템 백업 수행 및 고객 관리형 키 백업

지침: Azure Resource Manager를 사용하여 가상 네트워크 및 관련 리소스를 배포합니다. Azure Resource Manager는 가상 네트워크 및 관련 리소스를 복원하기 위한 백업으로 사용할 수 있는 템플릿을 내보내는 기능을 제공합니다. Azure Automation을 사용하여 정기적으로 Azure Resource Manager 템플릿 내보내기 API를 호출합니다. Azure Key Vault 내에서 고객 관리형 키를 백업합니다.

책임: Customer

9.3: 고객 관리형 키를 포함한 모든 백업의 유효성 검사

지침: 정기적으로 Azure Resource Manager 템플릿을 격리된 구독에 배포하고 백업된 고객 관리 키의 복원을 테스트합니다.

책임: Customer

9.4: 백업 및 고객 관리형 키 보호 보장

지침: Azure DevOps를 사용하여 사용자 지정 Azure Policy 정의 및 Azure Resource Manager 템플릿과 같은 코드를 안전하게 저장하고 관리합니다.

Azure AD(Azure Active Directory)(Azure DevOps와 통합된 경우)나 Active Directory(Team Foundation Server와 통합된 경우)에 정의된 특정 사용자, 기본 제공 보안 그룹 또는 그룹에 대한 권한을 부여하거나 거부합니다.

Azure RBAC(역할 기반 액세스 제어)를 사용하여 고객 관리형 키를 보호합니다.

주요 자격 증명 모음에서 일시 삭제 및 제거 방지를 사용하도록 설정하여 실수로 또는 악의적으로 삭제되지 않도록 키를 보호합니다.

책임: Customer

사고 대응

자세한 내용은 Azure Security Benchmark: 인시던트 응답을 참조하세요.

10.1: 인시던트 대응 지침 만들기

지침: 조직에 대한 인시던트 대응 지침을 작성합니다. 탐지에서 인시던트 사후 검토까지의 인시던트 처리/관리 단계뿐만 아니라 담당자의 모든 역할도 정의하는 인시던트 대응 계획이 작성되어 있는지 확인합니다.

책임: Customer

10.2: 인시던트 점수 매기기 및 우선 순위 지정 절차 만들기

지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 클라우드용 Microsoft Defender에서 경고를 발행하는 데 사용되는 결과 또는 분석의 신뢰도 및 경고가 발생한 작업에 악의적인 의도가 있었다는 신뢰도 수준을 기반으로 합니다.

태그를 사용하여 구독(예: 프로덕션 또는 비프로덕션)을 명확하게 표시하고 Azure 리소스, 특히 중요한 데이터를 처리하는 리소스를 명확하게 식별하고 분류하는 명명 시스템을 만듭니다. 인시던트가 발생한 Azure 리소스 및 환경의 중요도에 따라 경고의 수정에 대한 우선 순위를 지정해야 합니다.

책임: Customer

10.3: 보안 대응 프로시저 테스트

지침: Azure 리소스를 보호하는 데 도움이 되도록 시스템의 인시던트 대응 기능을 정기적으로 테스트합니다. 약점과 결함을 식별하고 필요에 따라 계획을 수정합니다.

책임: Customer

10.4: 보안 인시던트 연락처 세부 정보 제공 및 보안 인시던트에 대한 경고 알림 구성

지침: MSRC(Microsoft 보안 대응 센터)에서 불법적이거나 권한이 없는 당사자가 데이터에 액세스했다고 검색하는 경우 Microsoft에서 보안 인시던트 연락처 정보를 사용하여 사용자에게 연락합니다. 문제가 해결되었는지 확인하기 위해 사후에 인시던트를 검토합니다.

책임: Customer

10.5: 보안 경고를 인시던트 대응 시스템에 통합

지침: Azure 리소스에 대한 위험을 식별하는 데 도움이 되도록 연속 내보내기 기능을 사용하여 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 연속 내보내기를 사용하면 경고 및 추천 사항을 수동으로 또는 지속적으로 내보낼 수 있습니다.

클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍할 수도 있습니다.

책임: Customer

10.6: 보안 경고에 대한 대응 자동화

참고 자료: 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 사용하여 보안 경고 및 권장 사항에 관한 "Logic Apps"를 통해 응답을 자동으로 트리거함으로써 Azure 리소스를 보호합니다.

책임: Customer

침투 테스트 및 레드 팀 연습

자세한 내용은 Azure Security Benchmark: 침투 테스트 및 레드 팀 연습을 참조하세요.

11.1: Azure 리소스에 대한 침투 테스트를 정기적으로 수행 및 모든 중요한 보안 결과를 수정

지침: Microsoft Engagement 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft 관리형 클라우드 인프라, 서비스 및 애플리케이션에 대한 Microsoft의 전략과 Red Teaming 및 라이브 사이트 침투 테스트의 실행을 사용합니다.

책임: 공유됨

다음 단계