비고
가장 최신의 up-toAzure Security Benchmark는 여기에서 사용할 수 있습니다.
네트워크 보안 권장 사항은 Azure 서비스에 대한 액세스가 허용되거나 거부되는 네트워크 프로토콜, TCP/UDP 포트 및 네트워크 연결된 서비스를 지정하는 데 중점을 줍니다.
1.1: 가상 네트워크 내에서 Azure 리소스 보호
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.1 | 9.2, 9.4, 14.1, 14.2, 14.3 | 고객 |
모든 Virtual Network 서브넷 배포에 애플리케이션의 신뢰할 수 있는 포트 및 원본과 관련된 네트워크 액세스 제어와 함께 적용된 네트워크 보안 그룹이 있는지 확인합니다. 사용 가능한 경우 Private Link와 함께 프라이빗 엔드포인트를 사용하여 VNet ID를 서비스로 확장하여 가상 네트워크에 Azure 서비스 리소스를 보호합니다. 프라이빗 엔드포인트 및 Private Link를 사용할 수 없는 경우 서비스 엔드포인트를 사용합니다. 서비스별 요구 사항은 해당 특정 서비스에 대한 보안 권장 사항을 참조하세요.
또는 특정 사용 사례가 있는 경우 Azure Firewall을 구현하여 요구 사항을 충족할 수 있습니다.
1.2: 가상 네트워크, 서브넷, NIC의 구성과 트래픽 모니터링 및 기록
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.2 | 9.3, 12.2, 12.8 | 고객 |
Azure Security Center를 사용하고 네트워크 보호 권장 사항을 따라 Azure에서 네트워크 리소스를 보호합니다. NSG 흐름 로그를 사용하도록 설정하고 트래픽 감사를 위해 스토리지 계정으로 로그를 보냅니다. 또한 Log Analytics 작업 영역에 NSG 흐름 로그를 보내고 Traffic Analytics를 사용하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공할 수 있습니다. Traffic Analytics의 몇 가지 장점은 네트워크 활동을 시각화하고 핫스폿을 식별하고, 보안 위협을 식별하고, 트래픽 흐름 패턴을 이해하고, 네트워크 구성을 정확히 파악하는 기능입니다.
1.3: 중요한 웹 애플리케이션 보호
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.3 | 9.5 | 고객 |
들어오는 트래픽에 대한 추가 검사를 위해 중요한 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF에 대한 진단 설정을 사용하도록 설정하고 스토리지 계정, 이벤트 허브 또는 Log Analytics 작업 영역에 로그를 수집합니다.
1.4: 알려진 악성 IP 주소와의 통신 거부
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.4 | 12.3 | 고객 |
Azure Virtual Network에서 DDoS 표준 보호를 사용하도록 설정하여 DDoS 공격을 방지합니다. Azure Security Center 통합 위협 인텔리전스를 사용하여 알려진 악성 IP 주소와의 통신을 거부합니다.
위협 인텔리전스를 사용하도록 설정하고 악의적인 네트워크 트래픽에 대해 "경고 및 거부"하도록 구성된 조직의 각 네트워크 경계에 Azure Firewall을 배포합니다.
Azure Security Center Just-In-Time 네트워크 액세스를 사용하여 제한된 기간 동안 승인된 IP 주소에 대한 엔드포인트 노출을 제한하도록 NSG를 구성합니다.
Azure Security Center 적응형 네트워크 강화를 사용하여 실제 트래픽 및 위협 인텔리전스에 따라 포트 및 원본 IP를 제한하는 NSG 구성을 권장합니다.
1.5: 네트워크 패킷 기록
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.5 | 12.5 | 고객 |
Network Watcher 패킷 캡처를 사용하도록 설정하여 비정상적인 활동을 조사합니다.
1.6: IDS/IPS(네트워크 기반 침입 감지/침입 방지 시스템) 배포
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.6 | 12.6, 12.7 | 고객 |
페이로드 검사 기능을 사용하여 IDS/IPS 기능을 지원하는 Azure Marketplace에서 제품을 선택합니다. 페이로드 검사에 따른 침입 감지 및/또는 방지가 요구 사항이 아닌 경우 위협 인텔리전스가 있는 Azure Firewall을 사용할 수 있습니다. Azure Firewall 위협 인텔리전스 기반 필터링은 알려진 악성 IP 주소 및 도메인 간의 트래픽을 경고하고 거부할 수 있습니다. IP 주소 및 도메인은 Microsoft 위협 인텔리전스 피드에서 제공됩니다.
조직의 각 네트워크 경계에서 선택한 방화벽 솔루션을 배포하여 악의적인 트래픽을 감지 및/또는 거부합니다.
1.7: 웹 애플리케이션에 대한 트래픽 관리
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.7 | 12.9, 12.10 | 고객 |
신뢰할 수 있는 인증서에 대해 HTTPS/TLS를 사용하도록 설정된 웹 애플리케이션용 Azure Application Gateway를 배포합니다.
1.8: 네트워크 보안 규칙의 복잡성 및 관리 오버헤드 최소화
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.8 | 1.5 | 고객 |
Virtual Network 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 규칙의 적절한 원본 또는 대상 필드에 서비스 태그 이름(예: ApiManagement)을 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경될 때 서비스 태그를 자동으로 업데이트합니다.
애플리케이션 보안 그룹을 사용하여 복잡한 보안 구성을 간소화할 수도 있습니다. 애플리케이션 보안 그룹을 사용하면 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성할 수 있으므로 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다.
1.9: 네트워크 디바이스에 대한 표준 보안 구성 유지 관리
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.9 | 11.1 | 고객 |
Azure Policy를 사용하여 네트워크 리소스에 대한 표준 보안 구성을 정의하고 구현합니다.
Azure Blueprints를 사용하여 단일 청사진 정의에서 Azure Resources Manager 템플릿, Azure RBAC 컨트롤 및 정책과 같은 주요 환경 아티팩트를 패키징하여 대규모 Azure 배포를 간소화할 수도 있습니다. 청사진을 새 구독에 적용하고 버전 관리를 통해 제어 및 관리를 미세 조정할 수 있습니다.
1.10: 트래픽 구성 규칙 문서화
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.10 | 11.2 | 고객 |
NSG 및 네트워크 보안 및 트래픽 흐름과 관련된 기타 리소스에 태그를 사용합니다. 개별 NSG 규칙의 경우 "설명" 필드를 사용하여 네트워크에서 트래픽을 허용하는 모든 규칙에 대한 비즈니스 요구 및/또는 기간(등)을 지정합니다.
태그 지정과 관련된 기본 제공 Azure Policy 정의(예: "태그 및 해당 값 필요")를 사용하여 모든 리소스가 태그를 사용하여 생성되도록 하고 태그가 지정되지 않은 기존 리소스를 알립니다.
Azure PowerShell 또는 Azure CLI를 사용하여 태그에 따라 리소스를 조회하거나 작업을 수행할 수 있습니다.
1.11: 자동화된 도구를 사용하여 네트워크 리소스 구성 모니터링 및 변경 내용 검색
| Azure ID | CIS ID들 | 책임 |
|---|---|---|
| 1.11 | 11.3 | 고객 |
Azure 활동 로그를 사용하여 리소스 구성을 모니터링하고 Azure 리소스에 대한 변경 내용을 검색합니다. 중요한 리소스에 대한 변경이 발생할 때 트리거되는 Azure Monitor 내에서 경고를 만듭니다.
다음 단계
- 다음 보안 제어: 로깅 및 모니터링 참조