Automation을 위한 Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 Automation에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 Automation에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
Automation에 적용되지 않는 기능은 제외되었습니다. Automation이 Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 Automation 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 자동화의 영향력이 큰 동작이 요약되어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | MGMT/거버넌스 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 미사용 고객 콘텐츠 저장 | True |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 가상 네트워크에 서비스를 배포합니다. 리소스에 개인 IP를 할당합니다(해당하는 경우). 보안 관점에서 권장되는 구성입니다. 그러나 이렇게 하려면 Azure 가상 네트워크에 연결된 Hybrid Runbook Worker를 구성해야 & 현재 클라우드 작업을 지원하지 않습니다.
참조: Azure Private Link 사용하여 네트워크를 Azure Automation 안전하게 연결
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
참조: Azure Private Link 사용하여 네트워크를 Azure Automation 안전하게 연결
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 참고 사항: Azure Automation 서비스는 기본 제공 Azure Policy 통해 공용 네트워크 액세스를 사용하지 않도록 설정하거나 PowerShell cmdlet을 사용할 수도 있습니다. - 공용 네트워크 액세스 플래그 설정
구성 지침: 공용 네트워크 액세스를 위해 PowerShell cmdlet 또는 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
참조: Automation 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리를 참조하세요.
IM-1: 중앙 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Arc 지원 서버에 등록된 서버를 통해 Azure 또는 비 Azure 컴퓨터에서 Runbook을 직접 실행하는 데 사용되는 Azure Automation 확장 기반(v2) 사용자 Hybrid Runbook Worker 기능은 Azure AD 인증을 사용합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Automation 서비스는 에이전트 기반(v1) 창 또는 Linux Hybrid Runbook Worker를 통한 데이터 평면 액세스를 위한 인증서 기반 로컬 인증 방법을 지원합니다. 그러나 하이브리드 작업자를 온보딩하는 데 권장되는 방법은 아닙니다. 권장되는 방법으로 확장 기반(v2) 하이브리드 Runbook Worker 설치 방법을 사용합니다. 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 데이터 평면 액세스에 대한 로컬 인증 방법의 사용을 제한합니다. 대신 Azure Active Directory(Azure AD)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.
참조: Automation에서 에이전트 기반 Windows Hybrid Runbook Worker 배포
IM-3: 애플리케이션 ID를 안전하게 자동으로 관리
기능
관리 ID
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: 계정이 포털을 통해 만들어지는 경우 시스템 관리 ID가 기본적으로 만들어지지만, 계정이 API/cmdlet을 통해 만들어진 경우 기본적으로 만들어지지는 않습니다. 계정 생성 후 사용하도록 설정할 수도 있습니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 관리 ID
서비스 주체
설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Automation 보안 자산에는 자격 증명, 인증서, 연결 및 암호화된 변수가 포함됩니다. 이러한 자산은 각 Automation 계정에 대해 생성되는 고유 키를 사용하여 암호화되고 Automation에 저장됩니다. Automation은 시스템 관리 Key Vault 서비스에 키를 저장합니다. 보안 자산을 저장하기 전에 Automation이 Key Vault에서 키를 로드한 다음, 자산을 암호화하는 데 사용합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-7: 충분한 관리 수행(최소 권한) 원칙
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Automation은 Azure RBAC와 통합하여 리소스를 관리합니다. RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에는 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure Automation 역할 권한 및 보안 관리
PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정
기능
고객 Lockbox
설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: Lockbox는 Azure Automation 구현되지 않습니다. 대신 Azure Automation 서비스는 SQL 데이터베이스에 저장하기 전에 고객 관리형 키로 Runbook 스크립트 및 DSC 구성을 암호화하여 자동화 리소스를 암호화합니다.
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure Automation 보안 자산에는 자격 증명, 인증서, 연결 및 암호화된 변수가 포함됩니다. 이러한 자산은 여러 수준의 암호화를 사용하여 Azure Automation에서 보호됩니다. 기본적으로 Azure Automation 계정은 Microsoft 관리형 키를 사용합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Microsoft 관리형 키
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Automation:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 이용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 scope 정의합니다. 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.
참조: Azure Automation 보안 자산 암호화
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault에서 키 관리
설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Automation Automation Runbook에서 사용하는 사용자 지정 비밀을 저장하기 위해 기본적으로 Key Vault 통합을 지원하지 않지만 Automation Runbook 코드 내에서 Key Vault cmdlet을 사용하여 Key Vault 액세스할 수 있습니다.
구성 지침: Azure Key Vault 사용하여 키 생성, 배포 및 스토리지를 포함하여 암호화 키의 수명 주기를 만들고 제어합니다. 정의된 일정에 따라 또는 키 사용 중지 또는 손상이 있는 경우 Azure Key Vault 및 서비스에서 키를 회전하고 해지합니다. 워크로드, 서비스 또는 애플리케이션 수준에서 CMK(고객 관리형 키)를 사용해야 하는 경우 키 관리에 대한 모범 사례를 따라야 합니다. 키 계층 구조를 사용하여 키 자격 증명 모음에서 KEK(키 암호화 키)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다. 키가 Azure Key Vault 등록되고 서비스 또는 애플리케이션의 키 ID를 통해 참조되는지 확인합니다. 서비스에 BYOK(사용자 고유 키)를 가져와야 하는 경우(예: 온-프레미스 HSM에서 Azure Key Vault HSM 보호 키 가져오기) 권장 지침에 따라 초기 키 생성 및 키 전송을 수행합니다.
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault에서 인증 관리
설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Automation 보안 자산에는 자격 증명, 인증서, 연결 및 암호화된 변수가 포함됩니다. 이러한 자산은 각 Automation 계정에 대해 생성되는 고유 키를 사용하여 암호화되고 Automation에 저장됩니다. Automation은 시스템 관리 Key Vault 서비스에 키를 저장합니다. 보안 자산을 저장하기 전에 Automation이 Key Vault에서 키를 로드한 다음, 자산을 암호화하는 데 사용합니다.
구성 지침: Azure Key Vault 사용하여 인증서 만들기, 가져오기, 회전, 해지, 스토리지 및 제거를 포함하여 인증서 수명 주기를 만들고 제어합니다. 인증서 생성이 키 크기 부족, 지나치게 긴 유효 기간, 안전하지 않은 암호화와 같은 안전하지 않은 속성을 사용하지 않고 정의된 표준을 따르는지 확인합니다. 정의된 일정 또는 인증서 만료 시기에 따라 Azure Key Vault 및 Azure 서비스(지원되는 경우)에서 인증서의 자동 회전을 설정합니다. 애플리케이션에서 자동 회전이 지원되지 않는 경우 Azure Key Vault 및 애플리케이션에서 수동 메서드를 사용하여 자동 회전이 계속 회전되는지 확인합니다.
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure Automation 대한 Azure Policy 기본 제공 정의
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스/제품 제공에 대한 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 참고 사항: Azure Automation Runbook 작업 상태 및 작업 스트림을 Log Analytics 작업 영역으로 보낼 수 있습니다. 개별 작업에 대해 Azure Portal에서 또는 PowerShell을 사용하여 작업 로그 및 작업 스트림을 볼 수 있습니다.
구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. 이러한 로그의 내용은 Azure 서비스와 리소스 종류에 따라 달라집니다. Azure Automation에서 Log Analytics 작업 영역으로 Runbook 작업 상태 및 작업 스트림을 보낼 수 있습니다. 개별 작업에 대해 Azure Portal에서 또는 PowerShell을 사용하여 작업 로그 및 작업 스트림을 볼 수 있습니다.
참조: Azure Monitor에 Azure Automation 진단 로그 전달
Backup 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure Backup
설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: Azure Backup 통한 Azure Automation 백업은 지원되지 않습니다. Runbook 및 자산과 같은 유효한 Automation 구성 백업의 유지 관리는 사용자의 책임입니다.
Azure Resource Manager를 사용하여 Automation 계정 및 관련 리소스를 배포할 수 있습니다. Automation 계정 및 관련 리소스 복원을 위해 백업으로 사용하도록 Azure Resource Manager 템플릿을 내보낼 수 있습니다. Automation을 사용하여 정기적으로 Azure Resource Manager 템플릿 내보내기 API를 호출합니다.
이 기능 구성에 대해 (Automation Data Backup) [/azure/automation/automation-managing-data#data-backup]을 따릅니다. organization 이 보안 기능을 구성할지 검토하고 확인하세요. Automation 계정에 대한 설정(재해 복구)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one]에 대한 지침을 활용할 수도 있습니다.
또한 소스 제어 통합 기능을 사용하면 소스 제어 리포지토리의 스크립트로 Automation 계정의 Runbook을 최신 상태로 유지할 수 있습니다.
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
서비스 네이티브 백업 기능
설명: 서비스는 고유한 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: Azure Automation 네이티브 백업 메커니즘을 제공하지 않습니다. Runbook 및 자산과 같은 유효한 Automation 구성 백업의 유지 관리는 사용자의 책임입니다.
Azure Resource Manager를 사용하여 Automation 계정 및 관련 리소스를 배포할 수 있습니다. Automation 계정 및 관련 리소스 복원을 위해 백업으로 사용하도록 Azure Resource Manager 템플릿을 내보낼 수 있습니다. Automation을 사용하여 정기적으로 Azure Resource Manager 템플릿 내보내기 API를 호출합니다.
또한 소스 제어 통합 기능을 사용하면 소스 제어 리포지토리의 스크립트로 Automation 계정의 Runbook을 최신 상태로 유지할 수 있습니다.
organization 이 보안 기능을 구성할지 검토하고 확인하세요. Automation 계정에 대한 재해 복구 설정에 대한 지침을 활용할 수도 있습니다.
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.