DoD 제로 트러스트 전략 및 로드맵은 국방부 구성 요소 및 DIB(국방 산업 기지) 파트너가 제로 트러스트 원칙에 따라 새로운 사이버 보안 프레임워크를 채택할 수 있는 경로를 간략하게 설명합니다. 제로 트러스트 기존의 경계 및 신뢰 가정을 제거하여 보안, 사용자 환경 및 임무 성능을 향상시키는 보다 효율적인 아키텍처를 지원합니다.
이 가이드에는 DoD 제로 트러스트 기능 실행 로드맵의 152 제로 트러스트 활동에 대한 권장 사항이 있습니다. 섹션은 DoD 제로 트러스트 모델의 7가지 핵심 요소에 해당합니다.
다음 링크를 사용하여 가이드의 섹션으로 이동합니다.
3개 애플리케이션 및 워크로드
이 섹션에는 애플리케이션 및 워크로드 핵심 요소의 DoD 제로 트러스트 활동에 대한 Microsoft 지침 및 권장 사항이 있습니다. 자세한 내용은 제로 트러스트 사용하여 애플리케이션 보안을 참조하세요.
참고 항목
이 섹션의 권장 사항은 DoD Enterprise DevSecOps 참조 디자인 초안과 일치합니다.
3.1 애플리케이션 인벤토리
Microsoft Entra ID는 Microsoft 365 및 Azure뿐만 아니라 애플리케이션 및 클라우드 플랫폼용 ID 공급자(IdP)입니다. Microsoft Entra ID에는 통합 애플리케이션 목록을 검색하는 웹 포털 및 RESTful API가 포함되어 있습니다. Microsoft Defender XDR의 구성 요소인 클라우드용 Microsoft Defender 앱에는 허가되지 않은 앱을 검색, 인벤토리 및 차단하는 기능이 있습니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target3.1.1 애플리케이션/코드 식별DoD 조직은 승인된 애플리케이션 및 코드(예: 소스 코드, 라이브러리 등)의 인벤토리를 만듭니다. 각 조직은 적어도 인벤토리에서 지원 가능성(예: 활성, 레거시 등) 및 호스트된 위치(예: 클라우드, 온-프레미스, 하이브리드 등)를 추적합니다. 결과: - 구성 요소가 애플리케이션을 식별하고 레거시, 가상화된 온-프레미스 및 클라우드 호스팅으로 분류됨 |
Microsoft Entra ID Microsoft Entra 관리 센터를 사용하여 Microsoft Entra 등록 응용 프로그램 목록을 다운로드합니다. 위쪽 리본에서 다운로드를 선택합니다. - 애플리케이션 리소스 유형 조직에서 AD FS(Active Directory Federation Services)를 사용하는 경우 Microsoft Entra Connect Health를 배포합니다. 애플리케이션 활동 보고서를 사용하여 AD FS 애플리케이션을 검색합니다. - Connect Health - 애플리케이션 활동 보고서를 사용하여 AD FS 모니터링Microsoft Defender 취약성 관리 Defender 취약성 관리의 소프트웨어 인벤토리를 사용하여 조직의 소프트웨어를 봅니다. - 소프트웨어 인벤토리 클라우드용 Microsoft Defender 앱 은 클라우드용 Defender 앱에서 Cloud Discovery를 설정하여 사용자가 액세스하는 애플리케이션의 스냅샷을 가져옵니다. - Cloud Discovery - 조사 앱 설정 Microsoft Intune에서 검색한 앱 Intune 검색 앱은 테넌트에 등록된 Intune 디바이스에서 검색됩니다. 테넌트의 소프트웨어 인벤토리입니다. 회사 디바이스에서 앱 또는 관리되는 앱은 이 보고서에 대해 수집되지 않습니다. - 검색된 앱 Azure DevOps 는 보안 패키지 관리에 이 서비스를 사용합니다. 개발자는 코드를 공유하고 패키지를 한 곳에서 관리합니다. - Azure Artifacts - Azure GitHub 리포지토리 |
3.2 보안 소프트웨어 개발 및 통합
GitHub GHAS(Advanced Security) 및 GitHub Actions와 같은 GitHub 기능은 제로 트러스트 소프트웨어 개발 및 배포 사례를 설정하는 데 도움이 됩니다. GitHub Enterprise Cloud는 Microsoft Entra ID와 통합되어 Microsoft Entra ID 거버넌스를 사용하여 자격을 관리하고 조건부 액세스 정책을 사용하여 액세스를 보호합니다.
개발자는 MSAL(Microsoft 인증 라이브러리)을 사용하여 애플리케이션을 Microsoft Entra ID와 통합할 수 있습니다. 자세한 내용은 제로 트러스트 대한 사용자 인증을 참조하세요.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target3.2.1 DevSecOps Software Factory Pt1빌드DoD 엔터프라이즈는 최신 DevSecOps 프로세스 및 CI/CD 파이프라인에 대한 기본 표준을 만듭니다. 개념은 향후 Application Security 요구 사항을 충족할 수 있는 DoD 조직 전체의 표준화된 기술 스택에 적용됩니다. 엔터프라이즈 차원의 취약성 관리 프로그램은 취약성 관리 프로그램 활동에 따라 CI/CD 파이프라인과 통합됩니다. 결과: - DevSecOps 에 대한 개발된 데이터/서비스 표준 - CI/CD 파이프라인이 완벽하게 작동하고 성공적으로 테스트됨 - 취약성 관리 프로그램이 공식적으로 시행되고 운영됩니다. |
GitHub ActionsGitHub Actions는 CI/CD(지속적인 통합 및 지속적인 업데이트)를 사용하여 배포 파이프라인을 자동화합니다. - GitHub Actions GitHub 고급 보안 은 GitHub 및 Azure DevOps용 GitHub 고급 보안을 사용하여 코드 및 개발 프로세스의 보안을 강화합니다. - Azure DevOps Microsoft Entra SSO에 대한 고급 보안- 고급 보안 및 Microsoft Entra ID- 를 사용하여 Git 도구에 대한 SSO(Single Sign-On) 구성 프로비저닝GitHub Enterprise Cloud 조직- SSO와 GitHub Enterprise Server- Connect 조직을 Microsoft Entra ID 에 통합하여 Azure 및 기타 클라우드용 DevSecOps에 대한 자세한 내용은 DoD CIO(Cheif Information Officer) 라이브러리를 참조하세요. |
Target3.2.2 DevSecOps Software Factory Pt2빌드DoD 조직은 승인된 CI/CD 파이프라인을 사용하여 대부분의 새 애플리케이션을 개발합니다. 모든 예외는 레거시 방식으로 개발할 수 있도록 표준화된 승인 프로세스를 따릅니다. DevSecOps 프로세스는 모든 새 애플리케이션을 개발하고 기존 애플리케이션을 업데이트하는 데도 사용됩니다. 지속적인 유효성 검사 함수는 CI/CD 파이프라인 및 DevSecOps 프로세스에 통합되고 기존 애플리케이션과 통합됩니다. 결과: - 애플리케이션 개발이 CI/CD 파이프라인 으로 마이그레이션됩니다. 지속적인 유효성 검사 프로세스/기술이 구현되고 사용 중- 애플리케이션 개발이 DevSecOps 프로세스 및 기술로 마이그레이션됩니다. |
GitHub Advanced Security 는 GitHub Advanced Security를 사용하여 코드 종속성 및 취약성을 검색합니다. 코드 품질을 평가하도록 주기적인 빌드를 구성합니다. - ARM(Azure Resource Manager) 및 Bicep 템플릿과 함께 IaC(Infrastructure-as-code)를 사용하여 Azure Provision 클라우드 인프라에서 보안 공급망 Bicep을 검사- 하는 고급 보안- CodeQL 코드입니다. - Bicep 클라우드용 Microsoft Defender 애플리케이션 - 워크로드가 있는 구독에 대한 워크로드 보호를 클라우드용 Defender.클라우드 워크로드 보호 Microsoft Defender for DevOps 는 DevOps용 Defender를 사용하여 ADO(Azure DevOps) 및 GitHub에서 파이프라인의 보안 및 경고를 모니터링합니다. - DevOps용 Defender |
Target3.2.3 애플리케이션 보안 및 코드 수정 자동화 Pt1코드 수정을 포함한 애플리케이션 보안에 대한 표준화된 접근 방식은 DoD 엔터프라이즈에서 구현됩니다. 이 작업의 1부에는 API 또는 유사한 호출을 활용하는 애플리케이션과 Secure API 게이트웨이의 통합이 포함됩니다. 코드 검토는 체계적인 접근 방식으로 수행되며 컨테이너 및 해당 인프라에 대한 표준화된 보호가 적용됩니다. 또한 타사에서 Platform as a Service와 같은 인프라를 관리하는 서버리스 함수는 적절한 서버리스 보안 모니터링 및 응답 함수를 활용합니다. 코드 검토, 컨테이너 및 서버리스 보안 함수는 CI/CD 및/또는 DevSecOps 프로세스에 적절하게 통합됩니다. 결과: - 보안 API 게이트웨이가 작동하고 대부분의 API 호출이 게이트웨이 를 통과합니다. 애플리케이션 보안 함수(예: 코드 검토, 컨테이너 및 서버리스 보안)는 CI/CD 및 DevSecOps의 일부로 구현됩니다. |
Azure 애플리케이션 게이트웨이 Azure 애플리케이션 게이트웨이 및 웹 애플리케이션 방화벽을 사용하여 공개적으로 액세스할 수 있는 웹 애플리케이션 및 API를 배치합니다. - 웹 애플리케이션 방화벽 Microsoft Entra ID 애플리케이션 Microsoft Entra ID는 웹 애플리케이션 및 API 액세스를 위한 권한 부여 게이트웨이입니다. Microsoft Entra를 사용하여 등록된 애플리케이션에 대한 API를 노출합니다. Azure 앱 Service 및 Azure Functions에서 기본 제공 인증 및 권한 부여(간편한 인증)를 사용합니다. Microsoft Entra ID를 인식하지 못하는 API의 경우 Azure API 관리에서 OAuth 권한 부여를 사용합니다. - Azure 앱 Service 및 Azure Functions- 인증에서 Web API - 인증 및 권한을 부여하고 API GitHub 고급 보안 사용 GitHub Advanced Security for GitHub 및 Azure DevOps에 권한을 부여하도록 앱을 구성합니다. 3.2.1에서 Microsoft 지침을 참조하세요. Microsft 클라우드용 Defender API 워크로드를 사용하여 Azure 구독에 대한 워크로드 보호를 클라우드용 Defender. 3.2.2에서 Microsoft 지침을 참조하세요. |
Advanced3.2.4 애플리케이션 보안 및 코드 수정 Pt2자동화DoD 조직은 마이크로 서비스와 같은 모범 사례 접근 방식에 따라 내부적으로 개발되고 관리되는 서비스를 제공하는 방법을 현대화합니다. 이러한 접근 방식을 사용하면 보안 문제가 발견될 때 각 마이크로 서비스에서 코드를 더 빠르게 변경할 수 있으므로 복원력 있고 안전한 아키텍처를 사용할 수 있습니다. 릴리스 프로세스 중에 컨테이너에 대한 런타임 보안 기능을 적절하게, 자동화된 취약한 라이브러리 업데이트 및 자동화된 CI/CD 승인을 포함하면서 DoD Enterprise에서 보안 수정 작업이 계속 진행됩니다. 결과: - 보안 API 게이트웨이가 작동하고 대부분의 API 호출이 게이트웨이 를 통과합니다. 서비스는 SOA(서비스 지향 아키텍처) 에 따라 제공됩니다. 보안 수정 작업(예: 런타임 보안, 라이브러리 업데이트, 릴리스 승인)은 완전히 자동화됩니다. |
전체 활동 3.2.2 및 3.2.3. |
3.3 소프트웨어 위험 관리
GitHub Actions는 DevSecOps에 대한 소프트웨어 개발 워크플로를 자동화, 사용자 지정 및 실행하는 데 도움이 됩니다. GitHub Actions를 사용하여 SBOM(소프트웨어 청구서)을 생성하고, 코드를 분석하고, 공급망 및 종속성 취약성을 검색합니다. GitHub Actions에 대한 자세한 내용은 GitHub Actions를 참조하세요.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target3.3.1 승인된 이진 파일/코드DoD 엔터프라이즈는 모범 사례 방법을 사용하여 승인된 이진 파일 및 코드를 체계적인 방식으로 관리합니다. 이러한 접근 방식에는 공급업체 소싱 위험 관리, 승인된 리포지토리 사용량, 재료 공급망 위험 관리 청구서 및 업계 표준 취약성 관리 포함됩니다. 결과: - 개발 팀에서 사용하기 위해 설정된 승인된 원본 - 리포지토리 및 업데이트 채널에 대해 평가 및 식별된 공급업체 소싱 위험 - 원본, 지원 가능성 및 위험 태세 를 식별하는 애플리케이션에 대한 자료 청구서가 만들어지고 DIB(산업 표준) 및 승인된 취약성 데이터베이스가 DevSecOps에서 사용되도록 끌어옵니다. |
GitHub Actions 는 DEVSecOps 프로세스를 표준화하여 CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인을 사용하여 SBOM(소프트웨어 청구서)을 생성합니다. - GitHub Dependabot 및 CodeQL을 사용하여 자료 의 소프트웨어 청구서를 생성하여 보안 검사를 자동화하고 종속성 취약성을 검사합니다. - 보안 공급망 Windows Defender 애플리케이션 제어 를 검사하는- CodeQL 코드는 Windows Defender 애플리케이션 컨트롤을 사용하여 신뢰할 수 없는 코드가 관리형 엔드포인트에서 실행되지 않도록 방지합니다. - 애플리케이션 제어 및 App Locker - 플랫폼 코드 무결성 |
Target3.3.2 취약성 관리 프로그램 Pt1DoD 엔터프라이즈는 조직과 협력하여 취약성 관리 프로그램을 설정하고 관리합니다. 이 프로그램에는 모든 조직에서 동의한 정책 및 표준이 포함됩니다. 개발된 프로그램에는 최소한 DoD 애플리케이션/서비스를 기반으로 하는 공용 취약성의 추적 및 관리가 포함됩니다. 조직은 엔터프라이즈 정책 및 표준에 따라 취약성을 논의하고 관리하는 주요 이해 관계자와 취약성 관리 팀을 구성합니다. 결과: - 취약성 관리 팀이 적절한 이해 관계자 구성원 자격 과 함께 준비되었습니다. 취약성 관리 정책 및 프로세스가 마련되어 있으며 이해 관계자 와 합의했습니다. 취약성의 공개 소스가 추적에 활용되고 있습니다. |
위협 및 취약성 관리 VM 기능을 사용하면 자산 가시성 및 지능형 평가를 수행할 수 있습니다. TVM에는 엔드포인트 및 서버에 대한 기본 제공 수정 도구가 있습니다. 취약성 관리 프로그램에서 TVM을 사용합니다. - Microsoft Defender TVM Microsoft 클라우드 보안 벤치마크 는 Microsoft 온라인 서비스 취약성 관리 수행하는 방법을 검토합니다. - TVM 개요 - 자세 및 취약성 관리 |
Target3.3.3 취약성 관리 프로그램 Pt2프로세스는 DoD 엔터프라이즈 수준에서 공개 및 비공개로 액세스할 수 있는 DoD 유지 관리/운영 서비스의 취약성 공개를 관리하기 위해 설정됩니다. DoD 조직은 취약성 관리 프로그램을 확장하여 DIB, CERT 등과 같은 폐쇄형 취약성 리포지토리를 추적하고 관리합니다. 결과: - 제어된(예: DIB, CERT) 취약성 원본이 추적 에 활용되고 있습니다. 취약성 관리 프로그램에는 관리되는 서비스에 대한 외부/공개를 수락하는 프로세스가 있습니다. |
위협 및 취약성 관리Microsoft Defender TVM의 약점 페이지를 사용하여 조직의 디바이스 및 서버에서 검색된 취약성을 식별하고 우선 순위를 지정합니다. - 조직의 취약성은 TVM 취약한 디바이스 보고서를 사용하여 수정 활동을 추적합니다. - 취약한 디바이스 보고서 |
Target3.3.4 지속적인 유효성검사DoD 조직은 병렬 배포가 수행되고 승인된 환경 수준(예: 사용자 승인 테스트, 프로덕션)과 통합되는 애플리케이션 개발을 위한 지속적인 유효성 검사 방법을 구현합니다. CI/CD 프로세스에 지속적인 유효성 검사를 통합할 수 없는 애플리케이션이 식별되고 필요에 따라 체계적인 접근 방식을 사용하여 예외가 제공됩니다. 결과: - 업데이트된 애플리케이션은 라이브 및/또는 프로덕션 환경에 배포됩니다. 사용 중지 및 전환으로 표시된 애플리케이션은 서비스 해제 됨- 지속적인 유효성 검사 도구가 구현되고 CI/CD 파이프라인 의 코드에 적용됩니다. 지속적인 유효성 검사가 필요한 코드가 식별되고 유효성 검사 기준이 설정됩니다. |
Azure Chaos Studio는 Azure Chaos Studio를 사용하여 워크로드의 유효성을 검사합니다. - 지속적인 유효성 검사 GitHub 고급 보안 DoD Enterprise DevSecOps 참조 디자인에서 취약성 관리 대한 GitHub 기능 및 작업을 사용합니다. 3.2.1에서 Microsoft 지침을 참조하세요. |
3.4 리소스 권한 부여 및 통합
조건부 액세스는 Microsoft Entra ID의 제로 트러스트 정책 엔진입니다. 애플리케이션 워크로드를 Microsoft Entra ID에 연결합니다. Microsoft Entra ID 거버넌스를 사용하여 조건부 액세스 정책을 사용하여 자격을 관리하고 로그인을 보호합니다. 정책은 디바이스 상태, 세션 세부 정보 및 위험과 같은 보안 특성을 사용하여 적응형 액세스 결정을 내립니다. Microsoft Entra ID, Azure Resource Manager 및 CI/CD 파이프라인은 Azure에서 리소스 배포 권한을 부여합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target3.4.1 리소스 권한 부여 Pt1DoD 엔터프라이즈는 조직과 리소스 권한 부여 방법(예: 소프트웨어 정의 경계)을 표준화합니다. 최소한 리소스 권한 부여 게이트웨이는 ID 및 디바이스와 통합됩니다. 조직은 승인된 리소스 권한 부여 게이트웨이를 배포하고 외부 연결 애플리케이션/서비스를 사용하도록 설정합니다. 마이그레이션 및 마이그레이션할 수 없는 애플리케이션에 대한 다른 애플리케이션은 예외 또는 서비스 해제에 대해 식별됩니다. 결과: - 외부 연결 애플리케이션을 위한 리소스 권한 부여 게이트웨이가 마련되어 있습니다 . ID 및 디바이스 와 통합된 리소스 권한 부여 정책 - 변환 표준에 대한 엔터프라이즈 차원의 지침이 관련자에게 전달됩니다. |
Microsoft Entra ID Microsoft Entra는 애플리케이션 리소스에 대한 권한 부여 게이트웨이입니다. SSO용 최신 및 레거시 애플리케이션을 Microsoft Entra와 통합합니다. 사용자의 Microsoft 지침 1.2.4를 참조하세요. Microsoft Entra ID 거버넌스 애플리케이션에 액세스하려면 Microsoft Entra ID 거버넌스 앱 역할을 사용합니다. 정적 멤버 자격, 동적 Microsoft Entra 보안 그룹 또는 권한 관리 액세스 패키지를 사용하여 앱 역할에 사용자를 할당합니다. - 앱에 앱 역할을 추가하고 토큰 - 역할 기반 액세스 제어 조건부 액세스 사용 조건부 액세스 정책에서 앱 역할을 수신하여 애플리케이션 액세스를 동적으로 권한 부여, 제어 또는 차단합니다. 사용자의 Microsoft 지침 1.8.3 및 디바이스의 2.1.4를 참조하세요. Azure 애플리케이션 Gateway Application Gateway 및 웹 애플리케이션 방화벽을 사용하여 공개적으로 액세스할 수 있는 웹 애플리케이션 및 API를 사용하도록 설정합니다. Microsoft 지침 3.2.3을 참조하세요. |
Target3.4.2 리소스 권한 부여 Pt2리소스 권한 부여 게이트웨이는 가능한 모든 애플리케이션/서비스에 사용됩니다. 게이트웨이를 활용할 수 없는 애플리케이션은 서비스 해제되거나 위험 기반의 체계적인 접근 방식을 사용하는 것이 제외됩니다. 권한 부여는 자동화된 의사 결정을 위해 CI/CD 파이프라인과 추가로 통합됩니다. 결과: - 리소스 권한 부여 게이트웨이는 모든 애플리케이션 에 사용됩니다. 리소스 권한 부여는 DevSecOps 및 자동화된 함수에 대한 CI/CD와 통합됩니다. |
Microsoft Entra 워크로드 ID 워크로드 ID 페더레이션을 사용하여 사용자 할당 관리 ID를 구성하거나 IdP(외부 ID 공급자)의 토큰을 신뢰하도록 앱 등록을 구성합니다. GitHub Actions 워크플로에 페더레이션된 워크로드 ID를 사용합니다. - 워크로드 ID 페더레이션 Azure API Management 는 Azure API Management를 사용하여 Azure 외부에 호스트된 서비스를 API로 관리, 권한 부여 및 노출합니다. - Azure API Management |
Target3.4.3. SDC 리소스 권한 부여 Pt1DoD 엔터프라이즈는 업계 모범 사례에 따라 코드 기반 컴퓨팅 관리(즉, 소프트웨어 정의 컴퓨팅)를 위한 표준화된 접근 방식을 제공합니다. 위험 기반 접근 방식을 사용하는 기준은 승인된 코드 라이브러리 및 패키지 집합을 사용하여 만들어집니다. DoD 조직은 승인된 코드/이진 파일 활동을 사용하여 애플리케이션이 접근 방식을 지원할 수 있고 지원할 수 없는 것으로 식별되도록 합니다. 최신 소프트웨어 기반 구성 및 관리 방법을 지원할 수 있는 애플리케이션이 식별되고 전환이 시작됩니다. 소프트웨어 기반 구성 및 관리 접근 방식을 따를 수 없는 애플리케이션은 체계적인 접근 방식을 사용하여 예외를 통해 식별되고 허용됩니다. 결과: - 승인된 이진 파일/코드를 사용하도록 업데이트할 수 없는 애플리케이션은 사용 중지로 표시되고 전환 계획이 생성 됩니다. 승인된 이진 파일 및 코드가 없는 식별된 애플리케이션은 승인된 이진 파일/코드를 사용하도록 업데이트됩니다. 변환 표준에 대한 엔터프라이즈 차원의 지침은 관련자에게 전달됩니다. |
보안 개발수명 주기 및 게시된 모범 사례에 따라 Azure 애플리케이션을 설계, 개발 및 배포합니다. - 코드 - 로 보안 개발 - 인프라 Azure Policy 코드 워크플로 Microsoft Entra ID 애플리케이션 인증 및 권한 부여에 대 한 Microsoft ID 플랫폼 사용 합니다. - 앱 및 인증 Azure Migrate 마이그레이션을 AKS(Azure Kubernetes Service) 및 App Service 컨테이너와 같은 최신 앱 플랫폼으로 마이그레이션합니다. - 최신 앱 플랫폼 - 으로 워크로드 마이그레이션, AKS - 로 마이그레이션할 ASP.NET 앱 평가 ASP.NET 앱으로 마이그레이션하여 Azure 앱 Service로 마이그레이션 |
Target3.4.4 SDC 리소스 권한 부여 Pt2소프트웨어 기반 구성 및 관리를 지원하는 애플리케이션은 프로덕션/라이브 환경으로 전환되었으며 정상적으로 작동합니다. 소프트웨어 기반 구성 및 관리를 지원할 수 없는 가능한 애플리케이션은 서비스 해제됩니다. 결과: - 업데이트된 애플리케이션은 라이브 및/또는 프로덕션 환경에 배포됩니다. 사용 중지 및 전환으로 표시된 애플리케이션은 서비스 해제됩니다. |
Azure Migrate : 앱 컨테이너화 도구를 사용하여 ASP.NET 앱 및 Java 웹앱을 컨테이너화하고 마이그레이션합니다. 현대화할 수 없는 애플리케이션을 해제합니다. - ASP.NET 앱 컨테이너화 및 AKS- 로의 마이그레이션 ASP.NET 앱 컨테이너화 및 Azure 앱 Service- Java 웹앱 컨테이너화로 마이그레이션, AKS - Java 웹앱 컨테이너화로 마이그레이션 및 Azure 앱 Service로 마이그레이션 |
Advanced3.4.5 리소스 권한 부여 Pt1에 대한 특성 보강사용자 및 엔터티 활동 모니터링, 마이크로 분할 서비스, DLP 및 DRM(데이터 권한 관리)과 같은 원본의 초기 특성은 리소스 권한 부여 기술 스택 및 정책에 통합됩니다. 이후 통합을 위한 다른 모든 특성이 식별되고 계획됩니다. 특성은 권한 부여 결정을 허용하는 사용자, 비인격 엔터티(NME) 및 디바이스의 기본 위험 상태를 만드는 데 사용됩니다. 결과: - 대부분의 API 호출이 보안 API 게이트웨이 를 통과합니다. 리소스 권한 부여는 분석 엔진 에서 데이터를 받습니다. 권한 부여 정책은 인증 결정을 내리는 데 식별된 특성을 통합합니다 . 초기 보강에 사용할 특성이 식별됩니다. |
Microsoft Entra 애플리케이션은 Microsoft Entra ID를 사용하여 최신 애플리케이션 및 API에 권한을 부여합니다. Microsoft Entra 애플리케이션 프록시 및 Azure Arc 지원 서버를 배포하여 Microsoft Entra ID를 레거시 인증 프로토콜로 확장합니다. 3.1.1 및 3.2.3에서 Microsoft 지침을 참조하세요. 조건부 액세스 Microsoft Entra는 리소스 권한 부여를 위한 보안 게이트웨이입니다. 조건부 액세스는 권한 부여 엔진입니다. 디바이스 준수 상태를 포함하여 사용자, 애플리케이션, 사용자, 환경 조건을 사용하여 자세한 권한 부여에 대한 정책을 구성합니다. - 조건부 액세스- 조건부 액세스 디자인 - 준수 디바이스 필요 동적 보안 그룹 사용자 특성에 따라 동적 보안 그룹을 만듭니다. 동적 그룹을 사용하여 사용자 특성에 따라 정적 특성 권한 부여에 대한 조건부 액세스 정책의 범위를 지정합니다. - 그룹 - 사용자, 그룹 및 워크로드 ID 에 대한 동적 멤버 자격 Microsoft Purview 중요한 정보 유형 은 EDM(정확한 데이터 일치)을 사용하여 중요한 정보 유형을 정의합니다. Microsoft Purview Information Protection 및 Purview DLP(데이터 손실 방지) 정책과 함께 중요한 정보 유형을 사용합니다. - 중요한 정보 유형- 에 따른 데이터 일치 검색 및 보호 중요한 정보 Microsoft Entra ID 거버넌스 앱 역할이 있는 애플리케이션에 액세스하려면 Microsoft Entra ID 거버넌스를 사용합니다. 정적 멤버 자격, 동적 보안 그룹 또는 권한 관리 액세스 패키지를 사용하여 앱 역할에 사용자를 할당합니다. - 앱 역할 추가 및 토큰 - 역할 기반 액세스 제어에서 받기 |
Advanced3.4.6. 리소스 권한 부여 Pt2확장 식별 특성에 대한 보강 특성은 리소스 권한 부여 기술 및 정책과 통합됩니다. 신뢰도 점수 매기기는 자동화된 방식으로 인증 의사 결정의 고급 방법을 만들기 위해 특성에 도입됩니다. 결과: - 권한 부여 정책은 권한 부여 결정을 내리는 데 신뢰 수준을 통합합니다. 특성에 대한 신뢰 수준이 정의됩니다. |
Microsoft Entra ID Protection 조건부 액세스 정책 집합에서 Microsoft Entra ID Protection의 로그인 위험 및 사용자 신호를 사용합니다. 환경 세부 정보 및 위험 수준에 따라 신뢰 수준을 설정하도록 위험을 포함한 인증 컨텍스트를 구성합니다. - Microsoft Entra ID 위험 - 정책 템플릿: 로그인 위험 MFA- 인증 컨텍스트 예제 는 사용자의 Microsoft 지침 1.3.3을 참조하세요. 사용자 지정 보안 특성 Microsoft Entra ID 사용자에 대한 사용자 지정 보안 특성을 관리하고 할당합니다. ABAC(동적 특성 기반 액세스 제어)에 역할 할당 조건을 사용합니다. - 사용자 지정 보안 특성 |
Advanced3.4.7. DoD Enterprise 승인 API 게이트웨이를 사용하는 REST API 마이크로 세그먼트, 애플리케이션 호출은 특정 대상(예: 마이크로 서비스)에 대한 인증 및 권한 있는 액세스만 허용하도록 마이크로 분할됩니다. 가능하면 API 마이크로 세분화 콘솔은 소프트웨어 정의 경계 컨트롤러 및/또는 소프트웨어 정의 네트워킹 콘솔과 같은 다른 마이크로 세분화 콘솔을 통합하고 인식합니다. 결과: - 승인된 엔터프라이즈 API가 적절하게 마이크로 분할됨 |
Azure 네트워킹 및 연결 은 수신 및 송신 흐름에서 네트워크 트래픽을 격리, 필터링 및 제어합니다. 사용 가능한 네트워크 경계에서 지역화된 네트워크 제어를 사용하여 심층 방어 원칙을 적용합니다. Azure Well-Architected Framework를 따릅니다. - 네트워킹 및 연결 권장 사항- 세분화 전략 권장 사항 API 디자인 은 권장 사례를 따라 마이크로 서비스에 대한 API를 디자인합니다. Microsoft Entra ID를 사용하여 API를 보호하고 권한을 부여합니다. - 마이크로 서비스 API - 보호 API |
3.5 지속적인 모니터링 및 지속적인 권한 부여
클라우드용 Microsoft Defender 보안 표준은 규정 표준을 준수하도록 클라우드용 Defender 사용하도록 설정된 범위 내 Azure 구독, AWS(Amazon Web Services) 계정 및 GCP(Google Cloud Platform) 프로젝트를 지속적으로 평가합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Advanced3.5.1 cATO(지속적인 작동 권한 부여) Pt1DoD 조직은 환경 내의 자동화 솔루션을 활용하여 컨트롤 모니터링을 표준화하고 편차를 식별하는 기능을 제공합니다. 적절한 모니터링 및 테스트가 DevSecOps 프로세스와 통합되는 경우 결과: - 컨트롤 파생이 표준화되고 자동화 할 준비가 됩니다. Controls 테스트는 DevSecOps 프로세스 및 기술과 통합됩니다. |
DoD CIO(최고 정보 책임자) 라이브러리 는 모니터링 및 테스트를 DevSecOps 프로세스에 통합합니다. DoD Enterprise DevSecOps 참조 디자인 - DoD CIO 라이브러리 클라우드용 Microsoft Defender 클라우드용 Defender 사용하여 Azure 및 비 Azure 워크로드 보호를 참조하세요. 규정 준수 및 Azure Policy 이니셔티브를 사용하여 구성 표준을 사용하여 인프라를 지속적으로 평가합니다. 구성 드리프트를 방지합니다. - GitHub 및 - Azure DevOps를 사용하여 Microsoft Sentinel Automate Sentinel 통합 및 배포 작업을 보안 표준 다중 클라우드 환경에 할당합니다. - Sentinel 및 Azure DevOps 통합 - 리포지토리에서 사용자 지정 콘텐츠 배포 |
Advanced3.5.2 cATO(지속적인 작동 권한 부여) Pt2DoD 조직은 제어 파생, 테스트 및 모니터링 프로세스를 완전히 자동화합니다. 편차는 기존 기둥 간 자동화 인프라를 사용하여 자동으로 테스트 및 해결됩니다. 대시보드는 권한 부여 상태를 모니터링하는 데 사용되며 분석은 책임 있는 권한 부여 담당자와 통합됩니다.< /br> 결과: - 컨트롤 테스트가 완전히 자동화됨 - 표준 IR 및 SOC 작업과의 통합이 자동화됨 |
Microsoft Defender 위협 및 취약성 관리는 취약성 관리 프로그램에 TVM(위협 및 취약성 관리)을 통합합니다. 3.3.2에서 Microsoft 지침을 참조하세요. Azure DevOps 및 Microsoft Sentinel 은 Azure DevOps와 Sentinel 통합 및 배포 작업을 자동화합니다. - Azure DevOps Microsoft Defender XDR 및 Sentinel과 Sentinel의 Sentinel 통합은 Microsoft Defender XDR 및 클라우드용 Defender Sentinel과 통합합니다. - 제로 트러스트 대한 Sentinel 및 Defender XDR |
다음 단계
DoD 제로 트러스트 전략에 대한 Microsoft 클라우드 서비스를 구성합니다.