요약
이 모듈에서는 흔히 사용되는 Azure 서비스의 기준 보안 검사 목록을 만들기 위한 내용을 많이 다루었습니다. 배운 내용을 간략하게 정리해 봅시다.
클라우드용 Microsoft Defender를 켭니다- 무료입니다. Azure 구독을 업그레이드하여 클라우드용 Microsoft Defender를 켭니다. 클라우드용 Defender의 향상된 보안 기능의 이점:
- 보안 취약성을 찾아서 수정합니다.
- 액세스 및 애플리케이션 제어를 적용하여 악의적인 활동을 차단 합니다.
- 분석 및 인텔리전스를 사용하여 위협을 검색합니다.
- 공격을 받을 때 신속하게 대응합니다.
CIS(인터넷 보안 센터) 벤치마크를 채택합니다. 기존 테넌트에 벤치마크를 적용합니다.
CIS VM을 새 워크로드에 사용합니다. Azure Marketplace에서 CIS 강화 VM 이미지를 가져옵니다.
Azure Key Vault에 키와 비밀을 저장합니다(소스 코드에 저장하는 것이 아님). 키 자격 증명 모음은 암호, 데이터베이스 자격 증명, API 키, 인증서를 포함한 모든 유형의 비밀을 지원하도록 설계되었습니다.
웹 애플리케이션 방화벽을 설치합니다. WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약점으로부터 웹 애플리케이션에 대해 중앙 집중화된 보호를 제공하는 Azure Application Gateway의 기능입니다. 제3자가 Azure 지원 WAF도 제공했습니다.
특히 관리자 계정에 대해 사용자에 대한 다단계 인증을 적용합니다. Microsoft Entra 사용자를 위한 다단계 인증은 관리자가 두 개 이상의 인증 방법을 요구하여 조직과 사용자를 보호하는 데 도움이 됩니다.
가상 하드 디스크 파일을 암호화합니다. 암호화는 암호화 키 및 비밀과 함께 스토리지의 미사용 데이터 볼륨과 부팅 볼륨을 보호합니다.
Azure VM 및 어플라이언스를 Microsoft Azure Networks에 배치하여 다른 네트워킹된 디바이스에 연결합니다. Azure 가상 네트워크에 연결된 VM은 동일한 가상 네트워크, 다른 가상 네트워크, 인터넷 또는 사용자 고유의 온-프레미스 네트워크에 있는 디바이스에 연결할 수 있습니다.
구현할 강력한 운영 보안 관행
이러한 강력한 운영 보안 사례를 매일 구현해야 합니다.
VM 업데이트를 관리합니다. 모든 온-프레미스 VM과 같이 Azure VM은 사용자가 관리하도록 합니다. Azure는 Windows 업데이트를 VM에 푸시하지 않습니다. 패치 관리 및 백업과 같은 중요한 작업에 대한 명확한 프로세스가 마련되어 있어야 합니다.
암호 관리를 사용합니다. 적절한 보안 정책을 사용해 남용을 방지합니다.
정기적으로 워크로드 보호 대시보드를 검토합니다. 모든 Azure 리소스의 보안 상태를 중앙에서 확인하고 권장 사항에 제공된 조치를 정기적으로 수행합니다.
추가 참고 자료
이 모듈에 제시된 항목을 자세히 살펴보려면 CIS Microsoft Azure Foundations 보안 벤치마크를 참조하세요.