보안 기준 설정에 대한 권장 사항
Azure Well-Architected Framework 보안 검사 목록 권장 사항에 적용됩니다.
| SE:01 | 규정 준수 요구 사항, 업계 표준 및 플랫폼 권장 사항에 맞게 보안 기준을 설정합니다. 시간이 지남에 따라 보안 상태를 유지하거나 개선하기 위해 워크로드 아키텍처 및 작업을 기준에 따라 정기적으로 측정합니다. |
|---|
이 가이드에서는 보안 기준을 설정하기 위한 권장 사항을 설명합니다. 보안 기준은 다양한 영역에서 조직의 최소 보안 요구 사항 및 기대치를 지정하는 문서입니다. 좋은 보안 기준을 사용하면 다음을 수행할 수 있습니다.
- 데이터 및 시스템을 안전하게 유지합니다.
- 규정 요구 사항을 준수합니다.
- 감독 위험을 최소화합니다.
- 위반 및 후속 비즈니스 효과의 가능성을 줄입니다.
모든 이해 관계자가 기대치를 인식할 수 있도록 조직 전체에 보안 기준을 널리 게시해야 합니다.
이 가이드에서는 내부 및 외부 요인을 기반으로 하는 보안 기준을 설정하는 방법에 대한 권장 사항을 제공합니다. 내부 요인에는 비즈니스 요구 사항, 위험 및 자산 평가가 포함됩니다. 외부 요인에는 업계 벤치마크 및 규제 표준이 포함됩니다.
정의
| 용어 | 정의 |
|---|---|
| 기준 | 워크로드가 악용되지 않도록 해야 하는 최소 수준의 보안 어도던스입니다. |
| 벤치마크 | 조직이 열망하는 보안 태세를 나타내는 표준입니다. 시간이 지남에 따라 평가, 측정 및 개선됩니다. |
| 컨트롤 | 공격을 방지하고 공격자 비용을 늘리는 데 도움이 되는 워크로드에 대한 기술 또는 운영 제어입니다. |
| 규정 요구 사항 | 업계 표준에 따라 법률 및 당국이 부과하는 일련의 비즈니스 요구 사항입니다. |
주요 디자인 전략
보안 기준은 보안을 강화하기 위해 워크로드가 충족해야 하는 보안 기준 및 기능 집합을 정의하는 구조화된 문서입니다. 좀 더 완성도 높은 형태로 기준을 확장하여 가드레일을 설정하는 데 사용하는 정책 집합을 포함할 수 있습니다.
기준은 보안 상태를 측정하기 위한 표준으로 간주되어야 합니다. 목표는 항상 광범위한 범위를 유지하면서 완전한 달성이어야 합니다.
보안 기준은 임시 작업이 아니어야 합니다. 업계 표준, 규정 준수(내부 또는 외부) 또는 규정 요구 사항, 지역 요구 사항 및 클라우드 플랫폼 벤치마크가 기준선의 주요 동인입니다. 예를 들어 CIS(인터넷 보안 센터) 컨트롤, NIST(National Institute of Standards and Technology) 및 MCSB(Microsoft 클라우드 보안 벤치마크)와 같은 플랫폼 기반 표준이 있습니다. 이러한 모든 표준은 기준선의 시작점으로 간주됩니다. 비즈니스 요구 사항의 보안 요구 사항을 통합하여 기반을 구축합니다.
이전 자산에 대한 링크는 관련 링크를 참조하세요.
비즈니스 및 기술 리더 간의 합의를 얻어 기준을 만듭니다. 기준은 기술 컨트롤로 제한해서는 안 됩니다. 또한 보안 상태 관리 및 유지 관리의 운영 측면도 포함해야 합니다. 따라서 기준 문서는 워크로드 보안에 대한 투자에 대한 조직의 노력의 역할도 합니다. 보안 기준 문서는 워크로드의 보안 태세에 대한 인식을 보장하기 위해 조직 내에서 광범위하게 배포되어야 합니다.
워크로드가 증가하고 에코시스템이 발전함에 따라 기본 컨트롤이 여전히 효과적인지 확인하기 위해 기준을 변경 내용과 동기화 상태로 유지하는 것이 중요합니다.
기준선을 만드는 것은 체계적인 프로세스입니다. 프로세스에 대한 몇 가지 권장 사항은 다음과 같습니다.
자산 인벤토리. 워크로드 자산의 이해 관계자 및 해당 자산에 대한 보안 목표를 식별합니다. 자산 인벤토리에서 보안 요구 사항 및 중요도로 분류합니다. 데이터 자산에 대한 자세한 내용은 데이터 분류에 대한 권장 사항을 참조하세요.
위험 평가. 각 자산과 관련된 잠재적 위험을 식별하고 우선 순위를 지정합니다.
규정 준수 요구 사항. 해당 자산에 대한 모든 규정 또는 규정 준수를 기준으로 하고 업계 모범 사례를 적용합니다.
구성 표준. 각 자산에 대한 특정 보안 구성 및 설정을 정의하고 문서화합니다. 가능하면 환경 전체에서 설정을 일관되게 적용하는 반복 가능한 자동화된 방법을 템플릿으로 작성하거나 찾습니다.
액세스 제어 및 인증. RBAC(역할 기반 액세스 제어) 및 MFA(다단계 인증) 요구 사항을 지정합니다. 자산 수준에서 충분한 액세스가 무엇을 의미하는지 문서화합니다. 항상 최소 권한의 원칙으로 시작합니다.
패치 관리. 모든 리소스 종류에 최신 버전을 적용하여 공격 방지를 강화합니다.
설명서 및 통신. 모든 구성, 정책 및 절차를 문서화합니다. 관련 관련자에게 세부 정보를 전달합니다.
집행 및 책임. 보안 기준을 준수하지 않는 경우 명확한 적용 메커니즘 및 결과를 설정합니다. 개인과 팀이 보안 표준을 유지 관리하는 책임을 지게 합니다.
연속 모니터링. 관찰 가능성을 통해 보안 기준의 효과를 평가하고 초과 근무를 개선합니다.
기준 정의
다음은 기준선의 일부여야 하는 몇 가지 일반적인 범주입니다. 다음 목록은 완전하지 않습니다. 문서 범위에 대한 개요로 작성되었습니다.
규정 준수
워크로드에는 특정 산업 세그먼트에 대한 규정 준수가 적용될 수 있으며, 몇 가지 지리적 제한 사항이 있을 수 있습니다. 이러한 요구 사항은 디자인 선택에 영향을 미치며 경우에 따라 아키텍처에 포함되어야 하기 때문에 규정 사양에 지정된 요구 사항을 이해하는 것이 핵심입니다.
기준에는 규정 요구 사항에 대한 워크로드의 정기적인 평가가 포함되어야 합니다. 비준수 영역을 식별할 수 있는 클라우드용 Microsoft Defender 같은 플랫폼 제공 도구를 활용합니다. 조직의 규정 준수 팀과 협력하여 모든 요구 사항이 충족되고 유지 관리되는지 확인합니다.
아키텍처 구성 요소
기준에는 워크로드의 주요 구성 요소에 대한 규범적인 권장 사항이 필요합니다. 여기에는 일반적으로 네트워킹, ID, 컴퓨팅 및 데이터에 대한 기술 컨트롤이 포함됩니다. 플랫폼에서 제공하는 보안 기준을 참조하고 누락된 컨트롤을 아키텍처에 추가합니다.
개발 프로세스
기준에는 다음 사항에 대한 권장 사항이 있어야 합니다.
- 시스템 분류.
- 승인된 리소스 종류 집합입니다.
- 리소스 추적
- 리소스를 사용하거나 구성하기 위한 정책 적용
개발 팀은 보안 검사 범위를 명확하게 이해해야 합니다. 예를 들어 위협 모델링은 코드 및 배포 파이프라인에서 잠재적 위협을 식별하기 위한 요구 사항입니다. 파이프라인의 정적 검사 및 취약성 검사와 팀에서 이러한 검사를 얼마나 정기적으로 수행해야 하는지에 대해 자세히 설명합니다.
자세한 내용은 위협 분석에 대한 권장 사항을 참조 하세요.
또한 개발 프로세스는 다양한 테스트 방법론 및 해당 주기에 대한 표준을 설정해야 합니다. 자세한 내용은 보안 테스트에 대한 권장 사항을 참조하세요.
작업
기준은 위협 탐지 기능을 사용하고 실제 인시던트 표시 비정상 활동에 대한 경고를 발생시키는 표준을 설정해야 합니다. 위협 탐지는 적대적인 네트워크에서 연결할 수 있는 모든 엔드포인트를 포함하여 워크로드의 모든 계층을 포함해야 합니다.
기준에는 통신 및 복구 계획을 포함하여 인시던트 대응 프로세스를 설정하기 위한 권장 사항과 검색 및 분석을 신속하게 수행하도록 자동화할 수 있는 프로세스가 포함되어야 합니다. 예제는 Azure 개요에 대한 보안 기준을 참조하세요.
또한 인시던트 대응에는 정기적으로 백업을 수행하고 보호하기 위한 리소스와 같은 복구 계획 및 해당 계획의 요구 사항도 포함되어야 합니다.
플랫폼에서 제공하는 업계 표준 및 권장 사항을 사용하여 데이터 위반 계획을 개발합니다. 그런 다음 팀은 위반이 발견될 때 따라야 할 포괄적인 계획을 가지고 있습니다. 또한 조직에 문의하여 사이버 보안을 통해 적용 범위가 있는지 확인합니다.
학습
워크로드 팀이 보안 목표 및 요구 사항을 지원하는 적절한 기술을 갖추도록 보안 교육 프로그램을 개발하고 유지 관리합니다. 팀에는 기본적인 보안 학습이 필요하지만 조직에서 할 수 있는 것을 활용하여 전문적인 역할을 지원합니다. 역할 기반 보안 교육 규정 준수 및 훈련 참여는 보안 기준의 일부입니다.
기준 적용
기준을 사용하여 다음과 같은 이니셔티브를 추진합니다.
디자인 결정에 대한 준비. 아키텍처 디자인 프로세스를 시작하기 전에 보안 기준을 만들고 게시합니다. 팀 구성원이 조직의 기대치를 조기에 완전히 인식하도록 하여 명확성 부족으로 인한 비용이 많이 드는 재작업을 방지합니다. 기준 기준을 조직에서 커밋한 워크로드 요구 사항으로 사용하고 이러한 제약 조건에 대한 제어를 디자인하고 유효성을 검사할 수 있습니다.
디자인을 측정합니다. 현재 기준에 대해 현재 결정을 채점합니다. 기준은 조건에 대한 실제 임계값을 설정합니다. 지연되거나 장기적으로 허용되는 것으로 간주되는 편차를 문서화합니다.
향상된 드라이브. 기준은 달성 가능한 목표를 설정하지만 항상 간격이 있습니다. 백로그에서 간격의 우선 순위를 지정하고 우선 순위에 따라 수정합니다.
기준선에 대해 진행률을 추적합니다. 설정된 기준에 대한 보안 조치의 지속적인 모니터링이 필수적입니다. 추세 분석은 시간이 지남에 따라 보안 진행률을 검토하는 좋은 방법이며 기준에서 일관된 편차를 표시할 수 있습니다. 자동화를 최대한 많이 사용하여 내부 및 외부의 다양한 원본에서 데이터를 끌어와 현재 문제를 해결하고 향후 위협에 대비합니다.
가드레일을 설정합니다. 가능한 경우 기준 기준에 가드레일이 있어야 합니다. 가드레일은 내부 요인 및 외부 요인에 따라 필요한 보안 구성, 기술 및 작업을 적용합니다. 내부 요인에는 비즈니스 요구 사항, 위험 및 자산 평가가 포함됩니다. 외부 요인에는 벤치마크, 규제 표준 및 위협 환경이 포함됩니다. 가드레일은 부주의한 감독과 비준수에 대한 징벌적 벌금의 위험을 최소화하는 데 도움이 됩니다.
사용자 지정 옵션에 대한 Azure Policy를 탐색하거나 CIS 벤치마크 또는 Azure Security Benchmark와 같은 기본 제공 이니셔티브를 사용하여 보안 구성 및 규정 준수 요구 사항을 적용합니다. 기준선에서 Azure 정책 및 이니셔티브를 만드는 것이 좋습니다.
정기적으로 기준 평가
지속적인 위험 감소를 보장하기 위해 이상적인 상태로 보안 표준을 지속적으로 증분 방식으로 개선합니다. 주기적인 검토를 수행하여 시스템이 최신 상태이고 외부 영향을 준수하는지 확인합니다. 기준선에 대한 모든 변경 내용은 공식적이고, 합의되고, 적절한 변경 관리 프로세스를 통해 전송되어야 합니다.
새 기준에 대해 시스템을 측정하고 워크로드에 대한 관련성 및 효과에 따라 수정의 우선 순위를 지정합니다.
감사 및 모니터링 규정 준수를 조직 표준에 도입하여 시간이 지남에 따라 보안 상태가 저하되지 않도록 합니다.
Azure 촉진
MCSB(Microsoft 클라우드 보안 벤치마크)는 보안 기준의 시작점으로 사용할 수 있는 포괄적인 보안 모범 사례 프레임워크입니다. 기준선에 입력을 제공하는 다른 리소스와 함께 사용합니다.
자세한 내용은 Microsoft 클라우드 보안 벤치마크 소개를 참조하세요.
MDC(클라우드용 Microsoft Defender) 규정 준수 대시보드를 사용하여 해당 기준을 추적하고 기준선 외부의 패턴이 감지되면 경고를 받을 수 있습니다. 자세한 내용은 규정 준수 대시보드에서 표준 집합 사용자 지정을 참조하세요.
기준을 설정하고 개선하는 데 도움이 되는 기타 기능:
예시
이 논리 다이어그램은 일반적인 IT 환경을 안전하게 보호하는 방법을 보여 주는 네트워크, 인프라, 엔드포인트, 애플리케이션, 데이터 및 ID를 포함하는 아키텍처 구성 요소에 대한 예제 보안 기준을 보여 줍니다. 다른 권장 사항 가이드는 이 예제를 기반으로 합니다.
인프라
기본 리소스가 있는 온-프레미스 계층이 있는 일반적인 IT 환경입니다.
Azure Security Services
보호되는 리소스 유형별 Azure 보안 서비스 및 기능
Azure 보안 모니터링 서비스
SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션 및 클라우드용 Microsoft Defender 포함하여 간단한 모니터링 서비스를 넘어서는 Azure에서 사용할 수 있는 모니터링 서비스입니다.
위협
이 계층은 방법론이나 매트릭스와 같은 Mitre 공격 매트릭스 또는 사이버 킬 체인에 관계없이 위협에 대한 조직의 우려에 따라 위협이 매핑될 수 있음을 권장하고 미리 알림을 제공합니다.
관련 링크
커뮤니티 링크
보안 검사 목록
전체 권장 사항 집합을 참조하세요.