ASB(Azure Security Benchmark)는 Azure에서 워크로드, 데이터 및 서비스의 보안을 개선하는 데 도움이 되는 규범적인 모범 사례 및 권장 사항을 제공합니다.
이 벤치마크는 다음을 포함하는 전체적인 보안 지침 집합의 일부입니다.
- Cloud Adoption Framework – 전략, 역할 및 책임, Azure 상위 10개 보안 모범 사례 및 참조 구현을 포함한 보안에 대한 지침입니다.
- Azure Well-Architected Framework – Azure에서 워크로드를 보호하기 위한 지침입니다.
- Microsoft 보안 모범 사례 – Azure에 대한 예제가 포함된 권장 사항입니다 .
Azure Security Benchmark는 클라우드 중심 제어 영역에 중점을 둡니다. 이러한 컨트롤은 CIS(Center for Internet Security) 컨트롤 버전 7.1 및 NIST(National Institute of Standards and Technology) SP 800-53에서 설명한 것과 같이 잘 알려진 보안 벤치마크와 일치합니다. Azure Security Benchmark에 포함된 컨트롤은 다음과 같습니다.
| ASB 제어 도메인 | 설명 |
|---|---|
| NS(네트워크 보안) | 네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 Azure 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다. |
| IM(ID 관리) | ID 관리는 애플리케이션, 조건부 액세스 및 계정 변칙 모니터링을 위한 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 주체) 사용을 포함하여 Azure Active Directory를 사용하여 보안 ID 및 액세스 제어를 설정하는 컨트롤을 다룹니다. |
| PA(권한 있는 액세스) | Privileged Access는 의도적이고 의도하지 않은 위험으로부터 관리 모델, 관리 계정 및 권한 있는 액세스 워크스테이션을 보호하기 위한 다양한 컨트롤을 포함하여 Azure 테넌트 및 리소스에 대한 권한 있는 액세스를 보호하는 컨트롤을 다룹니다. |
| DP(데이터 보호) | 데이터 보호는 Azure에서 액세스 제어, 암호화 및 로깅을 사용하여 중요한 데이터 자산을 검색, 분류, 보호 및 모니터링하는 것을 포함하여 미사용, 전송 중 및 권한 있는 액세스 메커니즘을 통한 데이터 보호 제어를 다룹니다. |
| AM(자산 관리) | 자산 관리는 보안 담당자에 대한 권한, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스(인벤토리, 추적 및 수정)에 대한 승인 관리에 대한 권장 사항을 포함하여 Azure 리소스에 대한 보안 가시성 및 거버넌스를 보장하기 위한 컨트롤을 다룹니다. |
| 로깅 및 위협 탐지(LT) | 로깅 및 위협 감지는 Azure 서비스에서 네이티브 위협 탐지를 사용하여 고품질 경고를 생성하는 컨트롤을 사용하여 검색, 조사 및 수정 프로세스를 사용하도록 설정하는 것을 포함하여 Azure에서 위협을 감지하고 Azure 서비스에 대한 감사 로그를 활성화, 수집 및 저장하기 위한 컨트롤을 다룹니다. Azure Monitor를 사용하여 로그 수집, Azure Sentinel을 사용하여 보안 분석 중앙 집중화, 시간 동기화 및 로그 보존도 포함됩니다. |
| 인시던트 응답(IR) | 인시던트 대응은 준비, 탐지 및 분석, 억제 및 인시던트 후 활동과 같은 인시던트 대응 수명 주기의 제어를 다루며, 여기에는 Azure Security Center 및 Sentinel과 같은 Azure 서비스를 사용하여 인시던트 대응 프로세스를 자동화하는 것이 포함됩니다. |
| PV(자세 및 취약성 관리) | 자세 및 취약성 관리는 Azure 리소스의 보안 구성 추적, 보고 및 수정뿐만 아니라 취약성 검사, 침투 테스트 및 수정을 포함하여 Azure 보안 상태를 평가하고 개선하기 위한 제어에 중점을 둡니다. |
| ES(엔드포인트 보안) | Endpoint Security는 Azure 환경의 엔드포인트에 대한 엔드포인트 감지 및 응답(EDR) 및 맬웨어 방지 서비스 사용을 포함하여 엔드포인트 감지 및 응답 컨트롤을 다룹니다. |
| BR(백업 및 복구) | 백업 및 복구는 다양한 서비스 계층의 데이터 및 구성 백업이 수행, 유효성 검사 및 보호되도록 하는 컨트롤을 다룹니다. |
| GS(거버넌스 및 전략) | 거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다. |
Azure Security Benchmark 권장 사항
각 권장 사항에는 다음 정보가 포함되어 있습니다.
- Azure ID: 권장 사항에 해당하는 Azure Security Benchmark ID입니다.
- CIS Controls v7.1 ID: 이 권장 사항에 해당하는 CIS Controls v7.1 컨트롤입니다.
- NIST SP 800-53 r4 ID: 이 권장 사항에 해당하는 NIST SP 800-53 r4(보통) 컨트롤입니다.
- 세부 정보: 권장 사항의 근거 및 권장 사항을 구현하는 방법에 대한 지침에 대한 링크입니다. 권장 사항이 Azure Security Center에서 지원되는 경우 해당 정보도 나열됩니다.
- 책임: 고객, 서비스 제공업체 또는 둘 다 이 권장 사항을 구현할 책임이 있는지 여부입니다. 보안 책임은 퍼블릭 클라우드에서 공유됩니다. 일부 보안 제어는 클라우드 서비스 공급자만 사용할 수 있으므로 공급자는 이러한 문제를 해결할 책임이 있습니다. 이는 일반적인 관찰 사항이며, 일부 개별 서비스의 경우 책임이 Azure Security Benchmark에 나열된 것과 다릅니다. 이러한 차이점은 개별 서비스에 대한 기준 권장 사항에 설명되어 있습니다.
- 고객 보안 이해 관계자: 고객 조직의 보안 기능으로 , 각 통제에 대해 책임을 지거나 자문을 받을 수 있습니다. 회사의 보안 조직 구조와 Azure 보안과 관련하여 설정한 역할 및 책임에 따라 조직과 조직이 다를 수 있습니다.
비고
ASB와 업계 벤치마크(예: NIST 및 CIS) 간의 컨트롤 매핑은 NIST 또는 CIS에 정의된 제어 요구 사항을 완전히 또는 부분적으로 해결하는 데 특정 Azure 기능을 사용할 수 있음을 나타냅니다. 이러한 구현이 반드시 CIS 또는 NIST에서 해당 컨트롤의 완전한 준수로 변환되는 것은 아니라는 점에 유의해야 합니다.
Azure Security Benchmark 활동에 대한 자세한 피드백과 적극적인 참여를 환영합니다. Azure Security Benchmark 팀 직접 입력을 제공하려면 다음에서 양식을 작성합니다. https://aka.ms/AzSecBenchmark
다운로드
스프레드시트 형식으로 Azure Security Benchmark를 다운로드할 수 있습니다.
다음 단계
- 첫 번째 보안 제어: 네트워크 보안 참조
- Azure Security Benchmark 소개 읽기
- Azure 보안 기본 사항 알아보기