Azure VMware Solution에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Azure VMware Solution에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 컨트롤 및 Azure VMware Solution에 적용되는 관련 지침에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure VMware Solution에 적용되지 않는 컨트롤과 글로벌 지침이 권장되는 컨트롤은 제외되었습니다. Azure VMware Solution을 Azure Security Benchmark에 완전히 매핑하는 방법에 대해서는 전체 Azure VMware Solution 보안 기준선 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

지침: VMware Solution 리소스를 배포할 때 기존 가상 네트워크를 만들거나 사용합니다. 모든 Azure 가상 네트워크가 엔터프라이즈 세분화 원칙을 따르는지 확인합니다. 비즈니스 위험과 일치해야 합니다. 자체 가상 네트워크 내에서 조직에 더 높은 위험을 초래할 수 있는 모든 시스템을 격리합니다. NSG(네트워크 보안 그룹) 또는 Azure Firewall을 사용하여 시스템을 충분히 보호합니다.

클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 외부 네트워크 트래픽 규칙에 대한 참조를 기반으로 포트 및 원본 IP를 제한하는 NSG 구성을 권장합니다.

애플리케이션 및 엔터프라이즈 세분화 전략을 기반으로 NSG 규칙을 기반으로 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 3계층 앱과 같이 잘 정의된 특정 애플리케이션의 경우 기본적으로 매우 안전한 거부일 수 있습니다.

Azure VMware Solution은 특정 기능을 사용하도록 설정하기 위해 다음 포트가 필요합니다.

원본 대상 프로토콜 포트 Description
프라이빗 클라우드 DNS(도메인 이름 시스템) 서버 온-프레미스 DNS 서버 UDP 53 DNS 클라이언트 - 온-프레미스 DNS 쿼리에 대한 PC vCenter의 요청 전달(아래 DNS 섹션 확인)
온-프레미스 DNS 서버 프라이빗 클라우드 DNS 서버 UDP 53 DNS 클라이언트 - 온-프레미스 서비스의 요청을 프라이빗 클라우드 DNS 서버로 전달(아래 DNS 섹션 확인)
온-프레미스 네트워크 프라이빗 클라우드 vCenter 서버 TCP(HTTP) 80 vCenter Server에는 직접 HTTP 연결을 위해 80 포트가 필요합니다. 포트 80은 요청을 HTTPS 포트 443으로 리디렉션합니다. 이 리디렉션은 https://server 대신 http://server를 사용하는 경우 유용합니다. WS-Management에서는 포트 443도 열도록 요구합니다. vCenter Server에서 번들로 제공되는 SQL Server 2008 데이터베이스가 아니라 사용자 지정 Microsoft SQL 데이터베이스를 사용하는 경우 SQL Reporting Services에서 포트 80이 사용됩니다. vCenter Server를 설치할 때 설치 관리자는 vCenter Server의 HTTP 포트를 변경하라는 메시지가 표시됩니다. 성공적인 설치를 위해 vCenter Server HTTP 포트를 사용자 지정 값으로 변경합니다. Microsoft IIS(인터넷 정보 서비스)도 포트 80을 사용합니다. 포트 80에 대한 vCenter Server와 IIS 간의 충돌을 참조하세요.
프라이빗 클라우드 관리 네트워크 온-프레미스 Active Directory TCP 389 이 포트는 vCenter Server의 로컬 및 모든 원격 인스턴스에서 열려 있어야 합니다. 이 포트는 vCenter Server 그룹의 디렉터리 서비스에 대한 LDAP 포트 번호입니다. 이 vCenter Server 인스턴스를 Linked Mode 그룹에 조인하지 않더라도 vCenter Server 시스템에서 포트 389에 바인딩해야 합니다. 이 포트에서 다른 서비스가 실행되는 경우 해당 서비스를 제거하거나 해당 포트를 다른 포트로 변경하는 것이 더 적합할 수 있습니다. LDAP 서비스는 1025~65535의 모든 포트에서 실행할 수 있습니다. 이 인스턴스가 Microsoft Windows Active Directory로 사용되는 경우 포트 번호를 389에서 1025~65535의 사용 가능한 포트로 변경합니다. 이 포트는 선택 사항이며, 프라이빗 클라우드 vCenter에서 온-프레미스 AD를 ID 원본으로 구성하기 위한 것입니다.
온-프레미스 네트워크 프라이빗 클라우드 vCenter 서버 TCP(HTTPS) 443 이 포트를 사용하면 온-프레미스 네트워크에서 vCenter에 액세스할 수 있습니다. vCenter Server 시스템에서 vSphere Client의 연결을 수신 대기하는 데 사용하는 기본 포트입니다. vCenter Server 시스템에서 vSphere Client의 데이터를 받을 수 있도록 하려면 방화벽에서 포트 443을 엽니다. 또한 vCenter Server 시스템은 포트 443을 사용하여 SDK 클라이언트로부터의 데이터 전송을 모니터링합니다. 이 포트는 다음서비스에도 사용되며, WS-Management에서는 포트 80도 열도록 요구합니다. vSphere 업데이트 관리자에 대한 vSphere Client 액세스, vCenter Server에 대한 타사 네트워크 관리 클라이언트 연결, 타사 네트워크 관리 클라이언트가 호스트에 액세스합니다.
웹 브라우저 하이브리드 클라우드 관리자 TCP(HTTPS) 9443 하이브리드 클라우드 관리자 시스템 구성을 위한 하이브리드 클라우드 관리자 가상 어플라이언스 관리 인터페이스입니다.
관리자 네트워크 하이브리드 클라우드 관리자 SSH 22 하이브리드 클라우드 관리자에 대한 관리자 SSH 액세스입니다.
HCM 클라우드 게이트웨이 TCP(HTTPS) 8123 호스트 기반 복제 서비스 지침을 하이브리드 클라우드 게이트웨이로 보냅니다.
HCM 클라우드 게이트웨이 HTTP TCP(HTTPS) 9443 REST API를 사용하여 관리 지침을 로컬 하이브리드 클라우드 게이트웨이로 보냅니다.
클라우드 게이트웨이 L2C TCP(HTTPS) 443 L2C에서 하이브리드 클라우드 게이트웨이와 동일한 경로를 사용하는 경우 관리 지침을 클라우드 게이트웨이에서 L2C로 보냅니다.
클라우드 게이트웨이 ESXi 호스트 TCP 80,902 관리 및 OVF 배포
클라우드 게이트웨이(로컬) 클라우드 게이트웨이(원격) UDP 4500 IKEv2(IPSEC 인터넷 키 교환)가 양방향 터널에 대한 워크로드를 캡슐화하는 데 필요합니다. NAT-T(Network Address Translation-Traversal)도 지원됩니다.
클라우드 게이트웨이(로컬) 클라우드 게이트웨이(원격) UDP 500 ISAKMP(IPSEC 인터넷 키 교환)의 양방향 터널에 필요합니다.
온-프레미스 vCenter 네트워크 프라이빗 클라우드 관리 네트워크 TCP 8000 온-프레미스 vCenter에서 프라이빗 클라우드 vCenter로 VM의 vMotion

책임: Customer

NS-2: 여러 사설망 함께 연결

지침: Azure ExpressRoute 또는 Azure VPN(가상 사설망)을 사용하면 공동 배치 환경의 온-프레미스 인프라와 Azure 데이터 센터와 간에 프라이빗 연결을 만들 수 있습니다.

ExpressRoute 연결은 공용 인터넷을 거치지 않으며 일반적인 인터넷 연결보다 더 높은 안정성, 더 빠른 속도 및 짧은 대기 시간을 제공합니다. 지점 및 사이트 간 VPN의 경우 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다. 이러한 VPN 옵션과 Azure ExpressRoute를 조합하여 사용합니다.

둘 이상의 Azure 가상 네트워크를 연결하려면 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 트래픽은 비공개이며 Azure 백본 네트워크에 유지됩니다.

책임: Customer

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

지침: Azure VMware Solution 리소스는 가상 네트워크 주입을 사용합니다. 가상 네트워크에 직접 배포합니다. 이 서비스는 Private Link를 사용하여 개인 네트워크 연결을 설정하는 것을 지원하지 않습니다.

Azure VMware Solution 리소스를 배포할 경우 기존 가상 네트워크를 만들거나 사용해야 합니다. 선택한 가상 네트워크에 해당 서브넷에 적용된 네트워크 보안 그룹과 애플리케이션의 신뢰할 수 있는 포트 및 원본에 맞게 구성된 네트워크 액세스 제어가 있는지 확인합니다. 사용자가 가상 네트워크를 사용하여 리소스를 구성한 경우 공개적으로 주소를 지정할 수 없으며 가상 네트워크 내 에서만 액세스할 수 있습니다.

조직의 요구 사항에 따라 Azure Firewall 서비스를 사용하여 구독 및 가상 네트워크에서 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고 적용하고 기록합니다.

책임: Customer

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

지침: 외부 네트워크의 공격으로부터 Azure VMware Solution 리소스를 보호합니다. 공격에는 다음이 포함될 수 있습니다.

  • DDoS(분산 서비스 거부) 공격

  • 애플리케이션별 공격

  • 원치 않는 잠재적인 악성 인터넷 트래픽

Azure Firewall을 사용하면 인터넷 및 기타 외부 위치의 잠재적인 악성 트래픽으로부터 애플리케이션 및 서비스를 보호할 수 있습니다. Azure 가상 네트워크에서 DDoS Protection 표준을 사용하도록 설정하여 DDoS 공격으로부터 자산을 보호합니다. 클라우드용 Microsoft Defender를 사용하여 네트워크 관련 리소스에서 잘못된 구성 위험을 검색합니다.

Azure Application Gateway, Azure Front Door 및 Azure CDN(콘텐츠 배달 네트워크)의 WAF(Web Application Firewall) 기능을 사용하여 애플리케이션 계층 공격으로부터 Azure VMware Solution에서 실행되는 애플리케이션을 보호합니다.

책임: Customer

NS-6: 네트워크 보안 규칙 간소화

지침: Azure Virtual Network 서비스 태그를 사용하여 Azure VMware Solution 리소스에 대해 구성된 NSG 또는 Azure Firewall에 대한 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 규칙의 적절한 원본 또는 대상 필드에 서비스 태그 이름을 지정하여 서비스에 대한 트래픽을 허용하거나 거부합니다. Microsoft는 서비스 태그가 포함된 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다.

Azure VMware Solution 서비스에 예약된 특정 서비스 태그가 없습니다. 그러나 서비스 태그를 사용하여 VMware Solution 리소스를 배포하는 네트워크의 네트워크 규칙을 간소화할 수 있습니다.

책임: Customer

NS-7: 보안 DNS(Domain Name Service)

지침: 다음과 같은 일반적인 공격을 완화하기 위해 DNS 보안 모범 사례를 따릅니다.:

  • 현수 DNS

  • DNS 증폭 공격

  • DNS 중독

  • 스푸핑

Azure DNS를 신뢰할 수 있는 DNS 서비스로 사용하는 경우 Azure RBAC(역할 기반 액세스 제어) 및 리소스 잠금을 사용하여 실수로 또는 악의적인 수정으로부터 DNS 영역 및 레코드가 보호되도록 합니다.

책임: 공유됨

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Azure VMware Solution은 Azure AD(Azure Active Directory)를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 관리합니다.

  • Microsoft 클라우드 리소스. 리소스에는 다음이 포함됩니다.

    • Azure Portal

    • Azure Storage

    • Azure Linux 및 Windows VM

    • Azure Key Vault

    • PaaS(Platform-as-a-Service)

    • SaaS(Software-as-a-Service) 응용프로그램

  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 우선 순위가 높아야 합니다. Azure AD는 ID 보안 태세를 Microsoft의 모범 사례 권장 사항과 비교할 수 있도록 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

참고: Azure AD는 외부 ID를 지원합니다. Microsoft 계정이 없는 사용자는 외부 ID로 애플리케이션 및 리소스에 로그인할 수 있습니다.

Azure VMware Solution은 서비스를 Azure Active Directory 통합하는 데 사용할 수 있는 CloudAdmin 그룹을 제공합니다. vCenter의 cloudadmin 사용자에 대한 자격 증명과 NSX-T 관리자에 대한 관리자 액세스 권한이 제공됩니다.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

지침: Azure VMware Solution은 해당 리소스에 Azure AD 관리 ID 할당을 지원하지 않습니다. Azure VMware Solution 프라이빗 클라우드에서는 보안 강화를 위해 vSphere 역할 기반 액세스 제어를 사용합니다.

Azure VMware Solution에 대한 애플리케이션 권한을 구성해야 하는 경우 Azure AD를 사용하여 리소스 수준에서 제한된 권한이 있는 서비스 주체를 만들어 인증서 자격 증명을 사용하여 서비스 주체를 구성하고 클라이언트 비밀로 대체합니다. 서비스에서 실행되는 스크립트 또는 애플리케이션은 이 서비스 주체를 사용하여 Azure에서 작업을 수행할 수 있습니다. 두 경우 모두 Azure AD에서 관리되는 ID와 함께 Azure Key Vault를 사용하므로 Azure 함수와 같은 런타임 환경이 키 자격 증명 모음에서 자격 증명을 검색할 수 있습니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

지침: 관리 작업의 경우 Azure VMware Solution은 Azure AD를 ID 공급자로 사용하여 Azure 리소스를 관리합니다.

내부 액세스의 경우 Azure VMware Solution 프라이빗 클라우드에서는 보안 강화를 위해 vSphere 역할 기반 액세스 제어를 사용합니다. vSphere SSO LDAP 기능을 Azure AD와 통합할 수 있습니다. 통합을 구성한 경우 이를 통해 SSO(Single Sign-On)는 온-프레미스 및 클라우드에서 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. 원활하고 안전한 액세스와 향상된 가시성 및 제어를 위해 모든 사용자, 애플리케이션 및 장치를 Azure AD에 연결합니다.

책임: Customer

IM-7: 의도하지 않은 자격 증명 노출 제거

지침: Azure VMware Solution을 사용하면 고객이 포함된 비밀을 포함할 수 있는 코드 배포로 인프라를 통해 리소스를 배포할 수 있습니다. 자격 증명 스캐너를 구현하여 Azure VMware Solution 리소스에 대한 인프라 템플릿 내에서 자격 증명을 식별합니다. 자격 증명 스캐너는 또한 검사된 자격 증명을 Azure Key Vault와 같은 보다 안전한 위치로 이동하도록 권장합니다.

GitHub의 경우 기본 비밀 검사 기능을 사용하여 코드 내에서 자격 증명 또는 다른 형식의 비밀을 식별합니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

지침: Azure AD의 가장 중요한 기본 제공 역할은 전역 관리자와 권한 있는 역할 관리자입니다. 다음 두 역할이 있는 사용자는 관리자 역할을 위임할 수 있습니다.

  • 전역 관리자 또는 회사 관리자는 모든 Azure AD 관리 기능 및 Azure AD ID를 사용하는 서비스에도 액세스할 수 있습니다.

  • 권한 있는 역할 관리자는 Azure AD 및 Azure AD PIM(Privileged Identity Management)에서 역할 할당을 관리할 수 있습니다. 이 역할은 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.

Azure VMware Solution에서 vCenter는 cloudadmin이라는 기본 제공 로컬 사용자를 포함하고 CloudAdmin 역할에 할당됩니다. 로컬 cloudadmin 사용자는 AD에서 사용자를 설정합니다. CloudAdmin 역할은 프라이빗 클라우드에서 워크로드를 만들고 관리합니다. 그러나 Azure VMware Solution에서 CloudAdmin 역할에는 다른 VMware 클라우드 솔루션과 다른 vCenter 권한이 있습니다.

권한이 높은 계정이나 역할의 수를 제한하고 이러한 계정을 높은 수준에서 보호합니다. 권한이 높은 사용자는 모든 Azure 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

Azure AD PIM을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정할 수 있습니다. JIT는 사용자가 필요할 때만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM은 Azure AD 조직의 의심스럽거나 안전하지 않은 활동에 대한 보안 경고를 생성할 수 있습니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

지침: Azure VMware Solution은 Azure AD 계정을 사용하여 리소스를 관리합니다. 사용자 계정 및 액세스 할당을 정기적으로 검토하여 계정과 해당 액세스가 유효한지 확인합니다. Azure AD 및 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 검색하는 데 도움이 되는 로그를 제공할 수 있습니다. Azure AD PIM(Privileged Identity Management)에서 액세스 검토 보고서 워크플로를 만들어 검토 프로세스를 간소화할 수도 있습니다.

관리자 계정이 너무 많은 경우 경고하도록 Azure AD PIM을 구성할 수 있습니다. PIM은 부실하거나 부적절하게 구성된 관리자 계정을 식별할 수 있습니다.

Azure VMware Solution 프라이빗 클라우드는 vCenter Server 및 NSX-T Manager로 프로비저닝됩니다. vCenter를 사용하여 가상 머신(VM) 워크로드 및 NSX-T Manager를 관리하여 프라이빗 클라우드를 관리하고 확장할 수 있습니다. 액세스 및 ID 관리는 vCenter에서 CloudAdmin 역할을, NSX-T Manager에서 제한된 관리자 권한을 사용합니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자, 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 매우 안전한 사용자 워크스테이션 및 Azure Bastion을 사용합니다.

Azure AD, Microsoft Defender ATP 또는 Microsoft Intune을 사용하여 관리 작업을 위해 안전하게 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 다음을 포함하는 보안 구성을 적용할 수 있습니다.

  • 강력한 인증

  • 소프트웨어 및 하드웨어 기준

  • 제한된 논리적 액세스 및 네트워크 액세스

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

지침: Azure VMware Solution은 Azure RBAC와 통합하여 리소스를 관리합니다. RBAC를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에는 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.

Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 제한합니다. 이 방법은 Azure AD PIM의 JIT(Just-In-Time) 방법을 보완합니다. 역할과 할당을 주기적으로 검토합니다.

기본 제공 역할을 사용하여 권한을 부여하고 필요할 때만 사용자 지정 역할을 만듭니다.

Azure VMware Solution 프라이빗 클라우드는 vCenter Server 및 NSX-T Manager로 프로비저닝됩니다. vCenter를 사용하여 VM 워크로드 및 NSX-T Manager를 관리하여 프라이빗 클라우드를 관리하고 확장할 수 있습니다. 액세스 및 ID 관리는 vCenter에서 CloudAdmin 역할을, NSX-T Manager에서 제한된 관리자 권한을 사용합니다.

Azure VMware Solution에서 vCenter는 cloudadmin이라는 기본 제공 로컬 사용자를 포함하고 CloudAdmin 역할에 할당됩니다. 로컬 cloudadmin 사용자는 Azure AD에서 사용자를 설정하는 데 사용 됩니다. CloudAdmin 역할은 프라이빗 클라우드에서 워크로드를 만들고 관리합니다. 그러나 Azure VMware Solution에서 CloudAdmin 역할에는 다른 VMware 클라우드 솔루션과 다른 vCenter 권한이 있습니다.

또한 Azure VMware Solution은 CloudAdmin 역할보다 낮거나 같은 권한으로 사용자 지정 역할 사용을 지원합니다. CloudAdmin 역할을 사용하여 현재 역할보다 적거나 같은 권한이 있는 사용자 지정 역할을 생성, 수정 또는 삭제합니다. CloudAdmin보다 큰 권한으로 역할을 만들 수 있습니다. 사용자 또는 그룹에 역할을 할당하거나 역할을 삭제할 수 없습니다.

책임: Customer

PA-8: Microsoft 지원에 대한 승인 프로세스 선택

지침: Azure VMware Solution은 고객 lockbox를 지원하지 않습니다. Microsoft는 고객 데이터 액세스에 대한 승인을 위해 비 Lockbox 방법을 통해 고객과 협력할 수 있습니다.

책임: Microsoft

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-2: 중요한 데이터 보호

지침: Azure RBAC, 네트워크 기반 액세스 제어 및 Azure 서비스의 특정 제어로 액세스를 제한하여 중요한 데이터를 보호합니다. 예를 들어 SQL 및 기타 데이터베이스에서 암호화를 사용합니다.

일관성을 위해 모든 유형의 액세스 제어를 기업 세분화 전략에 맞춥니다. 중요한 데이터 또는 중요 비즈니스용 데이터 및 시스템의 위치를 기준으로 기업 세분화 전략을 알립니다.

Microsoft는 기본 Microsoft 관리 플랫폼의 모든 고객 콘텐츠를 중요한 것으로 취급합니다. Microsoft는 고객 데이터 손실 및 노출을 방지합니다. Microsoft에는 Azure 고객 데이터를 안전하게 유지하기 위한 기본 데이터 보호 제어 및 기능이 있습니다.

책임: 공유됨

DP-4: 전송 중인 중요한 정보 암호화

지침: 액세스 제어를 보완하려면 트래픽 캡처와 같은 대역 외 공격으로부터 전송 중인 데이터를 보호합니다. 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용합니다. Azure VMware Solution은 TLS v1.2를 사용하여 전송 중 데이터 암호화를 지원합니다.

이 요구 사항은 개인 네트워크의 트래픽에는 선택 사항이지만 외부 및 공용 네트워크의 트래픽에는 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트가 TLS v1.2 이상을 사용할 수 있는지 확인합니다.

원격 관리의 경우 암호화되지 않은 프로토콜 대신 TLS를 사용합니다. 더 이상 사용되지 않는 SSL 및 TLS 버전 또는 약한 암호는 사용하지 않도록 설정해야 합니다.

Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터를 암호화합니다.

책임: 공유됨

DP-5: 중요한 미사용 데이터 암호화

지침: 액세스 제어를 보완하기 위해 Azure VMware Solution는 미사용 데이터를 암호화하여 암호화를 사용하여 기본 스토리지 액세스와 같은 대역 외 공격으로부터 보호합니다. 암호화는 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 합니다.

Azure에서는 기본값으로 미사용 데이터 암호화를 제공합니다. 매우 중요한 데이터의 경우 사용 가능한 모든 Azure 리소스에서 더 많은 미사용 데이터 암호화를 구현하는 옵션이 있습니다. Azure는 기본적으로 Azure VMware Solution에 대한 암호화 키를 관리합니다. 사용자 고유의 고객 관리형 키를 관리할 수 있는 옵션은 제공하지 않습니다.

vSAN 데이터 저장소는 기본적으로 Azure Key Vault에 저장된 키를 사용하여 미사용 데이터 암호화를 사용합니다. 암호화 솔루션은 KMS 기반이며 키 관리를 위한 vCenter 작업을 지원합니다. 클러스터에서 호스트를 제거하면 SSD의 데이터가 즉시 무효화됩니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: 보안 팀에 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여해야 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.

보안 위험에 대한 모니터링은 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.

보안 읽기 권한자 권한을 전체 테넌트의 루트 관리 그룹에 광범위하게 적용하거나 권한 범위를 특정 관리 그룹 또는 구독에 적용할 수 있습니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

지침: 보안 팀이 Azure VMware Solution과 같은 Azure의 지속적으로 업데이트된 자산 인벤토리에 액세스할 수 있는지 확인합니다. 조직이 새로운 위험에 노출될 가능성을 평가하기 위해 그리고 지속적인 보안 개선을 위한 노력의 일환으로 보안 팀에 이 인벤토리가 필요한 경우가 많습니다. 조직의 권한 있는 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 모든 Azure VMware Solution 리소스에 대한 읽기 권한을 할당합니다. 구독 내에서 하나의 상위 수준 역할 할당을 사용하여 프로세스를 단순화할 수 있습니다.

Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 이루어져 있습니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

Azure VM Inventory를 사용하여 VM의 소프트웨어에 대한 정보 컬렉션을 자동화합니다. 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간은 Azure Portal에서 사용할 수 있습니다. 설치 날짜 및 기타 정보에 대한 액세스 권한을 가져오려면 게스트 수준 진단을 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져와야 합니다.

클라우드용 Microsoft Defender 적응형 애플리케이션 제어를 사용하여 규칙을 적용하거나 적용하지 않을 파일 형식을 지정합니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스를 검색할 때 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

AM-6: 승인된 애플리케이션만 컴퓨팅 리소스에 사용

지침: Azure VM 인벤토리를 사용하여 Azure VMware Solution과 관련된 VM의 모든 소프트웨어에 대한 정보 수집을 자동화합니다. 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간은 Azure Portal에서 사용할 수 있습니다. 설치 날짜 및 기타 정보에 대한 액세스 권한을 가져오려면 게스트 수준 진단을 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져와야 합니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

지침: 사용자 지정 위협 탐지를 설정하는 데 사용할 수 있는 Azure VMware Solution의 로그를 SIEM에 전달합니다. 잠재적인 위협 및 변칙에 대해 다양한 유형의 Azure 자산을 모니터링하고 있는지 확인합니다. 경고의 품질을 높이는 데 집중하여 분석가가 분류하는 가양성을 줄여야 합니다. 로그 데이터, 에이전트 또는 기타 데이터에서 경고를 소싱할 수 있습니다.

책임: Customer

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD는 다음 사용자 로그를 제공합니다. Azure AD 보고에서 로그를 볼 수 있습니다. 보다 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM 및 모니터링 도구와 로그를 통합할 수 있습니다.

  • 로그인 - 관리되는 응용프로그램 사용 현황 및 사용자 로그인 작업에 대한 정보입니다.

  • 감사 로그 - 다양한 Azure AD 기능으로 이루어진 모든 변경 내용에 대한 로그를 통한 추적 기능입니다. 감사 로그에는 Azure AD 내의 모든 리소스에 대한 변경 내용이 포함됩니다. 변경 내용에는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거가 포함됩니다.

  • 위험한 로그인 - 사용자 계정의 합법적인 소유자가 아닐 수도 있는 사람의 로그인 시도에 대한 표시기입니다.

  • 위험 플래그가 지정된 사용자 - 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender에서 과도한 인증 시도 실패 횟수와 같은 의심스러운 작업에 대해 경고할 수도 있습니다. 구독에서 사용되지 않는 계정도 경고를 트리거할 수 있습니다.

클라우드용 Microsoft Defender에서 인증 시도 실패 횟수가 너무 많거나 사용되지 않는 계정과 같은 의심스러운 작업에 대해 경고할 수도 있습니다.

기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 다음에서 보다 심층적인 보안 경고를 수집할 수 있습니다.

  • VM, 컨테이너 및 App Service와 같은 개별 Azure 컴퓨팅 리소스.

  • Azure SQL Database 및 Azure Storage와 같은 데이터 리소스.

  • Azure 서비스 계층.

이 기능을 사용하면 개별 리소스의 계정 변칙에 대한 가시성을 얻을 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

지침: NSG 리소스 로그, NSG 흐름 로그, Azure Firewall 로그 및 WAF(웹 애플리케이션 방화벽) 로그를 사용하도록 설정하고 수집합니다. 보안 분석용 로그를 사용하여 인시던트 조사, 위협 추적 및 보안 경고 생성을 지원합니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.

다른 네트워크 데이터의 상관 관계를 지정하는 데 도움이 되도록 DNS 쿼리 로그를 수집하고 있는지 확인합니다. 조직의 필요를 충족하도록 DNS 로깅을 위해 Azure Marketplace에서 타사 솔루션을 구현합니다.

책임: Customer

LT-4: Azure 리소스에 대한 로깅 사용

지침: 활동 로그가 자동으로 제공됩니다. 로그에는 읽기 작업(GET)을 제외한 Azure VMware Solution 리소스에 대한 모든 PUT, POST 및 DELETE 작업이 포함되지만 GET은 포함되지 않습니다. 활동 로그를 사용하여 문제 해결 시 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

Azure VMware Solution에 Azure 리소스 로그를 사용합니다. Microsoft Defender for Cloud 및 Azure Policy를 사용하여 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 이러한 로그는 보안 인시던트를 조사하고 포렌식 연습을 수행하는 데 중요할 수 있습니다.

Azure VMware Solution은 로컬 관리자 계정에 대한 보안 감사 로그도 생성합니다. 로컬 관리자 감사 로그를 사용하도록 설정합니다.

책임: Customer

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: 상관 관계를 사용하도록 설정하기 위해 로깅 스토리지 및 분석을 중앙 집중화합니다. 각 로그 원본에 대해 다음이 있어야 합니다.

  • 할당된 데이터 소유자

  • 액세스 참고 자료

  • 스토리지 위치

  • 데이터를 처리하고 액세스하는 데 사용하는 도구

  • 데이터 보존 요구 사항

Azure 활동 로그를 중앙 로깅에 통합해야 합니다.

Azure Monitor를 통해 로그를 수집하여 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에 의해 생성된 보안 데이터를 집계합니다. Azure Monitor에서 Log Analytics 작업 영역을 사용하여 쿼리하고 분석합니다.

Azure Storage 계정을 장기 보관 스토리지에 사용합니다.

Azure VMware Solution에서 실행되는 애플리케이션의 경우 중앙 집중식 관리를 위해 모든 보안 관련 로그를 SIEM으로 전달합니다.

여러 조직에서, 자주 사용되는 '핫' 데이터에는 Microsoft Sentinel을 사용하고 비교적 덜 사용되는 '콜드' 데이터에는 Azure Storage를 사용하고 있습니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

지침: Azure VMware Solution 로그를 저장하는 데 사용하는 모든 스토리지 계정 또는 Log Analytics 작업 영역에 로그 보존 기간이 설정되어 있는지 확인합니다. 아직 수행하지 않은 경우 조직의 규정 준수 규정에 따라 로그 보존 기간을 설정합니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

지침: Microsoft는 대부분의 Azure 플랫폼 PaaS 및 SaaS 서비스에 대한 시간 원본을 유지 관리합니다. VM의 경우 특정 요구 사항이 없는 한 시간 동기화를 위해 Microsoft 기본 NTP(네트워크 시간 프로토콜) 서버를 사용합니다. 자체 NTP 서버를 설정해야 하는 경우 UDP 서비스 포트 123을 보호해야 합니다. Azure 내의 리소스에서 생성된 모든 로그는 기본적으로 지정된 표준 시간대의 타임스탬프를 제공합니다.

책임: Customer

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

참고 자료: Azure Blueprints를 사용하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다. 단일 청사진 정의에는 Azure Resource Manager 템플릿, RBAC 컨트롤 및 정책이 포함될 수 있습니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

참고 자료: 클라우드용 Microsoft Defender를 사용하여 구성 기준을 모니터링합니다. Azure Policy [거부] 및 [존재하지 않는 경우 배포]를 사용하여 VM 및 컨테이너를 포함한 Azure 컴퓨팅 리소스 전체에 보안 구성을 적용합니다.

책임: Customer

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

지침: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 VM, 컨테이너 등을 포함한 모든 컴퓨팅 리소스에 대한 보안 구성을 설정합니다.

사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 조직에 필요한 운영 체제의 보안 구성을 설정할 수 있습니다.

책임: Customer

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

지침: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 VM 및 컨테이너를 포함한 Azure 컴퓨팅 리소스에 대한 구성 위험을 정기적으로 평가하고 수정합니다. 또한 ARM(Azure Resource Manager) 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 조직에서 요구하는 운영 체제 보안 구성을 유지할 수 있습니다.

Azure Automation State Configuration과 결합된 Microsoft VM 템플릿은 보안 요구 사항을 충족하고 유지하는 데 도움이 될 수 있습니다.

Microsoft는 Azure Marketplace에 게시하는 VM 이미지를 관리하고 유지 관리합니다.

클라우드용 Microsoft Defender는 컨테이너 이미지의 취약성을 검사하고 CIS Docker 벤치마크에 대해 Docker 컨테이너 구성을 지속적으로 모니터링할 수 있습니다. 클라우드용 Microsoft Defender 권장 사항 페이지에서 권장 사항을 보고 문제를 해결할 수 있습니다.

책임: 공유됨

PV 5: 사용자 지정 운영 체제 및 컨테이너 이미지를 안전하게 저장

지침: Azure VMware Solution을 사용하면 고객이 컨테이너 이미지를 관리할 수 있습니다. Azure RBAC를 사용하여 권한 있는 사용자만 이미지에 액세스할 수 있도록 합니다. Azure Shared Image Gallery를 사용하여 조직 내의 다른 사용자, 서비스 주체 또는 Azure AD 그룹과 이미지를 공유할 수 있습니다. 컨테이너 이미지를 Azure Container Registry에 저장하고 RBAC를 사용하여 권한 있는 사용자만 액세스할 수 있도록 합니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가 수행

지침: Azure VMware Solution은 부분적으로 고객 VM으로 구성됩니다. 클라우드용 Microsoft Defender의 권장 사항에 따라 Azure VM에서 취약성 평가를 수행합니다. 필요한 경우 검사 결과를 일정한 간격으로 내보내고 결과를 이전 검사와 비교하여 취약성이 수정되었는지 확인합니다. 클라우드용 Microsoft Defender에서 제안하는 취약성 관리 권장 사항을 사용할 때 선택한 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.

Azure VMware Solution에서 타사 솔루션을 사용하여 네트워크 디바이스 및 웹 애플리케이션의 취약성을 평가할 수 있습니다. 원격 검사를 수행할 때 하나의 영구 관리 계정을 사용하지 마세요. 검색 계정에 대한 JIT 프로비저닝 방법론을 구현하는 것이 좋습니다. 검사 계정에 대한 자격 증명을 보호하고, 모니터링하고, 취약성 검색에만 사용해야 합니다.

필요한 경우 검사 결과를 일정한 간격으로 내보내고 결과를 이전 검사와 비교하여 취약성이 수정되었는지 확인합니다.

책임: Customer

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

지침: Azure VMware Solution을 사용하면 고객 VM에 서비스를 배포할 수 있습니다. 소프트웨어 업데이트를 신속하게 배포하여 운영 체제 및 애플리케이션의 소프트웨어 취약성을 수정합니다.

Common Vulnerability Scoring System과 같은 일반적인 위험 채점 프로그램 또는 타사 검사 도구에 제공된 기본 위험 등급을 우선적으로 사용합니다. 보안 위험이 큰 애플리케이션 및 높은 가동 시간이 필요한 애플리케이션의 컨텍스트를 사용하여 사용자 환경에 맞게 조정합니다.

Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 최신 보안 업데이트가 Windows 및 Linux VM에 설치되었는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정했는지 확인합니다.

책임: Customer

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행하고 모든 중요한 보안 결과를 수정합니다.

Microsoft 클라우드 침투 테스트 사용자 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft의 Red Teaming 전략 및 실행을 사용합니다. Microsoft 관리 클라우드 인프라, 서비스 및 응용프로그램에 대한 실시간 사이트 침투 테스트를 수행합니다.

책임: 공유됨

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-1: EDR(엔드포인트 검색 및 응답) 사용

지침: 서버 및 클라이언트에 대한 엔드포인트 검색 및 응답(EDR) 기능을 사용하도록 설정합니다. SIEM 및 보안 운영 프로세스와 통합합니다.

Microsoft Defender Advanced Threat Protection은 고급 위협을 방지, 검색, 조사 및 대응할 수 있도록 엔터프라이즈 엔드포인트 보안 플랫폼의 일부로 EDR 기능을 제공합니다.

책임: Customer

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

지침: 중앙에서 관리되는 최신 맬웨어 방지 소프트웨어로 Azure Machine Learning 및 해당 리소스를 보호합니다. 실시간 및 주기적 검사를 할 수 있는 중앙 관리 엔드포인트 맬웨어 방지 솔루션을 사용합니다.

  • Azure Cloud Services용 Microsoft Antimalware는 Windows VM용 기본 맬웨어 방지 솔루션입니다.

  • Linux VM의 경우 타사 맬웨어 방지 솔루션을 사용합니다.

  • 데이터 서비스에 대한 클라우드용 Microsoft Defender 위협 탐지를 사용하여 Azure Storage 계정에 업로드된 맬웨어를 검색합니다.

  • 클라우드용 Microsoft Defender를 사용하여 자동으로 다음을 수행합니다.

    • VM을 위한 몇 가지 자주 사용되는 맬웨어 방지 솔루션 식별

    • 엔드포인트 보호 실행 상태 보고

    • 권장 사항 수행

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인

지침: 맬웨어 방지 서명을 빠르고 일관되게 업데이트해야 합니다.

클라우드용 Microsoft Defender "컴퓨팅 & 앱"의 권장 사항을 따라 모든 VM 및 컨테이너가 최신 서명으로 최신 상태인지 확인합니다.

Windows의 경우 Microsoft Antimalware는 기본적으로 최신 서명 및 엔진 업데이트를 자동으로 설치합니다. Linux 환경에서 작업하는 경우 타사 맬웨어 방지 솔루션을 사용합니다.

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

백업 및 복구

자세한 내용은 Azure Security Benchmark: 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

지침: 예기치 않은 사건이 발생하더라도 비즈니스 연속성을 유지할 수 있도록 시스템 및 데이터를 백업합니다. 바로 RTO(복구 시간 목표)와 RPO(복구 시점 목표)에 대한 지침을 사용합니다.

Azure Backup을 사용하도록 설정합니다. Azure VM, SQL Server, HANA 데이터베이스 또는 파일 공유와 같은 백업 소스를 구성합니다. 원하는 빈도 및 보존 기간을 구성합니다.

중복도를 더 높이려면 지역 중복 스토리지 옵션을 사용하여 백업 데이터를 보조 지역으로 복제하고 지역 간 복원을 사용하여 복구합니다.

책임: 공유됨

BR-2: 백업 데이터 암호화

지침: 공격으로부터 백업을 보호해야 합니다. 백업 보호에는 기밀성 손실을 방지하기 위한 암호화가 포함되어야 합니다.

Azure Backup을 사용하는 온-프레미스 백업은 사용자가 제공한 암호를 사용하여 미사용 암호화를 제공합니다. 정기 Azure 서비스 백업은 Azure 플랫폼 관리형 키를 사용하여 백업 데이터를 자동으로 암호화합니다. 고객 관리형 키를 사용하여 백업을 암호화하도록 선택할 수 있습니다. 이 경우 키 자격 증명 모음의 이 고객 관리형 키도 백업 범위에 있어야 합니다.

Azure Backup, Azure Key Vault 및 기타 리소스에서 RBAC를 사용하여 백업 및 고객 관리형 키를 보호합니다. 백업을 변경하거나 삭제하기 전에 MFA를 요구하도록 고급 보안 기능을 사용하도록 설정할 수도 있습니다.

책임: 공유됨

BR-3: 고객 관리형 키를 비롯한 모든 백업 유효성 검사

지침: Azure VMware Solution과 관련된 백업의 데이터 복원을 주기적으로 수행합니다.

책임: Customer

BR-4: 분실한 키의 위험 완화

참고 자료: 키의 손실을 방지하고 복구할 수 있는 측정값이 있는지 확인합니다. Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하도록 설정하여 실수로 또는 악의적으로 삭제되지 않도록 키를 보호합니다.

책임: Customer

다음 단계