Storage에 대한 Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 Storage에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 Storage에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
스토리지에 적용되지 않는 기능은 제외되었습니다. Storage가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 스토리지 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 스토리지의 영향력이 큰 동작이 요약되어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 스토리지 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 미사용 고객 콘텐츠 저장 | True |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Storage에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
참조: Azure Storage에 프라이빗 엔드포인트 사용
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Storage 서비스 수준 IP ACL 필터링 또는 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리를 참조하세요.
IM-1: 중앙 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: 스토리지는 데이터 평면에 권한을 부여하는 여러 가지 방법을 제공합니다. Azure는 스토리지 계정의 리소스에 대한 클라이언트 액세스를 세부적으로 제어하는 Azure RBAC(Azure 역할 기반 액세스 제어)를 제공합니다. 가능한 경우 더 쉽게 손상될 수 있는 계정 키를 사용하는 대신 Azure AD 자격 증명을 보안 모범 사례로 사용합니다. 애플리케이션 디자인에서 Blob Storage에 액세스하기 위해 공유 액세스 서명이 필요한 경우 Azure AD 자격 증명을 사용하여 보안 강화를 위해 가능한 경우 SAS(사용자 위임 공유 액세스 서명)를 만듭니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure Storage의 데이터에 대한 액세스 권한 부여
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 참고 사항: 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 데이터 평면 액세스에 대한 로컬 인증 방법의 사용을 제한합니다. 대신 Azure Active Directory(Azure AD)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.
참조: SFTP 권한 모델
IM-3: 애플리케이션 ID를 안전하게 자동으로 관리
기능
관리 ID
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 가능한 경우 서비스 주체 대신 Azure 관리 ID를 사용하여 Azure 서비스 및 Azure Active Directory(Azure AD) 인증을 지원하는 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다.
참조: Azure 리소스에 대한 관리 ID를 사용하여 Blob 데이터에 대한 액세스 권한 부여
서비스 주체
설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
추가 지침: Azure AD 사용하면 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 사용자, 그룹 또는 애플리케이션 서비스 주체일 수 있는 보안 주체에 권한을 부여할 수 있습니다. 보안 주체는 Azure AD에 의해 인증되어 OAuth 2.0 토큰을 반환합니다. 그런 다음 토큰을 사용하여 Blob service에 대한 요청을 승인할 수 있습니다.
참조: Azure Active Directory를 사용하여 Blob에 대한 액세스 권한 부여
IM-7: 조건에 따라 리소스 액세스 제한
기능
데이터 평면에 대한 조건부 액세스
설명: 데이터 평면 액세스는 Azure AD 조건부 액세스 정책을 사용하여 제어할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 워크로드에서 Azure Active Directory(Azure AD) 조건부 액세스에 해당하는 조건 및 조건을 정의합니다. 특정 위치에서 액세스 차단 또는 부여, 위험한 로그인 동작 차단 또는 특정 애플리케이션에 organization 관리 디바이스 요구와 같은 일반적인 사용 사례를 고려합니다.
참조: Azure AD 조건부 액세스를 사용하도록 공유 키 권한 부여 허용 안 됨
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 비밀 및 자격 증명을 코드 또는 구성 파일에 포함하는 대신 Azure Key Vault 같은 보안 위치에 저장해야 합니다.
참조: Key Vault 및 Azure CLI를 사용하여 스토리지 계정 키 관리
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한
기능
로컬 관리 계정
설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
PA-7: 충분한 관리 수행(최소 권한) 원칙
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Storage는 Azure AD(Azure Active Directory)를 사용하여 Blob 데이터에 대한 요청에 권한을 부여할 수 있도록 지원합니다. Azure AD를 사용하면 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 사용자, 그룹 또는 애플리케이션 서비스 주체일 수 있는 보안 주체에 권한을 부여할 수 있습니다.
Azure AD를 사용하여 Azure Storage에 대한 요청에 권한을 부여하면 공유 키 권한 부여보다 뛰어난 보안과 사용 편의성이 구현됩니다. Microsoft는 최소 필수 권한으로 액세스를 보장하기 위해 가능한 경우 Blob 애플리케이션과 함께 Azure AD 권한 부여를 사용하는 것이 좋습니다.
참조: Azure Active Directory를 사용하여 Blob에 대한 액세스 권한 부여
PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정
기능
고객 Lockbox
설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다.
참조: 고객 Lockbox
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure purview와 스토리지 통합은 현재 프라이빗 미리 보기로 제공됩니다.
구성 지침: Azure Purview를 사용하여 Azure Storage에 있는 중요한 데이터를 검사, 분류 및 레이블을 지정합니다.
참조: Microsoft Purview에서 Azure Blob Storage에 연결
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 유출/손실 방지
설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 스토리지용 Defender는 Azure Blob Storage 및 Azure Files 서비스에서 생성된 원격 분석 스트림을 지속적으로 분석합니다. 잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업 및 보안 권장 사항과 함께 의심스러운 작업에 대한 세부 정보와 함께 클라우드용 Microsoft Defender에 표시됩니다.
Microsoft Defender for Storage는 Microsoft Defender for Cloud에 내장되어 있습니다. 구독에서 클라우드용 Microsoft Defender for Cloud의 향상된 보안 기능을 사용하도록 설정하면 모든 스토리지 계정에 대해 Microsoft Defender for Storage가 자동으로 사용하도록 설정됩니다. 특정 구독에서 개별 스토리지 계정에 대해 스토리지용 Defender를 사용하거나 사용하지 않도록 설정할 수 있습니다.
참조: 스토리지에 대한 Microsoft Defender 구성
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 스토리지 계정에 대한 요청에 필요한 최소 버전의 TLS(전송 계층 보안) 적용
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 미사용 데이터에 대한 Azure Storage 암호화
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 이용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 scope 정의합니다. Azure Storage에 대한 고객 관리형 키를 사용하여 scope 데이터에 대한 미사용 데이터 암호화 사용 및 구현
참조: Azure Storage 암호화를 위한 고객 관리형 키
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault에서 키 관리
설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Key Vault 사용하여 키 생성, 배포 및 스토리지를 포함하여 암호화 키의 수명 주기를 만들고 제어합니다. 정의된 일정에 따라 또는 키 사용 중지 또는 손상이 있는 경우 Azure Key Vault 및 서비스에서 키를 회전하고 해지합니다. 워크로드, 서비스 또는 애플리케이션 수준에서 CMK(고객 관리형 키)를 사용해야 하는 경우 키 관리에 대한 모범 사례를 따라야 합니다. 키 계층 구조를 사용하여 키 자격 증명 모음에서 KEK(키 암호화 키)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다. 키가 Azure Key Vault 등록되고 서비스 또는 애플리케이션의 키 ID를 통해 참조되는지 확인합니다. 서비스에 BYOK(사용자 고유 키)를 가져와야 하는 경우(예: 온-프레미스 HSM에서 Azure Key Vault HSM 보호 키 가져오기) 권장 지침에 따라 초기 키 생성 및 키 전송을 수행합니다.
참조: Key Vault 및 Azure CLI를 사용하여 스토리지 계정 키 관리
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Policy 사용하여 Azure Storage 계정과 연결된 네트워크 리소스에 대한 표준 보안 구성을 정의하고 구현합니다. "Microsoft.Storage" 및 "Microsoft.Network" 네임스페이스에서 Azure Policy 별칭을 사용하여 스토리지 계정 리소스의 네트워크 구성을 감사하거나 적용하기 위한 사용자 지정 정책을 생성합니다.
스토리지 계정과 관련된 기본 제공 정책 정의도 사용할 수 있습니다. 예를 들어 스토리지 계정은 스토리지 계정과 관련된 기본 제공 정책 정의를 사용할 수도 있습니다.
참조: Azure Storage에 대한 기본 제공 정의 Azure Policy
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스/제품 제공에 대한 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 스토리지용 Microsoft Defender 사용하여 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하는 추가 보안 인텔리전스 계층을 제공합니다. 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터를 사용하여 상황에 맞는 보안 경고를 제공합니다. 이러한 경고에는 검색된 위협을 완화하고 향후 공격을 방지하는 단계도 포함됩니다.
참조: 스토리지용 Microsoft Defender 소개
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Monitor를 통해 로그를 수집하여 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에서 생성된 보안 데이터를 집계합니다. Azure Monitor 내에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리 및 수행하고, 장기/보관 스토리지에 Azure Storage 계정을 사용하고, 필요에 따라 변경이 불가능한 스토리지 및 적용된 보존 보류와 같은 보안 기능을 사용합니다.
Backup 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure Backup
설명: 서비스는 Azure Backup 서비스에서 백업할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Backup 현재 Azure Blob Storage에 대해서만 지원됩니다. AzCopy 명령줄 도구를 사용하여 큐 및 테이블 데이터를 백업할 수 있습니다.
구성 지침: Azure Backup 사용하도록 설정하고 원하는 빈도 및 원하는 보존 기간으로 백업 원본을 구성합니다. Azure Backup를 사용하면 스토리지 계정에서 블록 Blob을 보호하기 위한 운영 백업을 쉽게 구성할 수 있습니다. Blob 백업은 스토리지 계정 수준에서 구성됩니다. 따라서 스토리지 계정의 모든 Blob은 운영 백업으로 보호됩니다.
백업 센터를 사용하여 여러 스토리지 계정에 대한 백업을 구성할 수 있습니다. 스토리지 계정의 데이터 보호 속성을 사용하여 스토리지 계정에 대한 백업을 구성할 수도 있습니다.
서비스 네이티브 백업 기능
설명: 서비스는 고유한 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
추가 지침: Blob의 운영 백업은 로컬 백업 솔루션입니다. 따라서 백업 데이터는 Backup 자격 증명 모음으로 전송되지 않지만 원본 스토리지 계정에 저장됩니다. 그러나 Backup 자격 증명 모음은 여전히 백업 관리 단위로 사용됩니다. 또한 이것은 연속 백업 솔루션이므로 백업을 예약할 필요가 없으며 모든 변경 내용은 유지되며 선택한 시점의 상태에서 복원 가능합니다.
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.