Azure 로컬 및 PCI DSS

적용 대상: Azure Local 2311.2 이상

이 문서에서는 Microsoft Azure 로컬 보안 기능을 통해 결제 카드 업계의 조직이 클라우드 및 온-프레미스 환경에서 PCI DSS의 보안 제어 요구 사항을 달성하는 데 어떻게 도움이 되는지 설명합니다.

PCI DSS

PCI(결제 카드 산업) DSS(Data Security Standard)는 신용 카드 데이터의 제어를 강화하여 사기를 방지하도록 설계된 글로벌 정보 보안 표준입니다. PCI DSS는 결제 카드 브랜드에 의해 위임되며 결제 카드 산업 보안 표준 위원회에 의해 관리됩니다.

CHD(카드 소유자 데이터)를 저장, 처리 또는 전송하는 모든 조직에는 PCI DSS를 준수해야 합니다. PCI DSS 규정 준수가 적용되는 조직에는 가맹점, 결제 프로세서, 발급자, 인수자 및 서비스 공급자가 포함됩니다(하지만 제한되지 않음).

PCI 보안 표준 위원회 설명서 라이브러리에서 표준에 대해 자세히 알아봅니다.

분산된 책임

PCI DSS는 단순히 기술 및 제품 표준이 아니라 사용자 및 프로세스에 대한 보안 요구 사항도 처리한다는 것을 이해하는 것이 중요합니다. 규정 준수에 대한 책임은 적용되는 엔터티로서 귀하와 Microsoft가 서비스 공급자로서 공유됩니다.

Microsoft 고객

적용 대상 엔터티로서 사용자 고유의 PCI DSS 인증서를 달성하고 관리하는 것은 사용자의 책임입니다. 조직은 고유한 환경, 특히 카드 소유자 데이터가 저장, 처리 및/또는 전송되는 서비스 결제 또는 결제 관련 워크로드를 호스팅하는 부분을 평가해야 합니다. 이를 CDE(카드 소유자 데이터 환경)라고 합니다. 그런 다음 조직은 공식 테스트 프로세스를 진행하기 전에 지정된 모든 요구 사항을 충족하기 위해 적절한 보안 제어, 정책 및 절차를 계획하고 구현해야 합니다. 조직은 궁극적으로 환경이 모든 요구 사항을 충족하는지 확인하는 QSA(정규화된 보안 평가자)와 계약을 맺습니다.

Microsoft

PCI DSS 표준을 준수하는 것은 사용자의 책임이지만, 여러분은 혼자가 아닙니다. Microsoft는 하이브리드 환경에서 추가 자료 및 보안 기능을 제공하여 PCI DSS 유효성 검사를 완료하는 데 드는 관련 노력과 비용을 줄일 수 있습니다. 예를 들어 평가자는 모든 것을 처음부터 테스트하는 대신 Azure에 배포된 카드 소유자 데이터 환경 부분에 AOC(Azure Attestation of Compliance)를 사용할 수 있습니다. 다음 콘텐츠에 대해 자세히 알아보세요.

Azure 로컬 규정 준수

Azure Local을 디자인하고 빌드할 때 Microsoft는 Microsoft 클라우드 및 고객 온-프레미스 환경 모두에 대한 보안 요구 사항을 고려합니다.

연결된 클라우드 서비스

Azure Local은 하이브리드 설정에 새로운 기능을 제공하기 위해 Azure Monitor, Azure Backup 및 Azure Site Recovery와 같은 다양한 Azure 서비스와 긴밀한 통합을 제공합니다. 이러한 클라우드 서비스는 서비스 공급자 수준 1의 PCI DSS 버전 4.0에서 준수로 인증됩니다. PCI DSS – Azure Compliance에서 Azure 클라우드 서비스의 규정 준수 프로그램에 대해 자세히 알아봅니다.

중요한

Azure PCI DSS 준수 상태는 조직이 Azure 플랫폼에서 빌드하거나 호스트하는 서비스에 대한 PCI DSS 유효성 검사로 자동 변환되지 않는다는 점에 유의해야 합니다. 고객은 조직이 PCI DSS 요구 사항을 준수하도록 보장할 책임이 있습니다.

온-프레미스 솔루션

온-프레미스 솔루션인 Azure Local은 조직이 PCI DSS 및 금융 서비스에 대한 기타 보안 표준을 준수하는 데 도움이 되는 다양한 기능을 제공합니다.

PCI DSS와 관련된 Azure 로컬 기능

이 섹션에서는 조직이 Azure 로컬 기능을 사용하여 PCI DSS의 요구 사항을 충족하는 방법을 간략하게 설명합니다. PCI DSS 요구 사항은 CDE(카드 소유자 데이터 환경)에 포함되거나 연결된 모든 시스템 구성 요소에 적용됩니다.

다음 콘텐츠는 카드 소유자 데이터를 포함하는 서비스 결제 또는 결제 관련 워크로드를 호스트하는 Azure 로컬 플랫폼 수준에 중점을 둡니다.

요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리

Azure Local을 사용하면 네트워크 보안 제어를 적용하여 플랫폼 및 플랫폼에서 실행되는 워크로드를 외부 및 내부의 네트워크 위협으로부터 보호할 수 있습니다. 또한 이 플랫폼은 호스트에서 공정한 네트워크 할당을 보장하고 부하 분산 기능을 사용하여 워크로드 성능 및 가용성을 향상시킵니다. 다음 문서에서 Azure Local의 네트워크 보안에 대해 자세히 알아봅니다.

• 데이터 센터 방화벽 개요
• SDN(소프트웨어 정의 네트워크)용 SLB(소프트웨어 부하 분산 장치)
• SDN용 RAS(원격 액세스 서비스) 게이트웨이
• Azure Local에서 호스트되는 워크로드에 대한 서비스 품질 정책

요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용

기본 설정에서 보안 확보

Azure Local은 기본적으로 최신 위협을 방어하고 Azure Compute Security 기준에 맞게 보안 도구 및 기술로 안전하게 구성됩니다. Azure Local의 보안 기준 설정에 대해 자세히 알아봅니다.

드리프트 보호

플랫폼의 기본 보안 구성 및 보안 코어 설정은 배포 및 런타임 중에 드리프트 제어 보호를 사용하여 보호됩니다. 사용하도록 설정하면 드리프트 제어 보호가 90분마다 정기적으로 보안 설정을 새로 고쳐 지정된 상태의 변경 내용을 수정합니다. 이 지속적인 모니터링 및 자동 수정을 사용하면 디바이스의 수명 주기 내내 일관되고 안정적인 보안 구성을 가질 수 있습니다. 보안 설정을 구성할 때 배포 중에 드리프트 보호를 사용하지 않도록 설정할 수 있습니다.

워크로드에 대한 보안 기준

Azure Local에서 실행되는 워크로드의 경우 Azure 권장 운영 체제 기준(Windows 및 Linux용)을 벤치마크로 사용하여 컴퓨팅 리소스 구성 기준을 정의할 수 있습니다.

요구 사항 3: 저장된 계정 데이터 보호

BitLocker를 사용하여 데이터 암호화

Azure 로컬 인스턴스에서 모든 미사용 데이터는 BitLocker XTS-AES 256비트 암호화를 통해 암호화할 수 있습니다. 기본적으로 시스템에서는 BitLocker를 사용하여 Azure 로컬 배포의 모든 OS(운영 체제) 볼륨 및 CSV(클러스터 공유 볼륨)를 암호화하는 것이 좋습니다. 배포 후 추가된 새 스토리지 볼륨의 경우 BitLocker를 수동으로 켜서 새 스토리지 볼륨을 암호화해야 합니다. BitLocker를 사용하여 데이터를 보호하면 조직이 ISO/IEC 27001을 준수하는 데 도움이 될 수 있습니다. CSV(클러스터 공유 볼륨)와 함께 BitLocker 사용에 대해 자세히 알아보세요.

요구 사항 4: 개방형 공용 네트워크를 통해 전송하는 동안 강력한 암호화를 사용하여 카드 소유자 데이터 보호

TLS/DTLS를 사용하여 외부 네트워크 트래픽 보호

기본적으로 로컬 및 원격 엔드포인트에 대한 모든 호스트 통신은 TLS1.2, TLS1.3 및 DTLS 1.2를 사용하여 암호화됩니다. 플랫폼은 TLS/DTLS 1.1 SMB1과 같은 이전 프로토콜/해시 사용을 사용하지 않도록 설정합니다. 또한 Azure Local은 NIST 곡선 P-256 및 P-384로만 제한된 SDL 규격 타원 곡선과 같은 강력한 암호 그룹을 지원합니다.

요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호

Windows Defender 바이러스 백신

Windows Defender 바이러스 백신은 실시간 시스템 검사 및 주기적 검사를 적용하여 바이러스, 맬웨어, 스파이웨어 및 기타 위협으로부터 플랫폼 및 워크로드를 보호할 수 있는 유틸리티 애플리케이션입니다. 기본적으로 Microsoft Defender 바이러스 백신 Azure Local에서 사용하도록 설정됩니다. 타사 바이러스 백신 및 맬웨어 검색 소프트웨어 및 서비스가 운영 체제의 업데이트 수신 기능에 영향을 미칠 수 있으므로 Azure Local에서 Microsoft Defender 바이러스 백신 사용하는 것이 좋습니다. Windows Server의 Microsoft Defender 바이러스 백신 자세히 알아보세요.

애플리케이션 제어

애플리케이션 제어는 기본적으로 Azure Local에서 사용하도록 설정되어 각 서버에서 직접 실행할 수 있는 드라이버 및 애플리케이션을 제어하여 맬웨어가 시스템에 액세스하지 못하도록 합니다. Azure Local에 포함된 기본 정책과 Azure 로컬대한 Application Control에서 추가 정책을 만드는 방법에 대해 자세히 알아봅니다.

Microsoft Defender for Cloud

Endpoint Protection을 사용하는 클라우드용 Microsoft Defender(서버용 Defender 계획을 통해 사용) 고급 위협 방지 기능을 갖춘 보안 상태 관리 솔루션을 제공합니다. 인프라의 보안 상태를 평가하고, 워크로드를 보호하고, 보안 경고를 발생시키고, 특정 권장 사항을 따라 공격을 수정하고 향후 위협을 해결하는 도구를 제공합니다. Azure 서비스를 통한 자동 프로비전 및 보호를 통해 배포 오버헤드 없이 클라우드에서 이러한 모든 서비스를 고속으로 수행합니다. 클라우드용 Microsoft Defender 자세히 알아보세요.

요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리

플랫폼 업데이트

운영 체제, 핵심 에이전트 및 서비스 및 솔루션 확장을 포함한 Azure Local의 모든 구성 요소는 수명 주기 관리자를 사용하여 쉽게 유지 관리할 수 있습니다. 이 기능을 사용하면 다양한 구성 요소를 업데이트 릴리스에 번들로 묶고 버전 조합의 유효성을 검사하여 상호 운용성을 보장할 수 있습니다. Azure 로컬 솔루션 업데이트의 수명 주기 관리자에서 자세히 알아봅니다.

워크로드 업데이트

수명 주기 관리자에 통합되지 않은 AKS(Azure Kubernetes Service) 하이브리드, Azure Arc 및 VM(인프라 가상 머신)을 포함하여 Azure 로컬에서 실행되는 워크로드의 경우 업데이트를 위해 수명 주기 관리자 사용에서 설명한 방법을 따라 PCI DSS 요구 사항을 업데이트하고 정렬합니다.

요구 사항 7: 비즈니스에서 알아야 할 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한

조직의 비즈니스 요구 사항에 따라 역할 및 액세스 요구 사항을 식별한 다음 권한 있는 직원만 업무 책임에 따라 권한을 할당하여 중요한 시스템 및 데이터에 액세스할 수 있도록 하는 것은 사용자의 책임입니다. 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증에 설명된 기능을 사용하여 정책 및 절차를 구현합니다.

요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증

Azure Local은 Azure Arc 및 Windows PowerShell과 같은 여러 인터페이스를 통해 컴퓨터에서 실행되는 기본 시스템에 대한 전체 및 직접 액세스를 제공합니다. 로컬 환경에서 기존 Windows 도구 또는 Microsoft Entra ID(이전의 Azure Active Directory)와 같은 클라우드 기반 솔루션을 사용하여 ID 및 플랫폼에 대한 액세스를 관리할 수 있습니다. 두 경우 모두 MFA(다단계 인증), 조건부 액세스, RBAC(역할 기반 액세스 제어) 및 PIM(권한 있는 ID 관리)과 같은 기본 제공 보안 기능을 활용하여 환경이 안전하고 규정을 준수하도록 할 수 있습니다.

Microsoft Identity Manager 및 Active Directory 도메인 Services용 Privileged Access Management에서 로컬 ID 및 액세스 관리에 대해 자세히 알아봅니다. Microsoft Entra ID에서 클라우드 기반 ID 및 액세스 관리에 대해 자세히 알아봅니다.

요구 사항 9: 카드 소유자 데이터에 대한 물리적 액세스 제한

온-프레미스 환경의 경우 물리적 보안이 Azure Local의 값 및 포함된 데이터에 상응하는지 확인합니다.

요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링

로컬 시스템 로그

기본적으로 Azure Local 내에서 수행되는 모든 작업은 기록되므로 플랫폼에서 누가 무엇을, 언제, 어디서 수행했는지 추적할 수 있습니다. Windows Defender에서 만든 로그 및 경고도 포함되어 데이터 손상의 가능성과 영향을 방지, 감지 및 최소화할 수 있습니다. 그러나 시스템 로그에는 대용량 정보가 포함되어 있는 경우가 많기 때문에 정보 보안 모니터링과는 관련이 없는 경우가 많으므로 보안 모니터링을 위해 수집 및 활용해야 하는 이벤트를 식별해야 합니다. Azure 모니터링 기능은 해당 로그를 수집, 저장, 경고 및 분석하는 데 도움이 됩니다. 자세한 내용은 Azure Local의 보안 기준을 참조하세요.

로컬 활동 로그

Azure 로컬 수명 주기 관리자는 실행된 모든 작업 계획에 대한 활동 로그를 만들고 저장합니다. 이러한 로그는 심층 조사 및 규정 준수 모니터링을 지원합니다.

클라우드 활동 로그

Azure에 시스템을 등록하면 Azure Monitor 활동 로그를 사용하여 구독 계층의 각 리소스에 대한 작업을 기록하여 구독의 리소스에 대해 수행된 쓰기 작업(배치, 게시 또는 삭제)에 대해 수행할 대상, 대상 및 시기를 결정할 수 있습니다.

클라우드 ID 로그

Microsoft Entra ID를 사용하여 플랫폼에 대한 ID 및 액세스를 관리하는 경우 Azure AD 보고에서 로그를 보거나 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있습니다. 온-프레미스 Active Directory 사용하는 경우 Microsoft Defender for Identity 솔루션을 사용하여 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 조직을 대상으로 하는 악의적인 내부자 작업을 식별, 감지 및 조사합니다.

SIEM 통합

클라우드용 Microsoft Defender 및 Microsoft Sentinel은 기본적으로 Arc 지원 Azure 로컬 머신과 통합됩니다. 로그를 사용하도록 설정하고 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공하는 Microsoft Sentinel에 등록할 수 있습니다. Microsoft Sentinel은 다른 Azure 클라우드 서비스와 마찬가지로 PCI DSS, HITRUST 및 FedRAMP 권한 부여와 같은 많은 잘 설정된 보안 표준을 준수하므로 인증 프로세스에 도움이 될 수 있습니다. 또한 Azure Local은 시스템 이벤트를 타사 SIEM 솔루션으로 보내는 네이티브 syslog 이벤트 전달자를 제공합니다.

Azure Local Insights

Azure Local Insights를 사용하면 Azure에 연결되고 모니터링에 등록된 시스템의 상태, 성능 및 사용량 정보를 모니터링할 수 있습니다. Insights 구성 중에 수집할 데이터를 지정하는 데이터 수집 규칙이 만들어집니다. 이 데이터는 Log Analytics 작업 영역에 저장되며, Azure 통합 문서를 사용하여 미리 빌드된 모니터링 대시보드를 제공하기 위해 집계, 필터링 및 분석됩니다. Azure 로컬 리소스 페이지 또는 Azure Monitor에서 단일 노드 및 다중 노드 시스템 모두에 대한 모니터링 데이터를 볼 수 있습니다. Insights를 사용하여 Azure Local 모니터링에서 자세히 알아보세요.

Azure 로컬 메트릭

메트릭은 모니터링되는 리소스의 숫자 데이터를 시계열 데이터베이스에 저장합니다. Azure Monitor 메트릭 탐색기를 사용하여 메트릭 데이터베이스의 데이터를 대화형으로 분석하고 시간이 지남에 따라 여러 메트릭의 값을 차트로 표시할 수 있습니다. 메트릭을 사용하면 메트릭 값에서 차트를 만들고 추세를 시각적으로 상호 연결할 수 있습니다.

로그 경고:

문제를 실시간으로 나타내기 위해 평균 서버 CPU, 사용 가능한 메모리, 사용 가능한 볼륨 용량 등과 같은 기존 샘플 로그 쿼리를 사용하여 Azure 로컬 인스턴스에 대한 경고를 설정할 수 있습니다. Azure 로컬 인스턴스에 대한 경고 설정에 대해 자세히 알아봅니다.

지표 알림

메트릭 경고 규칙은 정기적으로 리소스 메트릭의 조건을 평가하여 리소스를 모니터링합니다. 조건이 충족되면 경고가 발생합니다. 메트릭 시계열은 일정 기간 동안 캡처된 일련의 메트릭 값입니다. 이러한 메트릭을 사용하여 경고 규칙을 만들 수 있습니다. 메트릭 경고에서 메트릭 경고를 만드는 방법에 대해 자세히 알아봅니다.

서비스 및 디바이스 경고

Azure Local은 연결, OS 업데이트, Azure 구성 등에 대한 서비스 기반 경고를 제공합니다. 클러스터 상태 오류에 대한 디바이스 기반 경고도 사용할 수 있습니다. PowerShell 또는 상태 관리 서비스 사용하여 Azure 로컬 인스턴스 및 해당 기본 구성 요소를 모니터링할 수도 있습니다.

요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트

빈번한 보안 평가 및 침투 테스트를 직접 수행하는 것 외에도 클라우드용 Microsoft Defender 사용하여 Arc 지원 가상 머신, 컨테이너 이미지 및 SQL 서버를 포함하여 클라우드 및 온-프레미스의 하이브리드 워크로드에서 보안 상태를 평가할 수도 있습니다.

요구 사항 12: 조직 정책 및 프로그램을 사용하여 정보 보안 지원

조직 보안 프로그램을 설정하고 카드 소유자 데이터 환경을 보호하는 정보 보안 정책 및 활동을 유지 관리하는 것은 사용자의 책임입니다. Microsoft Entra ID와 같은 Azure 서비스에서 제공하는 자동화 기능 및 PCI DSS 규정 준수 기본 제공 이니셔티브의 세부 정보에 공유된 정보는 이러한 정책 및 프로그램을 관리하는 부담을 줄이는 데 도움이 될 수 있습니다.