보안 제어 v3: 거버넌스 및 전략
거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다.
GS-1: 조직의 역할, 책임 및 책임 조정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Azure 지침: 보안 조직의 역할과 책임에 대한 명확한 전략을 정의하고 전달해야 합니다. 보안 의사 결정에 대한 명확한 책임을 제시하고, 공유 책임 모델을 모두에게 교육하고, 클라우드를 보호하는 기술에 관해 기술 팀을 교육하는 일에 우선 순위를 지정합니다.
구현 및 추가 컨텍스트:
- Azure 보안 모범 사례 1 – 사용자: 클라우드 보안 경험에 대한 팀 교육
- Azure 보안 모범 사례 2 – 사용자: 클라우드 보안 기술에 대한 팀 교육
- Azure 보안 모범 사례 3 – 프로세스: 클라우드 보안 결정에 대한 책임 할당
고객 보안 관련자(자세한 정보):
GS-2: 엔터프라이즈 구분/의무 분리 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Azure 지침: ID, 네트워크, 애플리케이션, 구독, 관리 그룹 및 기타 컨트롤의 조합을 사용하여 자산에 대한 액세스를 구분하는 엔터프라이즈 전체 전략을 수립합니다.
서로 통신하고 데이터에 액세스해야 하는 시스템의 일상 작업을 사용하도록 설정해야 할 필요성과 보안 분리의 필요성을 신중하게 조정해야 합니다.
네트워크 보안, ID 및 액세스 모델, 애플리케이션 권한/액세스 모델, 인적 프로세스 제어를 포함하여 구분 전략이 워크로드에서 일관되게 구현되도록 합니다.
구현 및 추가 컨텍스트:
- Azure용 Microsoft 클라우드 채택 프레임워크의 보안 - 구분: 보호를 위해 분리됨
- Azure용 Microsoft 클라우드 채택 프레임워크의 보안 - 아키텍처: 단일 통합 보안 전략 수립
고객 보안 관련자(자세한 정보):
GS-3: 데이터 보호 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Azure 지침: Azure의 데이터 보호를 위한 전사적 전략 수립:
- 기업 데이터 관리 표준 및 규정 준수에 따라 데이터 분류 및 보호 표준을 정의하고 적용하여 데이터 분류의 각 수준에 필요한 보안 제어를 지시합니다.
- 엔터프라이즈 구분 전략에 맞게 클라우드 리소스 관리 계층 구조를 설정합니다. 또한 엔터프라이즈 조각화 전략은 중요 비즈니스용 데이터 및 시스템의 위치를 통해 알려야 합니다.
- 클라우드 환경에서 적용 가능한 제로 트러스트 원칙을 정의하고 적용하여 경계 내 네트워크 위치를 기반으로 하는 신뢰 구현을 방지합니다. 대신 디바이스 및 사용자 신뢰 클레임을 사용하여 데이터 및 리소스에 대한 액세스를 차단합니다.
- 기업 전체에서 중요한 데이터 공간(스토리지, 전송 및 처리)를 추적하고 최소화하여 공격 표면과 데이터 보호 비용을 줄입니다. 중요한 데이터를 원래 형식으로 저장 및 전송하지 않도록 가능한 경우 워크로드에서 단방향 해싱, 자르기 및 토큰화와 같은 기술을 고려합니다.
- 데이터 및 액세스 키에 대한 보안 보증을 제공하기 위한 전체 수명 주기 제어 전략이 있는지 확인합니다.
구현 및 추가 컨텍스트:
- Azure Security Benchmark - 데이터 보호
- 클라우드 채택 프레임워크 - Azure 데이터 보안 및 암호화 모범 사례
- Azure 보안 기본 사항 - Azure 데이터 보안, 암호화, 스토리지
고객 보안 관련자(자세한 정보):
GS-4: 네트워크 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Azure 지침: 액세스 제어를 위한 조직의 전체 보안 전략의 일부로 Azure 네트워크 보안 전략을 수립합니다. 이 전략에는 다음 요소에 대한 문서화된 지침, 정책, 표준이 포함되어야 합니다.
- 네트워크 리소스를 배포 및 유지 관리하기 위해 중앙 집중식/분산식 네트워크 관리 및 보안 책임 모델을 설계합니다.
- 엔터프라이즈 조각화 전략에 맞춘 조정된 가상 네트워크 조각화 모델
- 인터넷 에지 및 송수신 전략
- 하이브리드 클라우드 및 온-프레미스 상호 연결 전략
- 네트워크 모니터링 및 로깅 전략.
- 최신 네트워크 보안 아티팩트(예: 네트워크 다이어그램, 참조 네트워크 아키텍처)
구현 및 추가 컨텍스트:
- Azure 보안 모범 사례 11 - 아키텍처. 단일 통합 보안 전략
- Azure Security Benchmark - 네트워크 보안
- Azure 네트워크 보안 개요
- 엔터프라이즈 네트워크 아키텍처 전략
고객 보안 관련자(자세한 정보):
GS-5: 보안 태세 관리 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Azure 지침: 보안 구성 관리 및 취약성 관리가 클라우드 보안 의무에 포함되도록 정책, 절차 및 표준을 설정합니다.
Azure의 보안 구성 관리에는 다음 영역이 포함되어야 합니다.
- Azure Portal, 관리 및 컨트롤 플레인, IaaS, PaaS 및 SaaS 서비스에서 실행되는 리소스와 같은 클라우드의 다양한 리소스 종류에 대한 보안 구성 기준을 정의합니다.
- 보안 기준이 네트워크 보안, ID 관리, 권한 있는 액세스, 데이터 보호 등과 같은 다양한 컨트롤 플레인의 위험을 해결하는지 확인합니다.
- 도구를 사용하여 구성이 기준에서 벗어나는 것을 방지하기 위해 구성을 지속적으로 측정, 감사 및 적용합니다.
- 서비스 업데이트 구독과 같은 Azure 보안 기능으로 업데이트를 유지하기 위한 주기를 개발합니다.
- 클라우드용 Azure Defender의 Secure Score를 활용하여 Azure의 보안 구성 상태를 정기적으로 검토하고 식별된 격차를 해결합니다.
Azure의 취약성 관리에는 다음과 같은 보안 측면이 포함되어야 합니다.
- Azure 기본 서비스, 운영 체제 및 애플리케이션 구성 요소와 같은 모든 클라우드 리소스 종류의 취약성을 정기적으로 평가하고 수정합니다.
- 위험 기반 방법을 사용하여 평가 및 수정의 우선 순위를 지정합니다.
- Azure에 대한 최신 보안 업데이트를 받으려면 관련 Microsoft/Azure 보안 권고 공지 및 블로그를 구독합니다.
- 취약성 평가 및 수정(예: 일정, 범위 및 기술)이 조직의 정기적인 규정 준수 요구 사항을 충족하는지 확인합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
GS-6: ID 및 권한 있는 액세스 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Azure 지침: 조직의 전체 보안 액세스 제어 전략의 일부로 Azure ID 및 권한 있는 액세스 접근 방식을 설정합니다. 이 전략에는 다음 측면에 대한 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 중앙 집중식 ID/인증 시스템 및 다른 내부/외부 ID 시스템(Azure AD)과의 상호 연결
- 권한 있는 ID 및 액세스 거버넌스(예: 액세스 요청, 검토 및 승인)
- 비상(응급) 상황의 권한 있는 계정
- 다양한 사용 사례 및 조건에서 강력한 인증(암호 없는 인증 및 다단계 인증) 방법
- Azure Portal, CLI 및 API를 통한 관리 작업으로 보안 액세스.
엔터프라이즈 시스템이 사용되지 않는 예외적인 경우에는 ID, 인증 및 액세스 관리, 거버넌스를 위한 적절한 보안 제어가 마련되어 있는지 확인합니다. 이러한 예외는 승인되고 엔터프라이즈 팀에서 주기적으로 검토해야 합니다. 이러한 예외는 일반적으로 다음과 같은 경우에 발생합니다.
- 클라우드 기반 타사 시스템과 같이 기업이 지정하지 않은 ID 및 인증 시스템 사용(알 수 없는 위험이 발생할 수 있음)
- 권한 있는 사용자가 로컬에서 인증되거나 강력하지 않은 인증 방법을 사용함
구현 및 추가 컨텍스트:
- Azure Security Benchmark - ID 관리
- Azure Security Benchmark - 권한 있는 액세스
- Azure 보안 모범 사례 11 - 아키텍처. 단일 통합 보안 전략
- Azure ID 관리 보안 개요
고객 보안 관련자(자세한 정보):
GS-7: 로깅, 위협 감지 및 인시던트 대응 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Azure 지침: 위협을 신속하게 탐지 및 수정하고 규정 준수 요구 사항을 충족하기 위해 로깅, 위협 탐지 및 인시던트 대응 전략을 수립합니다. 보안 운영(SecOps/SOC) 팀은 로그 통합 및 수동 단계보다 위협에 집중할 수 있도록 고품질 경고와 원활한 환경을 우선시해야 합니다.
이 전략에는 다음 측면에 대한 문서화된 정책, 절차 및 표준이 포함되어야 합니다.
- 보안 작업(SecOps) 조직의 역할 및 책임
- NIST 또는 기타 산업 프레임워크에 맞춰 잘 정의되고 정기적으로 테스트되는 인시던트 대응 계획 및 처리 프로세스.
- 고객, 공급자 및 관심 있는 퍼블릭 당사자와의 통신 및 알림 계획
- Azure Defender 기능과 같은 XDR(Extended Detection and Response) 기능을 사용하여 다양한 영역에서 위협을 검색하는 것을 기본 설정합니다.
- Azure 기본 기능(예: 클라우드용 Microsoft Defender) 및 인시던트 처리를 위한 타사 플랫폼(예: 로깅 및 위협 탐지, 포렌식, 공격 수정 및 근절) 사용.
- 주요 시나리오(예: 위협 탐지, 인시던트 대응 및 규정 준수)를 정의하고 시나리오 요구 사항을 충족하도록 로그 캡처 및 보존을 설정합니다.
- SIEM, 기본 Azure 위협 탐지 기능 및 기타 원본을 사용하여 위협에 대한 중앙 집중식 가시성 및 상관 관계 정보.
- 진행 중 얻은 개선 사항 및 증거 보존과 같은 인시던트 후 작업.
구현 및 추가 컨텍스트:
- Azure Security Benchmark - 로깅 및 위협 탐지
- Azure Security Benchmark - 인시던트 응답
- Azure 보안 모범 사례 4 - 프로세스. 클라우드에 대한 인시던트 대응 프로세스 업데이트
- Azure 채택 프레임워크, 로깅, 보고 의사 결정 가이드
- Azure 엔터프라이즈 규모, 관리, 모니터링
고객 보안 관련자(자세한 정보):
GS-8: 백업 및 복구 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
Azure 지침: 조직을 위한 Azure 백업 및 복구 전략을 수립합니다. 이 전략에는 다음과 같은 측면에서 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 비즈니스 복원력 목표 및 규정 준수 요구 사항에 따른 RTO(복구 시간 목표) 및 RPO(복구 지점 목표) 정의.
- 클라우드와 온-프레미스 모두를 위한 애플리케이션 및 인프라의 중복 설계(백업, 복원 및 복제 포함). 지역, 지역 쌍, 지역 간 복구 및 오프사이트 스토리지 위치를 전략의 일부로 고려합니다.
- 데이터 액세스 제어, 암호화 및 네트워크 보안과 같은 제어를 사용하여 무단 액세스 및 템퍼링으로부터 백업을 보호합니다.
- 랜섬웨어 공격과 같은 새로운 위협의 위험을 완화하기 위해 백업 및 복구를 사용합니다. 또한 이러한 공격으로부터 백업 및 복구 데이터 자체를 보호합니다.
- 감사 및 경고 목적으로 백업 및 복구 데이터와 작업을 모니터링합니다.
구현 및 추가 컨텍스트:
- Azure Security Benchmark - 백업 및 복구
- Azure Well-Architecture Framework - Azure 애플리케이션에 대한 백업 및 재해 복구
- Azure Adoption Framework - 비즈니스 연속성 및 재해 복구
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
고객 보안 관련자(자세한 정보):
GS-9: 엔드포인트 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Azure 지침: 다음 측면을 포함하는 클라우드 엔드포인트 보안 전략을 수립합니다.:
- 엔드포인트 감지 및 응답, 맬웨어 방지 기능을 엔드포인트에 배포하고 위협 탐지 및 SIEM 솔루션 및 보안 운영 프로세스와 통합합니다.
- Azure Security Benchmark를 따라 엔드포인트 관련 보안 설정의 다른 해당 영역(예: 네트워크 보안, 취약성 관리, ID 및 권한 있는 액세스, 로깅 및 위협 탐지)이 제자리에 있어 사용자의 엔드포인트에 대한 심층 방어를 제공하도록 합니다.
- 프로덕션 환경에서 엔드포인트 보안의 우선 순위를 정하되 DevOps 프로세스에서 사용되는 테스트 및 빌드 환경과 같은 비프로덕션 환경 또한 프로덕션에 맬웨어와 취약성을 가져올 수 있기 때문에 보안 및 모니터링되도록 해야 합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
GS-10: DevOps 보안 전략 정의 및 구현
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Azure 지침: 조직의 DevOps 엔지니어링 및 운영 표준의 일부로 보안 제어를 위임합니다. 조직의 엔터프라이즈 및 클라우드 보안 표준에 따라 보안 목표, 제어 요구 사항 및 도구 사양을 정의합니다.
CI/CD 워크플로 전반에 걸쳐 다양한 유형의 자동화(예: 코드 프로비저닝, 자동화된 SAST 및 DAST 검사)를 사용하여 취약성을 신속하게 식별하고 수정하는 이점을 위해 DevOps를 조직의 필수 운영 모델로 사용하도록 권장합니다. 이 '좌측으로 시프트하는' 방법은 또한 배포 파이프라인에서 일관된 보안 검사를 적용할 수 있는 가시성과 기능을 향상시켜 워크로드를 프로덕션에 배포할 때 막판에 갑작스러운 보안 문제를 피하기 위해 보안 가드레일을 환경에 미리 효과적으로 배포합니다.
보안 제어를 배포 전 단계로 전환할 때 보안 가드레일을 구현하여 DevOps 프로세스 전반에 걸쳐 제어가 배포되고 적용되도록 합니다. 이 기술에는 IaC(코드로서의 인프라)에서 가드레일을 정의하는 Azure ARM 템플릿, 환경에 프로비저닝할 수 있는 서비스 또는 구성을 감사하고 제한하는 리소스 프로비저닝 및 Azure Policy가 포함될 수 있습니다.
워크로드의 런타임 보안 제어를 위해 Azure Security Benchmark를 따라 ID 및 권한 있는 액세스, 네트워크 보안, 엔드포인트 보안, 워크로드 애플리케이션 및 서비스 내부의 데이터 보호와 같은 효과적인 제어를 설계하고 구현합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):