보안 개요
Azure Secure 방법론에 대한 클라우드 채택 프레임워크 Azure 클라우드 자산을 보호하기 위한 구조화된 접근 방식을 제공합니다.
이 문서 시리즈의 지침은 보안이 클라우드 채택 과정의 모든 단계에서 필수적인 부분이어야 하므로 클라우드 채택 프레임워크 내의 모든 방법론과 관련된 권장 사항을 제공합니다. 따라서 클라우드 채택 과정의 각 단계를 진행할 때 고려할 보안 권장 사항을 제공하는 각 방법론에 맞는 문서를 찾을 수 있습니다.
이 지침의 모든 권장 사항은 보안 전략, 아키텍처 및 구현을 안내해야 하는 손상(또는 위반 가정), 최소 권한 및 명시적 신뢰 검증을 가정하는 제로 트러스트 원칙을 준수합니다.
전체적인 보안 지침
보안은 클라우드 및 기술 환경의 거의 모든 측면에서 고려해야 하는 복잡하고 까다로운 분야입니다. 다음 주요 사항을 고려합니다.
모든 것이 잠재적인 대상 또는 공격 벡터입니다. 오늘날의 세계에서 공격자는 조직의 인력, 프로세스 및 기술의 약점을 악용하여 악의적인 목표를 달성할 수 있습니다.
보안은 팀 스포츠입니다. 이러한 공격을 방어하려면 비즈니스, 기술 및 보안 팀 전반에 걸쳐 조정된 접근 방식이 필요합니다. 각 팀은 보안 노력에 기여하고 효과적으로 협업해야 합니다. Azure 리소스를 보호하는 데 필요한 다양한 역할에 대한 자세한 내용은 Teams 및 역할을 참조하세요.
이 클라우드 채택 프레임워크 보안 지침은 다양한 팀이 보안 책임을 이해하고 수행할 수 있도록 설계된 더 큰 전체적인 Microsoft 보안 지침 집합의 한 구성 요소입니다. 전체 집합에는 다음 지침이 포함되어 있습니다.
클라우드 채택 프레임워크 Secure 방법론은 Azure에서 호스트되는 모든 워크로드 개발 및 작업을 지원하는 기술 인프라를 관리하는 팀에 대한 보안 지침을 제공합니다.
Azure Well-Architected Framework 보안 지침 은 개별 워크로드 소유자에게 애플리케이션 개발 및 DevOps 및 DevSecOps 프로세스에 보안 모범 사례를 적용하는 방법에 대한 지침을 제공합니다. Microsoft는 보안 개발 수명 주기에 보안 사례 및 DevSecOps 컨트롤을 적용하는 방법에 대한 이 설명서를 보완하는 지침을 제공합니다.
Microsoft Cloud Security Benchmark 는 강력한 클라우드 보안을 보장하기 위해 관련자를 위한 모범 사례 지침을 제공합니다. 이 지침에는 사용 가능한 보안 기능과 Azure 서비스에 권장되는 최적의 구성을 설명하는 보안 기준이 포함되어 있습니다.
제로 트러스트 지침 에서는 보안 팀이 제로 트러스트 현대화 이니셔티브를 지원하기 위한 기술 기능을 구현하기 위한 지침을 제공합니다.
각 문서에서는 정렬된 방법론과 관련된 몇 가지 항목을 다룹니다.
- 보안 태세 현대화
- 인시던트 준비 및 대응
- CIA(기밀성, 무결성 및 가용성) Triad
- 보안 상태 유지
보안 태세 현대화
클라우드 채택 과정에서 현대화를 통해 전반적인 보안 태세를 향상시킬 수 있는 기회를 찾아보세요. 이 방법론의 지침은 Microsoft 제로 트러스트 채택 프레임워크와 일치합니다. 이 프레임워크는 보안 태세를 현대화하기 위한 자세한 단계별 접근 방식을 제공합니다. 클라우드 채택 프레임워크 방법론의 각 단계에 대한 권장 사항을 검토할 때 제로 트러스트 채택 프레임워크에 제공된 지침을 사용하여 권장 사항을 향상시킵니다.
인시던트 준비 및 대응
인시던트 준비 및 대응은 전체 보안 상태의 초석 요소입니다. 인시던트에 대비하고 대응하는 기능은 클라우드 내에서의 운영 성공에 큰 영향을 줄 수 있습니다. 잘 설계된 준비 메커니즘 및 운영 사례를 통해 더 빠른 위협 탐지를 가능하게 하고 인시던트 반경을 최소화할 수 있습니다. 이 방법은 더 빠른 복구를 용이하게 합니다. 마찬가지로, 잘 구성된 응답 메커니즘 및 운영 사례는 복구 활동을 통한 효율적인 탐색을 보장하고 프로세스 전체에서 지속적인 개선을 위한 명확한 기회를 제공합니다. 이러한 요소에 집중하면 전반적인 보안 전략을 향상시켜 클라우드에서 복원력과 운영 연속성을 보장할 수 있습니다.
CIA 트라이어드
CIA Triad는 세 가지 핵심 원칙을 나타내는 정보 보안의 기본 모델입니다. 이러한 원칙은 기밀성, 무결성 및 가용성입니다.
기밀성은 권한이 있는 개인만 중요한 정보에 액세스할 수 있도록 합니다. 이 정책에는 무단 액세스로부터 데이터를 보호하기 위한 암호화 및 액세스 제어와 같은 조치가 포함됩니다.
무결성 은 데이터의 정확성과 완전성을 유지합니다. 이 원칙은 권한이 없는 사용자에 의한 변경 또는 변조로부터 데이터를 보호하여 정보가 안정적으로 유지되도록 하는 것을 의미합니다.
가용성 은 필요한 경우 권한 있는 사용자가 정보와 리소스에 액세스할 수 있도록 합니다. 이 작업에는 가동 중지 시간을 방지하고 데이터에 대한 지속적인 액세스를 보장하기 위한 시스템 및 네트워크 유지 관리가 포함됩니다.
CIA Triad를 채택하여 비즈니스 기술이 안정적이고 안전하게 유지되도록 합니다. 이를 사용하여 잘 정의되고 엄격하게 준수되고 입증된 사례를 통해 운영에서 안정성과 보안을 적용합니다. 트라이어드 원칙이 보안 및 안정성을 보장하는 데 도움이 되는 몇 가지 방법은 다음과 같습니다.
데이터 보호: 개인 정보 보호 및 규정 준수를 보장하는 CIA Triad를 활용하여 중요한 데이터를 위반으로부터 보호합니다.
비즈니스 연속성: 데이터 무결성 및 가용성을 보장하여 비즈니스 운영을 유지하고 가동 중지 시간을 방지합니다.
고객 신뢰: 데이터 보안에 대한 약속을 입증하여 고객 및 이해 관계자와의 신뢰를 구축하기 위해 CIA Triad를 구현합니다.
각 방법론 정렬 문서에서는 CIA Triad의 원칙에 대한 권장 사항을 제공합니다. 이 방법을 사용하면 기밀성, 무결성 및 가용성을 해결할 수 있습니다. 이 지침은 클라우드 채택 과정의 모든 단계에서 이러한 측면을 철저히 고려하는 데 도움이 됩니다.
보안 상태 유지
지속적인 개선은 사이버 위협이 지속적으로 진화하고 더욱 정교해지므로 클라우드에서 강력한 보안 태세를 유지하는 데 매우 중요합니다. 이러한 끊임없이 변화하는 위험으로부터 보호하려면 지속적인 향상된 기능을 보장합니다. 이 섹션의 지침은 지속적인 개선의 기회를 식별하여 장기적인 성공을 위해 조직을 설정하는 데 도움이 될 수 있습니다. 시간이 지남에 따라 클라우드 환경을 설정하고 발전할 때 이러한 전략에 집중합니다.
클라우드 보안 검사 목록
클라우드 보안 검사 목록을 사용하여 각 클라우드 보안 단계에 대한 모든 작업을 확인합니다. 필요한 지침으로 빠르게 이동합니다.
| 클라우드 보안 단계 | 클라우드 보안 작업 | |
|---|---|---|
| ☐ | 보안 팀 및 역할을 이해합니다. | ☐ 클라우드 서비스 공급자의 역할을 이해합니다. ☐ 인프라 및 플랫폼 팀의 역할을 이해합니다. ☐ 보안 아키텍처, 엔지니어링, 자세 관리 팀의 역할을 이해합니다. ☐ 보안 운영(SecOps 및 SOC) 팀의 역할을 이해합니다. ☐ GRC(보안 거버넌스, 위험 및 규정 준수) 팀의 역할을 이해합니다. ☐ 보안 교육 및 정책에 대해 알아봅니다. |
| ☐ | 클라우드 채택 전략에 보안을 통합합니다. | ☐ 보안 태세 현대화 전략. ☐ 인시던트 준비 및 대응 전략. ☐ 기밀성 전략. ☐ 무결성 전략. ☐ 가용성 전략. ☐ 보안 태세 유지 전략 |
| ☐ | 안전한 클라우드 채택을 계획합니다. | ☐ 랜딩 존 채택을 계획합니다. ☐ 보안 태세 현대화 계획. ☐ 인시던트 준비 및 대응 계획. ☐ 기밀성 계획. ☐ 무결성 계획 ☐ 가용성 계획 ☐ 보안 태세 유지 계획 |
| ☐ | 보안 클라우드 자산을 준비합니다. | ☐ 보안 태세 현대화를 위한 준비가 완료되었습니다. ☐ 인시던트 준비 및 대응 준비가 완료되었습니다. ☐ 기밀 유지 준비가 완료되었습니다. ☐ 무결성에 대한 준비가 완료되었습니다. ☐ 가용성 준비 ☐ 보안 태세 유지 준비 |
| ☐ | 클라우드 채택을 안전하게 수행합니다. | ☐ 보안 태세 현대화 채택. ☐ 인시던트 준비 및 대응을 채택합니다. ☐ 기밀성을 채택합니다. ☐ 무결성을 채택합니다. ☐ 가용성을 채택합니다. ☐ 보안 태세 유지 채택 |
| ☐ | 클라우드 자산을 안전하게 관리합니다. | ☐ 보안 태세 현대화. ☐ 인시던트 준비 및 대응 거버넌스 ☐ 기밀 유지 관리. ☐ 무결성 거버넌스. ☐ 가용성 거버넌스. ☐ 보안 거버넌스 유지 |
| ☐ | 클라우드 자산을 안전하게 관리합니다. | ☐ 보안 태세 현대화. ☐ 인시던트 준비 및 대응 관리 ☐ 기밀 유지 관리. ☐ 무결성 관리. ☐ 가용성 관리. ☐ 보안 유지 관리 |