보안 제어: 자산 관리
Asset Management는 보안 담당자에 대한 권한에 대한 권장 사항, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스에 대한 승인 관리(인벤토리, 추적 및 수정)를 포함하여 리소스에 대한 보안 가시성 및 거버넌스를 보장하는 컨트롤을 다룹니다.
AM-1: 자산 인벤토리 및 위험 추적
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
보안 원칙: 쿼리를 통해 자산 인벤토리를 추적하고 모든 클라우드 리소스를 검색합니다. 서비스 특성, 위치 또는 기타 특성에 따라 자산에 태그를 지정하고 그룹화하여 자산을 논리적으로 구성합니다. 보안 조직이 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다.
보안 organization 항상 보안 인사이트 및 위험을 중앙에서 집계하여 클라우드 자산에 대한 위험을 모니터링할 수 있는지 확인합니다.
Azure 지침: 클라우드용 Microsoft Defender 인벤토리 기능 및 Azure Resource Graph Azure 서비스, 애플리케이션 및 네트워크 리소스를 포함하여 구독의 모든 리소스를 쿼리하고 검색할 수 있습니다. 태그와 Azure의 다른 메타데이터(이름, 설명 및 범주)를 사용하여 organization 분류에 따라 자산을 논리적으로 구성합니다.
보안 조직이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 새로운 위험에 대한 organization 잠재적 노출을 평가하고 지속적인 보안 개선을 위한 입력으로 이 인벤토리가 필요한 경우가 많습니다.
클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있도록 보안 조직에 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한이 부여되었는지 확인합니다. 보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.
참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.
GCP 지침: Google 클라우드 자산 인벤토리를 사용하여 시계열 데이터베이스를 기반으로 인벤토리 서비스를 제공합니다. 이 데이터베이스는 GCP 자산 메타데이터의 5주 기록을 유지합니다. 클라우드 자산 인벤토리 내보내기 서비스를 사용하면 특정 타임스탬프에서 모든 자산 메타데이터를 내보내거나 일정 기간 동안 이벤트 변경 기록을 내보낼 수 있습니다.
또한 Google Cloud Security Command Center는 다른 명명 규칙을 지원합니다. 자산은 organization Google Cloud 리소스입니다. 보안 명령 센터에 대한 IAM 역할은 organization, 폴더 또는 프로젝트 수준에서 부여할 수 있습니다. 결과, 자산 및 보안 원본을 보거나 만들거나 업데이트하는 기능은 액세스 권한이 부여된 수준에 따라 달라집니다.
GCP 구현 및 추가 컨텍스트:
Azure 구현 및 추가 컨텍스트:
- Azure Resource Graph Explorer를 사용하여 쿼리를 만드는 방법
- 클라우드용 Microsoft Defender 자산 인벤토리 관리
- 자산에 태그를 지정하는 방법에 대한 자세한 내용은 리소스 명명 및 태그 지정 결정 안내를 참조하세요.
- 보안 읽기 권한자 역할 개요
AWS 지침: AWS Systems Manager 인벤토리 기능을 사용하여 애플리케이션 수준 및 운영 체제 수준 세부 정보를 포함하여 EC2 인스턴스의 모든 리소스를 쿼리하고 검색합니다. 또한 AWS 리소스 그룹 - 태그 편집기를 사용하여 AWS 리소스 인벤토리를 찾아봅니다.
AWS의 다른 메타데이터(이름, 설명 및 범주)뿐만 아니라 태그를 사용하여 organization 분류에 따라 자산을 논리적으로 구성합니다.
보안 조직이 AWS에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 보안 팀은 새로운 위험에 대한 organization 잠재적 노출을 평가하고 지속적인 보안 개선을 위한 입력으로 이 인벤토리가 필요한 경우가 많습니다.
참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud Organization Policy Service를 사용하여 사용자가 사용자 환경에서 프로비전할 수 있는 서비스를 감사하고 제한합니다. Operations Suite 및/또는 조직 정책에서 클라우드 모니터링을 사용하여 승인되지 않은 서비스가 검색될 때 경고를 트리거하는 규칙을 만들 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
AM-2: 승인된 서비스만 사용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
보안 원칙: 사용자가 환경에서 프로비전할 수 있는 서비스를 감사하고 제한하여 승인된 클라우드 서비스만 사용할 수 있는지 확인합니다.
Azure 지침: Azure Policy 사용하여 사용자가 환경에서 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색되면 경고를 트리거하는 규칙을 만들 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- Azure Policy 구성 및 관리
- Azure Policy를 사용하여 특정 리소스 종류를 거부하는 방법
- Azure Resource Graph Explorer를 사용하여 쿼리를 만드는 방법
AWS 지침: AWS 구성을 사용하여 사용자가 환경에서 프로비전할 수 있는 서비스를 감사하고 제한합니다. AWS 리소스 그룹을 사용하여 계정 내에서 리소스를 쿼리하고 검색합니다. CloudWatch 및/또는 AWS Config를 사용하여 승인되지 않은 서비스가 검색될 때 경고를 트리거하는 규칙을 만들 수도 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 잠재적으로 높은 영향을 미치는 수정을 위해 자산 수명 주기 관리 프로세스를 처리하는 보안 정책/프로세스를 설정하거나 업데이트합니다. 이러한 수정에는 ID 공급자 및 액세스, 중요한 데이터, 네트워크 구성 및 관리 권한 평가에 대한 변경 내용이 포함됩니다. 위험에 처한 자산에 대해 Google Cloud Security Command Center 및 검사 준수 탭을 사용합니다.
또한 사용하지 않는 Google 클라우드 프로젝트의 자동화된 정리 및 클라우드 추천 서비스를 사용하여 Google Cloud에서 리소스를 사용하기 위한 권장 사항 및 인사이트를 제공합니다. 이러한 권장 사항 및 인사이트는 제품별 또는 서비스당이며 추론 방법, 기계 학습 및 현재 리소스 사용에 따라 생성됩니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
AM-3: 자산 수명 주기 관리의 보안 보장
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
보안 원칙: 자산 수명 주기 동안 자산의 보안 특성 또는 구성이 항상 업데이트되는지 확인합니다.
Azure 지침: 잠재적으로 높은 영향을 미치는 수정을 위해 자산 수명 주기 관리 프로세스를 처리하는 보안 정책/프로세스를 설정하거나 업데이트합니다. 이러한 수정에는 ID 공급자 및 액세스, 데이터 민감도 수준, 네트워크 구성 및 관리 권한 할당에 대한 변경 내용이 포함됩니다.
더 이상 필요하지 않은 Azure 리소스를 식별하고 제거합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 잠재적으로 높은 영향을 미치는 수정을 위해 자산 수명 주기 관리 프로세스를 처리하는 보안 정책/프로세스를 설정하거나 업데이트합니다. 이러한 수정에는 ID 공급자 및 액세스, 데이터 민감도 수준, 네트워크 구성 및 관리 권한 할당에 대한 변경 내용이 포함됩니다.
더 이상 필요하지 않은 AWS 리소스를 식별하고 제거합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google IAM(클라우드 ID 및 액세스 관리)을 사용하여 특정 리소스에 대한 액세스를 제한합니다. 작업이 트리거되는 조건뿐만 아니라 허용 또는 거부 작업을 지정할 수 있습니다. 리소스 수준 권한, 리소스 기반 정책, 태그 기반 권한 부여, 임시 자격 증명 또는 서비스 연결 역할의 조건 또는 결합된 메서드를 지정하여 리소스에 대한 세분화된 제어 액세스 제어를 수행할 수 있습니다.
또한 VPC 서비스 컨트롤을 사용하여 외부 엔터티 또는 내부자 엔터티의 우발적이거나 타겟팅된 작업으로부터 보호할 수 있으므로 Google Cloud 서비스에서 부당한 데이터 반출 위험을 최소화할 수 있습니다. VPC 서비스 컨트롤을 사용하여 명시적으로 지정하는 서비스의 리소스 및 데이터를 보호하는 경계를 만들 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
AM-4: 자산 관리에 대한 액세스 제한
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | 해당 없음 |
보안 원칙: 클라우드에서 실수로 또는 악의적으로 자산을 수정하지 않도록 자산 관리 기능에 대한 사용자의 액세스를 제한합니다.
Azure 지침: Azure Resource Manager Azure에 대한 배포 및 관리 서비스입니다. Azure에서 리소스(자산)를 만들기, 업데이트 및 삭제할 수 있는 관리 계층을 제공합니다. Azure AD 조건부 액세스를 사용하여 "Microsoft Azure 관리" 앱에 대한 "액세스 차단"을 구성하여 Azure Resource Manager와 상호 작용하는 사용자의 기능을 제한합니다.
Azure RBAC(Azure 역할 기반 Access Control)를 사용하여 ID에 역할을 할당하여 권한 및 Azure 리소스에 대한 액세스를 제어합니다. 예를 들어 'Reader' Azure RBAC 역할만 있는 사용자는 모든 리소스를 볼 수 있지만 변경할 수는 없습니다.
리소스 잠금을 사용하여 리소스 삭제 또는 수정을 방지합니다. 리소스 잠금은 Azure Blueprints를 통해 관리할 수도 있습니다.
Azure 구현 및 추가 컨텍스트:
- Azure Resource Manager에 대한 액세스를 차단하도록 조건부 액세스를 구성하는 방법
- 인프라를 보호하기 위해 리소스를 잠급니다.
- Azure Blueprints 리소스 잠금으로 새 리소스 보호
AWS 지침: AWS IAM을 사용하여 특정 리소스에 대한 액세스를 제한합니다. 허용되는 작업 또는 거부 작업과 작업이 트리거되는 조건을 지정할 수 있습니다. 하나의 조건을 지정하거나 리소스 수준 권한, 리소스 기반 정책, 태그 기반 권한 부여, 임시 자격 증명 또는 서비스 연결 역할의 메서드를 결합하여 리소스에 대한 세분화된 제어 액세스 제어를 가질 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud VM Manager를 사용하여 컴퓨팅 엔진 인스턴스에 설치된 애플리케이션을 검색합니다. OS 인벤토리 및 구성 관리를 사용하면 권한이 없는 소프트웨어가 컴퓨팅 엔진 인스턴스에서 실행되지 않도록 차단할 수 있습니다.
타사 솔루션을 사용하여 승인되지 않은 소프트웨어를 검색하고 식별할 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
AM-5: 가상 머신에서 승인된 애플리케이션만 사용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
보안 원칙: 권한 있는 소프트웨어만 허용 목록을 만들어 실행되도록 하고 권한 없는 소프트웨어가 사용자 환경에서 실행되지 않도록 차단합니다.
Azure 지침: 클라우드용 Microsoft Defender 적응형 애플리케이션 제어를 사용하여 애플리케이션 허용 목록을 검색하고 생성합니다. ASC 적응형 애플리케이션 컨트롤을 사용하여 권한 있는 소프트웨어만 실행할 수 있고 모든 권한 없는 소프트웨어가 Azure Virtual Machines 실행되지 않도록 할 수도 있습니다.
Azure Automation 변경 내용 추적 및 인벤토리를 사용하여 Windows 및 Linux VM에서 인벤토리 정보 컬렉션을 자동화합니다. 소프트웨어 이름, 버전, 게시자 및 새로 고침 시간 정보는 Azure Portal 사용할 수 있습니다. 소프트웨어 설치 날짜 및 기타 정보를 얻으려면 게스트 수준 진단 사용하도록 설정하고 Windows 이벤트 로그를 Log Analytics 작업 영역으로 보냅니다.
스크립트 유형에 따라 운영 체제별 구성 또는 타사 리소스를 사용하여 Azure 컴퓨팅 리소스에서 스크립트를 실행하는 사용자의 기능을 제한할 수 있습니다.
타사 솔루션을 사용하여 승인되지 않은 소프트웨어를 검색하고 식별할 수도 있습니다.
Azure 구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 적응형 애플리케이션 제어를 사용하는 방법
- Azure Automation 변경 내용 추적 및 인벤토리 이해
- Windows 환경에서 PowerShell 스크립트 실행을 제어하는 방법
AWS 지침: AWS Systems Manager 인벤토리 기능을 사용하여 EC2 인스턴스에 설치된 애플리케이션을 검색합니다. AWS 구성 규칙을 사용하여 권한이 없는 소프트웨어가 EC2 인스턴스에서 실행되지 않도록 합니다.
타사 솔루션을 사용하여 승인되지 않은 소프트웨어를 검색하고 식별할 수도 있습니다.
AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :