Azure 보안 컨트롤 개요(v3)

ASB(Azure Security Benchmark)는 Azure에서 워크로드, 데이터, 서비스의 보안을 개선하는 데 도움이 되는 규범적인 모범 사례 및 권장 사항을 제공합니다. 이 벤치마크는 다음을 포함하는 전체적인 보안 지침의 일부입니다.

Azure Security Benchmark는 클라우드 중심 제어 영역에 중점을 둡니다. 이러한 제어는 CIS(Center for Internet Security) 제어, NIST(미국 국립표준기술원) 및 PCI-DSS(Payment Card Industry Data Security Standard)에서 설명한 것과 같은 잘 알려진 보안 벤치마크와 일치합니다.

ASB v3의 새로운 기능

Azure Security Benchmark v3의 새로운 기능은 다음과 같습니다.

  • CIS Controls v7.1NIST SP800-53 Rev4에 대한 기존 매핑 외에 산업 프레임워크 PCI-DSS v3.2.1CIS Controls v8에 대한 매핑이 추가되었습니다.
  • 제어 지침을 보다 세분화되고 실행 가능하도록 개선했습니다. 예를 들어 보안 지침은 이제 보안 원칙Azure 지침의 두 부분으로 나뉩니다. 보안 원칙은 기술에 구애받지 않는 수준에서 제어가 "무엇"인지를 설명합니다. Azure 지침은 관련 기술 기능과 Azure에서 컨트롤이 "어떻게" 구현되는지를 자세히 설명하는 데 중점을 둡니다.
  • 위협 모델링 및 소프트웨어 공급망 보안과 같은 항목을 포함하는 새로운 제어 제품군으로 DevOps Security와 같은 새로운 제어 추가. Azure에서 키 및 인증서 관리 모범 사례를 권장하기 위해 키 및 인증서 관리가 도입되었습니다.

컨트롤

Azure Security Benchmark v3에는 다음 컨트롤이 포함되어 있습니다.

ASB 제어 도메인 설명
NS(네트워크 보안) 네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 Azure 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다.
IM(ID 관리) ID 관리에서는 애플리케이션, 조건부 액세스, 계정 변칙 모니터링을 위해 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 원칙)를 사용하여 Azure Active Directory를 사용하는 보안 ID 및 액세스 제어를 설정하는 컨트롤을 다룹니다.
PA(권한 있는 액세스) 권한 액세스는 의도적인 위험과 우발적인 위험으로부터 관리 모델, 관리 계정, 권한 있는 액세스 워크스테이션을 보호하는 다양한 컨트롤을 포함하여 Azure 테넌트 및 리소스에 대한 권한 액세스를 보호하는 컨트롤을 포함합니다.
DP(데이터 보호) 데이터 보호는 Azure의 액세스 제어, 암호화, 키 및 인증서 관리를 사용하여 중요한 데이터 자산을 검색, 분류, 보호 및 모니터링하는 것을 포함하여 미사용, 전송 중 및 승인된 액세스 메커니즘을 통한 데이터 보호 제어를 다룹니다.
AM(자산 관리) 자산 관리는 보안 담당자, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스에 대한 승인 관리(인벤토리, 추적, 수정) 권한에 대한 권장 사항을 포함하여 Azure 리소스에 대한 보안 가시성 및 거버넌스를 보장하는 컨트롤을 포함합니다.
로깅 및 위협 탐지(LT) 로깅 및 위협 탐지는 Azure에서 위협을 탐지하고, Azure 서비스의 기본 위협 탐지를 사용하여 높은 품질의 경고를 생성하는 컨트롤을 통해 탐지, 조사, 수정 프로세스를 사용하도록 설정하는 것을 비롯하여 Azure에서 위협을 탐지하고 Azure 서비스에 대한 감사 로그를 활성화, 수집, 저장하고는 컨트롤을 포함합니다. 또한 Azure Monitor를 통한 로그 수집, Azure Sentinel을 통한 보안 분석 중앙 집중화, 시간 동기화, 로그 보존을 포함합니다.
인시던트 응답(IR) 인시던트 대응은 인시던트 대응 프로세스를 자동화하기 위해 클라우드용 Microsoft Defender 및 Sentinel과 같은 Azure 서비스를 사용하는 것을 포함하여 인시던트 대응 수명 주기의 제어(준비, 검색 및 분석, 억제, 인시던트 후 작업)를 다룹니다.
PV(자세 및 취약성 관리) 태세 및 취약성 관리는 취약성 검사, 침투 테스트, 문제 해결, Azure 리소스의 보안 구성 추적, 보고, 수정 등 Azure 보안 태세를 평가하고 개선하기 위한 제어에 중점을 둡니다.
ES(엔드포인트 보안) 엔드포인트 보안은 Azure 환경에서 엔드포인트에 대해 EDR(엔드포인트 검색 및 응답) 및 맬웨어 방지 서비스를 사용하는 것을 포함하여 엔드포인트 검색 및 응답의 컨트롤을 포함합니다.
BR(백업 및 복구) 백업 및 복구는 여러 서비스 계층의 데이터 및 구성 백업이 수행되고, 유효성이 검사되고, 보호되도록 하는 컨트롤을 포함합니다.
DS(DevOps 보안) DevOps 보안은 DevOps 프로세스 전반에 걸쳐 보안을 보장하기 위해 배포 단계 이전에 중요한 보안 검사(예: 정적 애플리케이션 보안 테스트, 취약성 관리) 배포를 포함하여 DevOps 프로세스의 보안 엔지니어링 및 운영과 관련된 컨트롤을 다룹니다. 여기에는 위협 모델링 및 소프트웨어 공급 보안과 같은 일반적인 항목도 포함됩니다.
GS(거버넌스 및 전략) 거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다.

Azure Security Benchmark 권장 사항

각 권장 사항에는 다음 정보가 포함되어 있습니다.

  • ASB ID: 권장 사항에 해당하는 Azure Security Benchmark ID입니다.
  • CIS Controls v8 ID: 권장 사항에 해당하는 CIS Controls v8 컨트롤입니다.
  • CIS Controls v7.1 ID: 권장 사항에 해당하는 CIS Controls v7.1 컨트롤입니다(형식 관련 이유로 인해 웹에서 사용할 수 없음).
  • PCI-DSS v3.2.1 ID: 권장 사항에 해당하는 PCI-DSS v3.2.1 컨트롤입니다.
  • NIST SP 800-53 r4 ID: 이 권장 사항에 해당하는 NIST SP 800-53 r4(보통 및 높음) 컨트롤입니다.
  • 보안 원칙: 기술에 구애받지 않는 수준에서 제어가 "무엇"인지를 설명하는 데 초점을 맞춘 권장 사항입니다.
  • Azure 지침: Azure 기술 기능 및 구현 기본 사항의 "방법"에 중점을 둔 권장 사항입니다.
  • 구현 및 추가 컨텍스트: Azure 서비스 제공 사항 설명서로 연결되는 구현 세부 정보 및 기타 관련 컨텍스트입니다.
  • 고객 보안 관련자: 고객 조직에서 해당 컨트롤을 담당하거나, 책임을 지거나, 자문을 제공하는 보안 부서입니다. 회사의 보안 조직 구조, Azure 보안과 관련하여 설정하는 역할 및 책임에 따라 조직마다 다를 수 있습니다.

참고

ASB와 업계 벤치마크(CIS, NIST, PCI 등) 간의 제어 매핑은 특정 Azure 기능을 사용하여 이러한 업계 벤치마크에 정의된 제어 요구 사항을 완전히 또는 부분적으로 해결할 수 있음을 나타냅니다. 이러한 구현이 반드시 이러한 업계 벤치마크에서 해당 제어의 완전한 준수로 해석되는 것은 아님을 알아야 합니다.

Azure Security Benchmark 활동에 대한 자세한 피드백 및 활성 참여를 환영합니다. Azure 보안 벤치마크 팀에 직접 입력을 제공하려면 https://aka.ms/AzSecBenchmark 에서 양식을 작성하세요.

다운로드

스프레드시트 형식의 Azure Security Benchmark를 다운로드할 수 있습니다.

다음 단계