자세 및 취약성 관리는 Azure 리소스의 보안 구성 추적, 보고 및 수정뿐만 아니라 취약성 검사, 침투 테스트 및 수정을 포함하여 Azure 보안 상태를 평가하고 개선하기 위한 제어에 중점을 둡니다.
PV-1: 보안 구성 정의 및 설정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
보안 원칙: 클라우드의 다양한 리소스 종류에 대한 보안 구성 기준을 정의합니다. 또는 구성 관리 도구를 사용하여 배포 전이나 배포 중에 자동으로 구성 기준을 설정하여 배포 후 환경을 기본적으로 준수할 수 있습니다.
Azure 지침: Azure Security Benchmark 및 서비스 기준을 사용하여 각 Azure 제품 또는 서비스에 대한 구성 기준을 정의합니다. Azure 리소스에서 필요할 수 있는 중요한 보안 제어 및 구성을 이해하려면 Azure 참조 아키텍처 및 클라우드 채택 프레임워크 랜딩 존 아키텍처를 참조하세요.
Azure Blueprints를 사용하여 단일 청사진 정의에서 Azure Resource Manager 템플릿, Azure RBAC 컨트롤 및 정책을 비롯한 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PV-2: 보안 구성 감사 및 적용
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
보안 원칙: 정의된 구성 기준에서 편차가 있는 경우 지속적으로 모니터링하고 경고합니다. 비준수 구성을 거부하거나 구성을 배포하여 기준 구성에 따라 원하는 구성을 적용합니다.
Azure 지침: 클라우드용 Microsoft Defender를 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. 리소스에서 구성 편차가 감지되면 Azure Monitor를 사용하여 경고를 만듭니다.
Azure Policy [거부] 및 [존재하지 않는 경우 배포] 규칙을 사용하여 Azure 리소스에 보안 구성을 적용합니다.
Azure Policy에서 지원하지 않는 리소스 구성 감사 및 적용의 경우 사용자 고유의 스크립트를 작성하거나 타사 도구를 사용하여 구성 감사 및 적용을 구현해야 할 수 있습니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
보안 원칙: VM 및 컨테이너와 같은 컴퓨팅 리소스에 대한 보안 구성 기준을 정의합니다. 구성 관리 도구를 사용하여 컴퓨팅 리소스 배포 전후에 구성 기준을 자동으로 설정하거나 배포 후 환경을 기본적으로 준수할 수 있도록 합니다. 또는 미리 구성된 이미지를 사용하여 컴퓨팅 리소스 이미지 템플릿에 원하는 구성 기준을 빌드합니다.
Azure 지침: 컴퓨팅 리소스 구성 기준을 정의하는 벤치마크로 Azure 권장 운영 체제 기준(Windows 및 Linux용)을 사용합니다.
또한 Azure Policy 게스트 구성 및 Azure Automation 상태 구성에서 사용자 지정 VM 이미지 또는 컨테이너 이미지를 사용하여 원하는 보안 구성을 설정할 수 있습니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
보안 원칙: 컴퓨팅 리소스의 정의된 구성 기준과 차이가 있는 경우 지속적으로 모니터링하고 경고합니다. 비준수 구성을 거부하거나 컴퓨팅 리소스에 구성을 배포하여 기준 구성에 따라 원하는 구성을 적용합니다.
Azure 지침: Microsoft Defender for Cloud 및 Azure Policy 게스트 구성 에이전트를 사용하여 VM, 컨테이너 등을 비롯한 Azure 컴퓨팅 리소스의 구성 편차를 정기적으로 평가하고 수정합니다. 또한 Azure Resource Manager 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation 상태 구성을 사용하여 운영 체제의 보안 구성을 유지할 수 있습니다. Azure Automation 상태 구성과 함께 Microsoft VM 템플릿은 보안 요구 사항을 충족하고 유지하는 데 도움이 될 수 있습니다.
참고: Microsoft에서 게시한 Azure Marketplace VM 이미지는 Microsoft에서 관리 및 유지 관리합니다.
구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 취약성 평가 권장 사항을 구현하는 방법
- ARM 템플릿에서 Azure 가상 머신을 만드는 방법
- Azure Automation 상태 구성 개요
- Azure Portal에서 Windows 가상 머신 만들기
- 클라우드용 Microsoft Defender의 컨테이너 보안
고객 보안 관련자(자세한 정보):
PV-5: 취약성 평가 수행
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
보안 원칙: 고정된 일정 또는 주문형으로 모든 계층에서 클라우드 리소스에 대한 취약성 평가를 수행합니다. 검사 결과를 추적하고 비교하여 취약성이 수정되었는지 확인합니다. 평가에는 Azure 서비스, 네트워크, 웹, 운영 체제의 취약성, 잘못된 구성 등과 같은 모든 유형의 취약성이 포함되어야 합니다.
취약성 스캐너에서 사용하는 권한 있는 액세스와 관련된 잠재적 위험에 유의하세요. 권한 있는 액세스 보안 모범 사례를 따라 검사에 사용되는 모든 관리 계정을 보호합니다.
Azure 지침: Azure 가상 머신, 컨테이너 이미지 및 SQL 서버에서 취약성 평가를 수행하기 위한 Microsoft Defender for Cloud의 권장 사항을 따릅니다. 클라우드용 Microsoft Defender에는 가상 머신 검색을 위한 기본 제공 취약성 스캐너가 있습니다. 네트워크 디바이스 및 애플리케이션(예: 웹 애플리케이션)에서 취약성 평가를 수행하기 위한 타사 솔루션 사용
일관된 간격으로 검사 결과를 내보내고 이전 검사와 결과를 비교하여 취약성이 수정되었는지 확인합니다. 클라우드용 Microsoft Defender에서 제안하는 취약성 관리 권장 사항을 사용하는 경우 선택한 검사 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.
원격 검사를 수행할 때는 영구 관리 계정을 하나만 사용하지 마세요. 검사 계정에 대한 JIT(Just-In-Time) 프로비저닝 방법론을 구현하는 것이 좋습니다. 검사 계정에 대한 자격 증명은 취약성 검사에 대해서만 보호, 모니터링 및 사용해야 합니다.
참고: Azure Defender 서비스(서버용 Defender, 컨테이너 레지스트리, App Service, SQL 및 DNS 포함)에는 특정 취약성 평가 기능이 포함됩니다. Azure Defender 서비스에서 생성된 경고는 클라우드용 Microsoft Defender 취약성 검사 도구의 결과와 함께 모니터링 및 검토해야 합니다.
참고: 클라우드용 Microsoft Defender에서 설정 전자 메일 알림을 확인합니다.
구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 취약성 평가 권장 사항을 구현하는 방법
- 가상 머신에 대한 통합 취약성 스캐너
- SQL 취약성 평가
- 클라우드용 Microsoft Defender 취약성 검사 결과 내보내기
고객 보안 관련자(자세한 정보):
PV-6: 취약성을 신속하고 자동으로 수정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: 결함 수정 | 6.1, 6.2, 6.5, 11.2 |
보안 원칙: 패치 및 업데이트를 신속하고 자동으로 배포하여 클라우드 리소스의 취약성을 수정합니다. 적절한 위험 기반 접근 방식을 사용하여 취약성 수정의 우선 순위를 지정합니다. 예를 들어 더 높은 가치 자산의 더 심각한 취약성은 더 높은 우선 순위로 해결되어야 합니다.
Azure 지침: Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 Windows 및 Linux VM에 최신 보안 업데이트가 설치되어 있는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.
타사 소프트웨어의 경우 타사 패치 관리 솔루션 또는 System Center Updates Publisher for Configuration Manager를 사용합니다.
일반적인 위험 점수 매기기 프로그램(예: 공통 취약성 점수 매기기 시스템) 또는 타사 검사 도구에서 제공하는 기본 위험 등급을 사용하여 먼저 배포할 업데이트의 우선 순위를 지정하고 환경에 맞게 조정합니다. 또한 보안 위험이 높은 애플리케이션과 높은 가동 시간이 필요한 애플리케이션도 고려해야 합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PV-7: 정기적인 레드 팀 작업 수행
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(들) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | 캘리포니아-8, RA-5 | 6.6, 11.2, 11.3 |
보안 원칙: 실제 공격을 시뮬레이션하여 조직의 취약성을 보다 완벽하게 파악할 수 있습니다. 레드 팀 운영 및 침투 테스트는 기존 취약성 검사 접근 방식을 보완하여 위험을 검색합니다.
업계 모범 사례를 따라 이러한 종류의 테스트를 설계, 준비 및 수행하여 환경이 손상되거나 중단되지 않도록 합니다. 여기에는 항상 관련 관련자 및 리소스 소유자와 테스트 범위 및 제약 조건에 대해 논의하는 것이 포함됩니다.
Azure 지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정합니다.
Microsoft 클라우드 침투 테스트 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft 관리형 클라우드 인프라, 서비스 및 애플리케이션에 대한 Microsoft의 Red Teaming 및 라이브 사이트 침투 테스트 전략 및 실행을 사용합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):