보안 태세 및 취약성 관리

자세 및 취약성 관리를 통해 조직은 악용하기 전에 보안 약점을 체계적으로 식별, 평가, 우선 순위 지정 및 수정할 수 있습니다. 기존의 정기 검사와 달리 최신 클라우드 환경에는 코드로서의 인프라, 컨테이너 및 서버리스 함수에 걸친 신속한 프로비전, 구성 드리프트 및 동적 공격 표면을 해결하기 위해 지속적인 평가, 위험 기반 우선 순위 지정 및 자동화된 수정이 필요합니다. 이러한 기능을 구현하는 조직은 중요한 노출을 신속하게 수정하면서 기본적으로 안전한 환경을 유지 관리하는 반면, 이러한 컨트롤을 무시하는 조직은 발견되지 않은 약점과 장기간 노출 창에 직면합니다.

다음은 자세 및 취약성 관리 보안 도메인의 네 가지 핵심 요소입니다.

보안 기준 설정: 업계 표준 및 조직 요구 사항에 부합하는 일관된 보안 구성을 설정하는 구성 관리 도구, 정책 적용 및 코드로서의 인프라 접근 방식을 통해 환경이 기본적으로 안전한지 확인하는 모든 클라우드 리소스에서 보안 구성 기준을 정의하고 구현합니다.

관련 컨트롤:

• PV-1: 보안 구성 정의 및 설정
• PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정

준수 모니터링 및 적용: 자동화된 모니터링 및 수정 기능을 통해 구성 드리프트를 감지하고 수정하는 보안 구성을 지속적으로 감사하고 적용합니다. 주의를 기울여야 하는 보안 약점을 식별하는 인프라, 플랫폼, 애플리케이션 및 운영 체제에서 지속적인 자산 검색 및 취약성 평가를 통해 공격 표면에 대한 포괄적인 가시성을 유지합니다.

관련 컨트롤:

• PV-2: 보안 구성 감사 및 적용
• PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
• PV-5: 취약성 평가 수행

위험 기반 우선 순위를 사용하여 수정: 악용 가능성 평가, 활성 악용 추적, 자산 위험 및 노출 컨텍스트를 결합하여 위험 기반 우선 순위를 통해 진정한 위협을 가하는 취약성에 대한 수정 노력을 집중합니다. 운영 중단을 최소화하고 고급 테스트 기술을 통해 보안 효율성의 유효성을 검사하면서 중요한 노출의 우선 순위를 지정하는 자동화된 패치 및 취약성 수정 프로세스를 구현합니다.

관련 컨트롤:

• PV-5: 취약성 평가 수행
• PV-6: 취약성을 신속하고 자동으로 수정
• PV-7: 정기적인 레드 팀 작전 수행

개발 보안 통합: 개발 프로세스 및 소프트웨어 공급망 보호 초기에 통합된 보안 유효성 검사를 통해 프로덕션 배포 전에 취약성을 방지합니다. 배포 전 보안 검사, 종속성 취약성 평가 및 공급망 위험 관리를 구현하여 보안 약점이 프로덕션 환경에 도달하지 못하도록 방지합니다.

CI/CD 파이프라인 통합, SBOM 관리, 아티팩트 서명, 종속성 검사 및 개발자 보안 워크플로를 비롯한 이동 왼쪽 보안 사례 및 공급망 보안 제어에 대한 포괄적인 지침은 이 벤치마크의 DS(DevOps Security) 섹션을 참조하세요.

PV-1: 보안 구성 정의 및 설정

보안 원칙

기본적으로 구성 관리 도구를 사용하여 클라우드의 다양한 리소스 유형에 대한 보안 구성 기준을 정의하여 규격 환경을 설정합니다. 업계 표준, 공급업체 권장 사항 및 조직 요구 사항을 활용하여 리소스 배포 중에 자동으로 적용할 수 있는 포괄적인 기준을 만듭니다.

완화할 리스크

표준화된 보안 구성 기준이 없으면 클라우드 환경은 악용 가능한 약점을 만드는 일관성 없는 보안 태세로 인해 어려움을 겪습니다. 보안 구성 표준이 없으면 다음이 발생합니다.

• 구성 드리프트 취약성: 보안 기준 없이 배포된 리소스는 개방형 방화벽 규칙, 약한 인증 설정, 과도한 권한 및 공격자에 대한 비활성 보안 로깅 만들기 진입점을 비롯한 잘못된 구성을 도입합니다.
• 일관되지 않은 보안 상태: 다양한 보안 구성으로 리소스를 배포하는 팀은 일부 환경에 강력한 보호가 있는 반면 다른 환경은 취약한 상태로 유지되는 예측할 수 없는 공격 노출 영역을 만듭니다.
• 규정 준수 위반: 규정 프레임워크(PCI-DSS, HIPAA, SOC 2)는 특정 보안 구성을 필수로 규정하고 있으며, 이러한 기준의 부재는 비준수 배포와 감사 실패를 초래합니다.
• 기본 구성 악용: 클라우드 서비스는 종종 보안 수정되지 않은 기본값이 아닌 기능에 최적화된 기본 구성을 제공하며 공격자가 일상적으로 악용하는 보안 약점을 자주 포함합니다.
• 수동 구성 오류: 팀은 보안 설정을 수동으로 구성하면 오타, 생략된 설정 및 전반적인 보안 상태를 약화시키는 오해의 소지가 있는 요구 사항을 비롯한 사용자 오류가 발생합니다.
• 약점의 확장 증폭: 클라우드 환경에서 구성 약점은 자동화를 통해 수백 또는 수천 개의 리소스에 복제됩니다. 단일 기준 결함은 전체 환경에 영향을 줍니다.

보안 구성 기준이 없으면 조직은 사전 표준을 통해 방지되지 않고 악용 후에만 약점이 검색되는 사후 보안을 운영합니다.

MITRE ATT&CK

• 초기 액세스(TA0001): 기본 자격 증명 또는 과도한 네트워크 노출로 잘못 구성된 서비스를 활용하여 공용 애플리케이션(T1190)을 악용합니다.
• 지속성(TA0003): 기준 구성에서 약한 계정 정책 또는 관리 액세스 제어를 악용하는 계정(T1136)을 만듭니다.
• 방어 회피(TA0005): 기본 배포에서 제대로 구성되거나 적용되지 않은 보안 제어를 비활성화하여 방어를 손상시키는 것(T1562)
• 검색(TA0007): 잘못 구성된 리소스를 열거하는 클라우드 인프라 검색(T1580)을 열거하여 공격 경로를 매핑하고 고부가가치 대상을 식별합니다.

PV-1.1: 보안 구성 기준 설정

표준화된 보안 구성이 부족한 조직은 일관성 없는 보안 태세로 리소스를 배포하고, 각 배포를 수동으로 구성하는 데 상당한 운영 노력을 기울이면서 환경 전반에 걸쳐 취약성을 만듭니다. 구성 기준은 구성 드리프트를 방지하고 모든 클라우드 리소스에서 일관된 보호를 보장하는 반복 가능한 보안 표준을 설정합니다. 표준화된 보안 구성은 보안 배포를 가속화하면서 구성 관련 보안 인시던트 및 규정 준수 위반을 줄입니다.

표준화된 기준을 통해 일관된 보안 구성을 설정합니다.

• 보안 구성 기준 정의:Microsoft Cloud Security Benchmark 및 서비스별 보안 권장 사항을 사용하여 각 Azure 서비스에 대한 구성 표준을 설정합니다.
• Azure 랜딩 존 구현:Azure 랜딩 존을 사용하여 미리 구성된 보안 설정 및 거버넌스 제어를 사용하여 워크로드 배포를 가속화합니다.
• 코드 기반 인프라 템플릿 사용: 반복 가능한 배포를 위해 Bicep 템플릿 및 템플릿 사양 을 사용하여 일관된 보안 구성을 코딩하고 배포합니다.
• 참조 아키텍처 지침: 아키텍처 구성 지침 및 모범 사례는 Azure Well-Architected Framework 보안 핵심 요소를 따릅니다.

구현 예제

금융 서비스 조직은 250만 고객에게 서비스를 제공하는 온라인 뱅킹 애플리케이션 및 고객 데이터 처리 시스템을 지원하는 클라우드 인프라 전반에 걸쳐 포괄적인 보안 구성 기준을 수립했습니다.

도전: 금융 서비스 조직은 클라우드 인프라 전체에서 표준화된 보안 구성이 부족하여 500개 이상의 Azure 리소스에서 구성 관련 보안 인시던트와 수동 보안 구성 프로세스로 인해 환경 배포 시간이 길어질 때 일관성 없는 보안 태세를 보였습니다.

솔루션 접근 방식:

포괄적인 보안 기준을 정의합니다.

1. 일반적인 리소스 종류에 대한 보안 구성 표준이 포함된 템플릿 사양을 만듭니다.
   • 최소 권한 액세스를 위해 구성된 네트워크 보안 그룹이 있는 가상 네트워크
   • 저장소 계정은 휴지 상태에서 암호화가 활성화되고, 공용 액세스가 비활성화되며, 로깅이 구성되었습니다.
   • 권한 있는 애플리케이션에만 비밀 액세스를 허용하는 액세스 정책이 적용된 키 자격 증명 모음
   • HTTPS 적용, ID 통합 및 보안 헤더가 구성된 App Services
   • 투명한 데이터 암호화, 감사 사용 및 방화벽 규칙이 구성된 SQL 데이터베이스
2. Azure Machine Configuration을 사용하여 컴퓨팅 리소스 기준을 설정합니다.
   • CIS 규정 준수를 위해 Azure Machine Configuration을 사용하는 Windows Server 기준 구성
   • Azure Automanage 머신 모범 사례를 통해 배포된 Linux 강화 기준
   • Azure Container Registry의 컨테이너용 Microsoft Defender와 통합된 컨테이너 이미지 보안 검사
   • 기본 제공 보안 정책을 사용하여 Azure Policy 추가 기능을 적용하는 Azure Kubernetes Service 보안 기준

코드 기반 인프라 배포 구현:

1. 배포 시 규정 준수를 보장하는 Azure Policy 통합을 사용하여 Bicep 템플릿을 배포합니다.
   • 기본 제공 보안 매개 변수가 있는 Bicep 모듈(minimumTlsVersion, supportsHttpsTrafficOnly 속성)
   • Azure Policy deployIfNotExists 효과는 진단 설정 및 암호화를 자동으로 사용하도록 설정합니다.
   • 중앙 집중식 기준 관리를 위해 Azure에 버전 관리 및 저장되는 템플릿 사양
2. Azure Resource Manager 배포 작업 및 정책 준수 검사와 함께 Azure DevOps 파이프라인 사용
3. 기준 변경 내용을 병합하기 전에 보안 팀 코드 검토가 필요한 Azure Repos 분기 정책 구현

결과: 조직은 보안 구성 표준을 강력하게 준수하여 모든 클라우드 인프라에서 일관된 보안 태세를 구축했습니다. 구성 관련 보안 인시던트가 크게 감소하여 일반적인 간격 및 잘못된 구성을 방지하는 표준화된 보안 구성의 효과를 입증했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: CM-2, CM-6, CM-6(1)
• PCI-DSS v4: 2.2.1, 12.3.1
• CIS 컨트롤 v8.1: 4.1, 4.2
• NIST CSF v2.0: PR.IP-1, PR.DS-6
• ISO 27001:2022: A.8.9, A.5.37
• SOC 2: CC6.1, CC6.6

PV-2: 보안 구성 감사 및 적용

Azure Policy:Azure 기본 제공 정책 정의 PV-2를 참조하세요.

보안 원칙

정의된 구성 기준의 편차를 지속적으로 모니터링하고 경고합니다. 비규격 구성을 거부하거나 자동으로 수정 구성을 배포하여 보안 상태를 유지하는 자동화된 수정을 통해 원하는 구성을 적용합니다.

완화할 리스크

설정된 보안 기준에서 구성 드리프트는 시간이 지남에 따라 누적되는 취약성을 도입하여 공격 표면을 확장합니다. 지속적인 모니터링 및 적용이 없는 경우:

• 침묵의 구성 드리프트: 수동 변경, 긴급 수정, 그리고 점진적인 업데이트는 경고를 일으키지 않으면서 보안 구성을 점차 약화시키므로, 보안이 양호해 보이지만 악용 가능한 취약점을 포함한 환경이 조성됩니다.
• 규정 준수 저하: 규정 준수 구성을 사용하여 처음 배포된 시스템은 정상적인 운영 변경을 통해 규정 요구 사항에서 벗어나 감사 결과 및 인증 위험을 생성합니다.
• 일관성 없는 적용: 보안 구성을 적용하는 다른 팀은 환경 전체에서 보안 약점을 만드는 변형 및 누락을 수동으로 도입합니다.
• 긴급 변경 예외: 고압 상황으로 인해 보안 우회 및 임시 구성이 영구화되어 전반적인 보안 상태가 침식됩니다.
• 드리프트의 배율 증폭: 클라우드 환경에서 구성 변경은 자동화를 통해 여러 리소스에 복제됩니다. 단일 드리프트 이벤트는 동시에 수백 개의 리소스를 약화시킬 수 있습니다.
• 검색되지 않은 잘못된 구성: 자동화된 모니터링이 없으면 보안 잘못된 구성이 오랫동안 검색되지 않은 상태로 유지되므로 공격자가 악용될 수 있는 지속적인 기회가 제공됩니다.

구성 드리프트는 처음에 보안 환경을 보안 및 규정 준수 요구 사항을 충족하지 못하는 취약한 인프라로 변환합니다.

MITRE ATT&CK

• 방어 회피(TA0005): 보안 제어를 사용하지 않도록 설정하거나 약화시키기 위해 구성 드리프트를 악용하는 방어(T1562)를 손상시킵니다.
• 지속성(TA0003): 보안 기준에서 벗어나는 약화된 인증 구성을 활용하여 인증 프로세스(T1556)를 수정합니다.
• 검색(TA0007): 구성 약점의 체계적인 열거를 통해 잘못 구성된 리소스를 식별하는 클라우드 인프라 검색(T1580)입니다.

PV-2.1: 연속 구성 모니터링 구현

수동 변경, 긴급 수정 및 무단 수정이 보안 기준에서 리소스를 벗어나면서 구성 드리프트가 점차 발생하므로 기존 정기 감사가 악용을 방지하기에는 너무 늦게 감지되는 보안 격차가 발생합니다. 연속 구성 모니터링은 구성 상태에 대한 실시간 가시성과 보안 제어 성능 저하의 자동화된 검색을 제공합니다. 자동화된 적용은 모든 클라우드 리소스에서 보안 상태 일관성을 유지하면서 구성 드리프트를 방지합니다.

지속적인 모니터링 및 적용을 통해 보안 기준 준수를 유지합니다.

• 연속 구성 평가 구성:Microsoft Defender for Cloud 를 사용하여 보안 권장 사항에 대한 리소스 구성을 지속적으로 평가하고 기준에서의 편차를 식별합니다.
• 정책 기반 모니터링 구현: 감사 및 적용 효과를 사용하여 Azure Policy 를 배포하여 모든 구독에서 리소스 구성을 모니터링하고 제어합니다.
• 구성 편차 경고를 만듭니다.Azure Monitor 를 사용하여 구성 편차가 감지되면 경고를 만들어 조사 및 수정 워크플로를 트리거합니다.
• 예방 컨트롤 배포: 리소스를 만들 때 비준수 구성의 배포를 방지하기 위해 Azure Policy 거부 효과를 구현합니다.
• 구성 수정 자동화:Azure Policy deployIfNotExists 효과를 사용하여 수동 개입 없이 구성 드리프트를 자동으로 수정합니다.

구현 예제

의료 기술 회사는 EHR(전자 건강 기록) 시스템과 150개 이상의 병원에 서비스를 제공하는 환자 데이터 분석 플랫폼을 지원하는 클라우드 인프라 전반에 걸쳐 포괄적인 구성 모니터링을 구현했습니다.

도전: 의료 기술 회사는 150개 이상의 병원 환경에서 보안 구성 위반을 수정하는 데 며칠이 걸리는 몇 주 동안 구성 변경 내용이 발견되지 않고 수동 수정 프로세스로 인해 HIPAA 규정 준수 위험을 초래하는 구성 드리프트 인시던트가 발생했습니다.

솔루션 접근 방식:

지속적인 모니터링 인프라 배포:

1. 다음을 평가하도록 구성된 보안 정책을 사용하여 모든 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정합니다.
   • 스토리지 계정 암호화 및 액세스 구성
   • 네트워크 보안 그룹 규칙 및 네트워크 노출
   • ID 및 액세스 관리 구성 준수
   • 데이터베이스 보안 구성 및 액세스 제어
   • 가상 머신 보안 기준 준수
2. 구성 변경 내용을 검색하는 KQL 쿼리를 사용하여 Azure Monitor Log Analytics를 구성합니다.
   • 방화벽 규칙 수정에 대한 NetworkSecurityGroupRuleOperations를 모니터링하는 AzureActivity 쿼리
   • StorageAccountEncryptionDisabled 이벤트를 검색하는 AzureDiagnostics 쿼리
   • Microsoft Entra PIM 역할 할당 및 권한 에스컬레이션을 추적하는 AuditLogs 쿼리
   • 정책 예외 요청 및 준수 상태 변경을 모니터링하는 PolicyEvents 쿼리

정책 기반 적용 구현:

1. HIPAA HITRUST 9.2 규정 준수를 위한 Azure Policy 기본 제공 이니셔티브를 배포합니다.
   • Microsoft.Compute, Microsoft.Storage, Microsoft.Network 리소스 공급자를 사용하여 효과 정책 감사
   • 거부 효과 정책은 allowedLocations, allowedVirtualMachineSkus, deniedResourceTypes를 강제합니다.
   • DeployIfNotExists 효과 정책은 클라우드용 Microsoft Defender, 진단 설정, 암호화를 배포합니다.
2. 관리 ID 할당을 사용하여 Azure Policy 수정 작업을 구성합니다.
   • 정책 준수를 위해 시스템 할당 관리 ID를 사용하는 자동화된 수정 작업
   • 정책 준수 상태 변경으로 트리거되는 Azure Automation Runbook
   • 다단계 오케스트레이션이 필요한 복잡한 수정을 위한 Azure Logic Apps 워크플로

경고 및 응답 워크플로를 설정합니다.

1. 중요한 구성 변경에 대한 Azure Monitor 경고 규칙을 만듭니다.
   • 보안 제어 비활성화 또는 정책 예외에 대한 즉각적인 경고
   • 환경 전반의 구성 준수 상태에 대한 일일 요약
   • 시스템 구성 관리 문제를 식별하는 주간 추세 분석
2. 추적 및 해결을 위해 Azure DevOps와 경고를 통합합니다.
   • 중요한 보안 구성 위반에 대한 자동 작업 항목 만들기
   • 리소스 종류 및 심각도에 따라 적절한 팀에 할당
   • 구성 드리프트의 적시에 해결을 보장하는 SLA 추적

결과: 조직의 구성 모니터링은 HIPAA 규정 준수 위반으로 인해 규제 처벌을 방지하고 환자 데이터를 보호할 수 있는 구성 드리프트 인시던트를 감지하고 수정했습니다. 자동화된 적용은 프로덕션에 도달하기 전에 비준수 리소스 배포를 방지하여 리소스 수명 주기 내내 보안 구성이 일관성을 유지하도록 했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CM-7, CM-7(1)
• PCI-DSS v4: 2.2.2, 2.2.7, 11.5.1
• CIS 컨트롤 v8.1: 4.1, 4.2, 4.7
• NIST CSF v2.0: DE.CM-7, PR.IP-1
• ISO 27001:2022: A.8.9, A.8.34
• SOC 2: CC6.1, CC6.6, CC7.1

PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정

보안 원칙

VM(Virtual Machines) 및 컨테이너를 포함한 컴퓨팅 리소스에 대한 보안 구성 기준을 정의합니다. 구성 관리 도구 및 미리 구성된 이미지를 사용하여 기본적으로 규격 컴퓨팅 환경을 설정하여 모든 컴퓨팅 배포에서 보안 강화가 일관되게 적용되도록 합니다.

완화할 리스크

가상 머신 및 컨테이너를 포함한 컴퓨팅 리소스는 종종 조직이 손상되는 안전하지 않은 기본 구성을 사용하여 배포합니다. 보안 컴퓨팅 기준이 없는 경우:

• 운영 체제 취약성: 기본 OS 설치에는 불필요한 서비스, 약한 인증 설정 및 권한 상승 및 횡적 이동을 위한 공격 벡터를 제공하는 누락된 보안 패치가 포함됩니다.
• 컨테이너 보안 격차: 보안 강화 없이 빌드된 컨테이너 이미지는 취약한 기본 계층, 과도한 권한 및 컨테이너 이스케이프 및 호스트 손상이 가능한 안전하지 않은 런타임 구성을 포함합니다.
• 서비스 구성 약점: 기본 구성으로 배포된 애플리케이션 및 서비스는 종종 불필요한 기능을 사용하도록 설정하고, 약한 자격 증명을 사용하며, 적절한 액세스 제어가 부족합니다.
• 영구 액세스 기회: 보안 기준이 약한 컴퓨팅 리소스는 공격자가 장기 액세스를 유지하고 정찰을 수행하기 위한 안정적인 발판을 제공합니다.
• 배율 증폭: 클라우드 자동 크기 조정 및 오케스트레이션 시스템은 수백 개의 인스턴스에서 안전하지 않은 컴퓨팅 구성을 복제하여 기준 보안 약점의 영향을 증폭합니다.
• 규정 준수 위반: 규정 표준에는 컴퓨팅 리소스의 비안전한 기준에 대한 특정 보안 구성이 필요하며, 이는 증명 가능한 규정 준수 격차를 만듭니다.

안전하지 않은 컴퓨팅 구성은 공격자가 클라우드 환경 내에서 초기 액세스, 권한 상승 및 지속적인 존재에 대한 다양한 경로를 제공합니다.

MITRE ATT&CK

• 초기 액세스(TA0001): 안전하지 않게 구성된 컴퓨팅 리소스에서 실행되는 서비스를 대상으로 하는 공용 애플리케이션(T1190)을 악용합니다.
• 실행(TA0002): 약한 컴퓨팅 보안을 활용하여 악성 코드를 실행하는 명령 및 스크립팅 인터프리터(T1059)
• 지속성(TA0003): 약한 컴퓨팅 기준을 악용하여 영구 액세스를 설정하는 시스템 프로세스(T1543)를 만들거나 수정합니다.
• 방어 회피(TA0005): 약하게 구성된 컴퓨팅 리소스에서 보안 제어를 사용하지 않도록 설정하는 방어(T1562) 손상

PV-3.1: 컴퓨팅 보안 기준 설정

기본 구성을 사용하여 배포된 컴퓨팅 리소스에는 알려진 보안 약점 및 공격자가 초기 액세스 및 권한 상승에 악용하는 불필요한 서비스가 포함되어 있으며 운영 체제 취약성은 클라우드 환경에서 기본 공격 벡터로 남아 있습니다. 보안 강화는 불필요한 서비스를 사용하지 않도록 설정하여 보안 구성을 적용하고 운영 체제 수준에서 최소 권한 원칙을 적용하여 공격 노출 영역을 줄입니다. 강화된 컴퓨팅 기준은 일반적인 악용 기술을 방지하면서 모든 컴퓨팅 리소스에서 일관된 보안 태세를 보장합니다.

표준화된 기준을 통해 컴퓨팅 보안 강화를 구현합니다.

• 운영 체제 보안 기준을 적용합니다. Windows 및 Linux 운영 체제에 대한 Azure 보안 기준을 사용하여 CIS 벤치마크 및 Microsoft 보안 권장 사항을 적용합니다.
• 강화된 가상 머신 이미지를 만듭니 다. Azure Image Builder 를 사용하여 배포 전에 미리 적용된 보안 구성으로 강화된 VM 이미지를 만듭니다.
• 컨테이너 보안 기준 설정: 이미지 강화 및 런타임 보호를 위해 컨테이너용 Microsoft Defender 권장 사항을 사용하여 컨테이너 보안 표준을 적용합니다.

구현 예제

제조 회사는 50개 이상의 생산 시설 및 공급망 관리 시스템을 지원하는 산업용 IoT 인프라 및 엔터프라이즈 애플리케이션에 걸쳐 보안 컴퓨팅 기준을 수립했습니다.

도전: 제조 회사는 중요한 취약성이 있는 컴퓨팅 리소스, 일관성 없는 보안 구성으로 인한 긴 규정 준수 감사 준비, 50개 이상의 위치에서 프로덕션 시설 확장을 지연시키는 느린 VM 배포 프로세스와 관련된 보안 인시던트에 직면했습니다.

솔루션 접근 방식:

VM 보안 기준 설정:

1. Azure Compute 갤러리에서 Azure Image Builder를 사용하여 강화된 VM 이미지를 만듭니다.
   • CIS 벤치마크를 적용하는 Azure Image Builder 사용자 지정이 포함된 Windows Server 2022 이미지
   • 보안 강화를 위해 Azure Image Builder runScripts를 사용하는 Ubuntu 22.04 LTS 이미지
   • Image Builder 빌드 스크립트를 통해 엔드포인트용 Microsoft Defender의 도입 자동화
   • 기준 배포를 위해 지역 간 복제를 사용하여 Azure Compute Gallery 버전 관리
2. OS 수준 준수를 위한 Azure Machine Configuration 구성:
   • Windows VM에 DSC 구성을 배포하는 Azure Machine Configuration 패키지
   • Linux 보안 기준을 적용하는 Azure Machine Configuration 사용자 지정 정책
   • Azure Disk Encryption 사용은 Azure Policy deployIfNotExists를 통해 적용됨
   • VM 만들기 정책을 통해 적용되는 보안 부팅 및 vTPM 요구 사항

컨테이너 보안 기준 배포:

1. Microsoft Defender for Containers를 사용하여 Azure Container Registry를 구성합니다.
   • ACR 이미지에 대한 통합 Trivy 스캐너를 사용하여 컨테이너용 Microsoft Defender 취약성 검사
   • 취약한 이미지 끌어오기를 차단하는 리포지토리 권한을 사용하는 ACR 격리 패턴
   • 최소 기본 이미지 및 다단계 빌드를 사용한 컨테이너 빌드 최적화
   • Azure DevOps 파이프라인은 Defender에서 감지한 중요/높은 CVE로 인해 빌드가 실패하도록 설정되어 있습니다.
2. Azure Kubernetes Service 보안 기준 구현:
   • 기본 제공 정책 정의를 사용하여 Pod 보안 기준을 적용하는 AKS용 Azure Policy
   • Azure CNI를 사용하여 네임스페이스 수준 네트워크 격리를 위한 Calico 네트워크 정책 적용
   • 클러스터 간에 보안 구성을 배포하는 Azure Kubernetes Fleet Manager
   • AKS 이미지 클리너가 보존 정책에 따라 이전 이미지를 자동으로 제거

Azure Policy를 사용하여 이미지 거버넌스를 설정합니다.

1. 컨테이너 이미지 준수를 위한 Azure Policy 배포:
   • ACR 원본 이미지만 AKS 클러스터에 배포하도록 하는 Azure Policy
   • Azure Policy 감사 효과를 통해 적용되는 컨테이너 이미지 태그 지정 요구 사항
   • Azure Container Registry 작업의 예약 실행을 통해 자동화된 이미지 새로 고침 워크플로
   • 승인된 VM 및 컨테이너 기본 이미지 배포를 위한 Azure Compute Gallery 통합

결과: 조직의 보안 컴퓨팅 기준은 컴퓨팅 리소스와 관련된 보안 인시던트가 크게 감소하여 표준화된 보안 구성의 효율성을 입증합니다. 취약성 평가 결과는 중요하고 심각도가 높은 결과를 크게 감소하여 프로덕션 시설 전체에서 공격 표면 및 규정 준수 위험을 줄이는 것으로 나타났습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: CM-2, CM-6, SC-28, SC-28(1)
• PCI-DSS v4: 2.2.1, 2.2.4, 2.2.5
• CIS 컨트롤 v8.1: 4.1, 4.8, 18.3
• NIST CSF v2.0: PR.IP-1, PR.DS-6, PR.PT-3
• ISO 27001:2022: A.8.1, A.8.9, A.8.19
• SOC 2: CC6.1, CC6.6, CC6.7

PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용

Azure Policy:Azure 기본 제공 정책 정의 PV-4를 참조하세요.

보안 원칙

컴퓨팅 리소스의 정의된 기준에서 구성 편차를 지속적으로 모니터링하고 경고합니다. 비규격 구성을 방지하거나 자동으로 수정 조치를 적용하여 보안 상태를 유지하는 자동화된 수정을 통해 원하는 구성을 적용합니다.

완화할 리스크

컴퓨팅 리소스 구성은 정상적인 작업을 통해 보안 기준에서 벗어나 시간이 지남에 따라 누적되는 취약성을 만듭니다. 지속적인 모니터링 및 적용이 없는 경우:

• 중요한 시스템의 구성 드리프트: 프로덕션 시스템은 경고를 트리거하지 않고 합법적인 변경, 긴급 수정 및 증분 업데이트 약화 보안 태세를 통해 보안 기준에서 점차 벗어나고 있습니다.
• 패치 관리 간격: 보안 업데이트가 누락되면 컴퓨팅 리소스가 알려진 악용에 취약해지지만 조직은 시스템이 최신 상태라고 믿습니다.
• 서비스 스프롤 취약성: 컴퓨팅 리소스에 설치된 새로운 서비스 및 애플리케이션은 기준 보안 제어를 우회하는 보안 약점을 도입합니다.
• 컨테이너 런타임 보안 드리프트: 컨테이너 오케스트레이션 플랫폼은 보안 정책을 약화시키고 기본 인프라를 노출할 수 있는 런타임 수정을 허용합니다.
• 규정 준수 확인 간격: 지속적인 모니터링이 없으면 컴퓨팅 리소스가 정기 감사 간의 규정 요구 사항을 준수하지 않습니다.

컴퓨팅 리소스의 구성 드리프트는 시간이 지남에 따라 보안 제어가 약화됨에 따라 공격자가 악용할 수 있는 기회를 제공합니다.

MITRE ATT&CK

• 권한 에스컬레이션(TA0004): 상승된 액세스를 허용하는 구성 드리프트가 있는 시스템을 대상으로 하는 권한 에스컬레이션(T1068)에 대한 악용입니다.
• 방어 회피(TA0005): 보안 제어를 약화시키는 구성 변경을 활용하여 방어(T1562)를 손상시킵니다.
• 지속성(TA0003): 인증 구성 드리프트를 악용하는 인증 프로세스(T1556)를 수정하여 영구 액세스를 유지합니다.
• 검색(TA0007): 시스템 정보 검색(T1082) 잘못 구성된 시스템에서 정보를 수집하여 공격 기회를 식별합니다.

PV-4.1: 컴퓨팅 구성 모니터링 구현

컴퓨팅 리소스 구성은 패치 설치, 애플리케이션 업데이트 및 관리 수정을 통해 자주 변경되어 공격자가 클라우드 환경에서 발판을 마련하기 위해 악용하는 보안 제어 성능 저하의 기회를 만듭니다. 지속적인 컴퓨팅 구성 모니터링은 악의적 사용자가 권한 상승 또는 횡적 이동을 위해 잘못된 구성을 악용하기 전에 보안 약점 및 무단 변경을 감지합니다. 자동화된 구성 평가 및 수정은 컴퓨팅 보안 상태를 유지하면서 가상 머신 및 컨테이너 배포에서 구성 드리프트를 방지합니다.

지속적인 구성 평가 및 적용을 통해 컴퓨팅 보안을 유지합니다.

• 컴퓨팅 보안 구성을 지속적으로 평가합니다.Microsoft Defender for Cloud 를 사용하여 업계 벤치마크 및 모범 사례에 대해 컴퓨팅 리소스 보안 구성을 지속적으로 평가합니다.
• 지속적인 규정 준수 모니터링 구현: 지속적인 규정 준수 모니터링 및 구성 드리프트의 자동화된 수정을 위해 Azure Machine Configuration 을 배포합니다.
• 원하는 구성 상태를 유지 관리합니다.Azure Automation 상태 구성 을 사용하여 자동화된 수정 기능을 사용하여 컴퓨팅 리소스에서 원하는 구성 상태를 유지합니다.
• 구성 변경 내용 모니터링:변경 내용 추적 및 인벤토리 를 구현하여 컴퓨팅 리소스의 구성 변경 내용을 모니터링하고 무단 수정을 검색합니다.
• 컨테이너 보안 상태 모니터링을 사용하도록 설정합니다. AKS 클러스터 및 컨테이너 레지스트리에서 컨테이너 보안 상태 모니터링을 위해 컨테이너용 Microsoft Defender 를 배포합니다.

구현 예제

금융 기술 회사는 실시간 금융 거래 및 중요한 금융 데이터 처리를 지원하는 거래 시스템 및 고객 관련 애플리케이션에서 포괄적인 컴퓨팅 구성 모니터링을 구현했습니다.

도전: 금융 기술 회사는 거래 시스템에 영향을 주는 구성 드리프트 인시던트가 발생했으며, 탐지에는 며칠이 걸리고 수동 수정이 몇 시간이 걸리며 수백만 명의 고객에게 실시간 금융 거래를 처리하는 시스템에서 규정 준수 위험과 잠재적인 보안 손상이 발생했습니다.

솔루션 접근 방식:

포괄적인 구성 모니터링 배포:

1. 모든 컴퓨팅 리소스에서 클라우드용 Microsoft Defender를 사용하도록 설정합니다.
   • CIS 벤치마크에 대한 VM 보안 구성의 지속적인 평가
   • Kubernetes 클러스터에 대한 컨테이너 보안 상태 평가
   • 위험 평가에 따른 보안 권장 사항 우선 순위 지정
   • 중앙 집중식 보안 모니터링을 위해 Microsoft Sentinel과 통합
2. Azure Machine 구성 구현:
   • 500개 이상의 VM에 대한 Windows 및 Linux 기준 준수 모니터링
   • 금융 서비스 보안 요구 사항을 적용하는 사용자 지정 정책
   • 일반적인 구성 드리프트 시나리오의 자동화된 수정
   • 규정 감사 준비에 대한 규정 준수 보고

자동화된 수정 워크플로를 설정합니다.

1. Azure Automation 상태 구성 구성:
   • 거래 시스템 보안 요구 사항을 유지하는 PowerShell DSC 구성
   • 5분 이내에 보안 관련 구성 드리프트의 자동화된 수정
   • 유지 관리 중 합법적인 구성 변형에 대한 예외 처리
   • 수정 작업이 성공적으로 완료되었는지 확인하는 규정 준수 유효성 검사
2. 변경 내용 추적 및 인벤토리 모니터링 배포:
   • 무단 소프트웨어 설치 실시간 탐지
   • 보안에 중요한 파일 및 레지스트리 변경 모니터링
   • 유지 관리 기간 외부의 구성 변경에 대한 경고 생성
   • 승인된 수정을 위한 변경 관리 프로세스와 통합

컨테이너 보안 모니터링 구현:

1. AKS 클러스터에서 컨테이너용 Microsoft Defender를 사용하도록 설정합니다.
   • 의심스러운 컨테이너 동작을 검색하는 런타임 보안 모니터링
   • 배포된 모든 컨테이너 이미지에 대한 이미지 취약성 평가
   • 보안 모범 사례에 대한 Kubernetes 클러스터 구성 평가
   • 비정상적인 통신 패턴을 식별하는 네트워크 트래픽 분석
2. Kubernetes용 Azure Policy를 통해 AKS 보안 정책 적용:
   • Pod 보안 기준을 적용하는 Azure Policy 기본 제공 정의(권한 있는 컨테이너 없음)
   • Gatekeeper v3 OPA 제약 조건 프레임워크를 사용하는 AKS용 Azure Policy 추가 기능
   • Azure CNI를 사용하여 네임스페이스 수준 네트워크 격리를 위한 Calico 네트워크 정책 적용
   • LimitRange 개체를 통해 컨테이너 CPU/메모리 제한을 배포하는 Azure Policy 이니셔티브

거버넌스 및 보고 설정:

1. 규정 준수 대시보드 및 보고 만들기:
   • 컴퓨팅 리소스 준수 상태에 대한 실시간 가시성
   • 체계적인 구성 관리 문제를 식별하는 추세 분석
   • 보안 상태 및 개선 메트릭에 대한 임원 보고
   • 위험 수량화를 위한 위험 관리 프레임워크와 통합
2. 자동화된 인시던트 대응 구현:
   • 중요한 보안 구성 위반에 대한 즉각적인 경고
   • 수정 보류 중인 비준수 리소스의 자동화된 격리
   • 작업 항목 추적 및 해결을 위해 Azure DevOps와 통합
   • 인시던트 후 분석 및 기준 개선 권장 사항

결과: 조직의 구성 모니터링은 보안 손상으로 인해 재정적 손실 및 데이터 침해를 방지할 수 있는 구성 드리프트 인시던트를 감지하고 수정했습니다. 자동화된 적용은 프로덕션 시스템에 영향을 미치기 전에 위험한 구성 변경을 방지하여 비즈니스 성장 전반에 걸쳐 거래 플랫폼 안정성을 보장했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: CM-3, CM-6, CM-6(1), SI-2, SI-2(2)
• PCI-DSS v4: 2.2.2, 2.2.7, 11.3.1, 11.3.2
• CIS 컨트롤 v8.1: 4.1, 4.2, 4.7, 18.5
• NIST CSF v2.0: DE.CM-7, DE.CM-8, PR.IP-1
• ISO 27001:2022: A.8.9, A.8.19, A.8.34
• SOC 2: CC6.1, CC6.6, CC7.1, CC7.2

PV-5: 취약성 평가 수행

Azure Policy:Azure 기본 제공 정책 정의 PV-5를 참조하세요.

보안 원칙

예약 및 주문형으로 모든 클라우드 리소스에서 포괄적인 취약성 평가를 수행합니다. 검사 결과를 추적하고 비교하여 수정 효과를 확인합니다. 검색 작업에 사용되는 관리 액세스를 보호하면서 인프라 취약성, 애플리케이션 약점, 구성 문제 및 네트워크 노출에 대한 평가를 포함합니다.

완화할 리스크

클라우드 인프라에서 확인되지 않은 취약성은 공격자에게 수많은 악용 기회를 제공합니다. 포괄적인 취약성 평가가 없는 경우:

• 알 수 없는 취약성 노출: 시스템에는 악용될 때까지 검색되지 않는 보안 약점이 포함되어 있어, 공격자가 보안 제어를 우회할 수 있는 발판을 마련합니다.
• 오래된 취약성 데이터베이스: 보안 팀은 새로운 위협과 인프라에 영향을 주는 새로 발견된 취약성에 대한 현재 지식이 부족합니다.
• 다층 사각지대: 기존 네트워크 중심 검색은 클라우드 서비스, 컨테이너 이미지, 서버리스 함수 및 관리되는 서비스의 취약성을 누락합니다.
• 구성 기반 취약성: 잘못된 구성과 정책 약점은 소프트웨어 결함에 주로 초점을 맞춘 기존 취약성 스캐너에서는 탐지되지 않습니다.
• 권한 있는 액세스 위험: 취약성 검사에 사용되는 관리 계정은 제대로 보호되고 모니터링되지 않는 경우 추가 공격 벡터를 만듭니다.
• 평가 적용 범위 간격: 불완전한 검색으로 인해 인프라의 일부가 평가되지 않고 공격자 작업에 안전한 피난처가 생성됩니다.
• 수정 추적 실패: 조직에서는 체계적인 취약성 추적이 없으면 어떤 취약성이 해결되고 어떤 취약성이 여전히 뛰어난지 파악할 수 없게 됩니다.

부적절한 취약성 평가는 알 수 없는 약점을 초기 액세스, 권한 상승 및 횡적 이동을 가능하게 하는 성공적인 공격 벡터로 변환합니다.

MITRE ATT&CK

• 초기 액세스(TA0001): 웹 애플리케이션 및 서비스에서 패치되지 않은 취약성을 활용하여 공용 애플리케이션(T1190)을 악용합니다.
• 권한 에스컬레이션(TA0004): 운영 체제 및 애플리케이션의 알려진 취약성을 대상으로 하는 권한 에스컬레이션(T1068)에 대한 악용입니다.
• 횡적 이동(TA0008): 취약성을 사용하여 원격 서비스(T1021)를 악용하여 시스템과 네트워크 간에 이동합니다.
• 방어 회피(TA0005): 보안 제어를 사용하지 않도록 설정하거나 우회하기 위해 취약성을 활용하는 방어 회피 악용(T1562).

PV-5.1: 포괄적인 취약성 평가 구현

포괄적인 취약성 가시성이 없는 조직은 보안 팀이 이를 발견하기 전에 공격자가 식별하고 악용하는 알 수 없는 보안 약점으로 작동하며, 컴퓨팅 리소스, 컨테이너 및 데이터베이스에서 중요한 취약성이 발견되지 않습니다. 지속적인 취약성 평가는 모든 클라우드 리소스의 보안 약점에 대한 완전한 가시성을 제공하여 악의적 사용자가 초기 액세스 또는 권한 에스컬레이션을 위해 취약성을 악용하기 전에 사전 예방적 수정을 가능하게 합니다. 노출 관리와 결합된 다중 계층 검사는 성공적인 공격을 가능하게 할 가능성이 가장 높은 취약성에 대한 수정 노력에 중점을 둔 위험 기반 우선 순위를 제공합니다.

포괄적인 취약성 평가를 통해 보안 약점을 식별하고 우선 순위를 지정합니다.

• 포괄적인 취약성 평가를 사용하도록 설정합니다. 가상 머신, 컨테이너 및 SQL 데이터베이스에 대한 클라우드용 Microsoft Defender 취약성 평가를 배포하여 모든 리소스 유형에서 보안 약점을 식별합니다.
• 통합 취약성 검사 사용: 추가 에이전트 배포 또는 라이선스 없이도 포괄적인 VM 평가를 위한 기본 제공 취약성 스캐너 를 구현합니다.
• 노출 관리 통합:Microsoft 보안 노출 관리를 사용하여 공격 경로를 식별하고 위험 기반 수정을 위한 자산 중요도 및 잠재적인 폭발 반경에 따라 취약성의 우선 순위를 지정합니다.
• 데이터베이스 취약성 평가 구현: 데이터베이스 보안 평가 및 구성 약점 식별을 위한 SQL 취약성 평가를 배포합니다.
• 취약성 추적 구성: 추적 및 추세 분석에 연속 내보내 기를 사용하도록 설정하여 시간에 따른 수정 진행률을 측정합니다.

구현 예제

의료 서비스 회사는 500개 이상의 의료 시설에 서비스를 제공하는 환자 치료 시스템, 의료 장치 통합 및 건강 정보 교환을 지원하는 클라우드 인프라 전반에 걸쳐 포괄적인 취약성 평가를 구현했습니다.

도전: 의료 서비스 회사는 포괄적인 취약성 평가 기능이 부족했으며, 중요한 취약성은 몇 주 동안 발견되지 않았으며 수동 취약성 관리 프로세스는 낮은 수정 속도로 인해 중요한 환자 데이터를 처리하는 500개 이상의 의료 시설에서 규정 준수 위험을 초래했습니다.

솔루션 접근 방식:

통합 취약성 검사 배포:

1. 클라우드용 Microsoft Defender 통합 취약성 검사를 사용하도록 설정합니다.
   • 통합 Qualys 스캐너와 함께 클라우드용 Microsoft Defender를 사용하여 Azure VM에 대한 에이전트 없는 검사
   • 300개 이상의 Azure Container Registry 이미지에 Trivy를 사용하여 컨테이너용 Microsoft Defender 취약성 검사
   • 자동 기준 생성을 사용하여 SQL용 Microsoft Defender 취약성 평가
   • SecurityAssessment 테이블을 Microsoft Sentinel로 내보내는 Azure Monitor Log Analytics 통합

클라우드용 Microsoft Defender 연속 평가 구현:

1. 자동화된 취약성 검색 및 우선 순위를 구성합니다.
   • 자산 위험 및 노출을 고려한 위험 기반 취약성 우선 순위 지정
   • 악용 가능성 데이터를 위해 Microsoft Defender 취약성 관리에서 기본적으로 사용할 수 있는 EPSS(Exploit Prediction Scoring System)와의 통합
   • 적극적으로 악용된 취약성을 식별하기 위한 위협 인텔리전스 피드와의 상관 관계(Microsoft Defender 위협 인텔리전스 우선 순위 점수 매기기 및 악용 추적 사용)
   • 컨텍스트 인식 취약성 평가를 위해 자산 인벤토리와 통합
   • Microsoft Defender 위협 인텔리전스 문서 및 위반 인사이트를 통한 실시간 공격 캠페인 컨텍스트
   • 환자 치료 시스템에 영향을 주는 취약성에 대한 비즈니스 영향 평가

취약성 관리 워크플로를 설정합니다.

1. Azure Logic Apps를 사용하여 취약성 수정 워크플로 자동화:
   • SecurityAssessment KQL 쿼리에서 작업 항목을 만드는 Azure DevOps REST API 통합
   • 중요한 CVE에 대한 Azure Update Manager 패치 배포를 트리거하는 Azure Automation Runbook
   • Azure DevOps에 취약성 데이터를 보내는 클라우드용 Microsoft Defender 워크플로 자동화
   • 잘못된 구성을 해결하는 보안 구성을 배포하는 Azure Policy 수정 작업
2. 클라우드용 Microsoft Defender 보안 점수를 사용하여 거버넌스 구현:
   • SecurityAssessment 테이블에서 취약성 추세를 시각화하는 Azure Monitor 통합 문서
   • 보안 점수 메트릭 및 취약성 수정 KPI를 표시하는 Power BI 대시보드
   • HIPAA/HITRUST 추적을 위한 클라우드용 Microsoft Defender 규정 준수 대시보드
   • 취약성 관리 프로그램 분석을 위한 Microsoft Sentinel 통합 문서 템플릿

결과: 조직의 포괄적인 취약성 평가는 환자 데이터 시스템을 손상시킬 수 있는 취약성을 식별하고 쉽게 수정하여 HIPAA 위반을 방지했습니다. 중요한 취약성 검색 시간은 자동화된 연속 검사 및 통합된 위협 인텔리전스를 통해 크게 향상되어 새로운 위협에 신속하게 대응할 수 있도록 합니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: RA-3, RA-5, RA-5(1), RA-5(2), RA-5(5)
• PCI-DSS v4: 6.3.1, 6.3.2, 11.3.1, 11.3.2
• CIS 컨트롤 v8.1: 7.1, 7.2, 7.5, 7.7
• NIST CSF v2.0: DE.CM-8, ID.RA-1
• ISO 27001:2022: A.5.14, A.8.8
• SOC 2: CC7.1, CC7.2

PV-6: 취약성을 신속하고 자동으로 수정

Azure Policy:Azure 기본 제공 정책 정의 PV-6을 참조하세요.

보안 원칙

가장 높은 가치의 자산에서 가장 심각한 취약성을 먼저 해결하는 위험 기반 우선 순위를 사용하여 취약성을 수정하기 위해 패치 및 업데이트를 신속하고 자동으로 배포합니다. 보안 요구 사항과 운영 안정성의 균형을 맞추는 자동화된 패치 기능을 구현합니다.

완화할 리스크

느린 취약성 수정은 노출 창을 확장하여 패치가 적용되기 전에 공격자가 알려진 약점을 악용할 수 있도록 합니다. 신속한 수정 기능이 없으면 다음을 수행합니다.

• 확장된 노출 기간: 중요한 취약성은 며칠 또는 몇 주 동안 악용할 수 있으며 수동 패치 프로세스는 진행 중이며 공격자가 악용을 개발하고 배포할 수 있는 충분한 시간을 제공합니다.
• 패치 관리 지연: 복잡한 승인 워크플로 및 테스트 요구 사항은 보안 업데이트를 지연하여 확장된 수정 주기 동안 시스템을 취약하게 합니다.
• 배율 증폭: 수백 또는 수천 개의 리소스가 있는 클라우드 환경에서는 수동 프로세스로는 적시에 수정할 수 없으므로 자동화된 패치가 필요합니다.
• 비즈니스 중단 위험: 시스템 가동 중지 시간에 대한 두려움 때문에 패치 결정이 지연되어 조직이 운영 영향에 대해 논의하는 동안 취약성이 해결되지 않습니다.
• 타사 소프트웨어 격차: 운영 체제 패치에서 다루지 않는 애플리케이션 및 미들웨어는 복잡한 업데이트 절차로 인해 더 오래 취약하게 유지됩니다.
• 일관성 없는 우선 순위 지정: 위험 기반 수정 우선 순위 지정이 없으면 고부가가치 자산에 영향을 주는 중요한 취약성이 적절한 관심을 받지 못할 수 있습니다.
• 수정 확인 간격: 패치 후 유효성 검사가 부족하면 취약성이 성공적으로 해결되었는지 여부에 대한 불확실성이 남습니다.

지연된 취약성 수정은 조직이 필요한 수정 사항을 적용하기 전에 검색된 약점을 성공적인 공격 벡터로 변환합니다.

MITRE ATT&CK

• 초기 액세스(TA0001): 확장된 수정 기간 동안 알려진 취약성을 대상으로 하는 공용 애플리케이션(T1190)을 악용합니다.
• 권한 에스컬레이션(TA0004): 패치되지 않은 로컬 취약성을 활용하는 권한 에스컬레이션(T1068)에 대한 악용입니다.
• 횡적 이동(TA0008): 알려진 취약성을 사용하여 원격 서비스(T1021)를 악용하여 시스템 간에 분산합니다.

PV-6.1: 자동화된 취약성 수정 구현

수동 패치 관리는 보안 팀이 대규모 환경에서 수정 프로세스를 완료하기 전에 공격자가 알려진 취약성을 악용하는 긴 취약성 노출 기간을 만듭니다. 자동화된 취약성 수정은 평균 패치 시간을 주에서 몇 시간으로 줄여 악의적 사용자가 장시간 노출 기간 동안 공개적으로 공개된 취약성을 악용하지 못하도록 방지합니다. 위험 기반 우선 순위 지정은 중요한 취약성이 즉시 주의를 끌도록 보장하고 자동화된 패치는 모든 컴퓨팅 리소스에서 일관된 보안 위생을 유지합니다.

자동화 및 위험 기반 우선 순위를 통해 취약성 수정을 가속화합니다.

• 자동화된 패치 관리를 구현합니다. 중앙 집중식 관리 기능을 사용하여 Azure VM 및 Arc 지원 서버에서 Windows 및 Linux 가상 머신의 자동화된 패치를 위한 Azure Update Manager 를 배포합니다.
• 유지 관리 기간 구성: 프로덕션 워크로드에 미치는 영향을 최소화하기 위해 비즈니스 요구 사항에 맞게 유지 관리 기간을 사용하여 업데이트 설정을 지정합니다.
• 가동 중지 시간 0 패치를 사용하도록 설정합니다. Windows Server 2025용 핫패칭을 사용하여 시스템을 다시 부팅하지 않고도 보안 업데이트를 설치하여 가동 중지 시간 및 노출 기간을 줄입니다.
• 위험 기반 우선 순위를 설정합니다. 취약성 심각도, 자산 위험성 및 노출 수준을 고려하여 취약성 수정의 우선 순위를 지정하여 가장 높은 위험 문제에 먼저 집중합니다.

구현 예제

글로벌 전자 상거래 플랫폼은 전 세계 1,000만 명 이상의 고객에게 서비스를 제공하는 온라인 소매 운영 및 고객 데이터 처리를 지원하는 클라우드 인프라 전반에 걸쳐 자동화된 취약성 수정을 구현했습니다.

도전: 글로벌 전자 상거래 플랫폼은 긴 평균 패치 시간(중요한 취약성의 경우 14일), 패치되지 않은 취약성과 관련된 높은 보안 인시던트 볼륨 및 온라인 소매 운영을 지원하는 2,000개 이상의 VM에서 부적절한 패치 관리 프로세스와 관련된 규정 준수 감사 결과를 경험했습니다.

솔루션 접근 방식:

자동화된 패치 관리 인프라 배포:

1. 자동 VM 평가 및 패치를 사용하여 Azure Update Manager를 배포합니다.
   • 2,000개 이상의 Azure VM 및 Arc 지원 서버에서 사용하도록 설정된 Azure Update Manager 정기 평가
   • Azure Resource Graph 쿼리를 사용하여 동적 범위 지정을 사용하는 유지 관리 구성
   • 애플리케이션 중지/시작 오케스트레이션을 위한 Azure Automation Runbook 사전/사후 패치
   • 모든 구독에서 업데이트 평가를 적용하는 Azure Policy deployIfNotExists
2. Microsoft Defender 취약성 관리를 사용하여 EPSS 기반 우선 순위를 구성합니다.
   • 취약성-패치 상관 관계에 대한 SecurityAssessment 및 SecurityRecommendation 테이블을 조인하는 KQL 쿼리
   • EPSS 점수 > 가 0.7인 중요한 CVE에서 트리거되는 Azure Monitor 경고 규칙
   • Azure Update Manager에서 우선 순위 분류(중요/보통/약함)를 사용한 예약 패치
   • 신속한 패치를 위해 인터넷 연결 VM을 식별하는 Azure Resource Graph 쿼리

자동화된 수정 워크플로를 설정합니다.

1. Azure Logic Apps 및 Microsoft Defender 통합을 사용하여 수정 자동화:
   • 클라우드용 Microsoft Defender 취약성 경고에 의해 트리거되는 Azure Logic Apps 워크플로
   • Azure Update Manager KB 문서와 CVE의 상관 관계를 지정하는 Microsoft Graph 보안 API 쿼리
   • Azure Automation 런북에서 긴급 패치를 위해 Install-AzUpdateManagerUpdate를 호출함
   • 노출 점수 매기기를 위한 Microsoft Defender 취약성 관리 위협 및 취약성 관리 API

지연된 패치에 대한 보상 컨트롤을 구현합니다.

1. 확장 패치 타임라인이 필요한 시스템에 대한 임시 보호 조치를 배포합니다.
   • 특정 취약성에 대한 알려진 악용 시도를 차단하는 Azure Application Gateway WAF 사용자 지정 규칙
   • 패치가 적용될 때까지 취약한 시스템에 대한 네트워크 액세스를 제한하는 네트워크 보안 그룹 제한
   • 패치되지 않은 자산에서 의심스러운 동작을 감지하는 엔드포인트용 Microsoft Defender를 통한 향상된 모니터링 및 경고
   • JIT(Just-In-Time) VM 액세스 제어를 통해 취약한 관리 인터페이스에 대한 노출 기간을 줄입니다.
   • 악용 기술을 완화하는 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙
2. 클라우드용 Microsoft Defender에서 보정 컨트롤 추적:
   • Azure 정책 면제 및 보상 컨트롤을 문서화하는 구조화된 면제 메타데이터
   • 클라우드용 Microsoft Defender 보안 점수 예외 취약성에 대한 사용자 지정 권장 사항
   • 만료 추적 기능이 있는 보상 제어를 시각화하는 Azure Monitor 워크북
   • 자동 알림을 통해 보완 통제 인벤토리를 관리하는 Microsoft Sentinel 감시 목록

Azure Monitor 및 Power BI를 사용하여 거버넌스 구현:

1. 포괄적인 모니터링 및 보고 대시보드를 배포합니다.
   • 모든 VM에서 패치 준수를 위해 Azure Monitor 워크북에서 업데이트 테이블을 쿼리하기
   • Azure Resource Graph REST API를 사용하여 실시간 취약성 노출을 위한 Power BI 보고서
   • 임원 보고를 위한 Microsoft Defender for Cloud 보안 점수 API 통합
   • Azure DevOps Boards와의 통합에서 패치 예외를 자동 SLA 에스컬레이션을 사용해 추적
2. Microsoft Defender 취약성 관리를 사용하여 긴급 패치 자동화:
   • 제로 데이 우선 순위를 위한 Microsoft Defender 취약성 관리 CISA KEV 카탈로그 통합
   • 긴급 배포를 위한 Azure Automation Runbook에서 Azure Update Manager의 InstallUpdates 작업 사용
   • 악용된 취약성에 대한 SMS/이메일 경고를 트리거하는 Azure Monitor 작업 그룹
   • 활성 익스플로잇에 대한 우선 순위가 높은 인시던트 만들기 클라우드용 Microsoft Defender 워크플로 자동화

결과: 조직의 자동화된 취약성 수정은 중요한 취약성을 패치하는 시간을 크게 줄여 노출 기간을 줄이고 보안 손상을 방지합니다. 패치되지 않은 취약성과 관련된 보안 인시던트 볼륨은 체계적인 패치 관리 및 EPSS 기반 우선 순위를 통해 크게 감소했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

• NIST SP 800-53 Rev.5: SI-2, SI-2(1), SI-2(2), SI-2(5), RA-5
• PCI-DSS v4: 6.3.3, 6.4.3, 11.3.1
• CIS 컨트롤 v8.1: 7.2, 7.3, 7.4, 7.5, 7.7
• NIST CSF v2.0: 보호. IP-12, RS.MI-3
• ISO 27001:2022: A.8.8, A.5.14
• SOC 2: CC7.1, CC7.2, CC8.1

PV-7: 정기적인 레드 팀 작업 수행

보안 원칙

레드 팀 작업 및 침투 테스트를 통해 실제 공격을 시뮬레이션하여 포괄적인 보안 유효성 검사를 제공합니다. 업계 모범 사례를 따라 포괄적인 범위 및 이해 관계자 조정을 보장하면서 안전하게 테스트를 설계, 준비 및 수행합니다.

완화할 리스크

기존의 취약성 평가 및 침투 테스트는 실제 악의적 사용자가 사용하는 정교한 공격 기술과 복잡한 공격 체인을 놓칠 수 있습니다. 포괄적인 적대적 테스트가 없는 경우:

• 보안 컨트롤의 사각지대: 자동화된 보안 도구 및 표준 침투 테스트는 숙련된 공격자가 합법적인 기능과 사소한 취약성의 창의적인 조합을 통해 악용하는 약점을 식별하지 못합니다.
• 잘못된 보안 신뢰도: 규정 준수 확인란 및 표준 테스트를 기반으로 보안 태세가 강하다고 믿는 조직은 고급 영구 위협 및 대상 공격에 취약할 수 있습니다.
• 인적 요소 취약성: 보안 인식 교육 및 기술 제어는 정교한 사회 공학 및 인간 조작 기술에 대해 충분하지 않을 수 있습니다.
• 복잡한 공격 체인의 빈틈: 물리적 액세스, 사회 공학, 기술 악용 및 지속성 기술을 결합한 다단계 공격은 분리된 보안 테스트로는 탐지를 피합니다.
• 인시던트 대응 약점: 보안 팀은 정교한 공격을 감지하고 대응한 경험이 부족하여 검색이 지연되고 부적절한 봉쇄가 발생할 수 있습니다.
• 자주색 팀 공동 작업 간격: 공격(레드 팀)과 방어(블루 팀) 보안 운영 간의 연결 끊김은 지식 이전 및 개선 기회를 제한합니다.

현실적인 적대적 테스트가 없으면 조직은 검증되지 않은 보안 가정으로 운영되며, 숙련된 동기 부여 공격자와 마주치면 실패합니다.

MITRE ATT&CK

• 정찰(TA0043): 활성 검사(T1595) 및 피해자 정보 수집(T1589)을 통해 공격 기회를 식별하고 대상 작업을 계획합니다.
• 초기 액세스(TA0001): 피싱(T1566) 및 소셜 엔지니어링 및 기술 악용에 대한 조직의 감수성을 테스트하는 공용 애플리케이션(T1190)을 악용합니다.
• 지속성(TA0003): 유효한 계정(T1078)을 사용하고 계정 생성(T1136)으로 악의적인 장기 접근을 시뮬레이션합니다.
• 횡적 이동(TA0008): 원격 서비스(T1021) 및 내부 스피어피싱(T1534) 테스트는 환경 전반에서 악의적인 움직임을 감지합니다.

PV-7.1: 포괄적인 적대적 테스트 구현

자동화된 취약성 검사 및 규정 준수 평가에만 의존하는 조직은 보안 제어가 실제 공격에 사용되는 정교한 악의적 기술을 방지하는지 여부를 확인하지 못합니다. 악의적 테스트는 실제 공격 시나리오를 시뮬레이션하여 자동화된 도구에서 검색할 수 없는 보안 제어 간격, 탐지 사각지대 및 인시던트 대응 약점을 식별합니다. 정기적인 레드 팀 운영은 보안 투자가 고급 영구 위협을 효과적으로 방지, 감지 및 대응하도록 보장하면서 현실적인 보안 유효성 검사를 제공합니다.

현실적인 적대적 테스트를 통해 보안 효율성의 유효성을 검사합니다.

• Microsoft 침투 테스트 규칙을 따릅니다. 승인되고 안전한 테스트 절차를 보장하기 위해 클라우드 기반 테스트 활동에 대한 Microsoft 클라우드 침투 테스트 참여 규칙을 준수합니다.
• Azure 테스트 지침 참조: Microsoft와의 권한 있는 테스트 절차 및 조정 요구 사항에 대한 Azure 침투 테스트 지침을 따릅니다.
• Microsoft 레드 팀 방법론 사용: 실제 악의적 기술에 맞춰 포괄적인 공격 시뮬레이션을 위해 Microsoft Cloud Red Teaming 방법론 을 적용합니다.
• 테스트 범위 조정: 관련 이해 관계자 및 리소스 관리자와 함께 테스트 범위와 제약 조건을 설정하여 비즈니스 연속성을 보장하고 의도하지 않은 영향을 최소화합니다.

구현 예제

금융 서비스 조직은 투자 은행, 거래 시스템 및 고객 자산 관리 플랫폼을 지원하는 클라우드 인프라 전반에 걸쳐 수십억 개의 일일 거래를 처리하는 포괄적인 레드 팀 운영을 구현했습니다.

도전: 금융 서비스 조직은 중요한 보안 격차를 누락한 자동화된 도구, 정교한 공격 탐지 기능에 대한 제한된 가시성, 투자 은행 및 자산 관리 보안 제어를 검토하는 규제 기관에 보안 유효성 검사 효율성을 입증하는 데 어려움이 있는 현실적인 보안 테스트 기능이 부족했습니다.

솔루션 접근 방식:

Microsoft에서 정렬한 빨간색 팀 테스트 프로그램을 설정합니다.

1. Microsoft Cloud Red Teaming 방법론에 따라 테스트를 구현합니다.
   • Microsoft Enterprise Cloud Red Teaming 공격 시뮬레이션 프레임워크를 사용한 분기별 연습
   • Microsoft Entra 공격 시뮬레이션 도구 및 Microsoft Sentinel 분석을 활용하는 연간 평가
   • Microsoft Defender 위협 인텔리전스를 통해 공격 시나리오 정보를 제공하는 위협 인텔리전스
   • 클라우드용 Microsoft Defender 공격 경로 분석 결과를 사용하는 자주색 팀 연습
2. Azure 세이프가드로 테스트 환경 구성:
   • 테스트 중 프로덕션 리소스 삭제를 방지하는 Azure Resource Manager 잠금
   • 프로덕션에서 위험한 구성 배포를 차단하는 Azure Policy 거부 효과
   • Microsoft Defender for Cloud 즉시 VM 액세스 제한으로 레드 팀의 횡적 이동 범위 제한
   • 경계를 초과하는 테스트 활동에 대한 실시간 경고를 제공하는 Azure Monitor 작업 그룹

Azure 중심 공격 시뮬레이션을 실행합니다.

1. 클라우드별 공격 시나리오를 시뮬레이션합니다.
   • Office 365용 Microsoft Defender 캠페인을 사용한 Microsoft 365 피싱 공격 시뮬레이션
   • Azure App Service 웹 애플리케이션 방화벽의 효과성에 대한 취약성 테스트
   • Azure Resource Manager API 오용 테스트, Azure Policy 및 RBAC 컨트롤 설정
   • CI/CD 인프라에 대한 공급망 공격을 시뮬레이션하는 Azure DevOps 파이프라인 손상
2. Microsoft Entra ID 및 ID 보안 컨트롤을 테스트합니다.
   • Microsoft Entra PIM(Privileged Identity Management) 권한 상승 경로 악용
   • Microsoft Entra 조건부 액세스 정책 우회 시도 - 디바이스 준수 격차 활용
   • MFA 바이패스 및 토큰 도난에 대한 Microsoft Entra 인증 프로토콜 테스트
   • Azure Key Vault 보안 비밀 유출 시도에 대한 액세스 정책 및 로깅 검증

Microsoft 보안 검색 및 응답의 유효성을 검사합니다.

1. Microsoft Sentinel 검색 및 응답 기능을 테스트합니다.
   • 레드팀 MITRE ATT&CK 기술의 탐지를 측정하는 Microsoft Sentinel 분석 규칙의 효과성
   • 클라우드용 Microsoft Defender 경고 유효성 검사 런타임 위협 방지 정확도 테스트
   • 엔드포인트용 Microsoft Defender EDR 원격 분석 범위에서 행동 감지율 측정
   • Azure Monitor Log Analytics 쿼리 성능 테스트 인시던트 조사 워크플로
2. 보안 오케스트레이션 및 자동화를 평가합니다.
   • 자동 인시던트 응답 플레이북 실행을 테스트하는 Microsoft Sentinel 자동화 규칙
   • 인시던트 알림을 위해 Microsoft Teams와의 통합 유효성을 검사하는 Azure Logic Apps 워크플로
   • 클라우드용 Microsoft Defender 워크플로 자동화 테스트 수정 작업 효율성
   • 자동화된 포함 및 격리 프로시저를 평가하는 Azure Automation Runbook

지속적인 개선을 위해 Microsoft 도구를 활용합니다.

1. Microsoft 보안 플랫폼을 사용하여 결과를 문서화합니다.
   • 다단계 공격 체인을 문서화하는 클라우드용 Microsoft Defender 공격 경로 분석
   • 클라우드 환경에서 유사한 공격 노출 영역을 식별하는 Azure Resource Graph 쿼리
   • MITRE ATT&CK 프레임워크에 매핑된 공격 기술을 시각화하는 Microsoft Sentinel 작업 책
   • Azure DevOps Boards는 악용 가능성에 따라 우선 순위가 지정된 수정 작업을 추적합니다.
2. 빨간색 팀 결과를 사용하여 검색 기능을 향상시킵니다.
   • 빨간색 팀 기술 및 지표를 기반으로 하는 Microsoft Sentinel 사용자 지정 분석 규칙
   • 식별된 비지상 기술에 대한 엔드포인트용 Microsoft Defender 사용자 지정 검색 규칙
   • Azure Monitor Log Analytics는 향후 인시던트 조사를 가속화하는 검색을 저장했습니다.
   • 빨간색 팀 공격 컨텍스트를 사용하여 경고를 보강하는 Microsoft Defender 위협 인텔리전스 통합

결과: 조직은 인증 바이패스 기술 및 권한 에스컬레이션 경로를 포함하여 자동화된 도구가 놓친 중요한 보안 격차를 식별하고 수정했습니다. 현실적인 공격 시뮬레이션을 통해 정보를 제공하는 향상된 모니터링 및 대응 절차를 통해 보안 팀은 고급 영구 위협을 보다 효과적으로 식별하고 대응할 수 있습니다.

중요도 수준

있으면 좋은

컨트롤 매핑

• NIST SP 800-53 Rev.5: CA-8, CA-8(1), CA-8(2)
• PCI-DSS v4: 11.4.1, 11.4.2, 11.4.6
• CIS 컨트롤 v8.1: 15.1, 18.1, 18.2, 18.3, 18.5
• NIST CSF v2.0: DE.DP-4, ID.RA-10
• ISO 27001:2022: A.5.7, A.8.29
• SOC 2: CC7.3, CC7.4