MCSB(Microsoft 클라우드 보안 벤치마크)는 Azure 및 다중 클라우드 환경에서 워크로드, 데이터 및 서비스의 보안을 개선하는 데 도움이 되는 규범적인 모범 사례 및 권장 사항을 제공합니다. 이 벤치마크는 다음을 포함하는 전체적인 Microsoft 및 업계 보안 지침 집합의 입력이 포함된 클라우드 중심 제어 영역에 중점을 둡니다.
- 클라우드 채택 프레임워크: 전략, 역할 및 책임,Azure 상위 10가지 보안 모범 사례 및 참조 구현을 비롯한 보안에 대한 지침입니다.
- Azure Well-Architected Framework: Azure에서 워크로드를 보호하는 방법에 대한 지침입니다.
- CISO(최고 정보 보안 책임자) 워크샵: 제로 트러스트 원칙을 사용하여 보안 현대화를 가속화하기 위한 프로그램 지침 및 참조 전략입니다.
- 기타 업계 및 클라우드 서비스 공급자 보안 모범 사례 표준 및 프레임워크: 예로는 AWS(Amazon Web Services) Well-Architected Framework, CIS(인터넷 보안 센터) 컨트롤, NIST(National Institute of Standards and Technology) 및 결제 카드 산업 데이터 보안 표준(PCI-DSS)이 있습니다.
Microsoft 클라우드 보안 벤치마크 v1의 새로운 기능
비고
Microsoft 클라우드 보안 벤치마크는 2022년 10월에 리브랜딩된 AZURE ASB(Security Benchmark)의 후속 모델입니다.
MCSB의 Google Cloud Platform 지원은 이제 MCSB 벤치마크 지침과 클라우드용 Microsoft Defender 모두에서 미리 보기 기능으로 사용할 수 있습니다.
다음은 Microsoft 클라우드 보안 벤치마크 v1의 새로운 기능입니다.
포괄적인 다중 클라우드 보안 프레임워크: 조직은 각 클라우드 플랫폼에 대한 보안 및 규정 준수 요구 사항을 충족하기 위해 여러 클라우드 플랫폼에서 보안 제어를 조정하기 위해 내부 보안 표준을 빌드해야 하는 경우가 많습니다. 이렇게 하려면 보안 팀이 여러 클라우드 환경에서 동일한 구현, 모니터링 및 평가를 반복해야 하는 경우가 많습니다(종종 다른 규정 준수 표준의 경우). 이렇게 하면 불필요한 오버헤드, 비용 및 노력이 생성됩니다. 이러한 문제를 해결하기 위해 ASB를 MCSB로 개선하여 다음을 통해 다양한 클라우드로 신속하게 작업할 수 있도록 했습니다.
- 클라우드에서 보안 제어를 쉽게 충족할 수 있는 단일 제어 프레임워크 제공
- Defender for Cloud에서 다중 클라우드 보안 벤치마크를 모니터링하고 적용하기 위한 일관된 사용자 환경 제공
- 업계 표준(예: CIS, NIST, PCI)에 맞게 유지
Microsoft Defender for Cloud의 AWS에 대한 자동화된 제어 모니터링: Microsoft Defender for Cloud 규정 준수 대시보드 를 사용하여 Azure 환경을 모니터링하는 방법과 마찬가지로 MCSB에 대해 AWS 환경을 모니터링할 수 있습니다. MCSB의 새로운 AWS 보안 지침에 대한 약 180개의 AWS 검사를 개발하여 클라우드용 Microsoft Defender에서 AWS 환경 및 리소스를 모니터링할 수 있도록 했습니다.
기존 Azure 지침 및 보안 원칙의 새로 고침: 또한 이 업데이트 중에 기존 Azure 보안 지침 및 보안 원칙 중 일부를 새로 고쳐 최신 Azure 기능 및 기능을 최신 상태로 유지할 수 있습니다.
제어
| 제어 도메인 | Description |
|---|---|
| NS(네트워크 보안) | 네트워크 보안에는 가상 네트워크 보안, 프라이빗 연결 설정, 외부 공격 방지 및 완화, DNS 보안 등 네트워크를 보호하고 보호하는 컨트롤이 포함됩니다. |
| IM(ID 관리) | ID 관리에서는 애플리케이션, 조건부 액세스, 계정 변칙 모니터링을 위해 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 원칙)를 사용하여 ID 및 액세스 관리 시스템을 사용하는 보안 ID 및 액세스 제어를 설정하는 컨트롤을 다룹니다. |
| PA(권한 있는 액세스) | Privileged Access는 의도적이고 의도치 않은 위험으로부터 관리 모델, 관리 계정 및 권한 있는 액세스 워크스테이션을 보호하기 위한 다양한 컨트롤을 포함하여 테넌트 및 리소스에 대한 권한 있는 액세스를 보호하는 컨트롤을 다룹니다. |
| DP(데이터 보호) | 데이터 보호는 정지 상태, 전송 중, 그리고 권한 있는 액세스 메커니즘을 통해 데이터를 보호하는 것을 포함하며, 여기에는 액세스 제어, 암호화, 키 관리, 인증서 관리를 사용하여 민감한 데이터 자산을 검색, 분류, 보호 및 모니터링하는 것이 포함됩니다. |
| AM(자산 관리) | 자산 관리는 보안 담당자, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스에 대한 승인 관리(인벤토리, 추적, 수정) 권한에 대한 권장 사항을 포함하여 리소스에 대한 보안 표시 유형 및 거버넌스를 보장하는 컨트롤을 포함합니다. |
| 로깅 및 위협 탐지(LT) | 로깅 및 위협 감지는 클라우드 서비스에서 네이티브 위협 탐지를 사용하여 고품질 경고를 생성하는 컨트롤을 사용하여 검색, 조사 및 수정 프로세스를 사용하도록 설정하는 것을 포함하여 클라우드에서 위협을 감지하고, 클라우드 서비스에 대한 감사 로그를 활성화, 수집 및 저장하기 위한 컨트롤을 다룹니다. 클라우드 모니터링 서비스를 사용하여 로그 수집, SIEM으로 보안 분석 중앙 집중화, 시간 동기화 및 로그 보존도 포함됩니다. |
| 인시던트 응답(IR) | 인시던트 대응은 Azure 서비스(예: 클라우드 및 Sentinel용 Microsoft Defender) 및/또는 기타 클라우드 서비스를 사용하여 인시던트 대응 프로세스를 자동화하는 등 인시던트 대응 수명 주기의 제어를 다룹니다. |
| PV(자세 및 취약성 관리) | 자세 및 취약성 관리는 클라우드 리소스의 보안 구성 추적, 보고 및 수정뿐만 아니라 취약성 검사, 침투 테스트 및 수정을 포함하여 클라우드 보안 상태를 평가하고 개선하기 위한 제어에 중점을 둡니다. |
| ES(엔드포인트 보안) | Endpoint Security는 클라우드 환경의 엔드포인트에 대한 엔드포인트 검색 및 응답(EDR) 및 맬웨어 방지 서비스 사용을 포함하여 엔드포인트 검색 및 응답의 제어를 다룹니다. |
| BR(백업 및 복구) | 백업 및 복구는 다양한 서비스 계층의 데이터 및 구성 백업이 수행, 유효성 검사 및 보호되도록 하는 컨트롤을 다룹니다. |
| DS(DevOps 보안) | DevOps Security는 DevOps 프로세스 전체에서 보안을 보장하기 위해 배포 단계 이전의 중요한 보안 검사(예: 정적 애플리케이션 보안 테스트, 취약성 관리)의 배포를 포함하여 DevOps 프로세스의 보안 엔지니어링 및 작업과 관련된 컨트롤을 다룹니다. 위협 모델링 및 소프트웨어 공급 보안과 같은 일반적인 항목도 포함됩니다. |
| GS(거버넌스 및 전략) | 거버넌스 및 전략은 다양한 클라우드 보안 기능에 대한 역할 및 책임 설정, 통합 기술 전략 및 지원 정책 및 표준을 포함하여 보안 보증을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 보장하기 위한 지침을 제공합니다. |
Microsoft 클라우드 보안 벤치마크의 권장 사항
각 권장 사항에는 다음 정보가 포함되어 있습니다.
- ID: 권장 사항에 해당하는 벤치마크 ID입니다.
- CIS 컨트롤 v8 ID(들): 권장 사항에 해당하는 CIS 컨트롤 v8입니다.
- CIS 컨트롤 v7.1 ID: 권장 사항에 해당하는 CIS Controls v7.1 컨트롤(서식 지정 이유로 인해 웹에서 사용할 수 없음).
- PCI-DSS v3.2.1 ID: 권장 사항에 해당하는 PCI-DSS v3.2.1 컨트롤입니다.
- NIST SP 800-53 r4 ID: NIST SP 800-53 r4 (중간 및 높은) 제어는 이 권장 사항에 해당합니다.
- 보안 원칙: 권장 사항은 기술 중립적인 수준에서 제어를 설명하는 "무엇"에 중점을 두었는지에 초점을 맞췄습니다.
- Azure 지침: 권장 사항은 Azure 기술 기능 및 구현 기본 사항을 설명하는 "방법"에 초점을 맞췄습니다.
- AWS 지침: AWS 기술 기능 및 구현 기본 사항을 설명하는 "방법"에 초점을 맞춘 권장 사항입니다.
- 구현 및 추가 컨텍스트: 설명서 문서를 제공하는 Azure 및 AWS 서비스에 연결되는 구현 세부 정보 및 기타 관련 컨텍스트입니다.
- 고객 보안 이해관계자: 고객 조직의 보안 기능으로, 해당 제어에 대해 책임이 있거나, 책임자로서 활동하거나, 자문 역할을 할 수 있는 주체입니다. 회사의 보안 조직 구조와 Azure 보안과 관련하여 설정한 역할 및 책임에 따라 조직과 조직이 다를 수 있습니다.
MCSB와 업계 벤치마크(예: CIS, NIST 및 PCI) 간의 컨트롤 매핑은 특정 Azure 기능을 사용하여 이러한 업계 벤치마크에 정의된 제어 요구 사항을 완전하거나 부분적으로 해결할 수 있음을 나타냅니다. 이러한 구현이 반드시 이러한 업계 벤치마크에서 해당 컨트롤의 완전한 준수로 변환되는 것은 아님을 알고 있어야 합니다.
Microsoft 클라우드 보안 벤치마크 활동에 대한 자세한 피드백과 적극적인 참여를 환영합니다. 직접 입력을 제공하려면 .로 benchmarkfeedback@microsoft.com이메일을 보내주세요.
다운로드
스프레드시트 형식으로 벤치마크 및 기준 오프라인 복사본을 다운로드할 수 있습니다.
다음 단계
- 첫 번째 보안 제어: 네트워크 보안 참조
- Microsoft 클라우드 보안 벤치마크 소개 읽기
- Azure 보안 기본 사항 알아보기