보안 제어 v3: 자세 및 취약성 관리
태세 및 취약성 관리는 취약성 검사, 침투 테스트, 문제 해결, Azure 리소스의 보안 구성 추적, 보고, 수정 등 Azure 보안 태세를 평가하고 개선하기 위한 제어에 중점을 둡니다.
PV-1: 보안 구성 정의 및 설정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
보안 원칙: 클라우드의 다양한 리소스 종류에 대한 보안 구성 기준을 정의합니다. 또는 구성 관리 도구를 사용하여 리소스 배포 전이나 배포 중에 자동으로 구성 기준을 설정하여 배포 후에 환경이 기본적으로 규정을 준수할 수 있도록 합니다.
Azure 지침: Azure Security Benchmark 및 서비스 기준을 사용하여 각 Azure 제품 또는 서비스에 대한 구성 기준을 정의합니다. Azure 리소스 전반에 걸쳐 필요할 수 있는 중요한 보안 제어 및 구성을 이해하려면 Azure 참조 아키텍처 및 클라우드 채택 프레임워크 랜딩 영역 아키텍처를 참조하세요.
Azure Blueprints를 사용하여 단일 청사진 정의에서 Azure Resource Manager 템플릿, Azure RBAC 컨트롤 및 정책을 포함하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다.
구현 및 추가 컨텍스트:
- Enterprise Scale Landing Zone의 Guardrails 구현에 대한 그림
- 클라우드용 Microsoft Defender에서 보안 정책 작업
- 자습서: 규정 준수를 적용하는 정책 만들기 및 관리
- Azure Blueprints
고객 보안 관련자(자세한 정보):
PV-2: 보안 구성 감사 및 적용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
보안 원칙: 정의된 구성 기준에서 벗어나는 경우 지속적으로 모니터링하고 경고합니다. 비준수 구성을 거부하여 기준 구성에 따라 원하는 구성을 적용하거나 구성을 배포합니다.
Azure 지침: 클라우드용 Microsoft Defender를 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다.
Azure Policy [거부] 및 [존재하지 않는 경우 배포] 규칙을 사용하여 Azure 리소스 전체에 보안 구성을 적용합니다.
Azure Policy에서 지원하지 않는 리소스 구성 감사 및 적용의 경우 자체 스크립트를 작성하거나 타사 도구를 사용하여 구성 감사 및 적용을 구현해야 할 수 있습니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
보안 원칙: VM 및 컨테이너와 같은 컴퓨팅 리소스에 대한 보안 구성 기준을 정의합니다. 구성 관리 도구를 사용하여 컴퓨팅 리소스 배포 전이나 배포 중에 자동으로 구성 기준을 설정하여 배포 후에 환경이 기본적으로 규정을 준수할 수 있도록 합니다. 또는 사전 구성된 이미지를 사용하여 컴퓨팅 리소스 이미지 템플릿에 원하는 구성 기준을 빌드합니다.
Azure 지침: Azure 권장 운영 체제 기준(Windows 및 Linux 모두에 적용 가능)을 벤치마크로 사용하여 컴퓨팅 리소스 구성 기준을 정의합니다.
또한 Azure Policy 게스트 구성 및 Azure Automation State Configuration과 함께 사용자 지정 VM 이미지 또는 컨테이너 이미지를 사용하여 원하는 보안 구성을 설정할 수 있습니다.
구현 및 추가 컨텍스트:
- Linux OS 보안 구성 기준
- Windows OS 보안 구성 기준
- 컴퓨팅 리소스에 대한 보안 구성 권장 사항
- Azure Automation State Configuration 개요
고객 보안 관련자(자세한 정보):
PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
보안 원칙: 컴퓨팅 리소스에 정의된 구성 기준에서 벗어나는 경우 지속적으로 모니터링하고 경고합니다. 비준수 구성을 거부하여 기준 구성에 따라 원하는 구성을 적용하거나 구성을 컴퓨팅 리소스에 배포합니다.
Azure 지침: 클라우드용 Microsoft Defender 및 Azure Policy 게스트 구성 에이전트를 사용하여 VM, 컨테이너 등을 포함한 Azure 컴퓨팅 리소스의 구성 편차를 정기적으로 평가하고 수정합니다. 또한 Azure Resource Manager 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation State Configuration을 사용하여 운영 체제의 보안 구성을 유지할 수 있습니다. Azure Automation State Configuration과 함께 Microsoft VM 템플릿을 사용하면 보안 요구 사항을 충족하고 유지 관리할 수 있습니다.
참고: Microsoft에서 게시한 Azure Marketplace VM 이미지는 Microsoft에서 관리 및 유지 관리합니다.
구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 취약성 평가 권장 사항을 구현하는 방법
- ARM 템플릿에서 Azure 가상 머신을 만드는 방법
- Azure Automation 상태 구성 개요
- Azure Portal에서 Windows 가상 머신 만들기
- 클라우드용 Microsoft Defender의 컨테이너 보안
고객 보안 관련자(자세한 정보):
PV-5: 취약성 평가 수행
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
보안 원칙: 고정된 일정 또는 주문형으로 모든 계층의 클라우드 리소스에 대한 취약성 평가를 수행합니다. 검사 결과를 추적하고 비교하여 취약성이 수정되었는지 확인합니다. 평가에는 Azure 서비스, 네트워크, 웹, 운영 체제, 잘못된 구성 등의 취약성과 같은 모든 유형의 취약성이 포함되어야 합니다.
취약성 스캐너가 사용하는 권한 있는 액세스와 관련된 잠재적 위험에 유의합니다. 검사에 사용되는 모든 관리 계정을 보호하려면 권한 있는 액세스 보안 모범 사례를 따릅니다.
Azure 지침: Azure Virtual Machines, 컨테이너 이미지 및 SQL 서버에서 취약성 평가를 수행하기 위해 클라우드용 Microsoft Defender의 권장 사항을 따릅니다. 클라우드용 Microsoft Defender에는 가상 머신 검사를 위한 기본 제공 취약성 스캐너가 있습니다. 네트워크 디바이스 및 애플리케이션(예: 웹 애플리케이션)에 대한 취약성 평가를 수행하기 위해 타사 솔루션 사용
또한 검사 결과를 일관된 간격으로 내보내고 결과를 이전 검사와 비교하여 취약성이 수정되었는지 확인해야 합니다. 클라우드용 Microsoft Defender에서 제안하는 취약성 관리 권장 사항을 사용할 때 선택한 검사 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.
원격 검사를 수행하는 경우 단일 영구 관리자 계정을 사용하지 마세요. 검사 계정에 대해 JIT(Just In Time) 프로비저닝 방법을 구현하는 것을 고려합니다. 검사 계정에 대한 자격 증명을 보호하고, 모니터링하고, 취약성 검색에만 사용해야 합니다.
참고: Azure Defender 서비스(서버용 Defender, 컨테이너 레지스트리, App Service, SQL 및 DNS 포함)에는 특정 취약성 평가 기능이 포함되어 있습니다. Azure Defender 서비스에서 생성된 경고는 클라우드용 Microsoft Defender 취약성 검사 도구의 결과와 함께 모니터링 및 검토해야 합니다.
참고: 클라우드용 Microsoft Defender에서 설정 이메일 알림을 확인합니다.
구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 취약성 평가 권장 사항을 구현하는 방법
- 가상 머신용 통합 취약성 검사기
- SQL 취약성 평가
- 클라우드용 Microsoft Defender 취약성 검사 결과 내보내기
고객 보안 관련자(자세한 정보):
PV-6: 자동으로 신속하게 취약성 수정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: 결함 수정 | 6.1, 6.2, 6.5, 11.2 |
보안 원칙: 클라우드 리소스의 취약성을 수정하기 위해 패치와 업데이트를 자동으로 신속하게 배포합니다. 적절한 위험 기반 방법을 사용하여 취약성 수정의 우선 순위를 지정합니다. 예를 들어, 더 높은 가치의 자산에 있는 더 심각한 취약성은 더 높은 우선 순위로 해결되어야 합니다.
Azure 지침: Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 Windows 및 Linux VM에 최신 보안 업데이트가 설치되어 있는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.
타사 소프트웨어의 경우 타사 패치 관리 솔루션 또는 Configuration Manager용 System Center Updates Publisher를 사용합니다.
공통 위험 점수 프로그램(예: Common Vulnerability Scoring System) 또는 타사 검사 도구에서 제공하는 기본 위험 등급을 사용하여 먼저 배포할 업데이트의 우선 순위를 지정하고 환경에 맞게 조정합니다. 또한 보안 위험이 높은 애플리케이션과 높은 가동 시간이 필요한 애플리케이션을 고려해야 합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PV-7: 정기적인 레드 팀 작업 수행
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
보안 원칙: 실제 공격을 시뮬레이션하여 조직의 취약성을 보다 완벽하게 파악할 수 있습니다. 레드 팀 운영 및 침투 테스트는 위험을 발견하기 위해 기존의 취약성 스캐닝 방법을 보완합니다.
업계 모범 사례에 따라 이러한 종류의 테스트를 설계, 준비 및 수행하여 환경에 손상이나 중단을 일으키지 않도록 합니다. 여기에는 항상 관련 이해 관계자 및 리소스 소유자와 테스트 범위 및 제약 조건에 대한 논의가 포함되어야 합니다.
Azure 지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정하도록 보장합니다.
Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):