기타 기준 보안 고려 사항

  • 8분

Azure 구독에 일반적인 보안 및 작업 제어를 설정하기 위해 몇 가지 보안 권장 사항을 더 따라야 합니다.

더 많은 보안 권장 사항

다음 섹션에서는 CIS Microsoft Azure Foundations 보안 벤치마크 v. 1.3.0에 있는 추가 권장 사항을 설명합니다. 각 권장 사항에는 Azure Portal에서 완료해야 하는 기본 단계가 포함되어 있습니다. 자신의 구독에 대해 이러한 단계를 완료하고 자신의 리소스를 사용하여 각 보안 권장 사항의 유효성을 검사해야 합니다. 수준 2 옵션은 일부 기능이나 작업을 제한할 수 있으므로, 적용할 보안 옵션을 신중하게 고려해야 합니다.

Azure Key Vault의 모든 키에 만료 날짜 설정 - 수준 1

키 외에도 Azure Key Vault의 키에 대해 다음 특성을 지정할 수 있습니다. JSON 요청에서는 특성이 지정되지 않은 경우에도 특성 키워드와 중괄호({ })가 필요합니다. 예를 들어 선택적 IntDate 특성의 경우 기본값은 forever입니다. exp(만료 시간) 특성은 특정 조건에 따른 특정 작업 유형을 제외하고는 암호화 작업에 키를 사용해서는 안 되는 만료 시간 또는 그 이후를 식별합니다. exp 특성을 처리하려면 현재 날짜와 시간이 exp 값에 설정된 만료 날짜 및 시간 이전이어야 합니다.

키 자격 증명 모음의 키를 회전하고 각 키에 대해 명시적 만료 시간을 설정하는 것이 좋습니다. 이렇게 하면 할당된 수명 이후에는 키를 사용할 수 없도록 보장됩니다. Key Vault는 비밀을 옥텟이라고 하는 8비트 바이트 시퀀스로 저장 및 관리하는데 각 키의 최대 크기는 25KB입니다. 매우 중요한 데이터의 경우 클라이언트는 더 많은 데이터 보호 층을 고려해야 합니다. 예를 들어 Key Vault에 저장하기 전에 별도 보호 키를 사용하여 데이터를 암호화합니다. 각 키 자격 증명 모음의 모든 키에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. 키 자격 증명 모음을 검색하고 선택합니다.

  2. 왼쪽 메뉴의 개체에서 를 선택합니다.

  3. 키 자격 증명 모음의 창에서 자격 증명 모음의 각 키에 만료 날짜가 적절하게 설정되어 있는지 확인합니다.

  4. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

Azure Key Vault의 모든 비밀에 만료 날짜 설정 - 수준 1

토큰, 암호, 인증서, API 키, 기타 비밀을 안전하게 저장하고 액세스를 엄격히 제어합니다. 만료 시간이 Azure Key Vault의 모든 비밀에 대해 설정되어 있는지 확인합니다. 각 키 자격 증명 모음의 모든 비밀에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. 키 자격 증명 모음을 검색하고 선택합니다.

  2. 왼쪽 메뉴의 개체에서 비밀을 선택합니다.

  3. 키 자격 증명 모음의 비밀 창에서 자격 증명 모음의 각 비밀에 만료 날짜가 적절하게 설정되어 있는지 확인합니다.

    다음 스크린샷은 암호에 만료 날짜를 설정하는 방법을 보여 줍니다.

    Screenshot that shows how to set an expiration date on a key vault secret.

  4. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

중요 업무용 Azure 리소스에 대해 리소스 잠금 설정 - 수준 2

관리자는 구독, 리소스 그룹 또는 리소스에 잠금을 설정하여 다른 사용자가 실수로 중요한 리소스를 삭제하거나 수정하지 못하도록 할 수 있습니다. Azure Portal에서 잠금 수준은 읽기 전용삭제입니다. 역할 기반 액세스 제어와 달리 관리 잠금을 사용하면 모든 사용자와 역할에 제한이 적용됩니다. Azure Resource Manager 잠금은 https://management.azure.com에 전송된 작업으로 구성된 관리 평면에서 수행되는 작업에만 적용됩니다. 리소스가 해당 기능을 수행하는 방법은 잠금을 통해 제한되지 않습니다. 리소스 변경은 제한되지만 리소스 작업은 제한되지 않습니다.

예를 들어 Azure SQL Database의 인스턴스에서 Read-only로 잠그면 데이터베이스를 삭제하거나 수정하지 못하게 됩니다. 데이터베이스에서 데이터를 생성, 업데이트 또는 삭제할 수는 있습니다. 이러한 작업은 https://management.azure.com으로 전송되지 않으므로 데이터 트랜잭션이 허용됩니다.

Azure 구독의 모든 중요 업무용 리소스에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. 모든 리소스를 검색하고 선택합니다.

  2. 잠그려는 리소스, 리소스 그룹 또는 구독을 선택합니다.

  3. 설정 메뉴에서 잠금을 선택합니다.

  4. 잠금 창의 메뉴 모음에서 추가를 선택합니다.

  5. 잠금 추가 창에서 잠금 이름을 입력하고 잠금 수준을 선택합니다. 필요한 경우 잠금을 설명하는 메모를 추가할 수 있습니다.

Screenshot that shows how to lock a resource in the Azure portal.