보안 제어: 네트워크 보안
네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다.
NS-1: 네트워크 구분 경계 설정
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
보안 원칙: 가상 네트워크 배포가 GS-2 보안 제어에 정의된 엔터프라이즈 구분 전략에 부합하는지 확인합니다. 조직에 더 높은 위험을 초래할 수 있는 모든 워크로드는 격리된 가상 네트워크에 있어야 합니다.
고위험 워크로드의 예는 다음과 같습니다.
- 매우 중요한 데이터를 저장하거나 처리하는 애플리케이션입니다.
- 조직 외부의 일반 사용자 또는 사용자가 액세스할 수 있는 외부 네트워크 연결 애플리케이션입니다.
- 안전하지 않은 아키텍처를 사용하거나 쉽게 수정할 수 없는 취약성을 포함하는 애플리케이션입니다.
엔터프라이즈 구분 전략을 향상시키려면 네트워크 컨트롤을 사용하여 내부 리소스 간의 트래픽을 제한하거나 모니터링합니다. 구체적이고 잘 정의된 애플리케이션(예: 3계층 앱)의 경우 네트워크 트래픽의 포트, 프로토콜, 원본 및 대상 IP를 제한하여 매우 안전한 "기본적으로 거부하고 예외로 허용"하는 방법이 될 수 있습니다. 서로 상호 작용하는 많은 애플리케이션과 엔드포인트가 있는 경우 트래픽 차단이 제대로 확장되지 않을 수 있으며 트래픽을 모니터링할 수만 있을 수 있습니다.
Azure 지침: VM과 같은 리소스를 네트워크 경계 내의 VNet에 배포할 수 있도록 Azure 네트워크에서 기본 구분 접근 방식으로 VNet(가상 네트워크)을 만듭니다. 네트워크를 더 자세히 구분하기 위해 VNet 내부에 더 작은 하위 네트워크용 서브넷을 만들 수 있습니다.
NSG(네트워크 보안 그룹)를 네트워크 계층 제어로 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. NS-7: 적응형 네트워크 강화를 사용하도록 네트워크 보안 구성 간소화를 참조하여 위협 인텔리전스 및 트래픽 분석 결과에 따라 NSG 강화 규칙을 권장합니다.
ASG(애플리케이션 보안 그룹)를 사용하여 복잡한 구성을 단순화할 수도 있습니다. 네트워크 보안 그룹의 명시적 IP 주소를 기반으로 정책을 정의하는 대신 ASG를 사용하면 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성할 수 있으므로 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- Azure Virtual Network 개념 및 모범 사례
- 가상 네트워크 서브넷 추가, 변경 또는 삭제
- 보안 규칙을 사용하여 네트워크 보안 그룹을 만드는 방법
- 애플리케이션 보안 그룹 이해 및 사용
AWS 지침: AWS 네트워크에서 기본 구분 접근 방식으로 VPC(가상 프라이빗 클라우드)를 만들어 EC2 인스턴스와 같은 리소스를 네트워크 경계 내의 VPC에 배포할 수 있습니다. 네트워크를 추가로 분할하려면 더 작은 하위 네트워크에 대한 VPC 내에 서브넷을 만들 수 있습니다.
EC2 인스턴스의 경우 상태 저장 방화벽으로 보안 그룹을 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한합니다. VPC 서브넷 수준에서 NACL(네트워크 Access Control 목록)을 상태 비저장 방화벽으로 사용하여 서브넷으로의 수신 및 송신 트래픽에 대한 명시적 규칙을 만듭니다.
참고: VPC 트래픽을 제어하려면 인터넷 및 NAT 게이트웨이를 구성하여 인터넷으로의 트래픽이 제한되도록 해야 합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: GCP 네트워크에서 기본 구분 접근 방식으로 VPC(가상 프라이빗 클라우드) 네트워크를 만들면 컴퓨팅 엔진 VM(가상 머신 인스턴스)과 같은 리소스를 네트워크 경계 내의 VPC 네트워크에 배포할 수 있습니다. 네트워크를 추가로 분할하려면 더 작은 하위 네트워크에 대한 VPC 내에 서브넷을 만들 수 있습니다.
VPC 방화벽 규칙을 분산 네트워크 계층 제어로 사용하여 VM, GKE(Google Kubernetes Engine) 클러스터 및 앱 엔진 유연한 환경 인스턴스를 포함하는 VPC 네트워크의 대상 인스턴스에 대한 연결을 허용하거나 거부합니다.
또한 VPC 네트워크의 모든 인스턴스, 일치하는 네트워크 태그가 있는 인스턴스 또는 특정 서비스 계정을 사용하는 인스턴스를 대상으로 지정하도록 VPC 방화벽 규칙을 구성하여 인스턴스를 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
NS-2: 네트워크 제어를 사용하여 클라우드 네이티브 서비스 보호
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
보안 원칙: 리소스에 대한 프라이빗 액세스 지점을 설정하여 클라우드 서비스를 보호합니다. 또한 가능하면 공용 네트워크에서 액세스를 사용하지 않도록 설정하거나 제한해야 합니다.
Azure 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다. Private Link 사용하면 프라이빗 연결이 공용 네트워크를 통해 라우팅되지 않습니다.
참고: 특정 Azure 서비스는 서비스 엔드포인트 기능을 통한 프라이빗 통신을 허용할 수도 있지만 Azure 플랫폼에서 호스트되는 서비스에 대한 보안 및 프라이빗 액세스를 위해 Azure Private Link 사용하는 것이 좋습니다.
특정 서비스의 경우 서비스에 대한 프라이빗 액세스 지점을 설정하도록 VNET을 제한할 수 있는 서비스에 대한 VNet 통합을 배포하도록 선택할 수 있습니다.
또한 서비스 네이티브 네트워크 ACL 규칙을 구성하거나 공용 네트워크 액세스를 사용하지 않도록 설정하여 공용 네트워크의 액세스를 차단하는 옵션도 있습니다.
Azure VM의 경우 강력한 사용 사례가 없는 한 공용 IP/서브넷을 VM 인터페이스에 직접 할당하지 말고 대신 게이트웨이 또는 부하 분산 장치 서비스를 공용 네트워크에서 액세스하기 위한 프런트 엔드로 사용해야 합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: PrivateLink 기능을 지원하는 모든 AWS 리소스에 대해 VPC PrivateLink를 배포하여 다른 AWS 계정(VPC 엔드포인트 서비스)에서 호스트하는 지원되는 AWS 서비스 또는 서비스에 대한 프라이빗 연결을 허용합니다. PrivateLink를 사용하면 공용 네트워크를 통한 라우팅에서 프라이빗 연결이 유지됩니다.
특정 서비스의 경우 사용자 고유의 VPC에 instance 서비스를 배포하여 트래픽을 격리하도록 선택할 수 있습니다.
또한 공용 네트워크에서 액세스를 차단하도록 서비스 네이티브 ACL 규칙을 구성하는 옵션도 있습니다. 예를 들어 Amazon S3을 사용하면 버킷 또는 계정 수준에서 공용 액세스를 차단할 수 있습니다.
VPC의 서비스 리소스에 IP를 할당할 때 강력한 사용 사례가 없는 한 리소스에 직접 공용 IP/서브넷을 할당하지 말고 개인 IP/서브넷을 대신 사용해야 합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 이를 지원하는 모든 GCP 리소스에 대해 VPC 프라이빗 Google Access 구현을 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다. 이러한 프라이빗 액세스 옵션은 공용 네트워크를 통한 라우팅에서 프라이빗 연결을 유지합니다. 프라이빗 Google Access에는 내부 IP 주소만 있는 VM 인스턴스가 있습니다(외부 IP 주소 없음).
특정 서비스의 경우 사용자 고유의 VPC에 instance 서비스를 배포하여 트래픽을 격리하도록 선택할 수 있습니다. 또한 공용 네트워크에서 액세스를 차단하도록 서비스 네이티브 ACL 규칙을 구성하는 옵션도 있습니다. 예를 들어 앱 엔진 방화벽을 사용하면 앱 엔진 리소스와 통신할 때 허용되거나 거부되는 네트워크 트래픽을 제어할 수 있습니다. Cloud Storage는 개별 버킷 또는 organization 수준에서 공용 액세스 방지를 적용할 수 있는 또 다른 리소스입니다.
GCP 컴퓨팅 엔진 VM의 경우 강력한 사용 사례가 없는 한 공용 IP/서브넷을 VM 인터페이스에 직접 할당하지 말고 대신 게이트웨이 또는 부하 분산 장치 서비스를 공용 네트워크에서 액세스하기 위한 프런트 엔드로 사용해야 합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
NS-3: 엔터프라이즈 네트워크의 에지에 방화벽 배포
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
보안 원칙: 방화벽을 배포하여 외부 네트워크 간에 네트워크 트래픽에 대한 고급 필터링을 수행합니다. 내부 세그먼트 간에 방화벽을 사용하여 구분 전략을 지원할 수도 있습니다. 필요한 경우 보안 제어를 위해 네트워크 트래픽이 네트워크 어플라이언스 통과하도록 강제해야 하는 경우 서브넷에 대한 사용자 지정 경로를 사용하여 시스템 경로를 재정의합니다.
최소한 알려진 잘못된 IP 주소와 원격 관리(예: RDP 및 SSH) 및 인트라넷 프로토콜(예: SMB 및 Kerberos)과 같은 고위험 프로토콜은 차단합니다.
Azure 지침: Azure Firewall 사용하여 많은 수의 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대해 완전한 상태 저장 애플리케이션 계층 트래픽 제한(예: URL 필터링) 및/또는 중앙 관리를 제공합니다.
허브/스포크 설정과 같은 복잡한 네트워크 토폴로지가 있는 경우 트래픽이 원하는 경로를 통과하도록 UDR(사용자 정의 경로)을 만들어야 할 수 있습니다. 예를 들어 UDR을 사용하여 특정 Azure Firewall 또는 네트워크 가상 어플라이언스 통해 송신 인터넷 트래픽을 리디렉션하는 옵션이 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 네트워크 방화벽을 사용하여 많은 수의 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대해 완전히 상태 저장 애플리케이션 계층 트래픽 제한(예: URL 필터링) 및/또는 중앙 관리를 제공합니다.
허브/스포크 설정과 같은 복잡한 네트워크 토폴로지가 있는 경우 트래픽이 원하는 경로를 통과하도록 사용자 지정 VPC 경로 테이블을 만들어야 할 수 있습니다. 예를 들어 사용자 지정 경로를 사용하여 특정 AWS 방화벽 또는 네트워크 가상 어플라이언스 통해 송신 인터넷 트래픽을 리디렉션하는 옵션이 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud Armor 보안 정책을 사용하여 일반적인 웹 공격의 계층 7 필터링 및 보호를 제공합니다. 또한 VPC 방화벽 규칙을 사용하여 많은 수의 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)를 통해 중앙 관리를 위한 분산되고 완전한 상태 저장 네트워크 계층 트래픽 제한 및 방화벽 정책을 제공합니다.
허브/스포크 설정과 같은 복잡한 네트워크 토폴로지가 있는 경우 방화벽 규칙을 그룹화하고 여러 VPC 네트워크에 적용할 수 있도록 계층 구조로 하는 방화벽 정책을 만듭니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
NS-4: IDS/IPS(침입 검색 시스템/침입 방지 시스템) 배포
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11.4 |
보안 원칙: 네트워크 침입 감지 및 침입 방지 시스템(IDS/IPS)을 사용하여 네트워크를 검사하고 워크로드를 오가는 트래픽을 페이로드합니다. IDS/IPS가 항상 SIEM 솔루션에 고품질 경고를 제공하도록 조정되어 있는지 확인합니다.
보다 심층적인 호스트 수준 검색 및 방지 기능을 사용하려면 네트워크 IDS/IPS와 함께 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 사용합니다.
Azure 지침: Azure Firewall IDPS 기능을 사용하여 가상 네트워크를 보호하여 알려진 악성 IP 주소 및 도메인 간 트래픽을 경고 및/또는 차단합니다.
보다 심층적인 호스트 수준 검색 및 방지 기능을 위해 네트워크 IDS/IPS와 함께 VM 수준에서 호스트 기반 IDS/IPS 또는 엔드포인트용 Microsoft Defender와 같은 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 배포합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 네트워크 방화벽의 IPS 기능을 사용하여 VPC를 보호하여 알려진 악성 IP 주소 및 도메인에 대한 트래픽을 경고 및/또는 차단합니다.
보다 심층적인 호스트 수준 검색 및 방지 기능을 위해 호스트 기반 IDS/IPS 또는 호스트 기반 IDS/IPS에 대한 타사 솔루션과 같은 호스트 기반 EDR(엔드포인트 검색 및 응답) 솔루션을 VM 수준에서 네트워크 IDS/IPS와 함께 배포합니다.
참고: 마켓플레이스에서 타사 IDS/IPS를 사용하는 경우 전송 게이트웨이 및 게이트웨이 분산 장치를 사용하여 인라인 검사를 위해 트래픽을 전달합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud IDS 기능을 사용하여 네트워크의 침입, 맬웨어, 스파이웨어 및 명령 및 제어 공격에 대한 위협 탐지를 제공합니다. 클라우드 ID는 미러된 VM(가상 머신) 인스턴스를 사용하여 Google 관리 피어링 네트워크를 만들어 작동합니다. 피어링된 네트워크의 트래픽은 미러링된 다음 포함된 Palo Alto Networks 위협 방지 기술에 의해 검사되어 고급 위협 탐지를 제공합니다. 프로토콜 또는 IP 주소 범위에 따라 모든 수신 및 송신 트래픽을 미러 수 있습니다.
더 심층적인 호스트 수준 검색 및 방지 기능을 보려면 해당 지역의 모든 영역에서 트래픽을 검사할 수 있는 영역 리소스로 IDS 엔드포인트를 배포합니다. 각 IDS 엔드포인트는 미러된 트래픽을 수신하고 위협 탐지 분석을 수행합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
NS-5: DDOS 보호 배포
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
보안 원칙: DDoS(분산 서비스 거부) 보호를 배포하여 공격으로부터 네트워크 및 애플리케이션을 보호합니다.
Azure 지침: DDoS Protection Basic은 Azure 기본 플랫폼 인프라(예: Azure DNS)를 보호하기 위해 자동으로 사용하도록 설정되며 사용자의 구성이 필요하지 않습니다.
HTTP 홍수 및 DNS 홍수와 같은 애플리케이션 계층(계층 7) 공격의 높은 수준의 보호를 위해 VNet에서 DDoS 표준 보호 계획을 사용하도록 설정하여 공용 네트워크에 노출된 리소스를 보호합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Shield 표준은 일반적인 네트워크 및 전송 계층(계층 3 및 4) DDoS 공격으로부터 워크로드를 보호하기 위해 표준 완화를 통해 자동으로 사용하도록 설정됩니다.
HTTPS 홍수 및 DNS 홍수와 같은 애플리케이션 계층(계층 7) 공격에 대한 더 높은 수준의 애플리케이션 보호를 위해 Amazon EC2, ELB(탄력적 부하 분산), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53에서 AWS Shield Advanced Protection을 사용하도록 설정합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud Armor는 DDoS 공격으로부터 시스템을 보호하는 데 도움이 되는 다음 옵션을 제공합니다.
- 표준 네트워크 DDoS 보호: 공용 IP 주소가 있는 네트워크 부하 분산 장치, 프로토콜 전달 또는 VM에 대한 기본 상시 보호입니다.
- 고급 네트워크 DDoS 보호: 공용 IP 주소가 있는 네트워크 부하 분산 장치, 프로토콜 전달 또는 VM을 사용하는 관리형 보호 플러스 구독자를 위한 추가 보호입니다.
- 표준 네트워크 DDoS 보호는 항상 사용하도록 설정됩니다. 지역별로 고급 네트워크 DDoS 보호를 구성합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
NS-6: 웹 애플리케이션 방화벽 배포
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
13.10 | SC-7 | 1.1, 1.2, 1.3 |
보안 원칙: WAF(웹 애플리케이션 방화벽)를 배포하고 애플리케이션별 공격으로부터 웹 애플리케이션 및 API를 보호하기 위한 적절한 규칙을 구성합니다.
Azure 지침: Azure Application Gateway, Azure Front Door 및 AZURE CDN(Content Delivery Network)에서 WAF(웹 애플리케이션 방화벽) 기능을 사용하여 네트워크 가장자리의 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다.
요구 사항과 위협 환경에 따라 WAF를 "검색" 또는 "방지 모드"로 설정합니다.
OWASP 상위 10개 취약성과 같은 기본 제공 규칙 집합을 선택하고 애플리케이션 요구 사항에 맞게 조정합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: Amazon CloudFront 배포, Amazon API Gateway, 애플리케이션 Load Balancer 또는 AWS AppSync에서 WAF(AWS Web Application Firewall)를 사용하여 네트워크 가장자리의 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다.
WAF용 AWS 관리형 규칙을 사용하여 기본 제공 기준 그룹을 배포하고 사용자 사례 규칙 그룹에 대한 애플리케이션 요구 사항에 맞게 사용자 지정합니다.
WAF 규칙 배포를 간소화하기 위해 AWS WAF 보안 자동화 솔루션을 사용하여 웹 ACL에서 웹 기반 공격을 필터링하는 미리 정의된 AWS WAF 규칙을 자동으로 배포할 수도 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud Armor를 사용하여 서비스 거부 및 웹 공격으로부터 애플리케이션 및 웹 사이트를 보호합니다.
업계 표준에 따라 Google Cloud Armor 기본 제공 규칙을 사용하여 일반적인 웹 애플리케이션 취약성을 완화하고 OWASP 상위 10위로부터 보호를 제공합니다.
ModSecurity CRS(핵심 규칙)에서 공급되는 여러 서명으로 구성된 미리 구성된 WAF 규칙을 설정합니다. 각 서명은 규칙 집합의 공격 검색 규칙에 해당합니다.
Cloud Armor는 외부 부하 분산 장치와 함께 작동하며 애플리케이션이 Google Cloud, 하이브리드 배포 또는 다중 클라우드 아키텍처에 배포되었는지 여부에 관계없이 DDoS(분산 서비스 거부) 및 기타 웹 기반 공격으로부터 보호합니다. 구성 가능한 일치 조건 및 보안 정책의 작업을 사용하여 보안 정책을 수동으로 구성할 수 있습니다. Cloud Armor는 다양한 사용 사례를 다루는 미리 구성된 보안 정책도 제공합니다.
Cloud Armor의 적응형 보호는 백 엔드 서비스에 대한 트래픽 패턴을 분석하고, 의심스러운 공격을 감지 및 경고하고, 이러한 공격을 완화하기 위해 제안된 WAF 규칙을 생성하여 L7 분산 공격으로부터 애플리케이션 및 서비스를 방지, 감지 및 보호할 수 있습니다. 이러한 규칙은 요구 사항에 맞게 미세 조정할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-7: 네트워크 보안 구성 간소화
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
보안 원칙: 복잡한 네트워크 환경을 관리할 때 도구를 사용하여 네트워크 보안 관리를 간소화, 중앙 집중화 및 개선합니다.
Azure 지침: 다음 기능을 사용하여 가상 네트워크, NSG 규칙 및 Azure Firewall 규칙의 구현 및 관리를 간소화합니다.
- Azure Virtual Network Manager를 사용하여 지역 및 구독에서 가상 네트워크 및 NSG 규칙을 그룹화, 구성, 배포 및 관리합니다.
- 클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 위협 인텔리전스 및 트래픽 분석 결과를 기반으로 포트, 프로토콜 및 원본 IP를 추가로 제한하는 NSG 강화 규칙을 권장합니다.
- Azure Firewall Manager를 사용하여 방화벽 정책을 중앙 집중화하고 가상 네트워크의 경로를 관리합니다. 방화벽 규칙 및 네트워크 보안 그룹 구현을 간소화하기 위해 Azure Firewall Manager ARM(Azure Resource Manager) 템플릿을 사용할 수도 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Firewall Manager를 사용하여 다음 서비스에서 네트워크 보호 정책 관리를 중앙 집중화합니다.
- AWS WAF 정책
- AWS Shield 고급 정책
- VPC 보안 그룹 정책
- 네트워크 방화벽 정책
AWS Firewall Manager는 자동으로 방화벽 관련 정책을 분석하고 비준수 리소스 및 감지된 공격에 대한 결과를 만들어 조사를 위해 AWS 보안 허브로 보낼 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 다음 기능을 사용하여 VPC(가상 프라이빗 클라우드) 네트워크, 방화벽 규칙 및 WAF 규칙의 구현 및 관리를 간소화합니다.
- VPC 네트워크를 사용하여 개별 VPC 네트워크 및 VPC 방화벽 규칙을 관리하고 구성합니다.
- 계층적 방화벽 정책을 사용하여 방화벽 규칙을 그룹화하고 전역 또는 지역 규모로 계층적으로 정책 규칙을 적용합니다.
- Google Cloud Armor를 사용하여 사용자 지정 보안 정책, 미리 구성된 WAF 규칙 및 DDoS 보호를 적용합니다.
네트워크 인텔리전스 센터에서 네트워크를 분석하고 가상 네트워크 토폴로지, 방화벽 규칙 및 네트워크 연결 상태 대한 인사이트를 확보하여 관리 효율성을 향상시킬 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 사용하지 않도록 설정
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
보안 원칙: OS, 애플리케이션 또는 소프트웨어 패키지 계층에서 안전하지 않은 서비스 및 프로토콜을 검색하고 사용하지 않도록 설정합니다. 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정할 수 없는 경우 보상 컨트롤을 배포합니다.
Azure 지침: Microsoft Sentinel의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Kerberos의 약한 암호 및 서명되지 않은 LDAP 바인딩과 같은 안전하지 않은 서비스 및 프로토콜의 사용을 검색합니다. 적절한 보안 표준을 충족하지 않는 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정합니다.
참고: 안전하지 않은 서비스 또는 프로토콜을 사용하지 않도록 설정할 수 없는 경우 네트워크 보안 그룹, Azure Firewall 또는 Azure Web Application Firewall을 통해 리소스에 대한 액세스 차단과 같은 보상 컨트롤을 사용하여 공격 표면을 줄입니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: VPC 흐름 로그를 사용하도록 설정하고 GuardDuty를 사용하여 VPC 흐름 로그를 분석하여 적절한 보안 표준을 충족하지 않는 가능한 안전하지 않은 서비스 및 프로토콜을 식별합니다.
AWS 환경의 로그를 Microsoft Sentinel로 전달할 수 있는 경우 Microsoft Sentinel의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 안전하지 않은 서비스 및 프로토콜의 사용을 검색할 수도 있습니다.
참고: 안전하지 않은 서비스 또는 프로토콜을 사용하지 않도록 설정하는 것이 불가능한 경우 보안 그룹, AWS 네트워크 방화벽, AWS Web Application Firewall 통해 리소스에 대한 액세스 차단과 같은 보상 컨트롤을 사용하여 공격 표면을 줄입니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: VPC 흐름 로그를 사용하도록 설정하고 BigQuery 또는 보안 명령 센터를 사용하여 VPC 흐름 로그를 분석하여 적절한 보안 표준을 충족하지 않는 가능한 안전하지 않은 서비스 및 프로토콜을 식별합니다.
GCP 환경의 로그를 Microsoft Sentinel로 전달할 수 있는 경우 Microsoft Sentinel의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 안전하지 않은 서비스 및 프로토콜의 사용을 검색할 수도 있습니다. 또한 Google Cloud 크로니클 SIEM 및 SOAR에 로그를 전달하고 동일한 용도로 사용자 지정 규칙을 빌드할 수 있습니다.
참고: 안전하지 않은 서비스 또는 프로토콜을 사용하지 않도록 설정하는 것이 불가능한 경우 VPC 방화벽 규칙 및 정책을 통해 리소스에 대한 액세스를 차단하는 것과 같은 보정 컨트롤을 사용하거나 Cloud Armor를 사용하여 공격 표면을 줄입니다.
GCP 구현 및 추가 컨텍스트:
- VPC 흐름 로그 사용
- Google Cloud의 보안 로그 분석
- BigQuery 개요 - Security Command Center 개요
- GCP 워크로드용 Microsoft Sentinel
고객 보안 관련자(자세한 정보):
NS-9: 온-프레미스 또는 클라우드 네트워크를 프라이빗하게 연결
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
12.7 | CA-3, AC-17, AC-4 | 해당 없음 |
보안 원칙: 공동 배치 환경에서 클라우드 서비스 공급자 데이터 센터 및 온-프레미스 인프라와 같은 서로 다른 네트워크 간의 보안 통신에 프라이빗 연결을 사용합니다.
Azure 지침: 간단한 사이트 간 또는 지점 및 사이트 간 연결의 경우 Azure VPN(가상 사설망)을 사용하여 온-프레미스 사이트 또는 최종 사용자 디바이스와 Azure 가상 네트워크 간에 보안 연결을 만듭니다.
엔터프라이즈 수준 고성능 연결의 경우 Azure ExpressRoute(또는 Virtual WAN)를 사용하여 공동 위치 환경에서 Azure 데이터 센터 및 온-프레미스 인프라를 연결합니다.
둘 이상의 Azure 가상 네트워크를 함께 연결할 때 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 유지됩니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 사이트 간 또는 지점 및 사이트 간 연결의 경우 AWS VPN을 사용하여 온-프레미스 사이트 또는 최종 사용자 디바이스 간에 AWS 네트워크에 대한 보안 연결(IPsec 오버헤드가 문제가 되지 않는 경우)을 만듭니다.
엔터프라이즈 수준 고성능 연결의 경우 AWS Direct Connect를 사용하여 공동 위치 환경에서 AWS VPC 및 리소스를 온-프레미스 인프라에 연결합니다.
VPC 피어링 또는 전송 게이트웨이를 사용하여 지역 내 또는 지역 간에 둘 이상의 VPC 간에 연결을 설정할 수 있습니다. 피어링된 VPC 간의 네트워크 트래픽은 프라이빗이며 AWS 백본 네트워크에 유지됩니다. 여러 VPC를 조인하여 큰 플랫 서브넷을 만들어야 하는 경우 VPC 공유를 사용할 수도 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 간단한 사이트 간 또는 지점 및 사이트 간 연결의 경우 Google Cloud VPN을 사용합니다.
엔터프라이즈 수준 고성능 연결의 경우 Google Cloud Interconnect 또는 파트너 상호 연결을 사용하여 공동 배치 환경에서 온-프레미스 인프라를 사용하여 Google Cloud VPC 및 리소스에 연결합니다.
VPC 네트워크 피어링 또는 네트워크 연결 센터를 사용하여 지역 내 또는 지역 간에 둘 이상의 VPC 간에 연결을 설정할 수 있습니다. 피어링된 VPC 간의 네트워크 트래픽은 프라이빗이며 GCP 백본 네트워크에 유지됩니다. 여러 VPC를 조인하여 큰 플랫 서브넷을 만들어야 하는 경우 공유 VPC를 사용할 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-10: DNS(Domain Name System) 보안 보장
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.9, 9.2 | SC-20, SC-21 | 해당 없음 |
보안 원칙: DNS(Domain Name System) 보안 구성이 알려진 위험으로부터 보호하는지 확인합니다.
- 클라우드 환경에서 신뢰할 수 있는 신뢰할 수 있는 재귀 DNS 서비스를 사용하여 클라이언트(예: 운영 체제 및 애플리케이션)가 올바른 확인 결과를 받도록 합니다.
- 개인 네트워크에 대한 DNS 확인 프로세스가 공용 네트워크에서 격리될 수 있도록 공용 및 프라이빗 DNS 확인을 분리합니다.
- DNS 보안 전략에 댕글링 DNS, DNS 증폭 공격, DNS 중독 및 스푸핑 등과 같은 일반적인 공격에 대한 완화도 포함되어 있는지 확인합니다.
Azure 지침: Azure 재귀 DNS(일반적으로 DHCP를 통해 VM에 할당되거나 서비스에서 미리 구성됨) 또는 VM의 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정에서 신뢰할 수 있는 외부 DNS 서버를 사용합니다.
DNS 확인 프로세스가 가상 네트워크를 벗어나지 않는 프라이빗 DNS 영역 설정에 Azure 프라이빗 DNS 사용합니다. 사용자 지정 DNS를 사용하여 클라이언트에 대한 신뢰할 수 있는 확인만 허용하도록 DNS 확인을 제한합니다.
워크로드 또는 DNS 서비스에 대한 다음과 같은 보안 위협에 대한 고급 보호를 위해 DNS에 Microsoft Defender 사용합니다.
- DNS 터널링을 사용하여 Azure 리소스에서 데이터 반출
- 명령 및 제어 서버와 통신하는 맬웨어
- 피싱 및 암호화 마이닝과 같은 악성 도메인과의 통신
- 악성 DNS 확인자와 통신하는 DNS 공격
dns 등록 기관에서 사용자 지정 도메인을 제거하지 않고 App Service 웹 사이트를 서비스 해제하는 경우 App Service Microsoft Defender 사용하여 현수 DNS 레코드를 검색할 수도 있습니다.
Azure 구현 및 추가 컨텍스트:
- Azure DNS 개요
- DNS(보안 도메인 이름 시스템) 배포 가이드:
- Azure 프라이빗 DNS
- Azure Defender for DNS
- 현수 DNS 항목을 방지하고 하위 도메인 인수를 방지합니다.
AWS 지침: Amazon DNS 서버(즉, 일반적으로 DHCP를 통해 사용자에게 할당되거나 서비스에서 미리 구성된 Amazon Route 53 Resolver 서버) 또는 VM의 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정의 중앙 집중식 신뢰할 수 있는 DNS 확인자 서버를 사용합니다.
Amazon Route 53을 사용하여 DNS 확인 프로세스가 지정된 VPC를 벗어나지 않는 프라이빗 호스팅 영역 설정을 만듭니다. Amazon Route 53 방화벽을 사용하여 다음 사용 사례에 대해 VPC에서 아웃바운드 DNS/UDP 트래픽을 규제하고 필터링합니다.
- VPC에서 DNS 반출과 같은 공격 방지
- 애플리케이션이 쿼리할 수 있는 도메인에 대한 허용 또는 거부 목록 설정
DNS 스푸핑 또는 중간자 공격으로부터 도메인을 보호하기 위해 DNS 트래픽을 보호하도록 Amazon Route 53에서 DNSSEC(도메인 이름 시스템 보안 확장) 기능을 구성합니다.
Amazon Route 53은 Route 53을 도메인에 대한 신뢰할 수 있는 이름 서버로 사용할 수 있는 DNS 등록 서비스도 제공합니다. 도메인 이름의 보안을 보장하려면 다음 모범 사례를 따라야 합니다.
- 도메인 이름은 Amazon Route 53 서비스에서 자동으로 갱신해야 합니다.
- 도메인 이름은 보안을 유지하기 위해 전송 잠금 기능을 사용하도록 설정해야 합니다.
- SPF(보낸 사람 정책 프레임워크)를 사용하여 스패머가 도메인을 스푸핑하지 못하도록 해야 합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: GCP DNS 서버(일반적으로 DHCP를 통해 VM에 할당되거나 서비스에서 미리 구성된 메타데이터 서버) 또는 VM의 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정에서 중앙 집중식 신뢰할 수 있는 DNS 확인자 서버(예: Google 공용 DNS)를 사용합니다.
GCP 클라우드 DNS를 사용하여 DNS 확인 프로세스에서 페이지를 매긴 VPC를 남기지 않는 프라이빗 DNS 영역을 만듭니다. 사용 사례에 따라 VPC에서 아웃바운드 DNS/UDP 트래픽을 규제하고 필터링합니다.
- VPC에서 DNS 반출과 같은 공격 방지
- 애플리케이션이 쿼리하는 도메인에 대한 허용 또는 거부 목록 설정
DNS 스푸핑 또는 중간자 공격으로부터 도메인을 보호하기 위해 DNS 트래픽을 보호하도록 클라우드 DNS에서 DNSSEC(도메인 이름 시스템 보안 확장) 기능을 구성합니다.
Google Cloud Domains는 도메인 등록 서비스를 제공합니다. GCP 클라우드 DNS는 도메인에 대한 신뢰할 수 있는 이름 서버로 사용할 수 있습니다. 도메인 이름의 보안을 보장하려면 다음 모범 사례를 따라야 합니다.
- 도메인 이름은 Google Cloud Domains에서 자동으로 갱신해야 합니다.
- 도메인 이름은 보안을 유지하기 위해 전송 잠금 기능을 사용하도록 설정해야 합니다.
- SPF(보낸 사람 정책 프레임워크)를 사용하여 스패머가 도메인을 스푸핑하지 못하도록 해야 합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :