보안 제어 v3: 데이터 보호

  • 아티클

데이터 보호는 Azure의 액세스 제어, 암호화, 키 및 인증서 관리를 사용하여 중요한 데이터 자산을 검색, 분류, 보호 및 모니터링하는 것을 포함하여 미사용, 전송 중 및 승인된 액세스 메커니즘을 통한 데이터 보호 제어를 다룹니다.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

보안 원칙: 정의된 중요한 정보 범위를 기반으로 중요한 정보의 인벤토리를 설정하고 유지합니다. 도구를 사용하여 범위 내 중요한 데이터를 검색, 분류 및 레이블 지정합니다.

Azure 지침: Microsoft Purview, Azure Information Protection 및 Azure SQL 데이터 검색 및 분류와 같은 도구를 사용하여 Azure, 온-프레미스, Microsoft 365 및 기타 위치에 있는 중요한 데이터를 중앙에서 검사, 분류 및 레이블을 지정합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.13 AC-4, SI-4 A3.2

보안 원칙: 기업의 가시성 및 통제 범위를 벗어난 위치로의 무단 데이터 전송과 같은 중요한 데이터 주변의 변칙을 모니터링합니다. 여기에는 일반적으로 무단 데이터 반출을 나타낼 수 있는 비정상 활동(대량 또는 비정상 전송)에 대한 모니터링이 포함됩니다.

Azure 지침: AIP(Azure Information Protection)를 사용하여 분류되고 레이블이 지정된 데이터를 모니터링합니다.

Azure Defender for Storage, Azure Defender for SQL 및 Azure Cosmos DB를 사용하여 중요한 데이터 정보의 무단 전송을 나타낼 수 있는 비정상적인 정보 전송에 대해 경고합니다.

참고: DLP(데이터 손실 방지) 규정 준수에 필요한 경우 Azure Marketplace 또는 Microsoft 365 DLP 솔루션의 호스트 기반 DLP 솔루션을 사용하여 데이터 반출을 방지하기 위해 검색 및/또는 예방 제어를 적용할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-3: 전송 중인 중요한 데이터 암호화

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

보안 원칙: 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용하여 '대역 외' 공격(예: 트래픽 캡처)으로부터 전송 중인 데이터를 보호합니다.

네트워크 내부 및 외부에서 전송 중인 데이터 암호화가 필수인 네트워크 경계 및 서비스 범위를 설정합니다. 사설망의 트래픽에서는 선택 사항이지만, 외부 및 공용 네트워크의 트래픽에서 매우 중요합니다.

Azure 지침: 전송 중인 기본 데이터 암호화 기능이 기본 제공된 Azure Storage와 같은 서비스에서 보안 전송을 적용합니다.

Azure 리소스에 연결하는 모든 클라이언트가 TLS(전송 계층 보안) v1.2 이상을 사용하도록 하여 워크로드 웹 애플리케이션 및 서비스에 HTTPS를 적용합니다. VM의 원격 관리를 위해 암호화되지 않은 프로토콜 대신 SSH(Linux의 경우) 또는 RDP/TLS(Windows의 경우)를 사용합니다.

참고: 전송 중인 데이터 암호화는 Azure 데이터 센터 간에 이동하는 모든 Azure 트래픽에 대해 사용하도록 설정됩니다. TLS v1.2 이상은 기본적으로 대부분의 Azure PaaS 서비스에서 사용하도록 설정됩니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.11 SC-28 3.4, 3.5

보안 원칙: 액세스 제어를 보완하려면 암호화를 사용하여 미사용 데이터를 '대역 외' 공격(예: 기본 스토리지 액세스)으로부터 보호해야 합니다. 이렇게 하면 공격자가 데이터를 쉽게 읽거나 수정할 수 없습니다.

Azure 지침: 많은 Azure 서비스에는 서비스 관리형 키를 사용하여 인프라 계층에서 기본적으로 미사용 데이터 암호화가 사용하도록 설정되어 있습니다.

기술적으로 가능하고 기본적으로 사용하도록 설정되지 않는 경우 스토리지 수준, 파일 수준 또는 데이터베이스 수준 암호화를 위해 Azure 서비스 또는 VM에서 미사용 데이터 암호화를 사용하도록 설정할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

보안 원칙: 규정 준수를 위해 필요한 경우 고객 관리형 키 옵션이 필요한 사용 사례 및 서비스 범위를 정의합니다. 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.

Azure 지침: Azure는 특정 서비스에 대해 직접 관리하는 키(고객 관리형 키)를 사용하는 암호화 옵션도 제공합니다. 그러나 고객 관리형 키 옵션을 사용하려면 키 수명 주기를 관리하기 위한 추가적인 운영 노력이 필요합니다. 여기에는 암호화 키 생성, 교체, 취소 및 액세스 제어 등이 포함될 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-6: 보안 키 관리 프로세스 사용

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
해당 없음 IA-5, SC-12, SC-28 3.6

보안 원칙: 키 수명 주기를 제어하기 위해 엔터프라이즈 암호화 키 관리 표준, 프로세스 및 절차를 문서화하고 구현합니다. 서비스에서 고객 관리형 키를 사용해야 하는 경우 키 생성, 배포 및 스토리지를 위한 보안 키 자격 증명 모음 서비스를 사용합니다. 정의된 일정과 키 사용 중지 또는 손상이 있을 때 키를 교체하고 취소합니다.

Azure 지침: Azure Key Vault를 사용하여 키 만들기, 배포 및 스토리지를 포함한 암호화 키 수명 주기를 만들고 제어합니다. 정의된 일정과 키 사용 중지 또는 손상이 있을 때 Azure Key Vault 및 서비스에서 키를 교체하고 취소합니다.

워크로드 서비스 또는 애플리케이션에서 CMK(고객 관리형 키)를 사용해야 하는 경우 모범 사례를 따라야 합니다.

  • 키 계층을 사용하여 키 자격 증명 모음의 KEK(키 암호화 키)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다.
  • 키가 Azure Key Vault에 등록되었는지 확인하고 각 서비스 또는 애플리케이션의 키 ID를 통해 구현합니다.

BYOK(Bring Your Own Key)를 서비스에 가져와야 하는 경우(즉, 온-프레미스 HSM에서 Azure Key Vault로 HSM으로 보호되는 키를 가져와야 하는 경우) 권장 지침에 따라 키 생성 및 키 전송을 수행합니다.

참고: Azure Key Vault 유형 및 FIPS 규정 준수 수준에 대한 FIPS 140-2 수준은 아래를 참조하세요.

  • 자격 증명 모음의 소프트웨어 보호 키(프리미엄 & 표준 SKU): FIPS 140-2 수준 1
  • 자격 증명 모음의 HSM 보호 키(Premium SKU): FIPS 140-2 수준 2
  • 관리형 HSM의 HSM 보호 키: FIPS 140-2 수준 3

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-7: 보안 인증서 관리 프로세스 사용

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
해당 없음 IA-5, SC-12, SC-17 3.6

보안 원칙: 엔터프라이즈 인증서 관리 표준, 인증서 수명 주기 제어, 인증서 정책(공개 키 인프라가 필요한 경우)을 포함하는 프로세스 및 절차를 문서화하고 구현합니다.

서비스 중단을 방지하기 위해 자동화된 메커니즘을 사용하여 조직의 중요한 서비스에서 사용하는 인증서의 인벤토리, 추적, 모니터링 및 갱신을 적시에 보장합니다.

Azure 지침: Azure Key Vault를 사용하여 인증서 만들기/가져오기, 순환, 해지, 스토리지 및 제거를 포함한 인증서 수명 주기를 만들고 제어합니다. 불충분한 키 크기, 지나치게 긴 유효 기간, 안전하지 않은 암호화 등과 같은 안전하지 않은 속성을 사용하지 않고 인증서 생성이 정의된 표준을 따르는지 확인합니다. 정의된 일정과 인증서 만료 시점에 따라 Azure Key Vault 및 Azure 서비스(지원되는 경우)에서 인증서의 자동 교체를 설정합니다. 전면 애플리케이션에서 자동 교체가 지원되지 않는 경우 Azure Key Vault에서 수동 교체를 사용합니다.

제한된 보안 보장으로 인해 중요한 서비스에서 자체 서명된 인증서 및 와일드카드 인증서를 사용하지 마세요. 대신 Azure Key Vault에서 공용 서명된 인증서를 만들 수 있습니다. 다음 CA는 Azure Key Vault와 현재 파트너가 된 공급자입니다.

  • DigiCert: Azure Key Vault는 DigiCert와 함께 OV TLS/SSL 인증서를 제공합니다.
  • GlobalSign: Azure Key Vault는 GlobalSign과 함께 OV TLS/SSL 인증서를 제공합니다.

참고: 승인된 CA(인증 기관)만 사용하고 알려진 잘못된 CA 루트/중간 인증서와 이러한 CA에서 발급한 인증서가 사용하지 않도록 설정되어 있는지 확인합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

DP-8: 키 및 인증서 리포지토리의 보안 보장

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
해당 없음 IA-5, SC-12, SC-17 3.6

보안 원칙: 암호화 키 및 인증서 수명 주기 관리에 사용되는 키 자격 증명 모음 서비스의 보안을 보장합니다. 액세스 제어, 네트워크 보안, 로깅 및 모니터링, 백업을 통해 키 자격 증명 모음 서비스를 강화하여 키와 인증서가 항상 최대의 보안을 사용하여 보호되도록 합니다.

Azure 지침: 다음 컨트롤을 통해 Azure Key Vault 서비스를 강화하여 암호화 키와 인증서를 보호합니다.:

  • 기본 제공 액세스 정책 또는 Azure RBAC를 사용하여 Azure Key Vault의 키 및 인증서에 대한 액세스를 제한하여 관리 평면 액세스 및 데이터 평면 액세스에 대해 최소 권한 원칙이 적용되도록 합니다.
  • Private Link 및 Azure Firewall을 사용하여 Azure Key Vault를 보호하여 서비스 노출 최소화
  • 암호화된 데이터에 액세스할 수 있는 권한이 없는 암호화 키를 관리하는 사용자에 대해 업무를 분리하고 그 반대의 경우도 마찬가지입니다.
  • 관리 ID를 사용하여 워크로드 애플리케이션의 Azure Key Vault에 저장된 키에 액세스합니다.
  • Azure Key Vault 외부에 키를 일반 텍스트 형식으로 저장하지 마세요.
  • 데이터를 제거할 때 실제 데이터, 백업 및 보관이 제거되기 전에 키가 삭제되지 않았는지 확인합니다.
  • Azure Key Vault를 사용하여 키와 인증서를 백업합니다. 실수로 키를 삭제하지 않도록 일시 삭제 및 제거 보호를 사용하도록 설정합니다.
  • Azure Key Vault 로깅을 켜서 중요한 관리 평면 및 데이터 평면 작업이 기록되도록 합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):