다음을 통해 공유

보안 제어 V2: 자세 및 취약성 관리

비고

가장 최신의 up-toAzure Security Benchmark는 여기에서 사용할 수 있습니다.

자세 및 취약성 관리는 Azure 보안 상태를 평가하고 개선하기 위한 제어에 중점을 둡니다. 여기에는 취약성 검사, 침투 테스트 및 수정뿐만 아니라 Azure 리소스의 보안 구성 추적, 보고 및 수정이 포함됩니다.

적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 자세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-1 5.1 CM-2, CM-6

사용하는 Azure 서비스를 쉽게 구성할 수 있도록 하여 인프라 및 DevOps 팀에 대한 보안 가드레일을 정의합니다.

Azure Security Benchmark의 서비스 기준을 사용하여 Azure 서비스의 보안 구성을 시작하고 조직에 필요한 대로 사용자 지정합니다.

Azure Security Center를 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다.

Azure Blueprints를 사용하여 단일 청사진 정의에서 Azure Resource Manager 템플릿, Azure RBAC 컨트롤 및 정책을 비롯한 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화할 수 있습니다.

책임: 고객

고객 보안 관련자 (자세한 정보):

PV-2: Azure 서비스에 대한 보안 구성 유지

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-2 5.2 CM-2, CM-6

Azure Security Center를 사용하여 구성 기준을 모니터링하고 Azure Policy [거부] 및 [존재하지 않는 경우 배포] 규칙을 사용하여 VM, 컨테이너 등 Azure 컴퓨팅 리소스에 보안 구성을 적용합니다.

책임: 고객

고객 보안 관련자 (자세한 정보):

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-3 5.1 CM-2, CM-6

또한 Azure Security Center 및 Azure Policy를 사용하여 VM, 컨테이너 및 기타를 비롯한 모든 컴퓨팅 리소스에 보안 구성을 설정할 수 있습니다. 또한 사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 조직에 필요한 운영 체제의 보안 구성을 설정할 수 있습니다.

책임: 고객

고객 보안 관련자 (자세한 정보):

PV-4: 컴퓨팅 리소스에 대한 보안 구성 유지

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-4 5.2 CM-2, CM-6

Azure Security Center 및 Azure Policy를 사용하여 VM, 컨테이너 등을 비롯한 Azure 컴퓨팅 리소스의 구성 위험을 정기적으로 평가하고 수정합니다. 또한 Azure Resource Manager 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 조직에 필요한 운영 체제의 보안 구성을 유지할 수 있습니다. Azure Automation 상태 구성과 함께 Microsoft VM 템플릿은 보안 요구 사항을 충족하고 유지하는 데 도움이 될 수 있습니다.

또한 Microsoft에서 게시한 Azure Marketplace VM 이미지는 Microsoft에서 관리 및 유지 관리됩니다.

또한 Azure Security Center는 컨테이너 이미지의 취약성을 검사하고 CIS Docker 벤치마크를 기반으로 컨테이너에서 Docker 구성을 지속적으로 모니터링할 수 있습니다. Azure Security Center 권장 사항 페이지를 사용하여 권장 사항을 보고 문제를 해결할 수 있습니다.

책임: 공유

고객 보안 관련자 (자세한 정보):

PV-5: 사용자 지정 운영 체제 및 컨테이너 이미지를 안전하게 저장

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-5 5.3 CM-2, CM-6

Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 권한 있는 사용자만 사용자 지정 이미지에 액세스할 수 있도록 합니다. Azure 공유 이미지 갤러리를 사용하여 조직 내의 다른 사용자, 서비스 주체 또는 AD 그룹에 이미지를 공유합니다. Azure Container Registry에 컨테이너 이미지를 저장하고 Azure RBAC를 사용하여 권한 있는 사용자만 액세스할 수 있도록 합니다.

책임: 고객

고객 보안 관련자 (자세한 정보):

PV-6: 소프트웨어 취약성 평가 수행

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-6 3.1, 3.2, 3.3, 3.6 캘리포니아-2, RA-5

Azure 가상 머신, 컨테이너 이미지 및 SQL 서버에서 취약성 평가를 수행하기 위한 Azure Security Center의 권장 사항을 따릅니다. Azure Security Center에는 가상 머신을 검사하는 기본 제공 취약성 스캐너가 있습니다.

네트워크 디바이스 및 웹 애플리케이션에서 취약성 평가를 수행하기 위해 타사 솔루션을 사용합니다. 원격 검사를 수행할 때는 영구 관리 계정을 하나만 사용하지 마세요. 검사 계정에 대한 JIT(Just-In-Time) 프로비저닝 방법론을 구현하는 것이 좋습니다. 검사 계정에 대한 자격 증명은 취약성 검사에 대해서만 보호, 모니터링 및 사용해야 합니다.

일관된 간격으로 검사 결과를 내보내고 이전 검사와 결과를 비교하여 취약성이 수정되었는지 확인합니다. Azure Security Center에서 제안하는 취약성 관리 권장 사항을 사용하는 경우 선택한 검사 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.

책임: 고객

고객 보안 관련자 (자세한 정보):

PV-7: 소프트웨어 취약성을 신속하고 자동으로 수정

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-7 3.7 CA-2, RA-5, SI-2

소프트웨어 업데이트를 신속하게 배포하여 운영 체제 및 애플리케이션의 소프트웨어 취약성을 수정합니다.

일반적인 위험 점수 매기기 프로그램(예: 공통 취약성 점수 매기기 시스템) 또는 타사 검사 도구에서 제공하는 기본 위험 등급을 사용하고 높은 보안 위험을 초래하는 애플리케이션과 높은 가동 시간이 필요한 애플리케이션을 고려하여 환경에 맞게 조정합니다.

Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 Windows 및 Linux VM에 최신 보안 업데이트가 설치되어 있는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.

타사 소프트웨어의 경우 타사 패치 관리 솔루션 또는 System Center Updates Publisher for Configuration Manager를 사용합니다.

책임: 고객

고객 보안 관련자 (자세한 정보):

PV-8: 정기적인 공격 시뮬레이션 수행

Azure ID CIS 컨트롤 v7.1 ID NIST SP 800-53 r4 ID(들)
PV-8 20 CA-8, CA-2, RA-5

필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정합니다. Microsoft 클라우드 침투 테스트 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft 관리형 클라우드 인프라, 서비스 및 애플리케이션에 대한 Microsoft의 Red Teaming 및 라이브 사이트 침투 테스트 전략 및 실행을 사용합니다.

책임: 공유

고객 보안 관련자 (자세한 정보):

  • Last updated on