Azure Monitor 보안 개요 및 지침
이 문서에서는 Azure Well-Architected Framework의 일부로 Azure Monitor에 대한 보안 지침을 제공합니다.
Azure Monitor 보안 지침은 Azure Monitor의 보안 기능과 다음을 기반으로 보안을 최적화하도록 구성하는 방법을 이해하는 데 도움이 됩니다.
- 클라우드 채택 프레임워크 기술 인프라를 관리하는 팀에 대한 보안 지침을 제공합니다.
- 보안 애플리케이션을 빌드하기 위한 아키텍처 모범 사례를 제공하는 Azure Well-Architected Framework
- 사용 가능한 보안 기능과 권장되는 최적의 구성을 설명하는 MCSB(Microsoft 클라우드 보안 벤치마크)입니다.
- 제로 트러스트 보안 원칙은 보안 팀이 제로 트러스트 현대화 이니셔티브를 지원하기 위한 기술 기능을 구현하기 위한 지침을 제공합니다.
이 문서의 지침은 Microsoft 보안 책임 모델을 기반으로 합니다. 이 공동 책임 모델의 일부로 Microsoft는 Azure Monitor 고객에게 다음과 같은 보안 조치를 제공합니다.
- Azure 인프라 보안
- Azure 고객 데이터 보호
- 데이터 수집 중 전송 중인 데이터 암호화
- Microsoft 관리 키를 사용하여 미사용 데이터 암호화
- 데이터 평면 액세스를 위한 Microsoft Entra 인증
- 관리 ID를 사용하여 Azure Monitor 에이전트 및 Application Insights 인증
- Azure RBAC(역할 기반 액세스 제어)를 사용하여 데이터 평면 작업에 대한 권한 있는 액세스
- 업계 표준 및 규정 준수
로그 수집 및 스토리지
디자인 검사 목록
- 조직의 다양한 역할에 필요한 작업 영역의 다양한 데이터 형식에 대한 액세스를 구성합니다.
- Azure 프라이빗 링크를 사용하여 공용 네트워크에서 작업 영역에 대한 액세스를 제거합니다.
- 쿼리를 실행하는 사용자를 추적하도록 로그 쿼리 감사를 구성합니다.
- 감사 데이터의 불변성을 확인합니다.
- 작업 영역에서 중요한 데이터를 필터링하거나 난독 처리하기 위한 전략을 결정합니다.
- 실수로 수집된 중요한 데이터를 제거합니다.
- 고객 관리형 키를 사용한 이중 암호화 및 Microsoft Azure에서 Microsoft 데이터 액세스 요청을 승인하거나 거부할 수 있도록 고객 Lockbox를 포함하여 향상된 보안 기능을 위해 작업 영역을 전용 클러스터에 연결합니다.
- TLS(전송 계층 보안) 1.2 이상을 사용하여 에이전트, 커넥터 및 로그 수집 API를 사용하여 작업 영역으로 데이터를 보냅니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 조직의 다양한 역할에 필요한 작업 영역의 다양한 데이터 형식에 대한 액세스를 구성합니다. | 작업 영역에 대한 액세스 제어 모드를 리소스 또는 작업 영역 권한 사용으로 설정하면 리소스 소유자가 작업 영역에 대한 명시적인 액세스 권한을 부여받지 않고도 리소스 컨텍스트를 사용하여 데이터에 액세스할 수 있습니다. 이렇게 하면 작업 영역 구성이 간소화되고 사용자가 해서는 안 되는 데이터에 액세스할 수 없게 됩니다. 적절한 기본 제공 역할을 할당하여 해당 책임 범위에 따라 구독, 리소스 그룹 또는 작업 영역 수준에서 관리자에게 작업 영역 권한을 부여합니다. 여러 리소스에서 테이블 집합에 액세스해야 하는 사용자를 위해 테이블 수준 RBAC를 적용합니다. 테이블 권한이 있는 사용자는 리소스 사용 권한에 관계없이 테이블의 모든 데이터에 액세스할 수 있습니다. 작업 영역의 데이터에 대한 액세스 권한을 부여하는 다양한 옵션에 대한 자세한 내용은 Log Analytics 작업 영역에 대한 액세스 관리를 참조하세요. |
| Azure 프라이빗 링크를 사용하여 공용 네트워크에서 작업 영역에 대한 액세스를 제거합니다. | 퍼블릭 엔드포인트에 대한 연결은 엔드투엔드 암호화로 보호됩니다. 프라이빗 엔드포인트가 필요한 경우 Azure 프라이빗 링크를 사용하여 리소스가 권한 있는 프라이빗 네트워크를 통해 Log Analytics 작업 영역에 연결할 수 있도록 할 수 있습니다. 프라이빗 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터를 강제로 수집할 수도 있습니다. 사용자 환경에 가장 적합한 네트워크 및 DNS 토폴로지를 확인하려면 Azure Private Link 설정 디자인을 참조하세요. |
| 쿼리를 실행하는 사용자를 추적하도록 로그 쿼리 감사를 구성합니다. | 로그 쿼리 감사는 작업 영역에서 실행되는 각 쿼리에 대한 세부 정보를 기록합니다. 이 감사 데이터를 보안 데이터로 처리하고 LAQueryLogs 테이블을 적절하게 보호합니다. 각 작업 영역에 대한 감사 로그를 로컬 작업 영역으로 보내도록 구성하거나 운영 데이터와 보안 데이터를 분리하는 경우 전용 보안 작업 영역에 통합합니다. Log Analytics 작업 영역 인사이트를 사용하여 이 데이터를 주기적으로 검토하고 로그 검색 경고 규칙을 만들어 권한이 없는 사용자가 검색을 실행하려고 시도하는 경우 사전에 알리는 것이 좋습니다. |
| 감사 데이터의 불변성을 확인합니다. | Azure Monitor는 추가 전용 데이터 플랫폼이지만 규정 준수를 위해 데이터를 삭제하는 프로비저닝을 포함합니다. Log Analytics 작업 영역에 대한 잠금을 설정하여 데이터를 삭제할 수 있는 모든 활동(제거, 테이블 삭제, 테이블 또는 작업 영역 수준 데이터 보존 변경)을 차단할 수 있습니다. 그러나 이 잠금은 여전히 제거할 수 있습니다. 완전히 변조 방지 솔루션이 필요한 경우 변경할 수 없는 스토리지 솔루션으로 데이터를 내보내는 것이 좋습니다. 데이터 내보내기를 사용하여 데이터 변조로부터 보호하기 위한 불변성 정책을 통해 Azure Storage 계정에 데이터를 보냅니다. 모든 유형의 로그가 규정 준수, 감사 또는 보안과 동일한 관련성을 가지는 것은 아니므로 내보내야 하는 특정 데이터 형식을 결정합니다. |
| 작업 영역에서 중요한 데이터를 필터링하거나 난독 처리하기 위한 전략을 결정합니다. | 중요한 정보를 포함하는 데이터를 수집할 수 있습니다. 특정 데이터 원본에 대한 구성을 사용하여 수집해서는 안 되는 레코드를 필터링합니다. 데이터의 특정 열만 제거하거나 난독 처리해야 하는 경우 변환을 사용합니다. 원래 데이터를 수정하지 않아도 되는 표준이 있는 경우 KQL 쿼리에서 'h' 리터럴을 사용하여 통합 문서에 표시된 쿼리 결과를 난독 처리할 수 있습니다. |
| 실수로 수집된 중요한 데이터를 제거합니다. | 작업 영역에서 실수로 수집될 수 있는 개인 데이터를 주기적으로 확인하고 데이터 제거를 사용하여 제거합니다. 보조 계획이 있는 테이블의 데이터는 현재 제거할 수 없습니다. |
| 고객 관리형 키를 사용한 이중 암호화 및 Microsoft Azure에서 Microsoft 데이터 액세스 요청을 승인하거나 거부할 수 있도록 고객 Lockbox를 포함하여 향상된 보안 기능을 위해 작업 영역을 전용 클러스터에 연결합니다. | Azure Monitor는 MMK(Microsoft 관리형 키)를 사용하여 미사용 데이터 및 저장된 쿼리를 모두 암호화합니다. 전용 클러스터에 대한 충분한 데이터를 수집하는 경우 다음을 사용합니다. - 유연성 및 키 수명 주기 제어를 위한 고객 관리형 키 입니다. Microsoft Sentinel을 사용하는 경우 Microsoft Sentinel 고객 관리형 키 설정의 고려 사항을 숙지해야 합니다. - Microsoft Azure 용 고객 Lockbox는 고객 데이터 액세스 요청을 검토하고 승인하거나 거부합니다. 고객 Lockbox는 고객이 시작한 지원 티켓 또는 Microsoft에서 식별한 문제에 대한 응답으로 Microsoft 엔지니어가 고객 데이터에 액세스해야 하는 경우에 사용됩니다. 현재 Lockbox는 보조 계획이 있는 테이블에 적용할 수 없습니다. |
| TLS(전송 계층 보안) 1.2 이상을 사용하여 에이전트, 커넥터 및 로그 수집 API를 사용하여 작업 영역으로 데이터를 보냅니다. | Azure Monitor로 전송 중인 데이터의 보안을 보장하려면 TLS(전송 계층 보안) 1.2 이상을 사용합니다. 이전 버전의 TLS/SSL(Secure Sockets Layer)이 취약한 것으로 나타났습니다. 따라서 현재 이전 버전과 호환성을 허용하기 위해 작동하지만 사용하지 않는 것이 좋으며 업계는 이러한 이전 프로토콜에 대한 지원을 중단하도록 빠르게 변화하고 있습니다. PCI 보안표준 위원회는 이전 버전의 TLS/SSL를 사용하지 않고 좀 더 안전한 보안 프로토콜로 업그레이드하는 최종 기한을 2018년 6월 30일로 정했습니다. Azure에서 레거시 지원을 중단하면 에이전트가 TLS 1.3 이상을 통해 통신할 수 없는 경우 Azure Monitor 로그에 데이터를 보낼 수 없게 됩니다. 필요한 경우가 아니면 TLS 1.3만 사용하도록 에이전트를 명시적으로 설정하지 않는 것이 좋습니다. 에이전트가 이후 보안 표준을 자동으로 감지, 협상 및 활용할 수 있도록 허용하는 것이 좋습니다. 그렇지 않으면 새로운 표준의 추가된 보안 기능을 이용하지 못할 수 있고 TLS 1.3이 새 표준으로 대체되었을 때 문제가 발생할 수 있습니다. |
경고
디자인 검사 목록
- 작업 영역에서 데이터와 저장된 쿼리를 보호하기 위해 자체 암호화 키가 필요한 경우 고객 관리형 키를 사용합니다.
- 관리 ID를 사용하여 권한을 제어하여 보안을 강화합니다.
- 구성 권한이 필요하지 않은 모든 사용자에게 모니터링 읽기 권한자 역할 할당
- 보안 웹후크 작업 사용
- 프라이빗 링크를 사용하는 작업 그룹을 사용하는 경우 이벤트 허브 작업을 사용합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 작업 영역의 데이터와 저장된 쿼리를 보호하기 위해 자체 암호화 키가 필요한 경우 고객 관리형 키를 사용합니다. | Azure Monitor를 사용하면 모든 데이터 및 저장된 쿼리가 MMK(Microsoft 관리형 키)를 사용하여 미사용 상태로 암호화됩니다. 자체 암호화 키가 필요하고 전용 클러스터에 충분한 데이터를 수집하는 경우 고객 관리형 키를 사용하여 유연성을 높이고 키 수명 주기 제어를 강화합니다. Microsoft Sentinel을 사용하는 경우 Microsoft Sentinel 고객 관리형 키 설정의 고려 사항을 숙지해야 합니다. |
| 로그 검색 경고 규칙에 대한 권한을 제어하려면 로그 검색 경고 규칙에 대해 관리 ID를 사용합니다. | 개발자의 일반적인 과제는 서비스 간의 통신을 보호하는 데 사용되는 비밀, 자격 증명, 인증서 및 키를 관리하는 것입니다. 관리 ID를 통해 개발자는 이러한 자격 증명을 관리할 필요가 없습니다. 로그 검색 경고 규칙에 대한 관리 ID를 설정하면 경고 규칙의 정확한 권한을 제어하고 확인할 수 있습니다. 언제든지 규칙의 쿼리 권한을 보고 관리 ID에서 직접 권한을 추가하거나 제거할 수 있습니다. 또한 규칙의 쿼리가 ADX(Azure Data Explorer) 또는 ARG(Azure Resource Graph)에 액세스하는 경우 관리 ID를 사용해야 합니다. 관리 ID를 참조하세요. |
| 구성 권한이 필요하지 않은 모든 사용자에게 모니터링 읽기 권한자 역할을 할당합니다. | 사용자에게 해당 역할에 필요한 최소한의 권한을 부여하여 보안을 강화합니다. Azure Monitor의 역할, 권한 및 보안을 참조하세요. |
| 가능하다면 보안 웹후크 작업을 사용합니다. | 경고 규칙에 웹후크 작업을 사용하는 작업 그룹이 포함된 경우 추가 인증을 위해 보안 웹후크 작업을 사용하는 것이 좋습니다. 보안 웹후크에 대한 인증 구성을 참조하세요. |
가상 머신 모니터링
디자인 검사 목록
- VM의 보안 모니터링에 다른 서비스를 사용합니다.
- 프라이빗 엔드포인트를 사용하여 Azure Monitor에 연결하려면 VM용 Azure Private Link를 사용하는 것이 좋습니다.
구성 권장 사항
| 권장 | 설명 |
|---|---|
| VM의 보안 모니터링에 다른 서비스를 사용합니다. | Azure Monitor는 VM에서 보안 이벤트를 수집할 수 있지만 보안 모니터링에는 사용되지 않습니다. Azure에는 완전한 보안 모니터링 솔루션을 함께 제공하는 클라우드용 Microsoft Defender 및 Microsoft Sentinel과 같은 여러 서비스가 포함되어 있습니다. 이러한 서비스의 비교는 보안 모니터링 참조하세요. |
| 프라이빗 엔드포인트를 사용하여 Azure Monitor에 연결하려면 VM용 Azure Private Link를 사용하는 것이 좋습니다. | 퍼블릭 엔드포인트에 대한 연결은 엔드 투 엔드 암호화로 보호됩니다. 프라이빗 엔드포인트가 필요한 경우 Azure Private Link를 사용하여 권한 있는 프라이빗 네트워크를 통해 VM이 Azure Monitor에 연결되도록 할 수 있습니다. 프라이빗 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터를 강제로 수집할 수도 있습니다. 사용자 환경에 가장 적합한 네트워크 및 DNS 토폴로지를 확인하려면 Azure Private Link 설정 디자인을 참조하세요. |
컨테이너 모니터링
디자인 검사 목록
- 클러스터에 관리 ID 인증을 사용하여 컨테이너 인사이트에 연결합니다.
- 프라이빗 엔드포인트를 사용하여 Azure Monitor 작업 영역에 연결하려면 클러스터에 Azure 프라이빗 링크를 사용하는 것이 좋습니다.
- 트래픽 분석을 사용하여 클러스터 간의 네트워크 트래픽을 모니터링합니다.
- 네트워크 가시성을 사용하도록 설정합니다.
- 컨테이너 인사이트를 지원하는 Log Analytics 작업 영역의 보안을 보장합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 클러스터에 관리 ID 인증을 사용하여 컨테이너 인사이트에 연결합니다. | 관리 ID 인증은 새 클러스터의 기본값입니다. 레거시 인증을 사용하는 경우 관리 ID로 마이그레이션하여 인증서 기반 로컬 인증을 제거해야 합니다. |
| 프라이빗 엔드포인트를 사용하여 Azure Monitor 작업 영역에 연결하려면 클러스터에 Azure 프라이빗 링크를 사용하는 것이 좋습니다. | Prometheus용 Azure 관리 서비스는 기본적으로 퍼블릭 엔드포인트를 사용하는 Azure Monitor 작업 영역에 데이터를 저장합니다. 퍼블릭 엔드포인트에 대한 연결은 엔드투엔드 암호화로 보호됩니다. 프라이빗 엔드포인트가 필요한 경우 Azure 프라이빗 링크를 사용하여 클러스터가 권한 있는 프라이빗 네트워크를 통해 작업 영역에 연결할 수 있도록 할 수 있습니다. 프라이빗 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터를 강제로 수집할 수도 있습니다. 프라이빗 링크에 대한 클러스터 구성에 대한 자세한 내용은 Azure Monitor에서 Kubernetes 모니터링에 대한 프라이빗 링크 사용을 참조하세요. 프라이빗 링크를 사용하여 데이터를 쿼리하는 방법에 대한 자세한 내용은 Managed Prometheus 및 Azure Monitor 작업 영역에 프라이빗 엔드포인트 사용을 참조하세요. |
| 트래픽 분석을 사용하여 클러스터 간의 네트워크 트래픽을 모니터링합니다. | 트래픽 분석은 Azure Network Watcher NSG 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. 이 도구를 사용하여 클러스터에 대한 데이터 반출이 없는지 확인하고 불필요한 공용 IP가 노출되는지 감지합니다. |
| 네트워크 가시성을 사용하도록 설정합니다. | AKS용 네트워크 가시성 추가 기능은 Kubernetes 네트워킹 스택의 여러 계층에 걸쳐 가시성을 제공합니다. 클러스터의 서비스 간 액세스를 모니터링하고 관찰합니다(동-서 트래픽). |
| 컨테이너 인사이트를 지원하는 Log Analytics 작업 영역의 보안을 보장합니다. | 컨테이너 인사이트는 Log Analytics 작업 영역에 의존합니다. 작업 영역의 보안을 보장하기 위한 권장 사항은 Azure Monitor 로그 모범 사례를 참조하세요. |