Microsoft 클라우드 보안 벤치마크(v1) 개요
MCSB(Microsoft 클라우드 보안 벤치마크)는 Azure 및 다중 클라우드 환경에서 워크로드, 데이터, 서비스의 보안을 개선하는 데 도움이 되는 규범적인 모범 사례 및 권장 사항을 제공합니다. 이 벤치마크는 다음을 포함하는 전체적인 Microsoft 및 업계 보안 지침 집합의 의견을 포함하여 클라우드 중심 제어 영역에 중점을 둡니다.
- 클라우드 채택 프레임워크: 전략, 역할 및 책임,Azure 상위 10개 보안 모범 사례 및 참조 구현을 포함한 보안에 대한 지침입니다.
- Azure Well-Architected Framework – Azure에서 워크로드를 보호하기 위한 지침입니다.
- CISO(최고 정보 보안 책임자) 워크샵: 제로 트러스트 원칙을 사용하여 보안 현대화를 가속화하기 위한 프로그램 지침 및 참조 전략입니다.
- 기타 업계 및 클라우드 서비스 공급자 보안 모범 사례 표준 및 프레임워크: 예로는 AWS(Amazon Web Services) Well-Architected Framework, CIS(인터넷 보안 센터) 제어, NIST(National Institute of Standards and Technology) 및 PCI-DSS(Payment Card Industry Data Security Standard)가 있습니다.
Microsoft 클라우드 보안 벤치마크 v1의 새로운 기능
참고
Microsoft 클라우드 보안 벤치마크는 2022년 10월 리브랜딩된 ASB(Azure Security Benchmark)의 후속 기준 지표입니다.
MCSB의 Google Cloud Platform 지원은 이제 MCSB 벤치마크 지침과 클라우드용 Microsoft Defender 모두 미리 보기 기능으로 사용할 수 있습니다.
Microsoft 클라우드 보안 벤치마크 v1의 새로운 요소:
포괄적인 다중 클라우드 보안 프레임워크: 조직은 종종 각 클라우드 플랫폼의 보안 및 규정 준수 요구 사항을 충족하기 위해 여러 클라우드 플랫폼의 보안 제어를 조정하는 내부 보안 표준을 빌드해야 합니다. 이로 인해 보안 팀이 서로 다른 클라우드 환경에서 (주로 다른 규정 준수 표준에 대해) 동일한 구현, 모니터링 및 평가를 반복해야 하는 경우가 많습니다. 이에 따라 불필요한 오버헤드, 비용 및 활동이 발생합니다. 이러한 문제를 해결하기 위해 ASB를 MCSB로 개선하여 다음을 통해 다른 클라우드를 신속하게 사용할 수 있도록 했습니다.
- 클라우드 전체의 보안 제어를 쉽게 충족할 수 있는 단일 제어 프레임워크 제공
- 클라우드용 Defender에서 다중 클라우드 보안 벤치마크를 모니터링하고 시행하기 위한 일관된 사용자 환경 제공
- 업계 표준(예: CIS, NIST, PCI)에 맞춰 유지
클라우드용 Microsoft Defender AWS에 대한 자동화된 제어 모니터링: 클라우드규정 준수 대시보드용 Microsoft Defender 사용하여 Azure 환경을 모니터링하는 방법과 마찬가지로 MCSB에 대해 AWS 환경을 모니터링할 수 있습니다. MCSB의 새로운 AWS 보안 지침에 대한 약 180개의 AWS 검사를 개발하여 클라우드용 Microsoft Defender에서 AWS 환경 및 리소스를 모니터링할 수 있습니다.
기존 Azure 지침 및 보안 원칙 새로 고침: 이 업데이트 중에 기존 Azure 보안 지침 및 보안 원칙 중 일부를 새로 고쳐 최신 Azure 기능 및 기능을 최신 상태로 유지할 수 있습니다.
컨트롤
| 제어 도메인 | 설명 |
|---|---|
| NS(네트워크 보안) | 네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다. |
| IM(ID 관리) | ID 관리에서는 애플리케이션, 조건부 액세스, 계정 변칙 모니터링을 위해 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 원칙)를 사용하여 ID 및 액세스 관리 시스템을 사용하는 보안 ID 및 액세스 제어를 설정하는 컨트롤을 다룹니다. |
| PA(권한 있는 액세스) | 권한 액세스는 의도적인 위험과 우발적인 위험으로부터 관리 모델, 관리 계정, 권한 있는 액세스 워크스테이션을 보호하는 다양한 컨트롤을 포함하여 테넌트 및 리소스에 대한 권한 액세스를 보호하는 컨트롤을 포함합니다. |
| DP(데이터 보호) | 데이터 보호는 액세스 제어, 암호화, 키 관리 및 인증서 관리를 사용하여 중요한 데이터 자산을 검색, 분류, 보호 및 모니터링하는 것을 포함하여 미사용, 전송 중 및 승인된 액세스 메커니즘을 통한 데이터 보호 제어를 다룹니다. |
| AM(자산 관리) | Asset Management는 보안 담당자에 대한 권한에 대한 권장 사항, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스에 대한 승인 관리(인벤토리, 추적 및 수정)를 포함하여 리소스에 대한 보안 가시성 및 거버넌스를 보장하기 위한 제어를 다룹니다. |
| 로깅 및 위협 탐지(LT) | 로깅 및 위협 탐지는 클라우드에서 위협을 탐지하고, 클라우드 서비스의 기본 위협 탐지를 사용하여 높은 품질의 경고를 생성하는 컨트롤을 통해 탐지, 조사, 수정 프로세스를 사용하도록 설정하는 것을 비롯하여 클라우드에서 위협을 탐지하고 클라우드 서비스에 대한 감사 로그를 활성화, 수집, 저장하고는 컨트롤을 포함합니다. 또한 클라우드 모니터링 서비스를 통한 로그 수집, SIEM을 통한 보안 분석 중앙 집중화, 시간 동기화, 로그 보존을 포함합니다. |
| 인시던트 응답(IR) | 인시던트 대응은 인시던트 대응 프로세스를 자동화하기 위해 클라우드용 Microsoft Defender, Sentinel 및/또는 기타 클라우드 서비스 같은 Azure 서비스를 사용하는 것을 포함하여 인시던트 대응 수명 주기의 제어(준비, 검색 및 분석, 억제, 인시던트 후 작업)를 다룹니다. |
| PV(자세 및 취약성 관리) | 태세 및 취약성 관리는 취약성 검사, 침투 테스트, 문제 해결, 클라우드 리소스의 보안 구성 추적, 보고, 수정 등 클라우드 보안 태세를 평가하고 개선하기 위한 제어에 중점을 둡니다. |
| ES(엔드포인트 보안) | 엔드포인트 보안은 클라우드 환경에서 엔드포인트에 대해 EDR(엔드포인트 검색 및 응답) 및 맬웨어 방지 서비스를 사용하는 것을 포함하여 엔드포인트 검색 및 응답의 컨트롤을 포함합니다. |
| BR(백업 및 복구) | 백업 및 복구는 여러 서비스 계층의 데이터 및 구성 백업이 수행되고, 유효성이 검사되고, 보호되도록 하는 컨트롤을 포함합니다. |
| DS(DevOps 보안) | DevOps 보안은 DevOps 프로세스 전반에 걸쳐 보안을 보장하기 위해 배포 단계 이전에 중요한 보안 검사(예: 정적 애플리케이션 보안 테스트, 취약성 관리) 배포를 포함하여 DevOps 프로세스의 보안 엔지니어링 및 운영과 관련된 컨트롤을 다룹니다. 여기에는 위협 모델링 및 소프트웨어 공급 보안과 같은 일반적인 항목도 포함됩니다. |
| GS(거버넌스 및 전략) | 거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다. |
Microsoft 클라우드 보안 벤치마크의 권장 사항
각 권장 사항에는 다음 정보가 포함되어 있습니다.
- ID: 권장 사항에 해당하는 벤치마크 ID입니다.
- CIS Controls v8 ID: 권장 사항에 해당하는 CIS Controls v8 컨트롤입니다.
- CIS Controls v7.1 ID: 권장 사항에 해당하는 CIS Controls v7.1 컨트롤입니다(형식 관련 이유로 인해 웹에서 사용할 수 없음).
- PCI-DSS v3.2.1 ID: 권장 사항에 해당하는 PCI-DSS v3.2.1 컨트롤입니다.
- NIST SP 800-53 r4 ID: NIST SP 800-53 r4(보통 및 높음) 컨트롤은 이 권장 사항에 해당합니다.
- 보안 원칙: 기술에 구애받지 않는 수준에서 제어가 "무엇"인지를 설명하는 데 초점을 맞춘 권장 사항입니다.
- Azure 지침: Azure 기술 기능 및 구현 기본 사항의 "방법"에 중점을 둔 권장 사항입니다.
- AWS 지침: 권장 사항은 AWS 기술 기능 및 구현 기본 사항을 설명하는 "방법"에 초점을 맞췄습니다.
- 구현 및 추가 컨텍스트: Azure 및 AWS 서비스 제공 설명서 문서에 연결되는 구현 세부 정보 및 기타 관련 컨텍스트입니다.
- 고객 보안 관련자: 고객 조직에서 해당 컨트롤을 담당하거나, 책임을 지거나, 자문을 제공하는 보안 부서입니다. 회사의 보안 조직 구조, Azure 보안과 관련하여 설정하는 역할 및 책임에 따라 조직마다 다를 수 있습니다.
MCSB와 업계 벤치마크(예: CIS, NIST 및 PCI) 간의 컨트롤 매핑은 특정 Azure 기능을 사용하여 이러한 산업 벤치마크에 정의된 제어 요구 사항을 완전히 또는 부분적으로 해결할 수 있음을 나타냅니다. 이러한 구현이 반드시 이러한 업계 벤치마크에서 해당 제어의 완전한 준수로 해석되는 것은 아님을 알아야 합니다.
Microsoft 클라우드 보안 벤치마크 활동에 대한 자세한 피드백과 적극적인 참여를 환영합니다. 직접 입력을 제공하려면 으로 benchmarkfeedback@microsoft.com이메일을 보내주세요.
다운로드
벤치마크 및 기준 오프라인 복사본을 스프레드시트 형식으로 다운로드할 수 있습니다.
다음 단계
- 첫 번째 보안 제어: 네트워크 보안 참조
- Microsoft 클라우드 보안 벤치마크 소개 읽기
- Azure 보안 기본 사항에 대해 알아보세요.