보안 제어 V2: 태세 및 취약성 관리

  • 아티클

참고

최신 Azure 보안 벤치마크는 여기에서 제공됩니다.

태세 및 취약성 관리는 Azure 보안 태세를 평가하고 개선하기 위한 제어에 중점을 둡니다. 여기에는 취약성 검사, 침투 테스트 및 수정뿐만 아니라 Azure 리소스의 보안 구성 추적, 보고 및 수정이 포함됩니다.

적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-1 5.1 CM-2, CM-6

인프라 및 DevOps 팀이 사용하는 Azure 서비스를 쉽게 안전하게 구성하여 보안 가드레일을 정의합니다.

Azure Security Benchmark의 서비스 기준을 사용하여 Azure 서비스의 보안 구성을 시작하고 조직의 필요에 맞게 사용자 지정합니다.

Azure Security Center를 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure 정책을 구성합니다.

Azure Blueprints를 사용하여 단일 청사진 정의에서 Azure Resource Manager 템플릿, Azure RBAC 컨트롤 및 정책을 포함하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화할 수 있습니다.

책임: Customer

고객 보안 관련자(자세한 정보):

PV-2: Azure 서비스에 대한 보안 구성 유지

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-2 5.2 CM-2, CM-6

Azure Security Center를 사용하여 구성 기준을 모니터링하고 Azure Policy [거부] 및 [존재하지 않는 경우 배포] 규칙을 사용하여 VM, 컨테이너 등을 포함한 Azure 컴퓨팅 리소스 전체에 보안 구성을 적용합니다.

책임: Customer

고객 보안 관련자(자세한 정보):

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-3 5.1 CM-2, CM-6

Azure Security Center 및 Azure Policy를 사용하여 VM, 컨테이너 등을 포함한 모든 컴퓨팅 리소스에 대한 보안 구성을 설정합니다. 또한 사용자 지정 운영 체제 이미지 또는 Azure Automation State Configuration을 사용하여 조직에서 요구하는 운영 체제의 보안 구성을 설정할 수 있습니다.

책임: Customer

고객 보안 관련자(자세한 정보):

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-4 5.2 CM-2, CM-6

Azure Security Center 및 Azure Policy를 사용하여 VM, 컨테이너 등을 포함한 Azure 컴퓨팅 리소스에 대한 구성 위험을 정기적으로 평가하고 수정합니다. 또한 Azure Resource Manager 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation State Configuration을 사용하여 조직에 필요한 운영 체제의 보안 구성을 유지할 수 있습니다. Azure Automation State Configuration과 함께 Microsoft VM 템플릿을 사용하면 보안 요구 사항을 충족하고 유지 관리할 수 있습니다.

또한 Microsoft에서 게시한 Azure Marketplace VM 이미지는 Microsoft에서 관리 및 유지 관리합니다.

Azure Security Center는 CIS Docker Benchmark를 기반으로 컨테이너 이미지의 취약성을 검사하고 컨테이너의 Docker 구성을 지속적으로 모니터링할 수도 있습니다. Azure Security Center 권장 사항 페이지를 사용하여 권장 사항을 살펴보고 문제를 해결할 수 있습니다.

책임: 공유됨

고객 보안 관련자(자세한 정보):

PV 5: 사용자 지정 운영 체제 및 컨테이너 이미지를 안전하게 저장

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-5 5.3 CM-2, CM-6

Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 권한 있는 사용자만 이미지에 액세스할 수 있도록 합니다. Azure Shared Image Gallery를 사용하여 조직 내의 다른 사용자, 서비스 주체 또는 AD 그룹과 이미지를 공유할 수 있습니다. 컨테이너 이미지를 Azure Container Registry에 저장하고 Azure RBAC를 사용하여 권한 있는 사용자만 액세스할 수 있도록 합니다.

책임: Customer

고객 보안 관련자(자세한 정보):

PV-6: 소프트웨어 취약성 평가 수행

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-6 3.1, 3.2, 3.3, 3.6 CA-2, RA-5

Azure Virtual Machines, 컨테이너 이미지 및 SQL 서버에 대한 취약성 평가를 수행하려면 Azure Security Center의 권장 사항을 따릅니다. Azure Security Center에는 가상 머신을 검사하는 기본 제공 취약성 스캐너가 있습니다.

타사 솔루션을 사용하여 네트워크 디바이스 및 웹 애플리케이션에 대한 취약성 평가를 수행합니다. 원격 검사를 수행하는 경우 단일 영구 관리자 계정을 사용하지 마세요. 검사 계정에 대해 JIT(Just In Time) 프로비저닝 방법을 구현하는 것을 고려합니다. 검사 계정에 대한 자격 증명을 보호하고, 모니터링하고, 취약성 검색에만 사용해야 합니다.

또한 검사 결과를 일관된 간격으로 내보내고 결과를 이전 검사와 비교하여 취약성이 수정되었는지 확인해야 합니다. Azure Security Center에서 제안하는 취약성 관리 권장 사항을 사용할 때 선택한 검사 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.

책임: Customer

고객 보안 관련자(자세한 정보):

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-7 3.7 CA-2, RA-5, SI-2

소프트웨어 업데이트를 신속하게 배포하여 운영 체제 및 애플리케이션의 소프트웨어 취약성을 수정합니다.

공통 위험 점수 프로그램(예: Common Vulnerability Scoring System) 또는 타사 검사 도구에서 제공하는 기본 위험 등급을 사용하고 보안 위험이 높은 애플리케이션과 가동 시간이 필요한 애플리케이션을 고려하여 환경에 맞게 조정합니다.

Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 최신 보안 업데이트가 Windows 및 Linux VM에 설치되었는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.

타사 소프트웨어의 경우 타사 패치 관리 솔루션 또는 Configuration Manager용 System Center Updates Publisher를 사용합니다.

책임: Customer

고객 보안 관련자(자세한 정보):

PV-8: 정기적인 공격 시뮬레이션 수행

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
PV-8 20 CA-8, CA-2, RA-5

필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정하도록 보장합니다. Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

고객 보안 관련자(자세한 정보):