보안 제어: 거버넌스 및 전략
거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다.
GS-1: 조직의 역할, 책임 및 책임 조정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
일반 지침: 보안 조직의 역할 및 책임에 대한 명확한 전략을 정의하고 전달해야 합니다. 보안 결정에 대한 명확한 책임 제공의 우선 순위를 정하고, 모든 사람에게 공동 책임 모델을 교육하고, 기술 팀에 클라우드를 보호하는 기술을 교육합니다.
구현 및 추가 컨텍스트:
- Azure 보안 모범 사례 1 – 사용자: 클라우드 보안 경험에 대한 팀 교육
- Azure 보안 모범 사례 2 – 사용자: 클라우드 보안 기술에 대한 팀 교육
- Azure 보안 모범 사례 3 – 프로세스: 클라우드 보안 결정에 대한 책임 할당
고객 보안 관련자(자세한 정보):
GS-2: 엔터프라이즈 구분/의무 분리 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
일반 지침: ID, 네트워크, 애플리케이션, 구독, 관리 그룹 및 기타 컨트롤의 조합을 사용하여 자산에 대한 액세스를 분할하는 엔터프라이즈 차원의 전략을 수립합니다.
서로 통신하고 데이터에 액세스해야 하는 시스템의 일상 작업을 사용하도록 설정해야 할 필요성과 보안 분리의 필요성을 신중하게 조정해야 합니다.
네트워크 보안, ID 및 액세스 모델, 애플리케이션 권한/액세스 모델, 인적 프로세스 제어를 포함하여 구분 전략이 워크로드에서 일관되게 구현되도록 합니다.
구현 및 추가 컨텍스트:
- Azure용 Microsoft 클라우드 채택 프레임워크의 보안 - 구분: 보호를 위해 분리됨
- Azure용 Microsoft 클라우드 채택 프레임워크의 보안 - 아키텍처: 단일 통합 보안 전략 수립
고객 보안 관련자(자세한 정보):
GS-3: 데이터 보호 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
일반 지침: 클라우드 환경에서 데이터 보호를 위한 엔터프라이즈 차원의 전략을 수립합니다.
- 기업 데이터 관리 표준 및 규정 준수에 따라 데이터 분류 및 보호 표준을 정의하고 적용하여 데이터 분류의 각 수준에 필요한 보안 제어를 지시합니다.
- 엔터프라이즈 구분 전략에 맞게 클라우드 리소스 관리 계층 구조를 설정합니다. 또한 엔터프라이즈 조각화 전략은 중요 비즈니스용 데이터 및 시스템의 위치를 통해 알려야 합니다.
- 클라우드 환경에서 적용 가능한 제로 트러스트 원칙을 정의하고 적용하여 경계 내 네트워크 위치를 기반으로 하는 신뢰 구현을 방지합니다. 대신 디바이스 및 사용자 신뢰 클레임을 사용하여 데이터 및 리소스에 대한 액세스를 차단합니다.
- 엔터프라이즈 전체에서 중요한 데이터 공간(스토리지, 전송 및 처리)을 추적하고 최소화하여 공격 표면 및 데이터 보호 비용을 줄입니다. 중요한 데이터를 원래 형식으로 저장 및 전송하지 않도록 가능한 경우 워크로드에서 단방향 해싱, 자르기 및 토큰화와 같은 기술을 고려합니다.
- 데이터 및 액세스 키에 대한 보안 보증을 제공하기 위한 전체 수명 주기 제어 전략이 있는지 확인합니다.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - 데이터 보호
- 클라우드 채택 프레임워크 - Azure 데이터 보안 및 암호화 모범 사례
- Azure 보안 기본 사항 - Azure 데이터 보안, 암호화, 스토리지
고객 보안 관련자(자세한 정보):
GS-4: 네트워크 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
일반 지침: 액세스 제어를 위한 조직의 전반적인 보안 전략의 일부로 클라우드 네트워크 보안 전략을 수립합니다. 이 전략에는 다음 요소에 대한 문서화된 지침, 정책, 표준이 포함되어야 합니다.
- 네트워크 리소스를 배포 및 유지 관리하기 위해 중앙 집중식/분산식 네트워크 관리 및 보안 책임 모델을 설계합니다.
- 엔터프라이즈 조각화 전략에 맞춘 조정된 가상 네트워크 조각화 모델
- 인터넷 에지 및 송수신 전략
- 하이브리드 클라우드 및 온-프레미스 상호 연결 전략
- 네트워크 모니터링 및 로깅 전략.
- 최신 네트워크 보안 아티팩트(예: 네트워크 다이어그램, 참조 네트워크 아키텍처).
구현 및 추가 컨텍스트:
- Azure 보안 모범 사례 11 - 아키텍처. 단일 통합 보안 전략
- Microsoft 클라우드 보안 벤치마크 - 네트워크 보안
- Azure 네트워크 보안 개요
- 엔터프라이즈 네트워크 아키텍처 전략
고객 보안 관련자(자세한 정보):
GS-5: 보안 태세 관리 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
일반 지침: 보안 구성 관리 및 취약성 관리가 클라우드 보안 의무에 적용되도록 정책, 절차 및 표준을 설정합니다.
클라우드의 보안 구성 관리에는 다음 영역이 포함되어야 합니다.
- 웹 포털/콘솔, 관리 및 컨트롤 플레인, IaaS, PaaS 및 SaaS 서비스에서 실행되는 리소스와 같은 클라우드의 다양한 리소스 유형에 대한 보안 구성 기준을 정의합니다.
- 보안 기준이 네트워크 보안, ID 관리, 권한 있는 액세스, 데이터 보호 등과 같은 다양한 컨트롤 플레인의 위험을 해결하는지 확인합니다.
- 도구를 사용하여 구성이 기준에서 벗어나는 것을 방지하기 위해 구성을 지속적으로 측정, 감사 및 적용합니다.
- 보안 기능(예: 서비스 업데이트 구독)을 사용하여 업데이트 상태를 유지하도록 주기를 개발합니다.
- 보안 상태 또는 규정 준수 검사 메커니즘(예: 보안 점수, 클라우드용 Microsoft Defender 규정 준수 대시보드)을 활용하여 보안 구성 상태를 정기적으로 검토하고 식별된 격차를 수정합니다.
클라우드의 취약성 관리에는 다음과 같은 보안 측면이 포함되어야 합니다.
- 클라우드 네이티브 서비스, 운영 체제 및 애플리케이션 구성 요소와 같은 모든 클라우드 리소스 유형의 취약성을 정기적으로 평가하고 수정합니다.
- 위험 기반 방법을 사용하여 평가 및 수정의 우선 순위를 지정합니다.
- 관련 CSPM의 보안 공지 알림 및 블로그를 구독하여 최신 보안 업데이트를 받습니다.
- 취약성 평가 및 수정(예: 일정, 범위 및 기술)이 조직의 규정 준수 요구 사항을 충족하는지 확인합니다.dule, 범위 및 기술)는 조직의 정기적인 규정 준수 요구 사항을 충족합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
GS-6: ID 및 권한 있는 액세스 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
일반 지침: 조직의 전반적인 보안 액세스 제어 전략의 일환으로 클라우드 ID 및 권한 있는 액세스 접근 방식을 설정합니다. 이 전략에는 다음 측면에 대한 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 중앙 집중식 ID 및 인증 시스템(예: Azure AD) 및 다른 내부 및 외부 ID 시스템과의 상호 연결
- 권한 있는 ID 및 액세스 거버넌스(예: 액세스 요청, 검토 및 승인)
- 비상(응급) 상황의 권한 있는 계정
- 다양한 사용 사례 및 조건에서 강력한 인증(암호 없는 인증 및 다단계 인증) 방법.
- 웹 포털/콘솔, 명령줄 및 API를 통해 관리 작업으로 액세스를 보호합니다.
엔터프라이즈 시스템이 사용되지 않는 예외 사례의 경우 ID, 인증 및 액세스 관리를 위한 적절한 보안 제어가 적용되고 관리되는지 확인합니다. 이러한 예외는 승인되고 엔터프라이즈 팀에서 주기적으로 검토해야 합니다. 이러한 예외는 일반적으로 다음과 같은 경우에 발생합니다.
- 클라우드 기반 타사 시스템과 같이 기업이 지정하지 않은 ID 및 인증 시스템 사용(알 수 없는 위험이 발생할 수 있음)
- 권한 있는 사용자가 로컬에서 인증되거나 강력하지 않은 인증 방법을 사용함
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - ID 관리
- Microsoft 클라우드 보안 벤치마크 - 권한 있는 액세스
- Azure 보안 모범 사례 11 - 아키텍처. 단일 통합 보안 전략
- Azure ID 관리 보안 개요
고객 보안 관련자(자세한 정보) :
GS-7: 로깅, 위협 감지 및 인시던트 대응 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
일반 지침: 로깅, 위협 탐지 및 인시던트 대응 전략을 수립하여 위협을 신속하게 감지 및 수정하고 규정 준수 요구 사항을 충족합니다. 보안 운영(SecOps/SOC) 팀은 로그 통합 및 수동 단계보다 위협에 집중할 수 있도록 고품질 경고와 원활한 환경을 우선시해야 합니다. 이 전략에는 다음 측면에 대한 문서화된 정책, 절차 및 표준이 포함되어야 합니다.
- 보안 작업(SecOps) 조직의 역할 및 책임
- NIST SP 800-61(컴퓨터 보안 인시던트 처리 가이드) 또는 기타 업계 프레임워크에 맞게 잘 정의되고 정기적으로 테스트된 인시던트 대응 계획 및 처리 프로세스입니다.
- 고객, 공급자 및 관심 있는 퍼블릭 당사자와의 통신 및 알림 계획
- 클라우드 환경 내에서 예상 및 예기치 않은 보안 이벤트를 모두 시뮬레이션하여 준비의 효율성을 이해합니다. 시뮬레이션 결과를 반복하여 응답 상태의 규모를 개선하고, 가치 창출 시간을 줄이고, 위험을 더욱 줄입니다.
- Azure Defender 기능과 같은 XDR(확장 검색 및 대응) 기능을 사용하여 다양한 영역에서 위협을 검색하는 것을 선호합니다.
- 클라우드 네이티브 기능(예: 클라우드용 Microsoft Defender) 및 인시던트 처리를 위한 타사 플랫폼(예: 로깅 및 위협 탐지, 포렌식, 공격 수정 및 근절)을 사용합니다.
- 안정적이고 일관된 응답을 보장하기 위해 수동 및 자동화 모두에 필요한 Runbook을 준비합니다.
- 주요 시나리오(예: 위협 탐지, 인시던트 대응 및 규정 준수)를 정의하고 시나리오 요구 사항을 충족하도록 로그 캡처 및 보존을 설정합니다.
- SIEM, 네이티브 클라우드 위협 탐지 기능 및 기타 원본을 사용하여 위협에 대한 중앙 집중식 가시성 및 상관 관계 정보입니다.
- 진행 중 얻은 개선 사항 및 증거 보존과 같은 인시던트 후 작업.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - 로깅 및 위협 탐지
- Microsoft 클라우드 보안 벤치마크 - 인시던트 대응
- Azure 보안 모범 사례 4 - 프로세스. 클라우드에 대한 인시던트 대응 프로세스 업데이트
- Azure 채택 프레임워크, 로깅, 보고 의사 결정 가이드
- Azure 엔터프라이즈 규모, 관리, 모니터링
- NIST SP 800-61 컴퓨터 보안 인시던트 처리 가이드
고객 보안 관련자(자세한 정보) :
GS-8: 백업 및 복구 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
일반 지침: 조직을 위한 백업 및 복구 전략을 수립합니다. 이 전략에는 다음과 같은 측면에서 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 비즈니스 복원력 목표 및 규정 준수 요구 사항에 따른 RTO(복구 시간 목표) 및 RPO(복구 지점 목표) 정의.
- 클라우드와 온-프레미스 모두를 위한 애플리케이션 및 인프라의 중복 설계(백업, 복원 및 복제 포함). 지역, 지역 쌍, 지역 간 복구 및 오프사이트 스토리지 위치를 전략의 일부로 고려합니다.
- 데이터 액세스 제어, 암호화 및 네트워크 보안과 같은 제어를 사용하여 무단 액세스 및 템퍼링으로부터 백업을 보호합니다.
- 백업 및 복구를 사용하여 랜섬웨어 공격과 같은 새로운 위협으로부터의 위험을 완화합니다. 또한 이러한 공격으로부터 백업 및 복구 데이터 자체를 보호합니다.
- 감사 및 경고 목적으로 백업 및 복구 데이터와 작업을 모니터링합니다.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - Azure Well-Architecture Framework 백업 및 복구 - Azure 애플리케이션에 대한 백업 및 재해 복구: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure Adoption Framework - 비즈니스 연속성 및 재해 복구
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
고객 보안 관련자(자세한 정보) :
GS-9: 엔드포인트 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
일반 지침: 다음 측면을 포함하는 클라우드 엔드포인트 보안 전략을 수립합니다. 엔드포인트 검색 및 대응 및 맬웨어 방지 기능을 엔드포인트에 배포하고 위협 탐지 및 SIEM 솔루션 및 보안 운영 프로세스와 통합합니다.
- Microsoft Cloud Security Benchmark에 따라 다른 각 영역의 엔드포인트 관련 보안 설정(예: 네트워크 보안, 태세 취약성 관리, ID 및 권한 있는 액세스, 로깅 및 위협 검색)도 엔드포인트에 대한 심층 방어 보호를 제공합니다.
- 프로덕션 환경에서 엔드포인트 보안의 우선 순위를 지정하지만 이러한 환경을 사용하여 프로덕션 환경에 맬웨어 및 취약성을 도입할 수도 있으므로 비프로덕션 환경(예: DevOps 프로세스에서 사용되는 테스트 및 빌드 환경)도 보호 및 모니터링됩니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
GS-10: DevOps 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
일반 지침: 조직의 DevOps 엔지니어링 및 운영 표준의 일부로 보안 제어를 의무화합니다. 조직의 엔터프라이즈 및 클라우드 보안 표준에 따라 보안 목표, 제어 요구 사항 및 도구 사양을 정의합니다.
CI/CD 워크플로 전반에 걸쳐 다양한 유형의 자동화(예: 코드 프로비저닝, 자동화된 SAST 및 DAST 검사)를 사용하여 취약성을 신속하게 식별하고 수정하는 이점을 위해 DevOps를 조직의 필수 운영 모델로 사용하도록 권장합니다. 또한 이 '왼쪽 전환' 접근 방식은 배포 파이프라인에서 일관된 보안 검사를 적용하는 가시성과 기능을 향상시키고, 워크로드를 프로덕션에 배포할 때 막판 보안 문제를 방지하기 위해 미리 환경에 보안 가드레일을 효과적으로 배포합니다.
보안 제어를 배포 전 단계로 전환할 때 보안 가드레일을 구현하여 DevOps 프로세스 전반에 걸쳐 제어가 배포되고 적용되도록 합니다. 이 기술에는 IaC(코드로서의 인프라), 리소스 프로비저닝 및 감사를 정의하여 환경에 프로비전할 수 있는 서비스 또는 구성을 제한하는 리소스 배포 템플릿(예: Azure ARM 템플릿)이 포함될 수 있습니다.
워크로드의 런타임 보안 제어의 경우 Microsoft Cloud Security Benchmark에 따라 워크로드 애플리케이션 및 서비스 내에서 ID 및 권한 있는 액세스, 네트워크 보안, 엔드포인트 보안 및 데이터 보호와 같은 컨트롤을 효과적으로 설계하고 구현합니다.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - DevOps 보안
- 보안 DevOps
- 클라우드 채택 프레임워크 - DevSecOps는 고객 보안 관련자 일반 지침을제어합니다(자세히 알아보기)**:
- 모든 관련자
GS-11: 다중 클라우드 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음 | 해당 없음 | 해당 없음 |
일반 지침: 다음 측면을 포함해야 하는 클라우드 및 보안 거버넌스, 위험 관리 및 운영 프로세스에 다중 클라우드 전략이 정의되어 있는지 확인합니다.
- 다중 클라우드 채택: 다중 클라우드 인프라를 운영하는 조직 및 조직 교육에서 팀이 클라우드 플랫폼과 기술 스택 간의 기능 차이를 이해할 수 있도록 합니다. 이식 가능한 솔루션을 빌드, 배포 및/또는 마이그레이션합니다. 클라우드 채택으로 인한 최적의 결과를 위해 클라우드 네이티브 기능을 적절하게 활용하면서 최소한의 공급업체 잠금을 통해 클라우드 플랫폼 간에 쉽게 이동할 수 있습니다.
- 클라우드 및 보안 운영: 솔루션이 배포 및 운영되는 위치에 관계없이 공통 운영 프로세스를 공유하는 중앙 거버넌스 및 관리 프로세스 집합을 통해 각 클라우드에서 솔루션을 지원하도록 보안 작업을 간소화합니다.
- 도구 및 기술 스택: 이 보안 벤치마크에 설명된 모든 보안 도메인을 포함할 수 있는 통합 및 중앙 집중식 관리 플랫폼을 설정하는 데 도움이 되는 다중 클라우드 환경을 지원하는 적절한 도구를 선택합니다.
구현 및 추가 컨텍스트: