이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0의 지침을 Azure Web Application Firewall 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 Azure Web Application Firewall 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
Azure Web Application Firewall 적용되지 않는 기능은 제외되었습니다. Azure Web Application Firewall Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 Azure Web Application Firewall 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 Azure Web Application Firewall 영향이 큰 동작이 요약되어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 네트워킹, 보안, 웹 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 미사용 고객 콘텐츠 저장 | False |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 고객 |
구성 지침: NSG(네트워크 보안 그룹)를 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. 서비스의 열린 포트를 제한하는 NSG 규칙을 만듭니다(예: 신뢰할 수 없는 네트워크에서 관리 포트에 액세스하지 못하도록 방지). 기본값으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽은 허용합니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Network:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 고객 |
기능 정보: 자세한 내용은 Azure Front Door Premium에서 Private Link 사용하여 원본 보호 및 Azure Application Gateway Private Link 구성을 참조하세요.
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 참고 사항: 지역 WAF 제품에서 고객은 개인 IP를 사용하고 공용 IP 트래픽을 거부할 수 있습니다.
구성 지침: 서비스 수준 IP ACL 필터링 규칙 또는 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
참조: 프라이빗 Application Gateway 배포
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정
기능
고객 Lockbox
설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 고객은 Log Analytics 내의 로그에서 이러한 도구를 실행할 수 있지만 WAF 자체는 검색 및 분류할 중요한 고객 데이터를 저장하지 않습니다.
또한 WAF 내에는 중요한 데이터의 식별 및 마스킹을 허용하는 기능이 있습니다.
구성 지침: WAF(Web Application Firewall) 로그 스크러빙 도구를 사용하면 WAF 로그에서 중요한 데이터를 제거할 수 있습니다. 중요한 데이터가 포함된 요청의 특정 부분을 식별하는 사용자 지정 규칙을 빌드할 수 있는 규칙 엔진을 사용하여 작동합니다. 식별되면 도구는 로그에서 해당 정보를 스크럽하고 *******로 바꿉니다.
참조: Azure Web Application Firewall 중요한 데이터를 마스킹하는 방법
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 고객 |
기능 정보: 자세한 내용은 Azure Portal 사용하여 Azure Front Door 사용자 지정 도메인에서 HTTPS 구성, Azure Front Door에 대한 원본을 구성하는 방법 및 Application Gateway 사용하여 TLS 종료 및 종단 간 TLS 개요를 참조하세요.
구성 지침: 기본 제공 전송 암호화 기능에 네이티브 데이터가 있는 서비스에서 보안 전송을 사용하도록 설정합니다. 모든 웹 애플리케이션 및 서비스에 HTTPS를 적용하고 TLS v1.2 이상이 사용되는지 확인합니다. SSL 3.0, TLS v1.0과 같은 레거시 버전을 사용하지 않도록 설정해야 합니다. Virtual Machines 원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다.
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault에서 인증 관리
설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: WAF는 고객이 실행 중인 WAF 버전에 따라 Azure Front Door 및 Application Gateway 통해 인증서에 대한 Key Vault 통합을 지원합니다.
자세한 내용은 빠른 시작: Azure Front Door 프로필 만들기 - Azure Portal 및 자습서: Azure CDN 사용자 지정 도메인에서 HTTPS 구성을 참조하세요.
구성 지침: Azure Key Vault 사용하여 인증서 만들기, 가져오기, 회전, 해지, 스토리지 및 제거를 포함하여 인증서 수명 주기를 만들고 제어합니다. 인증서 생성이 키 크기 부족, 지나치게 긴 유효 기간, 안전하지 않은 암호화와 같은 안전하지 않은 속성을 사용하지 않고 정의된 표준을 따르는지 확인합니다. 정의된 일정 또는 인증서 만료 시점에 따라 Azure Key Vault 및 Azure 서비스(지원되는 경우)에서 인증서의 자동 회전을 설정합니다. 애플리케이션에서 자동 회전이 지원되지 않는 경우 Azure Key Vault 및 애플리케이션에서 수동 메서드를 사용하여 자동 회전이 계속 회전되는지 확인합니다.
참조: Key Vault 인증서를 사용하여 TLS 종료
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 고객은 WAF 배포에서 사용하도록 설정할 Azure 정책을 선택해야 합니다. 기본적으로 사용하도록 설정되지 않습니다.
구성 지침: 클라우드용 Microsoft Defender 사용하여 Azure 리소스의 구성을 감사하고 적용하는 Azure Policy 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. [거부] 및 [존재하지 않는 경우 배포] 효과를 Azure Policy 사용하여 Azure 리소스에 보안 구성을 적용합니다.
참조: Azure Web Application Firewall 및 Azure Policy
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스/제품 제공에 대한 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Active Directory(Azure AD)를 기본 인증 방법으로 사용하여 관리 평면 액세스를 제어합니다. Key Vault 대한 Microsoft Defender 경고를 받으면 경고를 조사하고 대응합니다.
참조: 클라우드용 Defender에서 Azure WAF 경고 표시
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 고객 |
기능 정보: 자세한 내용은 Azure Web Application Firewall 모니터링 및 로깅 및Azure Web Application Firewall 모니터링 및 로깅을 참조하세요.
구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. 예를 들어 Key Vault 키 자격 증명 모음에서 비밀을 얻거나 데이터베이스에 대한 요청을 추적하는 리소스 로그가 Azure SQL 작업에 대한 추가 리소스 로그를 지원합니다. 이러한 로그의 내용은 Azure 서비스와 리소스 종류에 따라 달라집니다.
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.