비고
가장 up-to날짜인 Azure Security Benchmark는 여기에서 사용할 수 있습니다.
네트워크 보안은 Azure 네트워크를 보호하기 위한 컨트롤을 다룹니다. 여기에는 가상 네트워크 보안, 프라이빗 연결 설정, 외부 공격 방지 및 완화, DNS 보안이 포함됩니다.
적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 네트워크 보안을 참조하세요.
NS-1: 내부 트래픽에 대한 보안 구현
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | 교류-4, 캘리포니아-3, 사우스캐롤라이나-7 |
모든 Azure 가상 네트워크가 비즈니스 위험에 부합하는 엔터프라이즈 구분 원칙을 따르는지 확인합니다. 조직에 더 높은 위험을 초래할 수 있는 모든 시스템은 자체 가상 네트워크 내에서 격리되고 NSG(네트워크 보안 그룹) 및/또는 Azure Firewall로 충분히 보호되어야 합니다.
애플리케이션 및 엔터프라이즈 세분화 전략에 따라 네트워크 보안 그룹 규칙에 따라 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 잘 정의된 특정 애플리케이션(예: 3계층 앱)의 경우 매우 안전한 "기본적으로 거부, 예외에 의한 허용" 접근 방식일 수 있습니다. 서로 상호 작용하는 많은 애플리케이션 및 엔드포인트가 있는 경우 이 크기가 잘 조정되지 않을 수 있습니다. 많은 수의 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대해 중앙 관리가 필요한 상황에서 Azure Firewall을 사용할 수도 있습니다.
Azure Security Center 적응형 네트워크 강화를 사용하여 외부 네트워크 트래픽 규칙에 따라 포트 및 원본 IP를 제한하는 네트워크 보안 그룹 구성을 권장합니다.
Azure Sentinel을 사용하여 Kerberos에서 SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, 서명되지 않은 LDAP 바인딩 및 약한 암호와 같은 레거시 안전하지 않은 프로토콜의 사용을 검색합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
NS-2: 프라이빗 네트워크를 함께 연결
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-2 | 해당 없음(N/A) | 캘리포니아-3, AC-17, MA-4 |
Azure ExpressRoute 또는 Azure VPN(가상 사설망)을 사용하여 공동 배치 환경에서 Azure 데이터 센터와 온-프레미스 인프라 간에 프라이빗 연결을 만듭니다. ExpressRoute 연결은 공용 인터넷을 통해 이동하지 않으며 일반적인 인터넷 연결보다 안정성이 높고 속도가 빠르며 대기 시간이 짧습니다. 지점 및 사이트간 VPN 및 사이트간 VPN의 경우 이러한 VPN 옵션과 Azure ExpressRoute의 조합을 사용하여 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다.
Azure에서 둘 이상의 가상 네트워크를 함께 연결하려면 가상 네트워크 피어링 또는 Private Link를 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 프라이빗이며 Azure 백본 네트워크에 유지됩니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
NS-3: Azure 서비스에 대한 프라이빗 네트워크 액세스 설정
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-3 | 14.1 | 교류-4, 캘리포니아-3, 사우스캐롤라이나-7 |
Azure Private Link를 사용하여 인터넷을 넘지 않고 가상 네트워크에서 Azure 서비스에 대한 프라이빗 액세스를 사용하도록 설정합니다. Azure Private Link를 아직 사용할 수 없는 경우 Azure Virtual Network 서비스 엔드포인트를 사용합니다. Azure Virtual Network 서비스 엔드포인트는 Azure 백본 네트워크를 통해 최적화된 경로를 통해 서비스에 대한 보안 액세스를 제공합니다.
프라이빗 액세스는 Azure 서비스에서 제공하는 인증 및 트래픽 보안 외에도 심층적인 추가 방어 조치입니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
NS-4: 외부 네트워크 공격으로부터 애플리케이션 및 서비스 보호
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | 사우스캐롤라이나-5, 사우스캐롤라이나-7 |
DDoS(분산 서비스 거부) 공격, 애플리케이션별 공격, 원치 않고 잠재적으로 악의적인 인터넷 트래픽을 포함하여 외부 네트워크의 공격으로부터 Azure 리소스를 보호합니다. Azure에는 다음과 같은 네이티브 기능이 포함되어 있습니다.
Azure Firewall을 사용하여 인터넷 및 기타 외부 위치에서 발생할 수 있는 악의적인 트래픽으로부터 애플리케이션 및 서비스를 보호합니다.
Azure Application Gateway, Azure Front Door 및 AZURE CDN(Content Delivery Network)의 WAF(웹 애플리케이션 방화벽) 기능을 사용하여 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다.
Azure 가상 네트워크에서 DDoS 표준 보호를 사용하도록 설정하여 DDoS 공격으로부터 자산을 보호합니다.
Azure Security Center를 사용하여 위와 관련된 잘못된 구성 위험을 검색합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
NS-5: 침입 감지/침입 방지 시스템 배포(IDS/IPS)
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-5 | 12.6, 12.7 | 시-4 |
Azure Firewall 위협 인텔리전스 기반 필터링을 사용하여 알려진 악성 IP 주소 및 도메인에 대한 트래픽을 경고 및/또는 차단합니다. IP 주소 및 도메인은 Microsoft 위협 인텔리전스 피드에서 제공됩니다. 페이로드 검사가 필요한 경우 Azure Firewall Premium IDPS 기능을 사용하거나 페이로드 검사 기능을 사용하여 Azure Marketplace에서 타사 침입 탐지/침입 방지 시스템(IDS/IPS)을 배포할 수 있습니다. 또는 네트워크 기반 IDS/IPS 대신 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 검색 및 응답) 솔루션을 함께 사용할 수 있습니다.
참고: IDS/IPS 사용에 대한 규정 또는 기타 요구 사항이 있는 경우 SIEM 솔루션에 고품질 경고를 제공하도록 항상 조정되었는지 확인합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
NS-6: 네트워크 보안 규칙 간소화
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
서비스 태그 및 ASG(애플리케이션 보안 그룹)를 활용하여 네트워크 보안 규칙을 간소화합니다.
Virtual Network 서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 규칙의 원본 또는 대상 필드에 서비스 태그 이름을 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경될 때 서비스 태그를 자동으로 업데이트합니다.
애플리케이션 보안 그룹을 사용하여 복잡한 보안 구성을 간소화할 수도 있습니다. 애플리케이션 보안 그룹을 사용하면 네트워크 보안 그룹의 명시적 IP 주소를 기반으로 정책을 정의하는 대신, 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성하여 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
NS-7: DNS(보안 도메인 이름 서비스)
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| NS-7 | 해당 없음(N/A) | 사우스캐롤라이나-20, 사우스캐롤라이나-21 |
DNS 보안 모범 사례를 따라 처리되지 않은 DNS, DNS 증폭 공격, DNS 변조 및 스푸핑 등과 같은 일반적인 공격을 완화합니다.
Azure DNS를 신뢰할 수 있는 DNS 서비스로 사용하는 경우 AZURE RBAC 및 리소스 잠금을 사용하여 실수로 또는 악의적인 수정으로부터 DNS 영역 및 레코드를 보호해야 합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):