보안 제어 v3: 네트워크 보안

네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 Azure 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다.

NS-1: 네트워크 구분 경계 설정

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
3.12, 13.4, 4.4	AC-4, SC-2, SC-7	1.1, 1.2, 1.3

보안 원칙: 가상 네트워크 배포가 GS-2 보안 제어에 정의된 엔터프라이즈 구분 전략에 맞는지 확인합니다. 조직에 더 높은 위험을 초래할 수 있는 모든 워크로드는 격리된 가상 네트워크에 있어야 합니다. 고위험 워크로드의 예는 다음과 같습니다.

• 매우 중요한 데이터를 저장하거나 처리하는 애플리케이션입니다.
• 조직 외부의 일반 사용자 또는 사용자가 액세스할 수 있는 외부 네트워크 연결 애플리케이션입니다.
• 안전하지 않은 아키텍처를 사용하거나 쉽게 수정할 수 없는 취약성을 포함하는 애플리케이션입니다.

엔터프라이즈 구분 전략을 향상시키려면 네트워크 컨트롤을 사용하여 내부 리소스 간의 트래픽을 제한하거나 모니터링합니다. 구체적이고 잘 정의된 애플리케이션(예: 3계층 앱)의 경우 네트워크 트래픽의 포트, 프로토콜, 원본 및 대상 IP를 제한하여 매우 안전한 "기본적으로 거부하고 예외로 허용"하는 방법이 될 수 있습니다. 서로 상호 작용하는 많은 애플리케이션과 엔드포인트가 있는 경우 트래픽 차단이 제대로 확장되지 않을 수 있으며 트래픽을 모니터링할 수만 있을 수 있습니다.

Azure 지침: Azure 네트워크에서 기본적인 구분 방법으로 VNet(가상 네트워크)을 만들어 VM과 같은 리소스를 네트워크 경계 내에서 VNet에 배포할 수 있습니다. 네트워크를 더 자세히 구분하기 위해 VNet 내부에 더 작은 하위 네트워크용 서브넷을 만들 수 있습니다.

NSG(네트워크 보안 그룹)를 네트워크 계층 제어로 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다.

ASG(애플리케이션 보안 그룹)를 사용하여 복잡한 구성을 단순화할 수도 있습니다. 네트워크 보안 그룹의 명시적 IP 주소를 기반으로 정책을 정의하는 대신 ASG를 사용하면 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성할 수 있으므로 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다.

구현 및 추가 컨텍스트:

• Azure Virtual Network 개념 및 모범 사례
• 가상 네트워크 서브넷 추가, 변경 또는 삭제
• 보안 규칙을 사용하여 네트워크 보안 그룹을 만드는 방법
• 애플리케이션 보안 그룹 이해 및 사용

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
3.12, 4.4	AC-4, SC-2, SC-7	1.1, 1.2, 1.3

보안 원칙: 리소스에 대한 프라이빗 액세스 지점을 설정하여 클라우드 서비스를 보호합니다. 또한 가능하면 공용 네트워크에서 액세스를 사용하지 않도록 설정하거나 제한해야 합니다.

Azure 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다. 또한 가능한 경우 서비스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하거나 제한해야 합니다.

특정 서비스의 경우 서비스에 대한 프라이빗 액세스 지점을 설정하도록 VNET을 제한할 수 있는 서비스에 대한 VNet 통합을 배포하는 옵션도 있습니다.

구현 및 추가 컨텍스트:

• Azure Private Link 이해

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-3: 엔터프라이즈 네트워크의 에지에 방화벽 배포

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.4, 4.8, 13.10	AC-4, SC-7, CM-7	1.1, 1.2, 1.3

보안 원칙: 방화벽을 배포하여 외부 네트워크를 오가는 네트워크 트래픽에 대한 고급 필터링을 수행합니다. 내부 세그먼트 간에 방화벽을 사용하여 구분 전략을 지원할 수도 있습니다. 필요한 경우 보안 제어를 위해 네트워크 트래픽이 네트워크 어플라이언스를 통과하도록 해야 하는 경우 서브넷에 대한 사용자 지정 경로를 사용하여 시스템 경로를 재정의합니다.

최소한 알려진 잘못된 IP 주소와 원격 관리(예: RDP 및 SSH) 및 인트라넷 프로토콜(예: SMB 및 Kerberos)과 같은 고위험 프로토콜은 차단합니다.

Azure 지침: Azure Firewall을 사용하여 완전한 상태 저장 애플리케이션 계층 트래픽 제한(예: URL 필터링) 및/또는 수많은 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대한 중앙 관리를 제공합니다.

허브/스포크 설정과 같은 복잡한 네트워크 토폴로지가 있는 경우 트래픽이 원하는 경로를 통과하도록 UDR(사용자 정의 경로)을 만들어야 할 수 있습니다. 예를 들어 UDR을 사용하여 특정 Azure Firewall 또는 네트워크 가상 어플라이언스를 통해 송신 인터넷 트래픽을 리디렉션하는 옵션이 있습니다.

구현 및 추가 컨텍스트:

• Azure Firewall을 배포하는 방법
• 가상 네트워크 트래픽 라우팅

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-4: IDS/IPS(침입 검색 시스템/침입 방지 시스템) 배포

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
13.2, 13.3, 13.7, 13.8	SC-7, SI-4	11.4

보안 원칙: 네트워크 IDS(침입 검색 시스템) 및 IPS(침입 방지 시스템)를 사용하여 워크로드를 오가는 페이로드 트래픽과 네트워크를 검사합니다. IDS/IPS가 항상 SIEM 솔루션에 고품질 경고를 제공하도록 조정되어 있는지 확인합니다.

보다 심층적인 호스트 수준 검색 및 방지 기능을 사용하려면 네트워크 IDS/IPS와 함께 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 사용합니다.

Azure 지침: 네트워크에서 Azure Firewalls IDPS 기능을 사용하여 알려진 악성 IP 주소 및 도메인에서 들어오고 나가는 트래픽에 대한 경고 및/또는 차단을 수행합니다.

보다 심층적인 호스트 수준 검색 및 방지 기능을 위해 네트워크 IDS/IPS와 함께 VM 수준에서 호스트 기반 IDS/IPS 또는 엔드포인트용 Microsoft Defender와 같은 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 배포합니다.

구현 및 추가 컨텍스트:

• Azure Firewall IDPS
• 엔드포인트용 Microsoft Defender 기능

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-5: DDOS 보호 배포

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
13.10	SC-5, SC-7	1.1, 1.2, 1.3, 6.6

보안 원칙: DDoS(분산 서비스 거부) 보호를 배포하여 공격으로부터 네트워크와 애플리케이션을 보호합니다.

Azure 지침: VNet에서 DDoS 표준 보호 계획을 사용하도록 설정하여 공용 네트워크에 노출된 리소스를 보호합니다.

구현 및 추가 컨텍스트:

• Azure Portal을 사용하여 Azure DDoS Protection 표준 관리

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-6: 웹 애플리케이션 방화벽 배포

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
13.10	SC-7	1.1, 1.2, 1.3

보안 원칙: WAF(웹 애플리케이션 방화벽)를 배포하고 적절한 규칙을 구성하여 특정 애플리케이션에 대한 공격으로부터 웹 애플리케이션과 API를 보호합니다.

Azure 지침: Azure Application Gateway, Azure Front Door 및 Azure CDN(Content Delivery Network)에서 WAF(웹 애플리케이션 방화벽) 기능을 사용하여 네트워크의 에지에서 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다. 요구 사항과 위협 환경에 따라 WAF를 "검색" 또는 "방지 모드"로 설정합니다. OWASP Top 10 취약성과 같은 기본 제공 규칙 집합을 선택하고 애플리케이션에 맞게 조정합니다.

구현 및 추가 컨텍스트:

• Azure WAF를 배포하는 방법

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-7: 네트워크 보안 구성 간소화

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.4, 4.8	AC-4, SC-2, SC-7	1.1, 1.2, 1.3

보안 원칙: 복잡한 네트워크 환경을 관리할 때 도구를 사용하여 네트워크 보안 관리를 단순화, 중앙 집중화 및 강화합니다.

Azure 지침: 다음 기능을 사용하여 NSG 및 Azure Firewall 규칙의 구현 및 관리를 단순화합니다.:

• 클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 위협 인텔리전스 및 트래픽 분석 결과를 기반으로 포트, 프로토콜 및 원본 IP를 추가로 제한하는 NSG 강화 규칙을 권장합니다.
• Azure Firewall Manager를 사용하여 방화벽 정책을 중앙 집중화하고 가상 네트워크의 경로를 관리합니다. 방화벽 규칙 및 네트워크 보안 그룹 구현을 단순화하기 위해 Azure Firewall Manager ARM(Azure Resource Manager) 템플릿을 사용할 수도 있습니다.

구현 및 추가 컨텍스트:

• 클라우드용 Microsoft Defender의 적응형 네트워크 강화
• Azure Firewall Manager
• Azure Firewall 및 방화벽 정책 만들기 - ARM 템플릿

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 사용하지 않도록 설정

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.4, 4.8	CM-2, CM-6, CM-7	4.1, A2.1, A2.2, A2.3

보안 원칙: OS, 애플리케이션 또는 소프트웨어 패키지 계층에서 안전하지 않은 서비스 및 프로토콜을 검색하고 사용하지 않도록 설정합니다. 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정할 수 없는 경우 보상 컨트롤을 배포합니다.

Azure 지침: Azure Sentinels의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, 서명되지 않은 LDAP 바인딩 및 Kerberos의 약한 암호와 같은 안전하지 않은 서비스 및 프로토콜의 사용을 검색합니다. 적절한 보안 표준을 충족하지 않는 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정합니다.

참고: 안전하지 않은 서비스 또는 프로토콜을 사용하지 않도록 설정할 수 없는 경우 네트워크 보안 그룹, Azure Firewall 또는 Azure Web Application Firewall을 통해 리소스에 대한 액세스 차단과 같은 보상 컨트롤을 사용하여 공격 표면을 줄입니다.

구현 및 추가 컨텍스트:

• Azure Sentinel 비보안 프로토콜 통합 문서

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-9: 온-프레미스 또는 클라우드 네트워크를 프라이빗하게 연결

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
12.7	CA-3, AC-17, AC-4	해당 없음

보안 원칙: 공동 배치 환경의 클라우드 서비스 공급자 데이터 센터 및 온-프레미스 인프라와 같은 서로 다른 네트워크 간의 보안 통신을 위해 프라이빗 연결을 사용합니다.

Azure 지침: 공동 배치 환경의 클라우드 서비스 공급자 데이터 센터 및 온-프레미스 인프라와 같은 다양한 네트워크 간의 보안 통신을 위해 프라이빗 연결을 사용합니다.

사이트 간 또는 지점과 사이트 간 연결의 경우 Azure VPN(가상 사설망)을 사용하여 온-프레미스 사이트 또는 최종 사용자 디바이스와 Azure 가상 네트워크 간에 보안 연결을 만듭니다.

엔터프라이즈 수준의 고성능 연결의 경우 Azure ExpressRoute(또는 Virtual WAN)를 사용하여 공동 배치 환경에서 Azure 데이터 센터와 온-프레미스 인프라를 연결합니다.

둘 이상의 Azure 가상 네트워크를 함께 연결할 때 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 유지됩니다.

구현 및 추가 컨텍스트:

• Azure VPN 개요
• ExpressRoute 연결 모델은 무엇인가요?
• 가상 네트워크 피어링

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps

NS-10: DNS(Domain Name System) 보안 보장

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.9, 9.2	SC-20, SC-21	해당 없음

보안 원칙: DNS(Domain Name System) 보안 구성이 알려진 위험으로부터 보호하는지 확인합니다.:

• 클라이언트(예: 운영 체제 및 애플리케이션)가 올바른 확인 결과를 받을 수 있도록 클라우드 환경 전체에서 신뢰할 수 있는 재귀 DNS 서비스를 사용합니다.
• 개인 네트워크에 대한 DNS 확인 프로세스가 공용 네트워크에서 격리될 수 있도록 공용 및 프라이빗 DNS 확인을 분리합니다.
• DNS 보안 전략에 댕글링 DNS, DNS 증폭 공격, DNS 중독 및 스푸핑 등과 같은 일반적인 공격에 대한 완화도 포함되어 있는지 확인합니다.

Azure 지침: VM의 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정에서 Azure 재귀 DNS 또는 신뢰할 수 있는 외부 DNS 서버를 사용합니다.

DNS 확인 프로세스가 가상 네트워크를 벗어나지 않는 프라이빗 DNS 영역 설정에 Azure 프라이빗 DNS를 사용합니다. 사용자 지정 DNS를 사용하여 클라이언트에 대한 신뢰할 수 있는 확인만 허용하는 DNS 확인을 제한합니다.

워크로드 또는 DNS 서비스에 대한 다음 보안 위협에 대한 고급 보호를 위해 DNS용 Azure Defender를 사용합니다.

• DNS 터널링을 사용하여 Azure 리소스에서 데이터 반출
• 명령 및 제어 서버와 통신하는 맬웨어
• 피싱 및 암호화 마이닝으로 악성 도메인과의 통신
• 악성 DNS 확인자와 통신하는 DNS 공격

또한 DNS 등록 대행자에서 사용자 지정 도메인을 제거하지 않고 App Service 웹 사이트를 해제하는 경우 App Service용 Azure Defender를 사용하여 매달린 DNS 레코드를 검색할 수 있습니다.

구현 및 추가 컨텍스트:

• Azure DNS 개요
• DNS(보안 도메인 이름 시스템) 배포 가이드:
• Azure 프라이빗 DNS
• Azure Defender for DNS
• 현수 DNS 항목을 방지하고 하위 도메인 인수를 방지합니다.

고객 보안 관련자(자세한 정보):

• 보안 아키텍처
• 포스처 관리
• 애플리케이션 보안 및 DevOps