보안 점수

보안 점수 개요

클라우드용 Microsoft Defender에는 두 가지 주요 목표가 있습니다.

• 현재 보안 상황을 이해하는 데 도움을 줍니다.
• 효율적이고 효과적으로 보안을 개선하는 데 도움을 줍니다.

이러한 목표를 달성할 수 있게 하는 클라우드용 Defender의 핵심 기능은 보안 점수입니다.

클라우드용 Defender는 보안 문제에 대해 클라우드 간 리소스를 지속적으로 평가합니다. 그런 다음, 현재 보안 상황을 한눈에 파악할 수 있도록 모든 결과를 단일 점수에 집계합니다. 즉, 점수가 높을수록 식별된 위험 수준은 낮습니다.

• Azure Portal 페이지에서 보안 점수는 백분율 값으로 표시되며 기본 값도 명확하게 표시됩니다.

  

• Azure 모바일 앱에서 보안 점수는 백분율 값으로 표시되며 보안 점수를 탭하여 점수를 설명하는 세부 정보를 볼 수 있습니다.

  

보안을 강화하려면 클라우드용 Defender의 권장 사항 페이지를 검토하고 각 문제에 대한 수정 지침을 구현하여 권장 사항을 수정합니다. 권장 사항은 보안 컨트롤로 그룹화됩니다. 각 컨트롤은 관련된 보안 권장 사항의 논리적 그룹으로, 취약한 공격 노출 영역을 반영합니다. 점수는 컨트롤 내의 단일 리소스에 대한 모든 권장 사항에 따라 수정해야만 향상됩니다. 조직이 각 개별 공격 노출 영역을 얼마나 잘 보호하고 있는지 확인하려면 각 보안 컨트롤의 점수를 검토합니다.

자세한 내용은 아래의 보안 점수 계산 방법을 참조하세요.

보안 상태 관리

보안 상태 페이지에서 전체 구독과 구독의 각 환경에 대한 보안 점수를 볼 수 있습니다. 기본적으로 모든 환경이 표시됩니다.

페이지 섹션	Description
	환경을 선택하여 보안 점수 및 세부 정보를 확인합니다. 여러 환경을 한 번에 선택할 수 있습니다. 여기서 선택한 항목에 따라 페이지가 변경됩니다.
	전체 점수에 영향을 주는 구독, 계정 및 프로젝트의 총 수를 보여 줍니다. 또한 비정상 리소스의 수와 환경에 있는 권장 사항의 수를 보여 줍니다.

페이지의 아래쪽 절반에서는 개별 보안 점수, 비정상 리소스 수를 보고 관리할 수 있으며 모든 개별 구독, 계정 및 프로젝트에 대한 권장 사항도 볼 수 있습니다.

[환경별 그룹화] 확인란을 선택하여 이 섹션을 환경별로 그룹화할 수 있습니다.

보안 점수 계산 방법

전체 보안 점수에 대한 각 보안 컨트롤의 기여도는 권장 사항 페이지에 표시됩니다.

보안 컨트롤을 위한 가능한 모든 포인트를 구하려면 모든 리소스가 보안 컨트롤 내의 모든 보안 권장 사항을 준수해야 합니다. 예를 들어 클라우드용 Defender에는 관리 포트를 보호하는 방법에 대한 여러 권장 사항이 있습니다. 보안 점수에 영향을 주려면 모든 항목을 수정해야 합니다.

컨트롤에 대한 예제 점수

이 예제에서는 다음이 적용됩니다.

• 취약성 수정 보안 제어 - 이 제어는 알려진 취약성 검색 및 해결과 관련된 여러 권장 사항을 그룹화합니다.

• 최대 점수 - 컨트롤 내의 모든 권장 사항을 완료하여 얻을 수 있는 최대 포인트입니다. 컨트롤의 최대 점수는 해당 컨트롤의 상대적 중요도를 나타내며 모든 환경에 대해 고정됩니다. 가장 먼저 작업할 이슈를 심사하려면 최대 점수 값을 사용합니다.
  모든 컨트롤 및 해당 최대 점수 목록은 보안 제어 및 해당 권장 사항을 참조하세요.

• 현재 점수 - 이 컨트롤의 현재 점수입니다.

  현재 점수=[리소스당 점수]*[정상 리소스 수]

  각 컨트롤의 점수로 전체 점수를 계산합니다. 이 예에서 이 제어는 현재 총 보안 점수에 2.00포인트 기여합니다.

• 잠재적 점수 증가 - 컨트롤 내에서 사용할 수 있는 나머지 포인트입니다. 이 컨트롤의 모든 권장 사항을 수정하면 점수가 9% 증가합니다.

  잠재적 점수 증가=[리소스당 점수]*[비정상 리소스 수]

• 인사이트 - 다음과 같은 각 권장 사항에 대한 추가 세부 정보를 제공합니다.

  • 권장 사항 미리 보기 - 이 권장 사항은 GA가 될 때까지 보안 점수에 영향을 주지 않습니다.

  • 수정 - 권장 사항 세부 정보 페이지에서 '수정'을 사용하여 이 문제를 해결할 수 있습니다.

  • 적용 - 누군가가 비준수 리소스를 만들 때마다 권장 사항 세부 정보 페이지 내에서 정책을 자동으로 배포하여 이 문제를 해결할 수 있습니다.

  • 거부 - 권장 사항 세부 정보 페이지 내에서 이 문제로 인해 새 리소스를 만들지 못하도록 방지할 수 있습니다.

계산 - 점수 이해

메트릭	수식 및 예제
보안 컨트롤의 현재 점수	각 개별 보안 컨트롤은 보안 점수에 기여합니다. 컨트롤 내의 권장 구성에 의해 영향을 받는 각 리소스는 컨트롤의 현재 점수에 기여합니다. 각 컨트롤의 현재 점수는 컨트롤 내 리소스의 상태를 측정한 것입니다. 이 예제에서 최대 점수 6은 정상 및 비정상 리소스의 합계인 78로 나뉩니다. 6 / 78 = 0.0769 이 값에 정상 리소스의 수(4)를 곱하여 현재 점수가 됩니다. 0.0769 * 4 = 0.31
보안 점수 단일 구독 또는 커넥터	이 예에는 모든 보안 제어를 사용할 수 있는 단일 구독 또는 커넥터가 있습니다(잠재적 최대 점수 60포인트). 점수로는 가능한 60포인트 중에서 28포인트가 표시되고 나머지 32포인트는 보안 컨트롤의 "잠재적 점수 증가" 수치에 반영됩니다. 이 수식은 '구독'이라는 단어만 '커넥터'라는 단어로 바꾼 커넥터에 대한 동일한 수식입니다.
보안 점수 여러 구독 및 커넥터	여러 구독 및 커넥터에 대한 결합된 점수에는 각 구독 및 커넥터에 대한 가중치가 포함됩니다. 구독 및 커넥터에 대한 상대적 가중치는 클라우드용 Defender에서 리소스 수와 같은 요소를 기반으로 하여 결정합니다. 각 구독 및 커넥터에 대한 현재 점수는 단일 구독 또는 커넥터와 동일한 방식으로 계산되지만, 가중치는 수식과 같이 적용됩니다. 여러 구독 및 커넥터를 볼 때 보안 점수는 사용하도록 설정된 모든 정책 내의 모든 리소스를 평가하고, 각 보안 제어의 최대 점수에 대한 결합된 영향을 그룹화합니다. 결합된 점수는 평균이 아닙니다. 오히려 모든 구독 및 커넥터에서 모든 리소스의 상태에 대해 평가된 상태입니다. 여기서도 권장 사항 페이지로 이동하여 사용할 수 있는 잠재적 포인트를 더하면 현재 점수(22)와 사용 가능한 최대 점수(58)의 차이임을 알 수 있습니다.

보안 점수 계산에 포함되는 권장 사항은 무엇인가요?

기본 제공 권장 사항만 보안 점수에 영향을 줍니다.

미리 보기로 플래그가 지정된 권장 사항은 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정해야 합니다.

미리 보기 권장 사항은 다음과 같이 표시됩니다.

보안 점수 향상

보안 점수를 향상시키려면 권장 사항 목록에서 보안 권장 사항을 수정하세요. 각 리소스에 대해 각 권장 사항을 수동으로 수정하거나 수정 옵션(사용 가능한 경우)을 사용하여 여러 리소스에 대한 문제를 신속하게 해결할 수 있습니다. 자세한 내용은 권장 사항에 따라 수정을 참조하세요.

또한 관련 권장 사항에 대한 적용 및 거부 옵션을 구성하여 점수를 개선하고 사용자가 점수에 부정적인 영향을 미치는 리소스를 만들지 않도록 할 수 있습니다.

보안 제어 및 해당 권장 사항

아래 표에는 클라우드용 Microsoft Defender의 보안 컨트롤이 나열되어 있습니다. 각 컨트롤에 대해 모든 리소스의 컨트롤에 나열된 모든 권장 사항에 따라 수정할 경우 보안 점수에 추가될 수 있는 최대 포인트를 확인할 수 있습니다.

클라우드용 Defender와 함께 제공되는 일련의 보안 권장 사항은 각 조직의 환경에서 사용 가능한 리소스에 맞게 조정됩니다. 권장 사항을 사용하지 않도록 설정하고 권장 사항에서 특정 리소스를 제외하여 권장 사항을 추가로 사용자 지정할 수 있습니다.

모든 조직은 할당된 Azure Policy 이니셔티브를 신중하게 검토하는 것이 좋습니다.

팁

이니셔티브를 검토하고 편집하는 방법에 대한 자세한 내용은 보안 정책 관리를 참조하세요.

클라우드용 Defender의 기본 보안 이니셔티브인 Azure Security Benchmark는 업계 모범 사례 및 표준을 기반으로 하지만 아래에 나열된 기본 제공 권장 사항이 organization 완전히 맞지 않을 수 있는 시나리오가 있습니다. 보안을 손상시키지 않으면서 기본 이니셔티브를 조정하여 조직의 자체 정책, 업계 표준, 규제 표준 및 벤치마크에 맞게 조정해야 하는 경우가 있습니다.

보안 점수	보안 컨트롤 및 설명	권장 사항
10	MFA 사용 - 클라우드용 Defender는 MFA(다단계 인증)에 높은 가치를 부여합니다. 이러한 권장 사항을 사용하여 구독 사용자를 보호합니다. MFA를 사용하고 권장 사항을 준수하는 세 가지 방법인 보안 기본값, 사용자별 할당, 조건부 액세스 정책이 있습니다. 구독에 대한 MFA 적용 관리에서 이러한 옵션에 대해 자세히 알아봅니다.	- Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 - Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 - 사용자의 구독에서 소유자 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 함 - 사용자의 구독에서 쓰기 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 함
8	보안 관리 포트 - 무차별 암호 대입 공격은 종종 관리 포트를 대상으로 합니다. 이러한 권장 사항을 사용하여 Just-In-Time VM 액세스 및 네트워크 보안 그룹과 같은 도구로 노출을 줄입니다.	- 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 합니다. - 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 - 가상 머신에서 관리 포트를 닫아야 함
6	시스템 업데이트 적용 - 업데이트를 적용하지 않으면 패치되지 않은 취약성이 남고 공격에 취약한 환경이 됩니다. 이러한 권장 사항을 사용하여 운영 효율성을 유지하고, 보안 취약성을 줄이고, 최종 사용자에게 보다 안정적인 환경을 제공합니다. 시스템 업데이트를 배포하려면 업데이트 관리 솔루션을 사용하여 머신에 대한 패치 및 업데이트를 관리할 수 있습니다.	- Linux 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함 - 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 - 가상 머신에 Log Analytics 에이전트를 설치해야 함 - Windows 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함 - 가상 머신 확장 집합에 시스템 업데이트를 설치해야 함 - 머신에 시스템 업데이트를 설치해야 함 - 머신에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공)
6	취약성 수정 - 클라우드용 Defender에는 공격자가 활용할 수 있는 취약성이 있는지 컴퓨터, 데이터베이스 및 컨테이너 레지스트리를 검사하는 여러 취약성 평가 스캐너가 포함되어 있습니다. 이러한 권장 사항을 사용하여 이러한 스캐너를 활성화하고 해당 결과를 검토합니다. 머신, SQL 서버 및 컨테이너 레지스트리 검사에 대해 자세히 알아봅니다.	- Azure Arc 사용 Kubernetes 클러스터에 Azure Policy의 확장이 설치되어 있어야 함 - Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 함 - 코드 리포지토리에서 코드 검사 결과를 확인해야 함 - 코드 리포지토리에서 Dependabot 검사 결과를 확인해야 함 - 코드 리포지토리에서 코드 제공 인프라 검사 결과를 확인해야 함 - 코드 리포지토리에서 비밀 검사 결과를 확인해야 함 - 신뢰할 수 있는 레지스트리의 컨테이너 이미지만 배포해야 함 - 컨테이너 레지스트리 이미지에 취약성 발견 사항이 해결되어야 함 - 함수 앱에서 취약성 결과를 해결해야 함 - Kubernetes 클러스터는 취약한 이미지 배포를 차단해야 함 - 머신에 취약성 평가 솔루션이 있어야 함 - 컴퓨터는 발견한 취약성을 해결해야 함 - 컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함
4	보안 구성 수정 - 잘못 구성된 IT 자산은 공격을 받을 위험이 더 높습니다. 이러한 권장 사항을 사용하여 인프라 전체에서 식별된 잘못된 구성을 강화합니다.	- Azure Arc 사용 Kubernetes 클러스터에 Azure Policy의 확장이 설치되어 있어야 함 - Azure DevOps 보안 상태 결과를 확인해야 함 - Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 함 - 컨테이너는 허용되는 AppArmor 프로필만 사용해야 함 - Linux 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함 - 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 - 가상 머신에 Log Analytics 에이전트를 설치해야 함 - Windows 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함 - 컴퓨터를 안전하게 구성해야 함 - SQL 데이터베이스는 발견한 취약성을 해결해야 함 - SQL 관리 인스턴스에 취약성 평가가 구성되어 있어야 함 - 머신의 SQL Server는 발견한 취약성을 해결해야 함 - SQL Server에 취약성 평가가 구성되어 있어야 함 - 가상 머신 확장 집합을 안전하게 구성해야 함 - Linux 컴퓨터의 보안 구성 취약성을 수정해야 함(게스트 구성에서 제공) - Windows 컴퓨터의 보안 구성 취약성은 수정되어야 함(게스트 구성에서 제공)
4	액세스 및 권한 관리 - 보안 프로그램의 핵심 부분은 사용자가 작업을 수행하는 데 필요한 액세스 권한을 갖도록 하는 것입니다. 바로 최소 권한 액세스 모델입니다. 이러한 권장 사항을 사용하여 ID 및 액세스 요구 사항을 관리합니다.	- Linux 머신에 대한 인증에 SSH 키가 필요함 - Azure Arc 사용 Kubernetes 클러스터에 Azure Policy의 확장이 설치되어 있어야 함 - Azure Cosmos DB 계정이 Azure Active Directory를 유일한 인증 방법으로 사용해야 함 - Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 함 - Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 - Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 - 권한 상승을 포함하는 컨테이너를 사용하지 않아야 함 - 중요한 호스트 네임스페이스를 공유하는 컨테이너를 사용하지 않아야 함 - 더 이상 사용되지 않는 계정을 구독에서 제거해야 함 - 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 함 - 소유자 권한이 있는 외부 계정을 구독에서 제거해야 함 - 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 함 - 함수 앱은 클라이언트 인증서(들어오는 클라이언트 인증서)를 사용하도록 설정해야 함 - Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 - Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 - 컴퓨터에 게스트 구성 확장을 설치해야 함 - 변경 불가능한(읽기 전용) 루트 파일 시스템을 컨테이너에 적용해야 함 - 최소 권한 Linux 기능을 컨테이너에 적용해야 함 - API 앱에서 관리 ID를 사용해야 함 - 함수 앱에서 관리 ID를 사용해야 함 - 웹앱에서 관리 ID를 사용해야 함 - 권한 있는 컨테이너를 피해야 함 - Kubernetes 서비스에서 역할 기반 Access Control을 사용해야 함 - 컨테이너를 루트 사용자로 실행하지 않아야 함 - Service Fabric 클러스터가 클라이언트 인증에 Azure Active Directory만 사용해야 함 - 스토리지 계정 공용 액세스가 허용되지 않아야 함 - 손상된 컨테이너에서 노드 액세스를 제한하려면 Pod HostPath 볼륨 탑재 사용을 알려진 목록으로 제한해야 함 - 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 합니다.
4	미사용 데이터 암호화 사용 - 이 권장 사항을 사용하여 저장된 데이터 보호와 관련된 잘못된 구성을 완화할 수 있습니다.	- Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 - SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 함 - 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함
4	전송 중인 데이터 암호화 - 구성 요소, 위치 또는 프로그램 간에 이동하는 데이터를 보호하려면 이 권장 사항을 사용합니다. 이러한 데이터는 중간자(man-in-the-middle) 공격, 도청 및 세션 하이재킹에 취약합니다.	- API 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 - MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. - PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. - API 앱에 FTPS가 필요함 - 함수 앱에 FTPS가 필요함 - 웹앱에 FTPS가 필요함 - 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 - Redis Cache SSL을 통해서만 액세스를 허용해야 함 - 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 - TLS를 API 앱용 최신 버전으로 업데이트해야 함 - TLS를 함수 앱용 최신 버전으로 업데이트해야 함 - TLS를 웹앱용 최신 버전으로 업데이트해야 함 - 웹 애플리케이션은 HTTPS를 통해서만 액세스할 수 있어야 함
4	무단 네트워크 액세스 제한 - Azure는 네트워크 전체의 액세스가 최고의 보안 표준을 충족하도록 설계된 도구 모음을 제공합니다. 이 권장 사항을 사용하여 클라우드용 Defender의 적응형 네트워크 강화 설정을 관리하고, 모든 관련 PaaS 서비스에 대해 Azure Private Link를 구성했는지 확인하고, 가상 네트워크에 Azure Firewall을 사용하도록 설정합니다.	- 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 - 모든 네트워크는 가상 머신과 연결된 네트워크 보안 그룹에서 제한되어야 함 - App Configuration은 프라이빗 링크를 사용해야 함 - Azure Arc 사용 Kubernetes 클러스터에 Azure Policy의 확장이 설치되어 있어야 함 - Azure Cache for Redis는 가상 네트워크 내에 있어야 함 - Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 - Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 - Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 함 - Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 - Azure SignalR Service는 프라이빗 링크를 사용해야 함 - Azure Spring Cloud는 네트워크 주입을 사용해야 함 - 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 - 컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 - CORS에서 모든 리소스가 API 앱에 액세스하도록 허용하지 않아야 함 - CORS에서 모든 리소스가 함수 앱에 액세스하도록 허용하지 않아야 함 - CORS에서 모든 리소스가 웹 애플리케이션에 액세스하도록 허용하지 않아야 함 - Key Vault에서 방화벽을 사용하도록 설정해야 함 - 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 합니다. - 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 - 제한된 액세스 권한으로 Kubernetes API 서버를 구성해야 함 - Key Vault의 프라이빗 엔드포인트를 구성해야 함 - 프라이빗 엔드포인트를 MariaDB 서버에서 사용할 수 있어야 합니다. - 프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다. - 프라이빗 엔드포인트를 PostgreSQL 서버에서 사용할 수 있어야 합니다. - MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - 서비스는 허용되는 포트에서만 수신 대기해야 함 - 스토리지 계정은 프라이빗 링크 연결을 사용해야 함 - 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 - 호스트 네트워킹 및 포트 사용을 제한해야 함 - 가상 네트워크는 Azure Firewall로 보호해야 함 - VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함
3	적응형 애플리케이션 제어 적용 - 적응형 애플리케이션 제어는 컴퓨터에서 실행할 수 있는 애플리케이션을 제어하는 지능적이고 자동화된 엔드투엔드 솔루션입니다. 또한 맬웨어로부터 머신을 보호하는 데 유용합니다.	- 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 - 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 - Linux 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함 - 가상 머신에 Log Analytics 에이전트를 설치해야 함 - Windows 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함
2	DDoS 공격으로부터 애플리케이션 보호 - Azure의 고급 네트워킹 보안 솔루션은 Azure DDoS Protection, Azure Web Application Firewall 및 Kubernetes에 대한 Azure Policy 추가 기능을 포함합니다. 이러한 권장 사항을 사용하여 애플리케이션이 이러한 도구 및 기타 도구로 보호되도록 합니다.	- Azure Arc 사용 Kubernetes 클러스터에 Azure Policy의 확장이 설치되어 있어야 함 - Azure DDoS Protection 표준을 사용하도록 설정해야 함 - Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 함 - 컨테이너 CPU 및 메모리 한도를 적용해야 함 - Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 - WAF(Web Application Firewall)를 Azure Front Door Service 서비스에 사용하도록 설정해야 합니다.
2	엔드포인트 보호 사용 - 클라우드용 Defender는 조직의 엔드포인트에서 엔드포인트용 Microsoft Defender 또는 이 목록에 표시된 주요 솔루션과 같은 활성 위협 검색 및 대응 솔루션을 확인합니다. EDR(엔드포인트 감지 및 응답) 솔루션을 찾을 수 없는 경우 이러한 권장 사항을 사용하여 엔드포인트용 Microsoft Defender(서버용 Microsoft Defender의 일부로 포함)를 배포할 수 있습니다. 이 컨트롤의 다른 권장 사항은 Log Analytics 에이전트를 배포하고 파일 무결성 모니터링을 구성하는 데 도움이 됩니다.	- 컴퓨터의 Endpoint Protection 상태 문제를 해결해야 함 - 컴퓨터의 Endpoint Protection 상태 문제를 해결해야 함 - Virtual Machine Scale Sets의 Endpoint Protection 상태 문제를 해결해야 함 - 컴퓨터에 Endpoint Protection을 설치해야 함 - 컴퓨터에 Endpoint Protection을 설치해야 함 - 가상 머신 확장 집합에 Endpoint Protection을 설치해야 함 - 가상 머신에 엔드포인트 보호 솔루션 설치 - Linux 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함 - 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 - 가상 머신에 Log Analytics 에이전트를 설치해야 함 - Windows 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 함
1	감사 및 로깅 사용 - 자세한 로그는 인시던트 조사 및 기타 여러 문제 해결 작업의 중요한 부분입니다. 이 컨트롤의 권장 사항은 관련이 있을 때마다 진단 로그를 사용하도록 설정했는지 확인하는 데 중점을 둡니다.	- SQL Server에 대한 감사가 사용되도록 설정되어야 함 - App Service의 진단 로그를 사용하도록 설정해야 함 - Azure Data Lake Store에서 진단 로그를 사용하도록 설정해야 함 - Azure Stream Analytics에서 진단 로그를 사용하도록 설정해야 함 - Batch 계정에서 진단 로그를 사용하도록 설정해야 함 - Data Lake Analytics에서 진단 로그를 사용하도록 설정해야 함 - Event Hub에서 진단 로그를 사용하도록 설정해야 함 - Key Vault에서 진단 로그를 사용하도록 설정해야 함 - Kubernetes 서비스의 진단 로그를 사용하도록 설정해야 함 - Logic Apps에서 진단 로그를 사용하도록 설정해야 함 - Search 서비스에서 진단 로그를 사용하도록 설정해야 함 - Service Bus에서 진단 로그를 사용하도록 설정해야 함 - Virtual Machine Scale Sets에서 진단 로그를 사용하도록 설정해야 함
0	강화된 보안 기능 사용 - 이 권장 사항을 사용하여 고급 보안 기능 플랜을 사용하도록 설정합니다.	- Azure Arc 지원 Kubernetes 클러스터에 Defender의 확장이 설치되어 있어야 함 - Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 함 - 컴퓨터에서 파일 무결성 모니터링을 사용하도록 설정해야 함 - GitHub 리포지토리에 코드 검사를 사용하도록 설정해야 함 - GitHub 리포지토리에 Dependabot 검사를 사용하도록 설정해야 함 - GitHub 리포지토리에 비밀 검사를 사용하도록 설정해야 함 - App Service용 Microsoft Defender를 사용하도록 설정해야 함 - Azure SQL Database 서버용 Microsoft Defender를 사용하도록 설정해야 함 - 컨테이너용 Microsoft Defender를 사용하도록 설정해야 함 - DNS용 Microsoft Defender를 사용하도록 설정해야 함 - Key Vault용 Microsoft Defender를 사용하도록 설정해야 함 - 오픈 소스 관계형 데이터베이스용 Microsoft Defender를 사용하도록 설정해야 함 - Resource Manager용 Microsoft Defender를 사용하도록 설정해야 함 - 서버용 Microsoft Defender를 사용하도록 설정해야 함 - 작업 영역에서 서버용 Microsoft Defender를 사용하도록 설정해야 함 - 작업 영역에서 컴퓨터의 SQL용 Microsoft Defender를 사용하도록 설정해야 함 - 컴퓨터에서 SQL Server용 Microsoft Defender를 사용하도록 설정해야 함 - 스토리지용 Microsoft Defender를 사용하도록 설정해야 함
0	보안 모범 사례 구현 - 이 컨트롤은 보안 점수에 영향을 주지 않습니다. 이러한 이유로 조직의 보안을 위해 이행해야 하는 중요하지만 전체 점수를 평가하는 방법의 일부가 되어서는 안 된다고 생각하는 권장 사항 컬렉션입니다.	- [필요한 경우 사용] Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 - [필요한 경우 사용] Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)를 사용하여 암호화해야 함 - [필요한 경우 사용] Cognitive Services 계정은 CMK(고객 관리형 키)를 사용하여 데이터 암호화를 사용하도록 설정해야 함 - [필요한 경우 사용] 컨테이너 레지스트리는 CMK(고객 관리형 키)를 사용하여 암호화해야 함 - [필요한 경우 사용] MySQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 - [필요한 경우 사용] PostgreSQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 - [필요한 경우 사용] SQL 관리형 인스턴스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 - [필요한 경우 사용] SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 - [필요한 경우 사용] 스토리지 계정은 CMK(고객 관리형 키)를 암호화에 사용해야 함 - 구독에 최대 3명의 소유자를 지정해야 함 - 방화벽 및 가상 네트워크 구성을 사용하여 스토리지 계정 액세스를 제한해야 함 - Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 - SQL 관리형 인스턴스의 Advanced Data Security 설정에서 모든 Advanced Threat Protection 유형을 사용하도록 설정해야 함 - SQL Server의 Advanced Data Security 설정에서 모든 Advanced Threat Protection 유형을 사용하도록 설정해야 함 - API Management 서비스에서 가상 네트워크를 사용해야 함 - SQL 서버에 대한 감사 보존 기간은 90일 이상으로 설정해야 합니다. - 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 - Automation 계정 변수를 암호화해야 함 - Azure Backup을 가상 머신에 사용하도록 설정해야 합니다. - Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 - Cognitive Services 계정은 데이터 암호화를 사용하도록 설정해야 함 - Cognitive Services 계정은 네트워크 액세스를 제한해야 함 - Cognitive Services 계정은 고객 소유 스토리지를 사용하거나 데이터 암호화를 사용하도록 설정해야 함 - 컨테이너 호스트를 안전하게 구성해야 함 - 기본 IP 필터 정책은 거부여야 함 - IoT Hub의 진단 로그를 사용하도록 설정해야 함 - 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 함 - 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 함 - API 앱에서 클라이언트 인증서(들어오는 클라이언트 인증서)가 ‘켜기’로 설정되어 있는지 확인함 - 읽기 권한이 있는 외부 계정을 구독에서 제거해야 함 - Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. - Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. - Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. - Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 - 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 - 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 - 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 - 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 - 컴퓨터에 게스트 구성 확장을 설치해야 함 - 동일한 인증 자격 증명 - IP 필터 규칙 큰 IP 범위 - Java를 API 앱용 최신 버전으로 업데이트해야 함 - Java를 함수 앱용 최신 버전으로 업데이트해야 함 - Java를 웹앱용 최신 버전으로 업데이트해야 함 - Key Vault 키에 만료 날짜가 있어야 함 - Key Vault 비밀에 만료 날짜가 있어야 함 - 키 자격 증명 모음에 제거 방지를 사용하도록 설정해야 함 - 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 - Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 - Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 - Kubernetes 클러스터는 CAPSYSADMIN 보안 기능을 부여하지 않아야 함 - Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 - Linux 가상 머신은 커널 모듈 서명 유효성 검사를 적용해야 함 - Linux 가상 머신은 서명되고 신뢰할 수 있는 부팅 구성 요소만 사용해야 함 - Linux 가상 머신은 보안 부팅을 사용해야 함 - 보안 구성 업데이트를 적용하려면 머신을 다시 시작해야 함 - 머신에는 공격 경로를 노출 시킬 수 있는 포트를 닫아야 함 - 사용자의 구독에서 읽기 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 함 - 보호되지 않는 Azure SQL 서버에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 - 보호되지 않는 SQL Managed Instance에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 - Network Watcher를 사용하도록 설정해야 함 - 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 - PCI(권한 증가 인덱스)를 줄이기 위해 구독에서 과도하게 프로비전된 ID를 조사해야 함 - PHP를 API 앱용 최신 버전으로 업데이트해야 함 - PHP를 웹앱용 최신 버전으로 업데이트해야 함 - Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 - Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - Cognitive Services 계정에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - Phython을 API 앱용 최신 버전으로 업데이트해야 함 - Phython을 함수 앱용 최신 버전으로 업데이트해야 함 - Phython을 웹앱용 최신 버전으로 업데이트해야 함 - API App에 대한 원격 디버깅을 해제해야 함 - 함수 앱에 대한 원격 디버깅을 해제해야 함 - 웹 애플리케이션에 대해 원격 디버깅을 해제해야 함 - 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 - Azure Active Directory 관리자를 SQL Server에 대해 프로비저닝해야 함 - 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 - 서브넷을 네트워크 보안 그룹과 연결해야 함 - 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 - 구독에 둘 이상의 소유자가 할당되어야 함 - Azure Key Vault에 저장된 인증서의 유효 기간이 12개월을 넘어서는 안 됨 - 가상 머신 게스트 증명 상태가 정상이어야 함 - 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 합니다. - 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 - 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 - 웹앱에서 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 합니다. - Windows Defender Exploit Guard를 컴퓨터에서 사용하도록 설정해야 함 - Windows 웹 서버는 보안 통신 프로토콜을 사용하도록 구성해야 함

FAQ - 보안 점수

보안 컨트롤의 4가지 권장 사항 중 3가지를 해결하는 경우 보안 점수가 변경되나요?

아니요. 단일 리소스에 대한 모든 권장 사항을 수정할 때까지 변경되지 않습니다. 컨트롤에 대해 최대 점수를 얻으려면 모든 리소스에 대해 모든 권장 사항을 수정해야 합니다.

권장 사항이 나에게 적용되지 않는 경우 정책에서 사용하지 않도록 설정해도 보안 컨트롤이 이행되고 보안 점수가 업데이트되나요?

예. 사용자 환경에 적용할 수 없는 경우 권장 사항을 사용하지 않도록 설정하는 것이 좋습니다. 특정 권장 사항을 사용하지 않도록 설정하는 방법에 대한 지침은 보안 권장 사항 사용 안 함을 참조하세요.

보안 컨트롤에서 보안 점수에 대해 0포인트를 제공하면 무시해도 되나요?

경우에 따라 컨트롤 최대 점수가 0보다 클 수 있지만 영향은 0입니다. 리소스 수정을 위한 증분 점수가 크지 않은 경우 0으로 반올림됩니다. 이러한 권장 사항은 보안을 개선시키므로 무시하지 마세요. 유일한 예외는 "추가 모범 사례" 컨트롤입니다. 이러한 권장 사항을 수정하면 점수가 증가되지 않지만 전반적인 보안은 향상됩니다.

다음 단계

이 문서에서는 보안 점수와 포함된 보안 컨트롤에 대해 설명했습니다.

보안 점수 액세스 및 추적

관련 자료는 다음 문서를 참조하세요.

• 권장 사항의 다양한 요소에 대해 알아보기
• 권장 사항을 수정하는 방법 알아보기
• 보안 점수를 사용하여 프로그래밍 방식으로 작업하기 위한 GitHub 기반 도구 보기