Azure Cosmos DB에 대한 Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 Azure Cosmos DB에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 Azure Cosmos DB에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
Azure Cosmos DB에 적용되지 않는 기능은 제외되었습니다. Azure Cosmos DB가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑되는 방법을 보려면 전체 Azure Cosmos DB 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 Azure Cosmos DB의 영향력이 큰 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.
서비스 동작 특성 | 값 |
---|---|
제품 범주 | 데이터베이스 |
고객이 HOST/OS에 액세스할 수 있음 | 액세스 권한 없음 |
서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | False |
고객 콘텐츠를 미사용으로 저장 | True |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 가상 네트워크에 서비스를 배포합니다. Azure Cosmos DB 계정은 공용 IP를 통해 가상 네트워크에 노출됩니다.
참조: VNet(가상 네트워크)에서 Azure Cosmos DB에 대한 액세스 구성
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 해당 서브넷에 대한 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
참조: Azure Cosmos 계정에 대한 Azure Private Link 구성
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 서비스 수준 IP ACL 필터링 규칙을 사용하거나 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
참조: Azure Cosmos DB에서 IP 방화벽 구성
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.DocumentDB:
Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리를 참조하세요.
IM-1: 중앙 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증을 사용할 수 있도록 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
기능 정보: Azure AD 인증은 Core(SQL) API에서만 지원됩니다. 다른 API는 키 기반 인증만 지원합니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: Azure Cosmos DB 계정에 대한 Azure Active Directory를 사용하여 역할 기반 액세스 제어 구성
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | True | Microsoft |
기능 정보: 로컬 인증 방법 또는 계정의 사용을 방지하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure Cosmos DB의 데이터에 대한 보안 액세스
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.DocumentDB:
Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
---|---|---|---|
Cosmos DB 데이터베이스 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 | 로컬 인증 방법을 사용하지 않도록 설정하면 Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
IM-3: 애플리케이션 ID를 안전하게 자동으로 관리
기능
관리 ID
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
기능 정보: Azure AD 인증은 Core(SQL) API에서만 지원됩니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: Azure Cosmos DB 계정에 대한 Azure Active Directory를 사용하여 관리 ID 구성
서비스 주체
설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
기능 정보: Azure AD 인증은 Core(SQL) API에서만 지원됩니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: Azure Cosmos DB 계정에 대한 Azure Active Directory를 사용하여 역할 기반 액세스 제어 구성
IM-7: 조건에 따라 리소스 액세스 제한
기능
데이터 평면에 대한 조건부 액세스
설명: 데이터 평면 액세스는 Azure AD 조건부 액세스 정책을 사용하여 제어할 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
기능 정보: 조건부 액세스 정책은 Azure AD 인증이 사용되는 경우 지원됩니다. Azure AD 인증은 Core(SQL) API에서만 지원됩니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: Cosmos DB는 기본/보조 키(공유 비밀)를 사용하여 데이터에 대한 액세스를 제어할 수 있습니다. 이러한 비밀을 Key Vault 통합하는 것은 Cosmos DB에서 직접 지원되지 않지만 공유 비밀을 사용하는 사용자 지정 클라이언트 코드는 원하는 경우 Key Vault 사용할 수 있습니다.
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-7: 충분한 관리 수행(최소 권한) 원칙
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성할지 검토하고 확인하세요.
참조: Azure Cosmos DB 계정에 대한 Azure Active Directory를 사용하여 역할 기반 액세스 제어 구성
PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정
기능
고객 Lockbox
설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: 서비스의 다중 테넌트 특성으로 인해 Azure Cosmos DB에서 Lockbox를 구현할 수 없습니다.
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
기능 정보: Microsoft Purview 데이터 분류는 Azure Cosmos DB Core(SQL) API만 지원합니다.
구성 지침: Microsoft Purview를 사용하여 Azure Cosmos DB 계정에 있는 중요한 데이터를 중앙에서 검사, 분류 및 레이블 지정합니다.
참조: Microsoft Purview에서 Azure Cosmos 데이터베이스(SQL API)에 연결
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 유출/손실 방지
설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: Azure Cosmos DB에 대한 Microsoft Defender 사용하여 데이터 반출 시도를 검색합니다.
참조: Azure Cosmos DB에 대한 Microsoft Defender
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | True | Microsoft |
기능 정보: Cosmos DB는 TLS v1.2 이상을 사용하여 전송 중인 데이터 암호화를 지원하며 이를 사용하지 않도록 설정할 수 없습니다. 또한 Azure는 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 이중 암호화
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | True | Microsoft |
기능 정보: Azure Cosmos DB 계정에 저장된 데이터는 Microsoft에서 관리하는 키(서비스 관리형 키)로 자동으로 원활하게 암호화됩니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 이용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장한 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 scope 정의합니다. 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.
참조: Azure Key Vault 사용하여 Azure Cosmos 계정에 대한 고객 관리형 키 구성
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.DocumentDB:
Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 자세히 알아보세요. | 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 | 1.1.0 |
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault에서 키 관리
설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: Azure Key Vault 사용하여 Azure Cosmos DB 계정에 대한 고객 관리형 키 구성
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: 기본 제공 정책 정의 Azure Policy - Cosmos DB
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스/제품 제공에 대한 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: Azure Cosmos DB에 대한 Microsoft Defender 사용하여 여러 보안 위협을 자동으로 검색합니다.
참조: Azure Cosmos DB에 대한 Microsoft Defender
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | False | Customer |
구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. Azure Cosmos DB를 사용하면 Azure Log Analytics로 분석할 수 있는 Azure Monitor 또는 사용자 지정 진단 로그를 통해 활동을 모니터링할 수 있습니다.
Backup 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure Backup
설명: 서비스는 Azure Backup 서비스에서 백업할 수 있습니다. 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
서비스 네이티브 백업 기능
설명: 서비스는 고유한 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아보세요.
지원됨 | 기본적으로 사용 | 구성 책임 |
---|---|---|
True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure Cosmos DB의 온라인 백업 및 주문형 데이터 복원
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.