보안 제어 V2: 네트워크 보안

참고

최신 Azure 보안 벤치마크는 여기에서 제공됩니다.

네트워크 보안은 Azure 네트워크를 보호하기 위한 컨트롤을 다룹니다. 여기에는 가상 네트워크 보안, 프라이빗 연결 설정, 외부 공격 방지 및 완화, DNS 보안이 포함됩니다.

적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-1	9.2, 9.4, 14.1, 14.2, 14.3	AC-4, CA-3, SC-7

모든 Azure 가상 네트워크가 비즈니스 위험에 맞는 엔터프라이즈 구분 원칙을 따르는지 확인합니다. 조직에서 더 높은 위험을 초래할 수 있는 모든 시스템은 자체 가상 네트워크 내에서 격리되어야 하고 NSG(네트워크 보안 그룹) 및/또는 Azure Firewall로 충분히 보호되어야 합니다.

애플리케이션 및 엔터프라이즈 분할 전략에 따라 네트워크 보안 그룹 규칙을 기반으로 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 잘 정의된 특정 애플리케이션(예: 3계층 앱)의 경우 이는 매우 안전한 "기본적으로 거부, 예외를 통해 허용" 방식이 될 수 있습니다. 많은 애플리케이션과 엔드포인트가 서로 상호 작용하는 경우에는 스케일링이 원활하지 않을 수 있습니다. 수많은 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지의)를 중앙에서 관리해야 하는 경우 Azure Firewall을 사용할 수도 있습니다.

Azure Security Center 적응형 네트워크 강화를 사용하여 외부 네트워크 트래픽 규칙에 따라 포트 및 원본 IP를 제한하는 네트워크 보안 그룹 구성을 권장합니다.

Azure Sentinel을 사용하여 SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, 서명되지 않은 LDAP 바인딩 및 Kerberos의 약한 암호화와 같은 레거시 비보안 프로토콜의 사용을 검색합니다.

• 보안 규칙을 사용하여 네트워크 보안 그룹을 만드는 방법

• Azure Firewall 배포 및 구성 방법

• Azure Security Center의 적응형 네트워크 강화

• Azure Sentinel 비보안 프로토콜 통합 문서

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps

NS-2: 여러 사설망 함께 연결

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-2	해당 없음	CA-3, AC-17, MA-4

Azure ExpressRoute 또는 Azure VPN(가상 사설망)을 사용하면 공동 배치 환경의 온-프레미스 인프라와 Azure 데이터 센터 간에 프라이빗 연결을 만들 수 있습니다. ExpressRoute 연결은 공용 인터넷을 거치지 않으며 일반적인 인터넷 연결보다 더 높은 안정성, 더 빠른 속도 및 짧은 대기 시간을 제공합니다. 지점 및 사이트 간 VPN 및 사이트 간 VPN의 경우 이러한 VPN 옵션과 Azure ExpressRoute를 조합하여 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다.

Azure에서 둘 이상의 가상 네트워크를 함께 연결하려면 가상 네트워크 피어링 또는 Private Link를 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 유지됩니다.

• ExpressRoute 연결 모델이란?

• Azure VPN 개요

• 가상 네트워크 피어링

• Azure Private Link

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps

NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-3	14.1	AC-4, CA-3, SC-7

Azure Private Link를 사용하여 인터넷을 통하지 않고 가상 네트워크에서 Azure 서비스에 프라이빗하게 액세스할 수 있습니다. Azure Private Link를 아직 사용할 수 없는 경우 Azure Virtual Network 서비스 엔드포인트를 사용합니다. Azure Virtual Network 서비스 엔드포인트는 Azure 백본 네트워크를 통해 최적화된 경로를 통해 서비스에 대한 보안 액세스를 제공합니다.

프라이빗 액세스는 Azure 서비스에서 제공하는 인증 및 트래픽 보안 외에 추가적인 심층 방어 수단입니다.

• Azure Private Link 이해

• Virtual Network 서비스 엔드포인트 이해

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps

NS-4: 외부의 네트워크 공격으로부터 애플리케이션 및 서비스 보호

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-4	9.5, 12.3, 12.9	SC-5, SC-7

DDoS(분산 서비스 거부) 공격, 애플리케이션별 공격, 원치 않거나 잠재적으로 악의적인 인터넷 트래픽을 비롯한 외부 네트워크의 공격으로부터 Azure 리소스를 보호합니다. Azure에는 이를 위한 기본 기능이 포함되어 있습니다.

• Azure Firewall을 사용하면 인터넷 및 기타 외부 위치의 잠재적인 악성 트래픽으로부터 애플리케이션 및 서비스를 보호할 수 있습니다.

• Azure Application Gateway, Azure Front Door 및 Azure CDN(콘텐츠 배달 네트워크)에서 WAF(웹 애플리케이션 방화벽) 기능을 사용하여 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다.

• Azure 가상 네트워크에서 DDoS 표준 보호를 사용하도록 설정하면 DDoS 공격으로부터 자산을 보호할 수 있습니다.

• Azure Security Center를 사용하여 위와 관련된 잘못된 구성 위험을 검색합니다.

• Azure Firewall 설명서

• Azure WAF를 배포하는 방법

• Azure Portal을 사용하여 Azure DDoS Protection 표준 관리

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps

NS-5: IDS/IPS(침입 탐지 시스템/침입 방지 시스템) 배포

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-5	12.6, 12.7	SI-4

알려진 악성 IP 주소 및 도메인과 주고받는 트래픽을 경고하거나 차단하려면 Azure Firewall 위협 인텔리전스 기반 필터링을 사용합니다. IP 주소 및 도메인은 Microsoft 위협 인텔리전스 피드에서 제공됩니다. 페이로드 검사가 필요한 경우 Azure Firewall 프리미엄 IDPS 기능을 사용하거나 페이로드 검사 기능이 있는 Azure Marketplace 타사 침입 탐지/침입 방지 시스템(IDS/IPS)을 배포할 수 있습니다. 또는 네트워크 기반 IDS/IPS와 함께 또는 네트워크 기반 IDS/IPS 대신 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 검색 및 응답) 솔루션을 사용할 수 있습니다.

참고: IDS/IPS 사용을 위한 규정 또는 기타 요구 사항이 있는 경우 SIEM 솔루션에 고품질 경고를 제공하도록 조정되었는지 항상 확인합니다.

• Azure Firewall을 배포하는 방법

• Azure Marketplace에는 타사 IDS 기능이 있음

• 엔드포인트용 Microsoft Defender 기능

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps

NS-6: 네트워크 보안 규칙 간소화

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-6	1.5	IA-4

서비스 태그 및 ASG(애플리케이션 보안 그룹)를 활용하여 네트워크 보안 규칙을 간소화합니다.

가상 네트워크 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 서비스 태그 이름을 규칙의 원본 또는 대상 필드에 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft에서는 서비스 태그에서 압축한 주소 접두사를 관리하고 주소를 변경하는 대로 서비스 태그를 자동으로 업데이트합니다.

애플리케이션 보안 그룹을 사용하여 복잡한 보안 구성을 단순화할 수도 있습니다. 네트워크 보안 그룹의 명시적 IP 주소를 기반으로 정책을 정의하는 대신 애플리케이션 보안 그룹을 사용하면 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성할 수 있으므로 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다.

• 서비스 태그 이해 및 사용

• 애플리케이션 보안 그룹 이해 및 사용

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps

NS-7: 보안 DNS(Domain Name Service)

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
NS-7	해당 없음	SC-20, SC-21

DNS 보안에 대한 모범 사례에 따라 현수 DNS, DNS 증폭 공격, DNS 포이즈닝, 스푸핑 등의 일반적인 공격을 완화합니다.

Azure DNS를 신뢰할 수 있는 DNS 서비스로 사용하는 경우 Azure RBAC 및 리소스 잠금을 사용하여 우발적이거나 악의적인 수정으로부터 DNS 영역 및 레코드를 보호해야 합니다.

• Azure DNS 개요

• 보안 DNS(Domain Name System) 배포 가이드

• 현수 DNS 항목 방지 및 하위 도메인 인수 방지

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 포스처 관리

• 애플리케이션 보안 및 DevOps