VPN Gateway에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 VPN Gateway에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 VPN Gateway에 적용되는 관련 지침에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 Microsoft Defender for Cloud 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준선에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

VPN Gateway에 적용할 수 없는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. VPN Gateway가 완전히 Azure Security Benchmark에 매핑되는 방법을 보려면 전체 VPN Gateway 보안 기준 매핑 파일 을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

지침: 기존 가상 네트워크를 만들거나 사용하여 Azure VPN Gateway 리소스를 배포합니다. 모든 Azure 가상 네트워크가 비즈니스 위험에 부합하는 엔터프라이즈 세분화 원칙을 따르는지 확인합니다. 자체 가상 네트워크 내에서 모든 고위험 시스템을 격리합니다.

NSG(네트워크 보안 그룹) 및/또는 Azure Firewall을 사용하여 가상 네트워크를 보호합니다. 외부 네트워크 트래픽 규칙을 기반으로 NSG 구성을 권장합니다. 클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 포트 및 원본 IP를 제한합니다.

NSG 규칙을 사용하여 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 애플리케이션 및 엔터프라이즈 세분화 전략을 기반으로 규칙을 설정합니다. 3계층 앱과 같이 잘 정의된 특정 애플리케이션의 경우 이러한 규칙은 기본적으로 매우 안전한 거부가 될 수 있습니다.

Azure 인프라 통신에는 게시되지 않은 포트가 필요합니다. Azure 인증서는 포트를 보호하고 잠급니다. 적절한 인증서가 없으면 게이트웨이 고객을 포함한 외부 엔터티가 해당 엔드포인트에 영향을 줄 수 없습니다.

책임: 공유됨

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 제어와 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수도 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 클라우드용 Microsoft Defender에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것을 확인했습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0

NS-2: 여러 사설망 함께 연결

지침: Azure ExpressRoute 또는 Azure VPN을 사용하여 공동 배치 환경에서 Azure 데이터 센터와 온-프레미스 인프라 간에 프라이빗 연결을 만듭니다. ExpressRoute 연결은 공용 인터넷을 사용하지 않습니다. ExpressRoute는 일반적인 인터넷 연결보다 더 높은 안정성, 더 빠른 속도 및 더 짧은 대기 시간을 제공합니다.

지점과 사이트 간 VPN 및 사이트 간 VPN의 경우 해당 VPN 옵션과 Azure ExpressRoute를 조합하여 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다.

Azure에서 둘 이상의 가상 네트워크를 연결하려면 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 보관됩니다.

책임: 공유됨

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

지침: Azure VPN은 표준 IPsec/IKE 프로토콜을 지원합니다.:

  • UDP 포트 500 및 4500
  • ESP 프로토콜

지점 및 사이트 간 VPN은 안전한 TLS 기반 연결을 위해 TCP 포트 443을 사용합니다.

VPN Gateway는 Private Link를 사용한 관리 엔드포인트의 개인 네트워크 보안을 허용하지 않습니다.

VPN Gateway는 Azure Virtual Network 서비스 엔드포인트를 구성할 수 없습니다.

책임: 공유됨

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

지침: 외부 네트워크의 공격으로부터 VPN Gateway 리소스를 보호합니다. 외부 공격에는 DDoS(분산 서비스 거부), 애플리케이션별 공격, 원치 않는 잠재적 악성 인터넷 트래픽이 포함될 수 있습니다.

Azure Firewall을 사용하면 인터넷 및 기타 외부 위치의 잠재적인 악성 트래픽으로부터 애플리케이션 및 서비스를 보호할 수 있습니다. Azure 가상 네트워크에서 Azure DDoS 표준 보호를 사용하도록 설정하여 DDoS 공격으로부터 자산을 보호하세요. 클라우드용 Microsoft Defender를 사용하여 네트워크 리소스에 대한 잘못된 구성 위험을 검색합니다.

VPN Gateway는 웹 애플리케이션을 실행하지 않으므로 웹 애플리케이션을 대상으로 하는 외부 공격으로부터 보호하기 위해 설정을 구성하거나 네트워크 서비스를 배포할 필요가 없습니다.

책임: 공유됨

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 제어와 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수도 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 클라우드용 Microsoft Defender에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것을 확인했습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
Azure DDoS Protection 표준을 사용하도록 설정해야 함 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호 표준을 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.1
WAF(Web Application Firewall)를 Azure Front Door Service 서비스에 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.1

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Azure VPN은 Azure AD(Azure Active Directory)를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 관리합니다.

  • Microsoft 클라우드 리소스. 리소스에는 다음이 포함됩니다.

    • Azure Portal

    • Azure Storage

    • Azure Linux 및 Windows 가상 머신

    • Azure Key Vault

    • PaaS(Platform-as-a-Service)

    • SaaS(Software-as-a-Service) 응용프로그램

  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 우선 순위가 높아야 합니다. Azure AD는 ID 보안 태세를 Microsoft의 모범 사례 권장 사항과 비교할 수 있도록 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

참고: Azure AD는 Microsoft 계정이 없는 사용자가 애플리케이션 및 리소스에 로그인할 수 있도록 하는 외부 ID를 지원합니다.

Azure P2S(지점 및 사이트 간) VPN은 Azure AD 인증을 지원합니다. 고객은 네이티브 인증서 기반 인증 또는 RADIUS 기반 인증을 사용하도록 P2S VPN을 구성할 수도 있습니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

지침: VPN Gateway는 Azure AD를 사용하여 Azure 리소스, 클라우드 애플리케이션 및 온-프레미스 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다. Azure AD는 직원과 같은 엔터프라이즈 ID와 파트너, 공급자 및 공급자와 같은 외부 ID를 관리합니다. Azure AD를 사용하면 SSO(Single Sign-On)가 조직의 온-프레미스 및 클라우드 데이터 및 리소스에 대한 액세스를 관리하고 보호할 수 있습니다.

모든 사용자, 애플리케이션 및 디바이스를 Azure AD에 연결합니다. Azure AD는 원활하고 안전한 액세스와 향상된 가시성 및 제어 기능을 제공합니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자, 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 매우 안전한 사용자 워크스테이션 및 Azure Bastion을 사용합니다.

Azure AD, Microsoft Defender ATP(Advanced Threat Protection) 또는 Microsoft Intune을 사용하여 안전하고 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 다음을 포함하는 보안 구성을 적용할 수 있습니다.

책임: Customer

PA-7: 관리에 대한 최소 권한 원칙을 따릅니다.

지침: Azure RBAC와 통합하여 리소스를 관리합니다. RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에는 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 제한합니다. 이 방법은 Azure AD PIM의 JIT(Just-In-Time) 방법을 보완합니다. 역할과 할당을 주기적으로 검토합니다.

기본 제공 역할을 사용하여 권한을 할당하고 필요할 때만 사용자 지정 역할을 만듭니다.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-4: 전송 중인 중요한 정보 암호화

지침: 사이트 간 VPN은 IPsec/IKE를 사용합니다. 데이터 경로 프로토콜은 ESP(Encapsulating Security Payload)입니다.

암호화를 사용하여 트래픽 캡처와 같은 대역 외 공격으로부터 전송 중인 데이터를 보호합니다. 암호화는 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 합니다. VPN Gateway는 TLS(전송 계층 보안) v1.2 이상으로 전송 중 데이터 암호화를 지원합니다.

이 요구 사항은 개인 네트워크의 트래픽에는 선택 사항이지만 외부 및 공용 네트워크의 트래픽에는 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트가 TLS v1.2 이상을 사용할 수 있는지 확인합니다.

원격 관리의 경우 Linux용 SSH(보안 셸) 또는 Windows용 RDP(원격 데스크톱 프로토콜) 및 TLS를 사용합니다. 암호화되지 않은 프로토콜을 사용하지 마세요. 약한 암호와 더 이상 사용되지 않는 SSL, TLS 및 SSH 버전과 프로토콜을 사용하지 않도록 설정합니다.

Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터를 암호화합니다.

책임: Customer

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀이 자산 위험에 대한 가시성을 갖고 있는지 확인

지침: 보안 팀에 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여해야 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.

보안 위험에 대한 모니터링은 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.

보안 읽기 권한자 권한을 전체 테넌트의 루트 관리 그룹에 광범위하게 적용하거나 권한 범위를 특정 관리 그룹 또는 구독에 적용할 수 있습니다.

참고: 워크로드 및 서비스를 표시하려면 더 많은 권한이 필요할 수 있습니다.

책임: Customer

AM-2: 보안 팀이 자산 인벤토리 및 메타데이터에 액세스할 수 있는지 확인

지침: 보안 팀이 VPN Gateway와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 조직이 새로운 위험에 노출될 가능성을 평가하고 지속적인 보안 개선을 위한 입력으로 이 인벤토리가 필요한 경우가 많습니다. 조직의 승인된 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 모든 VPN Gateway 리소스에 대한 읽기 권한을 할당합니다. 구독에서 하나의 상위 수준 역할 할당으로 프로세스를 단순화할 수 있습니다.

Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 구성됩니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.

Azure Virtual Machine Inventory를 사용하여 VM(가상 머신)의 소프트웨어에 대한 정보 수집을 자동화합니다. Azure Portal에서 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간을 사용할 수 있습니다. 설치 날짜 및 기타 정보에 액세스하려면 게스트 수준 진단을 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 가져옵니다.

Azure VPN은 애플리케이션을 실행하거나 리소스에 소프트웨어를 설치하는 것을 허용하지 않습니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스를 검색할 때 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

지침: VPN Gateway는 리소스와 관련된 보안 위협을 모니터링하는 네이티브 기능을 제공하지 않습니다.

VPN Gateway 로그를 SIEM(보안 정보 및 이벤트 관리) 시스템으로 전달합니다. SIEM을 사용하여 사용자 지정 위협 검색을 설정할 수 있습니다.

다양한 유형의 Azure 자산을 모니터링하여 잠재적 위협 및 비정상 활동이 있는지 확인합니다. 분석가가 면밀히 살펴볼 수 있도록 가양성을 줄여 고품질 경고를 얻는 데 중점을 둡니다. 로그 데이터, 에이전트 또는 기타 데이터에서 경고를 소싱할 수 있습니다.

책임: Customer

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD는 다음 사용자 로그를 제공합니다. Azure AD 보고에서 로그를 볼 수 있습니다. 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM 및 모니터링 도구와 통합할 수 있습니다.

  • 로그인 - 관리되는 응용프로그램 사용 현황 및 사용자 로그인 작업에 대한 정보를 제공합니다.

  • 감사 로그 - 다양한 Azure AD 기능으로 이루어진, 모든 변경 내용에 대한 로그를 통해 추적성을 제공합니다. 감사 로그에는 Azure AD 내의 모든 리소스에 대한 변경 내용이 포함됩니다. 변경 내용에는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거가 포함됩니다.

  • 위험한 로그인 - 사용자 계정의 합법적인 소유자가 아닐 수도 있는 사람의 로그인 시도에 대한 표시기입니다.

  • 위험 플래그가 지정된 사용자 - 손상될 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender는 인증 시도가 너무 많이 실패하는 것과 같은 의심스러운 특정 작업에 대해 경고할 수도 있습니다. 구독에서 사용되지 않는 계정도 경고를 트리거할 수 있습니다.

기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 다음에서 보다 심층적인 보안 경고를 수집할 수 있습니다.

  • VM, 컨테이너 및 App Service와 같은 개별 Azure 컴퓨팅 리소스

  • Azure SQL Database 및 Azure Storage와 같은 데이터 리소스

  • Azure 서비스 계층

이 기능을 사용하면 개별 리소스의 계정 변칙에 대한 가시성을 얻을 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

지침: 보안 분석을 위해 NSG(네트워크 보안 그룹) 리소스 로그, NSG 흐름 로그, Azure Firewall 로그 및 WAF(웹 애플리케이션 방화벽) 로그를 사용하도록 설정하고 수집합니다. 로그는 인시던트 조사, 위협 추적 및 보안 경고 생성을 지원합니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.

VPN Gateway는 고객 액세스를 위해 처리하는 모든 네트워크 트래픽을 기록합니다. 배포된 VPN Gateway에서 NSG 흐름 로그 기능을 사용하도록 설정합니다.

VPN Gateway는 DNS 쿼리 로그를 생성하거나 처리하지 않습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 제어와 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수도 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

LT-4: Azure 리소스에 대한 로깅 사용

참고 자료: 활동 로그는 자동으로 제공됩니다. 로그에는 VPN Gateway 리소스에 대한 모든 PUT, POST 및 DELETE 작업이 포함되지만 GET 작업은 포함되지 않습니다. 문제를 해결할 때 활동 로그를 사용하여 오류를 찾거나 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

VPN Gateway용 Azure 리소스 로그를 사용합니다. Microsoft Defender for Cloud 및 Azure Policy를 사용하여 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 이러한 로그는 보안 인시던트 조사 및 포렌식 연습에 중요할 수 있습니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

지침: VPN Gateway 로그를 저장하는 스토리지 계정 또는 Log Analytics 작업 영역의 경우 조직의 규정 준수 규정을 충족하는 로그 보존 기간을 설정합니다.

책임: Customer

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

참고 자료: Azure Blueprints를 사용하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다. 단일 청사진 정의에는 Azure Resource Manager 템플릿, RBAC 컨트롤 및 정책이 포함될 수 있습니다.

Azure Portal, PowerShell 또는 Azure CLI를 사용하여 VPN Gateway에 대한 사용자 지정 암호화 정책을 구성할 수 있습니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

지침: Azure Portal, PowerShell 또는 Azure CLI를 사용하여 VPN Gateway에 대한 사용자 지정 IPsec/IKE 정책을 구성할 수 있습니다.

책임: Customer

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

지침: 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 VM 및 컨테이너를 포함한 모든 컴퓨팅 리소스에 대한 보안 구성을 설정합니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가 수행

지침: 해당 사항 없음 Microsoft는 VPN Gateway를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행하고 모든 중요한 보안 결과를 수정합니다.

Microsoft 클라우드 침투 테스트 사용자 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft 클라우드 침투 테스트 사용자 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft의 Red Teaming 전략 및 실행을 사용합니다. Microsoft 관리 클라우드 인프라, 서비스 및 응용프로그램에 대한 실시간 사이트 침투 테스트를 수행합니다.

책임: Microsoft

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-2: 중앙에서 관리되는 최신 맬웨어 방지 소프트웨어 사용

지침: 중앙에서 관리되는 최신 맬웨어 방지 소프트웨어로 VPN Gateway 또는 해당 리소스를 보호합니다.

  • 실시간 및 주기적 검사가 가능한 중앙 관리 엔드포인트 맬웨어 방지 솔루션을 사용합니다.

  • Azure Cloud Services용 Antimalware를 Windows VM용 기본 맬웨어 방지 솔루션으로 사용합니다.

  • Linux VM의 경우 타사 맬웨어 방지 솔루션을 사용합니다.

  • 데이터 서비스에 대한 클라우드용 Microsoft Defender 위협 탐지를 사용하여 Azure Storage 계정에 업로드된 맬웨어를 검색합니다.

  • 클라우드용 Microsoft Defender를 사용하여 자동으로 다음을 수행합니다.

    • VM을 위한 몇 가지 자주 사용되는 맬웨어 방지 솔루션 식별
    • 엔드포인트 보호 실행 상태 보고
    • 권장 사항 수행

책임: Microsoft

ES-3: 맬웨어 방지 소프트웨어 및 서명을 업데이트해야 합니다.

지침: 맬웨어 방지 서명을 빠르고 일관되게 업데이트해야 합니다.

클라우드용 Microsoft Defender "컴퓨팅 & 앱"의 권장 사항을 따라 모든 VM 및 컨테이너가 최신 서명으로 최신 상태인지 확인합니다.

Windows의 경우 Microsoft Antimalware는 기본적으로 최신 서명 및 엔진 업데이트를 자동으로 설치합니다. Linux의 경우 타사 맬웨어 방지 솔루션을 사용합니다.

책임: Microsoft

백업 및 복구

자세한 내용은 Azure Security Benchmark: 백업 및 복구를 참조하세요.

BR-1: 정기적인 자동 백업을 실행해야 합니다.

지침: 해당 사항 없음 VPN Gateway는 데이터 백업을 지원하지 않으며 데이터 백업이 필요하지 않습니다.

책임: Microsoft

BR-2: 백업 데이터 암호화

지침: VPN Gateway 서비스는 저장하는 시스템 메타데이터에 대해 Azure Storage 자동 데이터 복제를 사용합니다. VPN Gateway는 또한 Azure Storage 미사용 데이터 암호화 기능을 사용합니다.

책임: Microsoft

BR-3: 고객 관리형 키를 비롯한 모든 백업 유효성 검사

지침: VPN Gateway는 Azure Storage 복제 기능을 사용합니다.

책임: Microsoft

BR-4: 키 분실 위험 완화

지침: 키 손실을 방지하고 복구할 수 있는 측정값을 마련해야 합니다. Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하도록 설정하여 실수로 또는 악의적으로 삭제되지 않도록 키를 보호합니다.

VPN Gateway는 Azure Storage 복제 기능을 사용합니다.

책임: Customer

다음 단계