디자인 영역: 보안
이 디자인 영역에서는 Azure, 하이브리드 및 다중 클라우드 환경의 보안 기반을 마련합니다. 나중에 클라우드 채택 프레임워크의 보안 방법론에 설명된 보안 지침에 따라 이 기반을 강화할 수 있습니다.
디자인 영역 검토
관련된 역할 또는 기능: 이 디자인 영역은 클라우드 보안, 특히 해당 팀 내부의 보안 설계자가 주도합니다. 클라우드 플랫폼 및 탁월한 클라우드 센터는 네트워킹 및 ID 결정 사항을 검토하는 데 필요합니다. 이 연습에서 제공하는 기술 요구 사항을 정의하고 구현하려면 집단 역할이 필요할 수 있습니다. 고급 보안 보호책은 클라우드 거버넌스의 지원이 필요할 수도 있습니다.
범위: 이 연습의 목표는 보안 요구 사항을 이해하고 클라우드 플랫폼의 모든 워크로드에서 일관적으로 구현하는 것입니다. 이 연습의 주요 범위에서는 보안 운영 도구 및 액세스 제어에 중점을 둡니다. 이 범위에는 제로 트러스트 및 고급 네트워크 보안이 포함됩니다.
범위 외: 이 연습에서는 클라우드의 최신 보안 운영 센터 기반에 중점을 둡니다. 대화를 간소화하기 위해 이 연습에서는 CAF 보안 방법론의 일부 분야를 다루지 않습니다. 보안 운영, 자산 보호 및 혁신 보안은 Azure 랜딩 존 배포를 기반으로 합니다. 그러나 이 내용은 본 디자인 영역 토론의 범위를 벗어납니다.
디자인 영역 개요
보안은 모든 환경에서 모든 고객의 핵심 고려 사항입니다. Azure 랜딩 존을 설계하고 구현할 때 프로세스 전체에서 보안을 고려해야 합니다.
보안 디자인 영역은 랜딩 존 결정에 대한 고려 사항 및 권장 사항에 중점을 둡니다. 또한 클라우드 채택 프레임워크의 보안 방법론은 전체적인 보안 프로세스 및 도구에 대한 자세한 지침을 제공합니다.
새(그린필드) 클라우드 환경: 작은 구독 세트로 클라우드 과정을 시작하려면 초기 Azure 구독 만들기를 참조하세요. 또한 Azure 랜딩 존을 빌드할 때 Bicep 배포 템플릿을 사용하는 것이 좋습니다. 자세한 내용은 Azure 랜딩 존 Bicep - 배포 흐름을 참조하세요.
기존(브라운필드) 클라우드 환경: 보안 디자인 영역에서 기존 Azure 환경에 원칙을 적용하려는 경우 다음 Microsoft Entra ID 및 액세스 서비스를 사용하는 것이 좋습니다.
- Microsoft Entra Connect 클라우드 동기화를 배포하여 로컬 AD DS(Active Directory Domain Services) 사용자에게 Microsoft Entra ID 지원 애플리케이션에 대한 안전한 SSO(Single Sign-On)를 제공합니다. 하이브리드 ID를 구성하는 추가 이점은 Microsoft Entra MFA(다단계 인증) 및 Microsoft Entra Password Protection을 적용하여 이러한 ID를 추가로 보호할 수 있다는 것입니다.
- Microsoft Entra 조건부 액세스를 사용하여 클라우드 앱 및 Azure 리소스에 대한 보안 인증을 제공하는 것이 좋습니다.
- Microsoft Entra Privileged Identity Management를 구현하여 전체 Azure 환경에서 최소 권한 액세스 및 심층 보고를 보장합니다. Teams는 올바른 사용자 및 서비스 원칙이 현재 및 올바른 권한 부여 수준을 갖도록 반복적인 액세스 검토를 시작해야 합니다.
- 클라우드용 Microsoft Defender의 권장 사항, 경고 및 수정 기능을 활용합니다. 또한 보안 팀은 보다 강력하고 중앙에서 관리되는 하이브리드 및 다중 클라우드 SIEM(보안 정보 이벤트 관리)/SOAR(보안 오케스트레이션 및 응답) 솔루션이 필요한 경우 클라우드용 Microsoft Defender를 Microsoft Sentinel에 통합할 수 있습니다.
Azure 랜딩 존 Bicep - 배포 흐름 리포지토리에는 그린필드 및 브라운필드 Azure 랜딩 존 배포를 가속화할 수 있는 여러 Bicep 배포 템플릿이 포함되어 있습니다. 이러한 템플릿에는 Microsoft의 검증된 보안 지침이 이미 통합되어 있습니다.
브라운필드 클라우드 환경에서 작업하는 방법에 대한 자세한 내용은 브라운필드 환경 고려 사항을 참조하세요.
Microsoft Cloud 보안 벤치마크
Microsoft 클라우드 보안 벤치마크에는 Azure에서 사용하는 대부분의 서비스를 보호하는 데 도움이 되는 강력한 보안 권장 사항이 포함되어 있습니다. 이러한 권장 사항은 대부분의 Azure 서비스에 적용할 수 있으므로 일반적 또는 조직적인 것으로 간주할 수 있습니다. 그런 다음, Microsoft 클라우드 보안 벤치마크 권장 사항은 각 Azure 서비스에 대해 사용자 지정됩니다. 이 사용자 지정된 지침은 서비스 권장 사항 문서에 포함됩니다.
Microsoft 클라우드 보안 벤치마크 설명서는 보안 컨트롤 및 서비스 권장 사항을 지정합니다.
- 보안 컨트롤: Microsoft 클라우드 보안 벤치마크 권장 사항은 보안 컨트롤을 기준으로 분류됩니다. 보안 컨트롤은 네트워크 보안이나 데이터 보호처럼 공급업체에 관계없이 높은 수준의 보안 요구 사항을 나타냅니다. 각 보안 컨트롤은 이러한 권장 사항을 구현하는 데 도움이 되는 보안 권장 사항 및 지침을 포함하고 있습니다.
- 서비스 권장 사항: 권장 사항이 있는 경우 Azure 서비스의 벤치마크 권장 사항에는 해당 서비스에 맞게 조정된 Microsoft 클라우드 보안 벤치마크 권장 사항이 포함됩니다.
Azure Attestation
Azure Attestation 은 내부에서 실행되는 플랫폼 및 이진 파일의 보안 및 무결성을 보장하는 데 도움이 되는 도구입니다. 특히 확장성이 뛰어난 컴퓨팅 리소스가 필요하고 원격 증명 기능을 사용하는 신뢰가 손상되지 않는 비즈니스에 특히 유용합니다.
보안 디자인 고려 사항
조직은 기술적 클라우드 자산 내에서 발생하는 일을 파악할 수 있어야 합니다. Azure 플랫폼 서비스의 보안 모니터링 및 감사 로깅은 확장성 있는 프레임워크의 핵심 구성 요소입니다.
보안 운영 디자인 고려 사항
Scope | 컨텍스트 |
---|---|
보안 경고 | - 보안 경고에 대한 알림이 필요한 팀은 어디일까요? - 경고를 다른 팀으로 라우팅해야 하는 서비스 그룹이 있나요? - 실시간 모니터링 및 경고에 대한 비즈니스 요구 사항 - 보안 정보 및 이벤트 관리를 클라우드용 Microsoft Defender 및 Microsoft Sentinel과 통합 |
보안 로그 | - 감사 데이터의 데이터 보존 기간. Microsoft Entra ID P1 또는 P2 보고서는 보존 기간이 30일입니다. - Azure 활동 로그, VM(가상 머신) 로그 및 PaaS(Platform as a Service) 로그와 같은 로그를 장기 보관합니다. |
보안 컨트롤 | - Azure 게스트 내 VM 정책을 통해 기준 보안 구성 - 보안 컨트롤을 거버넌스 보호책에 맞게 어떻게 조율할 것인지 고려합니다. |
취약점 관리 | - 중요한 취약성에 대한 긴급 패치 - 오랫동안 오프라인 상태인 VM의 패치 - VM의 취약성 평가 |
공동 책임 | - 팀 책임의 핸드오프는 어디서 이루어지나요? 보안 이벤트를 모니터링하거나 대응할 때 이러한 책임을 고려해야 합니다. - 보안 운영에 대한 보안 방법론의 지침을 고려합니다. |
암호화 및 키 | - 환경에서 키에 액세스해야 하는 사람은 누구인가요? - 키는 누가 관리하나요? - 암호화 및 키를 자세히 탐색합니다. |
증명 | - VM에 대해 신뢰할 수 있는 시작을 사용하고 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)의 무결성 증명이 필요한가요? - 기밀 VM에 기밀 디스크 암호화를 활용하시겠습니까? - 워크로드에 신뢰할 수 있는 환경 내에서 실행 중인 증명이 필요한가요? |
보안 운영 디자인 권장 사항
Microsoft Entra ID 보고 기능을 사용하여 액세스 제어 감사 보고서를 생성합니다.
장기 데이터 보존을 위해 Azure 활동 로그를 Azure Monitor 로그로 내보냅니다. 필요한 경우 2년 넘게 장기 보관하려면 Azure Storage로 내보냅니다.
모든 구독에 클라우드용 Defender 표준을 사용하도록 설정하고, Azure Policy를 사용하여 규정 준수를 보장합니다.
Azure Monitor 로그 및 클라우드용 Microsoft Defender를 통해 기본 운영 체제 패치 드리프트를 모니터링합니다.
Azure 정책을 사용하여 VM 확장을 통해 소프트웨어 구성을 자동으로 배포하고 규정 준수 기준 VM 구성을 적용합니다.
Azure Policy를 통해 VM 보안 구성 드리프트를 모니터링합니다.
기본 리소스 구성을 중앙 집중식 Azure Monitor Log Analytics 작업 영역에 연결합니다.
로그 지향 실시간 경고에 Azure Event Grid 기반 솔루션을 사용합니다.
다음의 증명에 Azure Attestation을 사용합니다.
- VM의 전체 부팅 체인의 무결성. 자세한 내용은 부팅 무결성 모니터링 개요를 참조하세요.
- 기밀 VM에 대한 기밀 디스크 암호화 키의 안전한 릴리스. 자세한 내용은 기밀 OS 디스크 암호화를 참조하세요.
- 다양한 유형의 워크로드 신뢰 실행 환경. 자세한 내용은 사용 사례를 참조하세요.
액세스 제어 디자인 고려 사항
최신 보안 경계는 기존 데이터 센터의 경계보다 더 복잡합니다. 이제는 데이터 센터의 4개 벽 안에 자산이 없습니다. 사용자가 보호된 네트워크에 접근하지 못하게 하는 것만으로는 액세스를 제어하기에 충분하지 않습니다. 클라우드에서 경계는 네트워크 보안 컨트롤과 제로 트러스트 액세스 제어의 두 부분으로 구성됩니다.
고급 네트워크 설정
Scope | 컨텍스트 |
---|---|
인바운드 및 아웃바운드 인터넷 연결 계획 | 공용 인터넷과 인바운드 및 아웃바운드 연결을 설정하기 위한 권장 연결 모델을 설명합니다. |
랜딩 존 네트워크 조각화 계획 | 랜딩 존 내에서 매우 안전한 내부 네트워크 세그먼트를 제공하기 위한 주요 권장 사항을 살펴봅니다. 이러한 권장 사항은 네트워크 제로 트러스트 구현을 유도합니다.. |
네트워크 암호화 요구 사항 정의 | 온-프레미스와 Azure 간에, 그리고 모든 Azure 지역에서 네트워크 암호화를 달성하기 위한 주요 권장 사항을 살펴봅니다. |
트래픽 검사 계획 | Azure Virtual Network 내에서 트래픽을 미러링하거나 탭하기 위한 주요 고려 사항 및 권장 방법을 살펴봅니다. |
제로 트러스트
ID를 사용하는 제로 트러스트 액세스의 경우 다음을 고려해야 합니다.
- 랜딩 존 내에서 서비스에 액세스해야 하는 팀 또는 개인은 누구인가요? 그들은 어떤 역할을 하고 있나요?
- 누가 액세스 요청에 권한을 부여해야 하나요?
- 권한 있는 역할이 활성화될 때 누구에게 알림이 제공되어야 하나요?
- 누가 감사 기록에 액세스할 수 있어야 하나요?
자세한 내용은 Microsoft Entra Privileged Identity Management를 참조하세요.
제로 트러스트 구현하는 것은 ID 및 액세스 관리 그 이상일 수 있습니다. 조직에서 인프라, 데이터 및 네트워킹과 같은 여러 핵심 요소에서 제로 트러스트 사례를 구현해야 하는지 고려해야 합니다. 자세한 내용은 랜딩 존의 제로 트러스트 사례 통합을 참조하세요.
액세스 제어 디자인 권장 사항
기본 요구 사항의 컨텍스트에서 필요한 각 서비스를 공동으로 검사합니다. BYOK(Bring Your Own Key)를 원하는 경우 생각 중인 일부 서비스에서는 BYOK가 지원되지 않을 수 있습니다. 불일치 때문에 원하는 결과를 얻지 못하는 일이 없도록 관련 완화 조치를 구현합니다. 대기 시간을 최소화하는 적절한 지역 쌍 및 재해 복구 지역을 선택합니다.
보안 구성, 모니터링 및 경고와 같은 서비스를 평가하기 위한 보안 허용 목록 계획을 세웁니다. 그런 다음, 기존 시스템과 통합하는 계획을 세웁니다.
프로덕션으로 이동하기 전에 Azure 서비스에 대한 인시던트 대응 계획을 결정합니다.
새로 릴리스된 보안 컨트롤을 최신 상태로 유지하기 위해 보안 요구 사항을 Azure 플랫폼 로드맵에 맞춥니다.
적절한 경우 Azure 플랫폼 액세스에 대한 제로 트러스트 접근 방식을 구현합니다.
Azure 랜딩 존 가속기의 보안
보안은 Azure 랜딩 존 가속기의 핵심입니다. 구현할 때 조직이 보안 기준을 신속하게 달성할 수 있도록 많은 도구와 컨트롤이 배포됩니다.
예를 들어 다음 항목이 포함됩니다.
도구
- 클라우드용 Microsoft Defender 표준 또는 무료 계층
- Microsoft Sentinel
- Azure DDoS 네트워크 보호(선택 사항)
- Azure Firewall
- WAF(웹 애플리케이션 방화벽)
- PIM(Privileged Identity Management)
온라인 및 회사 연결 랜딩 존에 대한 정책:
- 스토리지 계정에 HTTPS와 같은 보안 액세스 적용
- Azure SQL Database에 대한 감사 적용
- Azure SQL Database에 대한 암호화 적용
- IP 전달 차단
- 인터넷에서 인바운드 RDP 차단
- 서브넷이 NSG와 연결되도록 보장
다음 단계
Microsoft Entra ID에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스를 보호하는 방법을 알아봅니다.