이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 Backup에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 Backup에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
비고
Backup에 적용되지 않는 기능은 제외되었습니다. Backup이 Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 Backup 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 백업의 영향력이 큰 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 가치 |
|---|---|
| 제품 범주 | MGMT/거버넌스 |
| 고객이 HOST/OS에 액세스할 수 있음 | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | 거짓 |
| 고객 콘텐츠를 정지 상태로 저장 | 거짓 |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 네트워크 보안을 참조하세요.
NS-2: 네트워크 제어를 사용하여 클라우드 서비스 보호
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall과 혼동하지 않음). 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 서비스 수준 IP ACL 필터링 규칙 또는 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
참조: 자격 증명 모음에 대한 공용 네트워크 액세스 거부
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 ID 관리를 참조하세요.
IM-3: 애플리케이션 ID를 안전하고 자동으로 관리
기능
관리형 ID
설명: 데이터 평면 작업은 관리 ID를 사용하는 인증을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
기능 정보: 키 자산 보관소에 대한 관리 ID를 만들 수 있으며 컨트롤 플레인에서만 운영됩니다.
자세한 내용은 다음을 참조하세요. 자격 증명 모음에 대해 관리 ID를 사용하도록 설정합니다.
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault에서 서비스 자격 증명 및 비밀 관리 기능 통합 및 저장
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 대한 Azure Key Vault의 기본 사용을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
기능 정보: 이 기능은 자격 증명 파일이 AKV에 저장되지 않은 온프레미스 시나리오를 제외한 모든 시나리오에서 지원됩니다.
구성 지침: 비밀 및 자격 증명을 코드 또는 구성 파일에 포함하는 대신 Azure Key Vault와 같은 보안 위치에 저장해야 합니다.
참조: 고객 관리형 키를 사용하여 암호화하도록 보관소 구성
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
기능 정보: Azure RBAC는 컨트롤 플레인 작업에 대해 지원됩니다.
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 데이터 보호를 참조하세요.
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 누출/손실 방지
설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
기능 참고: Azure Backup은 일반적으로 민감한 고객의 백업 데이터를 보호하는 데 도움이 될 수 있는 불변의 저장소, 소프트 삭제, 다중 사용자 인증과 같은 고급 기능을 지원합니다.
자세한 내용은 변경 불가능한 금고, 소프트 삭제, 및 다중 사용자 인증를 참조하세요.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. 조직에서 이 보안 기능을 구성하려는지 검토하고 확인하세요.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 중 데이터 암호화
설명: 서비스는 데이터 평면에 대한 전송 중인 데이터 암호화를 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 백업의 전송 계층 보안
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 사용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장한 고객 콘텐츠에 대해 지원됩니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 범위를 정의합니다. 해당 서비스에 대해 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault의 키 관리
설명: 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Azure Key Vault를 사용하여 키 생성, 배포 및 스토리지를 비롯한 암호화 키의 수명 주기를 만들고 제어합니다. 정의된 일정에 따라 또는 키 폐기나 보안 침해가 있는 경우 Azure Key Vault 및 서비스에서 키를 회전하고 해지합니다. 워크로드, 서비스 또는 애플리케이션 수준에서 CMK(고객 관리형 키)를 사용해야 하는 경우 키 관리에 대한 모범 사례를 따라야 합니다. 키 계층 구조를 사용하여 키 자격 증명 모음에서 키 암호화 키(KEK)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다. 키가 Azure Key Vault에 등록되고 서비스 또는 애플리케이션의 키 ID를 통해 참조되는지 확인합니다. 서비스에 BYOK(사용자 고유 키)를 가져와야 하는 경우(예: 온-프레미스 HSM에서 Azure Key Vault로 HSM 보호 키 가져오기) 권장 지침에 따라 초기 키 생성 및 키 전송을 수행합니다.
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault의 인증서 관리
설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Azure Key Vault를 사용하여 인증서 만들기, 가져오기, 회전, 해지, 스토리지 및 제거를 포함하여 인증서 수명 주기를 만들고 제어합니다. 인증서 생성이 안전하지 않은 속성(예: 불충분한 키 크기, 지나치게 긴 유효 기간, 안전하지 않은 암호화)을 사용하지 않고 정의된 표준을 따르도록 합니다. 정의된 일정 또는 인증서 만료 시기에 따라 Azure Key Vault 및 Azure 서비스(지원되는 경우)에서 인증서의 자동 회전을 설정합니다. 애플리케이션에서 자동 회전이 지원되지 않는 경우 Azure Key Vault 및 애플리케이션에서 수동 메서드를 사용하여 자동 회전이 계속 회전되는지 확인합니다.
참조: 백업 암호화
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: Azure Policy를 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure 정책 백업
로깅 및 위협 감지
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 로깅 및 위협 검색을 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스 및 제품 제공용 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
LT-4: 보안 조사를 위해 로깅을 활성화하다
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. 예를 들어 Key Vault는 키 자격 증명 모음에서 비밀을 가져오는 작업에 대한 추가 리소스 로그를 지원하며 Azure SQL에는 데이터베이스에 대한 요청을 추적하는 리소스 로그가 있습니다. 리소스 로그의 내용은 Azure 서비스 및 리소스 종류에 따라 다릅니다.
백업 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure Backup
설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 설정 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.RecoveryServices:
| 이름 (Azure Portal) |
Description | Effect(s) | 버전 (GitHub) |
|---|---|---|---|
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요 참조
- Azure 보안 기준에 대해 자세히 알아보세요.