보안 기준을 설정하기 위한 권장 사항

Azure Well-Architected Framework 보안 검사 목록 권장 사항에 적용됩니다.

SE:01	규정 준수 요구 사항, 업계 표준 및 플랫폼 권장 사항에 맞게 보안 기준을 설정합니다. 시간이 지남에 따라 보안 태세를 유지하거나 개선하기 위해 기준에 따라 워크로드 아키텍처 및 작업을 정기적으로 측정합니다.

이 가이드에서는 보안 기준을 설정하기 위한 권장 사항을 설명합니다. 보안 기준은 다양한 영역에서 organization 최소 보안 요구 사항 및 기대치를 지정하는 문서입니다. 좋은 보안 기준을 사용하면 다음을 수행할 수 있습니다.

• 데이터 및 시스템을 안전하게 유지합니다.
• 규정 요구 사항을 준수합니다.
• 감독 위험을 최소화합니다.
• 위반 및 후속 비즈니스 효과의 가능성을 줄입니다.

보안 기준은 모든 이해 관계자가 기대치를 인식할 수 있도록 organization 전반에 걸쳐 널리 게시되어야 합니다.

이 가이드에서는 내부 및 외부 요인을 기반으로 하는 보안 기준을 설정하는 방법에 대한 권장 사항을 제공합니다. 내부 요인에는 비즈니스 요구 사항, 위험 및 자산 평가가 포함됩니다. 외부 요인에는 업계 벤치마크 및 규제 표준이 포함됩니다.

정의

용어	정의
기초	워크로드가 악용되지 않도록 해야 하는 최소 수준의 보안 어도당입니다.
벤치마크	organization 열망하는 보안 태세를 나타내는 표준입니다. 시간이 지남에 따라 평가, 측정 및 개선됩니다.
컨트롤	공격을 방지하고 공격자 비용을 늘리는 데 도움이 되는 워크로드에 대한 기술 또는 운영 제어.
규정 요구 사항	업계 표준에 따라 법률 및 당국이 부과하는 일련의 비즈니스 요구 사항입니다.

주요 디자인 전략

보안 기준은 보안을 강화하기 위해 워크로드가 충족해야 하는 보안 기준 및 기능 집합을 정의하는 구조화된 문서입니다. 좀 더 완성도 높은 형태로 기준을 확장하여 가드레일을 설정하는 데 사용하는 정책 집합을 포함할 수 있습니다.

기준은 보안 상태를 측정하기 위한 표준으로 간주되어야 합니다. 목표는 항상 광범위한 scope 유지하면서 완전한 달성이어야합니다.

보안 기준은 임시 작업이 아니어야 합니다. 업계 표준, 규정 준수(내부 또는 외부) 또는 규정 요구 사항, 지역 요구 사항 및 클라우드 플랫폼 벤치마크는 기준의 기본 동인입니다. 예를 들어 CIS(인터넷 보안 센터) 컨트롤, NIST(National Institute of Standards and Technology) 및 MCSB(Microsoft 클라우드 보안 벤치마크)와 같은 플랫폼 기반 표준이 있습니다. 이러한 모든 표준은 기준선의 시작점으로 간주됩니다. 비즈니스 요구 사항의 보안 요구 사항을 통합하여 기반을 구축합니다.

이전 자산에 대한 링크는 관련 링크를 참조하세요.

비즈니스 및 기술 리더 간의 합의를 얻어 기준을 만듭니다. 기준은 기술 제어로 제한되어서는 안 됩니다. 또한 보안 상태 관리 및 유지 관리의 운영 측면도 포함되어야 합니다. 따라서 기준 문서는 워크로드 보안에 대한 투자에 대한 organization 노력의 역할도 합니다. 보안 기준 문서는 워크로드의 보안 태세에 대한 인식을 보장하기 위해 organization 내에서 광범위하게 배포되어야 합니다.

워크로드가 증가하고 에코시스템이 발전함에 따라 기본 컨트롤이 여전히 효과적인지 확인하기 위해 기준을 변경 내용과 동기화된 상태로 유지하는 것이 중요합니다.

기준선을 만드는 것은 체계적인 프로세스입니다. 프로세스에 대한 몇 가지 권장 사항은 다음과 같습니다.

• 자산 인벤토리. 워크로드 자산의 관련자와 해당 자산의 보안 목표를 식별합니다. 자산 인벤토리에서 보안 요구 사항 및 중요도로 분류합니다. 데이터 자산에 대한 자세한 내용은 데이터 분류에 대한 권장 사항을 참조하세요.

• 위험 평가. 각 자산과 관련된 ID 잠재적 위험을 파악하고 우선 순위를 지정합니다.

• 규정 준수 요구 사항. 해당 자산에 대한 모든 규정 또는 규정 준수를 기준으로 하고 업계 모범 사례를 적용합니다.

• 구성 표준. 각 자산에 대한 특정 보안 구성 및 설정을 정의하고 문서화합니다. 가능하면 환경 전체에 일관되게 설정을 적용하는 반복 가능하고 자동화된 방법을 템플릿화하거나 찾습니다.

• 액세스 제어 및 인증. RBAC(역할 기반 액세스 제어) 및 MFA(다단계 인증) 요구 사항을 지정합니다. 자산 수준에서 충분한 액세스 가 무엇을 의미하는지 문서화합니다. 항상 최소 권한 원칙으로 시작합니다.

• 패치 관리. 모든 리소스 종류에 최신 버전을 적용하여 공격 방지를 강화합니다.

• 설명서 및 통신. 모든 구성, 정책 및 절차를 문서화합니다. 관련 관련자에게 세부 정보를 전달합니다.

• 집행 및 책임. 보안 기준을 준수하지 않는 경우 명확한 적용 메커니즘 및 결과를 설정합니다. 개인과 팀이 보안 표준을 유지할 책임이 있습니다.

• 지속적인 모니터링. 가시성을 통해 보안 기준의 효과를 평가하고 초과 근무를 개선합니다.

기준의 컴퍼지션

다음은 기준선의 일부여야 하는 몇 가지 일반적인 범주입니다. 다음 목록은 완전하지 않습니다. 문서의 scope 대한 개요로 작성되었습니다.

규정 준수

워크로드에는 특정 산업 세그먼트에 대한 규정 준수가 적용될 수 있으며, 몇 가지 지리적 제한 사항이 있을 수 있습니다. 규정 사양에 지정된 요구 사항을 이해하는 것이 핵심입니다. 이러한 요구 사항은 디자인 선택에 영향을 미치며 경우에 따라 아키텍처에 포함되어야 하기 때문입니다.

기준에는 규정 요구 사항에 대한 워크로드의 정기적인 평가가 포함되어야 합니다. 비준수 영역을 식별할 수 있는 클라우드용 Microsoft Defender 같은 플랫폼 제공 도구를 활용합니다. organization 규정 준수 팀과 협력하여 모든 요구 사항이 충족되고 유지 관리되는지 확인합니다.

아키텍처 구성 요소

기준에는 워크로드의 기본 구성 요소에 대한 규범적 권장 사항이 필요합니다. 여기에는 일반적으로 네트워킹, ID, 컴퓨팅 및 데이터에 대한 기술 제어가 포함됩니다. 플랫폼에서 제공하는 보안 기준을 참조하고 누락된 컨트롤을 아키텍처에 추가합니다.

예제를 참조 하세요.

개발 프로세스

기준에는 다음 사항에 대한 권장 사항이 있어야 합니다.

• 시스템 분류.
• 승인된 리소스 종류 집합입니다.
• 리소스 추적.
• 리소스를 사용하거나 구성하기 위한 정책 적용

개발 팀은 보안 검사에 대한 scope 명확하게 이해해야 합니다. 예를 들어 위협 모델링은 코드 및 배포 파이프라인에서 잠재적 위협이 식별되도록 하기 위한 요구 사항입니다. 파이프라인의 정적 검사 및 취약성 검사와 팀이 이러한 검사를 정기적으로 수행해야 하는 방법에 대해 구체적으로 설명합니다.

자세한 내용은 위협 분석에 대한 권장 사항을 참조하세요.

또한 개발 프로세스는 다양한 테스트 방법론 및 주기에 대한 표준을 설정해야 합니다. 자세한 내용은 보안 테스트에 대한 권장 사항을 참조하세요.

작업

기준은 위협 탐지 기능을 사용하고 실제 인시던트 표시 비정상 활동에 대한 경고를 발생시키는 방법에 대한 표준을 설정해야 합니다. 위협 탐지에는 적대적인 네트워크에서 연결할 수 있는 모든 엔드포인트를 포함하여 워크로드의 모든 계층이 포함되어야 합니다.

기준에는 통신 및 복구 계획을 포함하여 인시던트 대응 프로세스를 설정하기 위한 권장 사항과 검색 및 분석을 신속하게 처리하기 위해 자동화할 수 있는 프로세스가 포함되어야 합니다. 예제는 Azure에 대한 보안 기준 개요를 참조하세요.

또한 인시던트 대응에는 백업을 정기적으로 수행하고 보호하기 위한 리소스와 같은 복구 계획 및 해당 계획의 요구 사항도 포함되어야 합니다.

플랫폼에서 제공하는 업계 표준 및 권장 사항을 사용하여 데이터 위반 계획을 개발합니다. 그런 다음 팀은 위반이 발견될 때 따라야 할 포괄적인 계획을 가지고 있습니다. 또한 organization 검사 사이버 보안을 통한 적용 범위가 있는지 확인합니다.

학습

워크로드 팀이 보안 목표 및 요구 사항을 지원하는 적절한 기술을 갖추도록 보안 교육 프로그램을 개발하고 유지 관리합니다. 팀은 기본적인 보안 교육이 필요하지만 organization 사용할 수 있는 것을 사용하여 특수 역할을 지원합니다. 역할 기반 보안 교육 규정 준수 및 훈련 참여는 보안 기준의 일부입니다.

기준 사용

기준을 사용하여 다음과 같은 이니셔티브를 추진합니다.

• 디자인 결정에 대한 준비. 아키텍처 디자인 프로세스를 시작하기 전에 보안 기준을 만들고 게시합니다. 팀 구성원이 organization 기대치를 조기에 완전히 인식하도록 하여 명확성 부족으로 인한 비용이 많이 드는 재작업을 방지합니다. 기준 조건을 organization 커밋한 워크로드 요구 사항으로 사용하고 이러한 제약 조건에 대한 컨트롤을 디자인하고 유효성을 검사할 수 있습니다.

• 디자인을 측정합니다. 현재 기준에 대해 현재 결정을 채점합니다. 기준은 조건에 대한 실제 임계값을 설정합니다. 지연되거나 장기적으로 허용되는 것으로 간주되는 편차를 문서화합니다.

• 향상된 드라이브. 기준선이 달성 가능한 목표를 설정하는 동안에는 항상 격차가 있습니다. 백로그에서 간격의 우선 순위를 지정하고 우선 순위 지정에 따라 수정합니다.

• 기준선에 대해 진행률을 추적합니다. 설정된 기준에 대한 보안 조치의 지속적인 모니터링이 필수적입니다. 추세 분석은 시간이 지남에 따라 보안 진행률을 검토하는 좋은 방법이며 기준에서 일관된 편차를 표시할 수 있습니다. 자동화를 가능한 한 많이 사용하여 현재 문제를 해결하고 향후 위협에 대비하기 위해 내부 및 외부의 다양한 원본에서 데이터를 가져옵니다.

• 가드레일을 설정합니다. 가능한 경우 기준 기준에 가드레일이 있어야 합니다. 가드레일은 내부 요인 및 외부 요인에 따라 필요한 보안 구성, 기술 및 작업을 적용합니다. 내부 요인에는 비즈니스 요구 사항, 위험 및 자산 평가가 포함됩니다. 외부 요인에는 벤치마크, 규제 표준 및 위협 환경이 포함됩니다. 가드레일은 부주의한 감독 및 비준수에 대한 징벌적 벌금의 위험을 최소화하는 데 도움이 됩니다.

사용자 지정 옵션에 대한 Azure Policy 살펴보거나 CIS 벤치마크 또는 Azure Security Benchmark와 같은 기본 제공 이니셔티브를 사용하여 보안 구성 및 규정 준수 요구 사항을 적용합니다. 기준에서 Azure 정책 및 이니셔티브를 만드는 것이 좋습니다.

정기적으로 기준 평가

지속적인 위험 감소를 보장하기 위해 이상적인 상태로 보안 표준을 지속적으로 증분 방식으로 개선합니다. 주기적인 검토를 수행하여 시스템이 최신 상태이고 외부 영향을 준수하는지 확인합니다. 기준에 대한 모든 변경은 적절한 변경 관리 프로세스를 통해 공식적이고, 합의되고, 전송되어야 합니다.

새 기준에 대해 시스템을 측정하고 워크로드에 미치는 관련성 및 영향에 따라 수정의 우선 순위를 지정합니다.

조직 표준에 대한 감사 및 모니터링 규정 준수를 도입하여 시간이 지남에 따라 보안 상태가 저하되지 않도록 합니다.

Azure 촉진

MCSB(Microsoft 클라우드 보안 벤치마크)는 보안 기준의 시작점으로 사용할 수 있는 포괄적인 보안 모범 사례 프레임워크입니다. 기준선에 입력을 제공하는 다른 리소스와 함께 사용합니다.

자세한 내용은 Microsoft 클라우드 보안 벤치마크 소개를 참조하세요.

MDC(Microsoft Defender) 규정 준수 dashboard 사용하여 해당 기준을 추적하고 기준 외부의 패턴이 감지되면 경고를 받을 수 있습니다. 자세한 내용은 규정 준수 dashboard 표준 집합 사용자 지정을 참조하세요.

기준을 설정하고 개선하는 데 도움이 되는 기타 기능:

• 사용자 지정 Azure 보안 정책 만들기

• 보안 정책, 이니셔티브 및 권장 사항 이해

• 규정 준수 검사

예제

이 논리 다이어그램은 일반적인 IT 환경을 안전하게 보호하는 방법을 보여 주는 네트워크, 인프라, 엔드포인트, 애플리케이션, 데이터 및 ID를 포함하는 아키텍처 구성 요소에 대한 예제 보안 기준을 보여 줍니다. 다른 권장 사항 가이드는 이 예제를 기반으로 합니다.

인프라

기본 리소스가 있는 온-프레미스 계층이 있는 일반적인 IT 환경입니다.

Azure Security Services

보호하는 리소스 유형별 Azure 보안 서비스 및 기능.

Azure 보안 모니터링 서비스

SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션 및 클라우드용 Microsoft Defender 포함하여 간단한 모니터링 서비스를 넘어서는 Azure에서 사용할 수 있는 모니터링 서비스입니다.

위협

이 계층은 방법론 또는 매트릭스와 같은 Mitre 공격 매트릭스 또는 사이버 킬 체인에 관계없이 위협에 대한 organization 우려 사항에 따라 위협을 매핑할 수 있다는 권장 사항과 미리 알림을 제공합니다.

조직 맞춤

클라우드 채택 프레임워크 제안된 템플릿을 사용하여 기준을 설정하는 방법에 대한 지침을 중앙 팀에 제공합니다.

• 보안 기준 분야 개요

• 보안 기준 분야 템플릿

관련 링크

• Microsoft 규정 준수

• Azure에 대한 보안 기준 개요

• 인시던트 대응이란? 계획 및 단계

• Azure 보안 벤치마크

커뮤니티 링크

• CIS Microsoft Azure Foundations 벤치마크

• 사이버 보안 프레임워크 | Nist

보안 검사 목록

전체 권장 사항 집합을 참조하세요.

보안 검사 목록