거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다.
GS-1: 조직의 역할, 책임 및 책임 조정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 14.9 | PL-9, 오후-10, 오후-13, AT-1, AT-3 | 2.4 |
일반 지침: 보안 조직의 역할과 책임에 대한 명확한 전략을 정의하고 전달해야 합니다. 보안 결정에 대한 명확한 책임을 제공하는 데 우선순위를 두고, 모든 사람에게 공동 책임 모델에 대해 교육하고, 기술 팀에 클라우드 보안을 위한 기술을 교육합니다.
구현 및 추가 컨텍스트:
- Azure 보안 모범 사례 1 – 사람: 클라우드 보안 여정에 대해 팀 교육하기
- Azure 보안 모범 사례 2 - 사용자: 클라우드 보안 기술에 대한 Teams 교육
- Azure 보안 모범 사례 3 - 프로세스: 클라우드 보안 결정에 대한 책임 할당
고객 보안 관련자(자세한 정보):
GS-2: 엔터프라이즈 구분/의무 분리 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12 | 교류-4, 사우스캐롤라이나-7, 사우스캐롤라이나-2 | 1.2, 6.4 |
일반 지침: ID, 네트워크, 애플리케이션, 구독, 관리 그룹 및 기타 제어의 조합을 사용하여 자산에 대한 액세스를 분할하는 전사적 전략을 수립합니다.
보안 분리의 필요성과 서로 통신하고 데이터에 액세스해야 하는 시스템의 일상적인 작동을 사용하도록 설정해야 하는 필요성의 균형을 신중하게 조정합니다.
네트워크 보안, ID 및 액세스 모델, 애플리케이션 권한/액세스 모델 및 사용자 프로세스 제어를 포함하여 워크로드에서 세분화 전략이 일관되게 구현되는지 확인합니다.
구현 및 추가 컨텍스트:
- Azure용 Microsoft 클라우드 채택 프레임워크의 보안 - 세분화: 보호하기 위해 분리
- Azure용 Microsoft 클라우드 채택 프레임워크의 보안 - 아키텍처: 단일 통합 보안 전략 수립
고객 보안 관련자(자세한 정보):
GS-3: 데이터 보호 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
일반 지침: 클라우드 환경에서 데이터 보호를 위한 전사적 전략을 수립합니다.
- 엔터프라이즈 데이터 관리 표준 및 규정 준수에 따라 데이터 분류 및 보호 표준을 정의하고 적용하여 데이터 분류의 각 수준에 필요한 보안 제어를 결정합니다.
- 엔터프라이즈 세분화 전략에 맞게 클라우드 리소스 관리 계층 구조를 설정합니다. 엔터프라이즈 세분화 전략은 민감한 데이터나 비즈니스에 중요한 데이터 및 시스템의 위치를 고려해야 합니다.
- 경계 내의 네트워크 위치에 따라 트러스트를 구현하지 않도록 클라우드 환경에서 적용 가능한 제로 트러스트 원칙을 정의하고 적용합니다. 대신 디바이스 및 사용자 신뢰 클레임을 사용하여 데이터 및 리소스에 대한 액세스를 제어합니다.
- 기업 전체에서 민감한 데이터 공간(스토리지, 전송 및 처리)을 추적하고 최소화하여 공격 표면과 데이터 보호 비용을 줄입니다. 중요한 데이터를 원래 형식으로 저장하고 전송하지 않으려면 가능한 경우 워크로드에서 단방향 해시, 잘림 및 토큰화와 같은 기술을 고려합니다.
- 데이터 및 액세스 키에 대한 보안 보증을 제공하는 전체 수명 주기 제어 전략이 있는지 확인합니다.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - 데이터 보호
- 클라우드 채택 프레임워크 - Azure 데이터 보안 및 암호화 모범 사례
- Azure 보안 기본 사항 - Azure 데이터 보안, 암호화 및 스토리지
고객 보안 관련자(자세한 정보):
GS-4: 네트워크 보안 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
일반 지침: 액세스 제어에 대한 조직의 전반적인 보안 전략의 일부로 클라우드 네트워크 보안 전략을 수립합니다. 이 전략에는 다음 요소에 대한 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 중앙 집중식/분산된 네트워크 관리 및 보안 책임 모델을 설계하여 네트워크 리소스를 배포하고 유지 관리합니다.
- 엔터프라이즈 세분화 전략에 맞는 가상 네트워크 세분화 모델입니다.
- 인터넷 접점 및 입출 전략입니다.
- 하이브리드 클라우드 및 온-프레미스 상호 연결 전략.
- 네트워크 모니터링 및 로깅 전략입니다.
- 최신 네트워크 보안 아티팩트(예: 네트워크 다이어그램, 참조 네트워크 아키텍처).
구현 및 추가 컨텍스트:
- Azure 보안 모범 사례 11 - 아키텍처. 단일 통합 보안 전략
- Microsoft 클라우드 보안 벤치마크 - 네트워크 보안
- Azure 네트워크 보안 개요
- 엔터프라이즈 네트워크 아키텍처 전략
고객 보안 관련자(자세한 정보):
GS-5: 보안 태세 관리 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
일반 지침: 정책, 절차 및 표준을 설정하여 클라우드 보안 의무에 보안 구성 관리 및 취약성 관리가 마련되어 있는지 확인합니다.
클라우드의 보안 구성 관리에는 다음 영역이 포함되어야 합니다.
- 웹 포털/콘솔, 관리 및 제어 평면, IaaS, PaaS 및 SaaS 서비스에서 실행되는 리소스와 같은 클라우드의 다양한 리소스 유형에 대한 보안 구성 기준을 정의합니다.
- 보안 기준이 네트워크 보안, ID 관리, 권한 있는 액세스, 데이터 보호 등과 같은 다양한 제어 영역의 위험을 해결하는지 확인합니다.
- 도구를 사용하여 구성을 지속적으로 측정, 감사 및 적용하여 구성이 기준에서 벗어나지 않도록 합니다.
- 보안 기능(예: 서비스 업데이트 구독)을 사용하여 업데이트 상태를 유지하는 주기를 개발합니다.
- 보안 상태 또는 규정 준수 검사 메커니즘(예: 보안 점수, 클라우드용 Microsoft Defender의 준수 대시보드)을 활용하여 보안 구성 상태를 정기적으로 검토하고 식별된 격차를 수정합니다.
클라우드의 취약성 관리에는 다음과 같은 보안 측면이 포함되어야 합니다.
- 클라우드 네이티브 서비스, 운영 체제 및 애플리케이션 구성 요소와 같은 모든 클라우드 리소스 유형의 취약성을 정기적으로 평가하고 수정합니다.
- 위험 기반 접근 방식을 사용하여 평가 및 수정의 우선 순위를 지정합니다.
- 관련 CSPM의 보안 권고 알림 및 블로그를 구독하여 최신 보안 업데이트를 받습니다.
- 취약성 평가 및 수정(일정, 범위, 기술 등)이 조직의 규정 준수 요구 사항을 충족하는지 확인하세요. 취약성 평가 및 수정(일정, 범위, 기술 등)이 조직의 정기적인 규정 준수 요구 사항을 충족하는지 확인하세요.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
GS-6: ID 및 권한 있는 액세스 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
일반 지침: 조직의 전반적인 보안 액세스 제어 전략의 일부로 클라우드 ID 및 권한 있는 액세스 접근 방식을 설정합니다. 이 전략에는 다음 측면에 대한 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 중앙 집중식 ID 및 인증 시스템(예: Azure AD) 및 다른 내부 및 외부 ID 시스템과의 상호 연결성
- 권한 있는 ID 및 액세스 거버넌스(예: 액세스 요청, 검토 및 승인)
- 비상(긴급) 상황에서 사용되는 권한 있는 계정
- 다양한 사용 사례 및 조건에서의 강력한 인증(암호 없는 인증 및 다단계 인증) 방법.
- 웹 포털/콘솔, 명령줄 및 API를 통한 관리 작업을 통한 안전한 액세스.
엔터프라이즈 시스템을 사용하지 않는 예외적인 경우의 경우 ID, 인증 및 액세스 관리를 위한 적절한 보안 제어가 마련되어 있는지 확인하고 관리합니다. 이러한 예외는 엔터프라이즈 팀에서 승인하고 주기적으로 검토해야 합니다. 이러한 예외는 일반적으로 다음과 같은 경우에 발생합니다.
- 클라우드 기반 타사 시스템과 같이 엔터프라이즈가 아닌 ID 및 인증 시스템 사용(알 수 없는 위험이 발생할 수 있음)
- 로컬로 인증된 권한 있는 사용자 및/또는 비강력 인증 방법 사용
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - ID 관리
- Microsoft 클라우드 보안 벤치마크 - 권한 있는 액세스
- Azure 보안 모범 사례 11 - 아키텍처. 단일 통합 보안 전략
- Azure ID 관리 보안 개요
고객 보안 관련자(자세한 정보):
GS-7: 로깅, 위협 감지 및 인시던트 대응 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
일반 지침: 로깅, 위협 탐지 및 인시던트 대응 전략을 수립하여 위협을 신속하게 탐지 및 수정하고 규정 준수 요구 사항을 충족합니다. 보안 작업(SecOps/SOC) 팀은 로그 통합 및 수동 단계보다는 위협에 집중할 수 있도록 고품질 경고 및 원활한 환경의 우선 순위를 지정해야 합니다. 이 전략에는 다음 측면에 대한 문서화된 정책, 절차 및 표준이 포함되어야 합니다.
- 보안 작업(SecOps) 조직의 역할 및 책임
- NIST SP 800-61(Computer Security Incident Handling Guide) 또는 기타 산업 프레임워크에 부합하는 잘 정의되고 정기적으로 테스트된 인시던트 대응 계획 및 처리 프로세스입니다.
- 고객, 공급업체 및 관심 있는 공개 당사자와의 통신 및 알림 계획입니다.
- 클라우드 환경 내에서 예상되는 보안 이벤트와 예기치 않은 보안 이벤트를 모두 시뮬레이션하여 준비의 효과를 파악합니다. 시뮬레이션 결과를 반복하여 대응 태세의 규모를 개선하고, 가치 창출 시간을 단축하고, 위험을 더욱 줄일 수 있습니다.
- Azure Defender 기능과 같은 XDR(확장 검색 및 응답) 기능을 사용하여 다양한 영역에서 위협을 감지하는 것을 선호합니다.
- 클라우드 네이티브 기능(예: 클라우드용 Microsoft Defender) 및 타사 플랫폼을 사용하여 로깅 및 위협 감지, 포렌식, 공격 수정 및 근절과 같은 인시던트 처리를 수행합니다.
- 신뢰할 수 있고 일관된 응답을 보장하기 위해 필요한 런북을 수동 및 자동으로 준비합니다.
- 주요 시나리오(예: 위협 감지, 인시던트 대응 및 규정 준수)를 정의하고 시나리오 요구 사항을 충족하도록 로그 캡처 및 보존을 설정합니다.
- SIEM, 기본 클라우드 위협 탐지 기능 및 기타 소스를 사용하여 위협에 대한 중앙 집중식 가시성 및 상관 관계 정보를 제공합니다.
- 학습된 교훈 및 증거 보존과 같은 인시던트 후 활동.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - 로깅 및 위협 탐지
- Microsoft 클라우드 보안 벤치마크 - 인시던트 대응
- Azure 보안 모범 사례 4 - 프로세스. 클라우드에 대한 인시던트 대응 프로세스 업데이트
- Azure 채택 프레임워크, 로깅 및 보고 의사 결정 가이드
- Azure 엔터프라이즈 규모, 관리 및 모니터링
- NIST SP 800-61 컴퓨터 보안 사고 처리 가이드
고객 보안 관련자(자세한 정보):
GS-8: 백업 및 복구 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.1 | CP-1, CP-9, CP-10 | 3.4 |
일반 지침: 조직에 대한 백업 및 복구 전략을 수립합니다. 이 전략에는 다음과 같은 측면에서 문서화된 지침, 정책 및 표준이 포함되어야 합니다.
- 비즈니스 복원력 목표 및 규정 준수 요구 사항에 따라 RTO(복구 시간 목표) 및 RPO(복구 지점 목표) 정의
- 클라우드와 온-프레미스 환경 모두에서의 애플리케이션 및 인프라에 대한 중복 설계(백업, 복원 및 복제 포함). 전략의 일환으로 지역, 지역 쌍, 지역 간 복구 및 오프사이트 스토리지 위치를 고려합니다.
- 데이터 접근 제어, 암호화 및 네트워크 보안 등의 컨트롤을 활용하여 무단 액세스 및 변조로부터 백업을 보호합니다.
- 백업 및 복구를 사용하여 랜섬웨어 공격과 같은 새로운 위협의 위험을 완화합니다. 또한 이러한 공격으로부터 백업 및 복구 데이터 자체를 보호합니다.
- 감사 및 경고 목적으로 백업 및 복구 데이터 및 작업을 모니터링합니다.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - 백업 및 복구 Azure Well-Architecture Framework - Azure 애플리케이션에 대한 백업 및 재해 복구: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure 채택 프레임워크-비즈니스 연속성 및 재해 복구
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
고객 보안 관련자(자세한 정보):
GS-9: 엔드포인트 보안 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, 사우스캐롤라이나-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
일반 지침: 다음과 같은 측면을 포함하는 클라우드 엔드포인트 보안 전략을 수립합니다.- 엔드포인트 검색 및 대응과 맬웨어 방지 기능을 엔드포인트에 배포하고 위협 감지 및 SIEM 솔루션과 보안 운영 프로세스와 통합합니다.
- Microsoft 클라우드 보안 벤치마크에 따라 다른 해당 영역(예: 네트워크 보안, 자세 취약성 관리, ID 및 권한 있는 액세스, 로깅 및 위협 탐지)의 엔드포인트 관련 보안 설정도 엔드포인트에 대한 심층 방어 보호를 제공하기 위해 마련되어 있는지 확인합니다.
- 프로덕션 환경에서 엔드포인트 보안의 우선 순위를 지정하되, 이러한 환경은 프로덕션 환경에 맬웨어 및 취약성을 도입하는 데 사용될 수도 있으므로 비프로덕션 환경(예: DevOps 프로세스에 사용되는 테스트 및 빌드 환경)도 보안 및 모니터링되도록 합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
GS-10: DevOps 보안 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
일반 지침: 조직의 DevOps 엔지니어링 및 운영 표준의 일부로 보안 제어를 의무화합니다. 조직의 엔터프라이즈 및 클라우드 보안 표준에 따라 보안 목표, 제어 요구 사항 및 도구 사양을 정의합니다.
CI/CD 워크플로 전체에서 다양한 유형의 자동화(예: 코드 프로비저닝과 같은 인프라, 자동화된 SAST 및 DAST 검사)를 사용하여 취약성을 신속하게 식별하고 수정하는 이점을 위해 조직에서 DevOps를 필수 운영 모델로 사용하도록 권장합니다. 또한 이 '시프트 레프트' 접근 방식은 배포 파이프라인에서 일관된 보안 검사를 시행할 수 있는 가시성과 기능을 향상시켜 워크로드를 프로덕션에 배포할 때 마지막 순간에 보안 놀라움을 방지하기 위해 보안 가드레일을 미리 환경에 효과적으로 배포합니다.
보안 컨트롤을 배포 전 단계로 이동하는 경우 보안 가드레일을 구현하여 DevOps 프로세스 전반에 걸쳐 컨트롤이 배포되고 적용되도록 합니다. 이 기술에는 IaC(Infrastructure as Code)에서 가드레일을 정의하기 위한 리소스 배포 템플릿(예: Azure ARM 템플릿), 리소스 프로비저닝 및 감사가 포함될 수 있으며, 환경에 프로비저닝할 수 있는 서비스 또는 구성을 제한할 수 있습니다.
워크로드의 런타임 보안 제어의 경우 Microsoft Cloud Security Benchmark에 따라 워크로드 애플리케이션 및 서비스 내에서 ID 및 권한 있는 액세스, 네트워크 보안, 엔드포인트 보안 및 데이터 보호와 같은 제어를 효과적으로 설계하고 구현합니다.
구현 및 추가 컨텍스트:
- Microsoft 클라우드 보안 벤치마크 - DevOps 보안
- DevOps 보안
- Cloud Adoption Framework - DevSecOps controls일반 지침고객 보안 이해 관계자(자세히 알아보기)**:
- 모든 관련자
GS-11: 다중 클라우드 보안 전략 정의 및 구현
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음(N/A) | 해당 없음(N/A) | 해당 없음(N/A) |
일반 지침: 다중 클라우드 전략이 클라우드 및 보안 거버넌스, 위험 관리 및 운영 프로세스에 정의되어 있는지 확인하며, 여기에는 다음과 같은 측면이 포함되어야 합니다.
- 다중 클라우드 채택: 다중 클라우드 인프라를 운영하는 조직의 경우 팀이 클라우드 플랫폼과 기술 스택 간의 기능 차이를 이해할 수 있도록 조직을 교육합니다. 이식 가능한 솔루션을 빌드, 배포 및/또는 마이그레이션합니다. 클라우드 채택으로 인한 최적의 결과를 위해 클라우드 네이티브 기능을 적절하게 활용하면서 최소한의 공급업체 잠금을 통해 클라우드 플랫폼 간에 쉽게 이동할 수 있습니다.
- 클라우드 및 보안 작업: 솔루션이 배포 및 운영되는 위치에 관계없이 공통 운영 프로세스를 공유하는 중앙 거버넌스 및 관리 프로세스 집합을 통해 각 클라우드에서 솔루션을 지원하도록 보안 작업을 간소화합니다.
- 툴링 및 기술 스택: 이 보안 벤치마크에서 논의된 모든 보안 도메인을 포함할 수 있는 통합 및 중앙 집중식 관리 플랫폼을 구축하는 데 도움이 되는 멀티 클라우드 환경을 지원하는 적절한 툴링을 선택합니다.
구현 및 추가 컨텍스트: