랜딩 존에 제로 트러스트 사례 통합

제로 트러스트 다음과 같은 보안 원칙을 준수하기 위해 제품 및 서비스를 디자인 및 구현에 통합하는 보안 전략입니다.

• 명시적으로 확인: 항상 사용 가능한 모든 데이터 요소를 기반으로 액세스를 인증하고 권한을 부여합니다.

• 최소 권한 액세스 사용: 사용자를 충분한 액세스로 제한하고 도구를 사용하여 적응형 위험 기반 정책에 대한 고려 사항을 고려하여 Just-In-Time 액세스를 제공합니다.

• 위반 가정: 폭발 반경 및 세그먼트 액세스를 최소화하고, 위협을 사전에 찾고, 방어를 지속적으로 개선합니다.

조직에서 제로 트러스트 전략을 준수하는 경우 제로 트러스트 특정 배포 목표를 랜딩 존 디자인 영역에 통합해야 합니다. 랜딩 존은 Azure 워크로드의 기초이므로 제로 트러스트 채택을 위해 랜딩 존을 준비하는 것이 중요합니다.

이 문서에서는 제로 트러스트 사례를 랜딩 존에 통합하기 위한 지침을 제공하고 제로 트러스트 원칙을 준수하려면 랜딩 존 외부의 솔루션이 필요한 위치를 설명합니다.

제로 트러스트 기둥 및 랜딩 존 디자인 영역

Azure 랜딩 존 배포에서 제로 트러스트 사례를 구현하는 경우 먼저 각 랜딩 존 디자인 영역에 대한 제로 트러스트 지침을 고려해야 합니다.

랜딩 존 설계에 대한 고려 사항 및 각 영역에서 중요한 의사 결정에 대한 지침은 Azure 랜딩 존 디자인 영역을 참조 하세요.

제로 트러스트 모델에는 개념 및 배포 목표에 따라 구성되는 핵심 요소가 있습니다. 자세한 내용은 제로 트러스트 솔루션 배포를 참조하세요.

이러한 핵심 요소는 조직이 제로 트러스트 원칙에 부합하는 데 도움이 되는 특정 배포 목표를 제공합니다. 이러한 목표는 기술 구성을 넘어서는 것입니다. 예를 들어 네트워킹 핵심 요소에는 네트워크 구분을 위한 배포 목표가 있습니다. 이 목표는 Azure에서 격리된 네트워크를 구성하는 방법에 대한 정보를 제공하지 않고 아키텍처 패턴을 만들기 위한 지침을 제공합니다. 배포 목표를 구현할 때 고려해야 할 다른 디자인 결정이 있습니다.

다음 다이어그램은 랜딩 존 디자인 영역을 보여줍니다.

다음 표에서는 제로 트러스트 기둥과 아키텍처에 표시된 디자인 영역의 상관 관계를 지정합니다.

범례	랜딩 존 디자인 영역	제로 트러스트 기둥
	Azure 청구 및 Microsoft Entra 테넌트	ID 핵심 요소
	ID 및 액세스 관리	ID 핵심 요소, 애플리케이션 핵심 요소, 데이터 기둥
	리소스 조직	ID 핵심 요소
	거버넌스	표시 유형, 자동화 및 오케스트레이션 핵심 요소
	관리	엔드포인트 기둥, 애플리케이션 핵심 요소, 데이터 기둥, 인프라 기둥
	네트워크 토폴로지 및 연결	네트워크 핵심 요소
	보안	모든 제로 트러스트 기둥
	플랫폼 자동화 및 DevOps	표시 유형, 자동화 및 오케스트레이션 핵심 요소

모든 제로 트러스트 배포 목표가 랜딩 존의 일부인 것은 아닙니다. 많은 제로 트러스트 배포 목표는 개별 워크로드를 디자인하고 Azure에 릴리스하기 위한 것입니다.

다음 섹션에서는 각 핵심 요소를 검토하고 배포 목표를 구현하기 위한 고려 사항 및 권장 사항을 제공합니다.

ID 보호

ID를 보호하기 위한 배포 목표에 대한 자세한 내용은 제로 트러스트 사용하여 ID 보안을 참조하세요. 이러한 배포 목표를 구현하려면 ID 페더레이션, 조건부 액세스, ID 거버넌스 및 실시간 데이터 작업을 적용할 수 있습니다.

ID 고려 사항

• Azure 랜딩 존 참조 구현을 사용하여 기존 ID 플랫폼을 Azure로 확장하는 리소스를 배포하고 Azure 모범 사례를 구현하여 ID 플랫폼을 관리할 수 있습니다.

• Microsoft Entra 테넌트에서 제로 트러스트 방법에 대한 많은 컨트롤을 구성할 수 있습니다. Microsoft Entra ID를 사용하는 Microsoft 365 및 기타 클라우드 서비스에 대한 액세스를 제어할 수도 있습니다.

• Azure 랜딩 존에 있는 것 이상으로 구성 요구 사항을 계획해야 합니다.

ID 권장 사항

• Azure 리소스를 넘어서는 Microsoft Entra ID에서 ID를 관리하기 위한 계획을 개발합니다. 예를 들어 다음을 사용할 수 있습니다.

  • 온-프레미스 ID 시스템과 페더레이션
  • 조건부 액세스 정책
  • 권한 부여를 위한 사용자, 디바이스, 위치 또는 동작 정보입니다.

• 도메인 컨트롤러와 같은 ID 리소스에 대한 별도의 구독을 사용하여 Azure 랜딩 존을 배포하여 리소스에 대한 액세스를 더 안전하게 보호할 수 있습니다.

• 가능한 경우 Microsoft Entra 관리 ID를 사용합니다.

엔드포인트 보호

엔드포인트 보안을 위한 배포 목표에 대한 자세한 내용은 제로 트러스트 있는 보안 엔드포인트를 참조하세요. 이러한 배포 목표를 구현하려면 다음을 수행할 수 있습니다.

• 클라우드 ID 공급자에 엔드포인트를 등록하여 클라우드 관리형 규격 엔드포인트 및 앱을 통해서만 리소스에 대한 액세스를 제공합니다.

• 회사 디바이스와 BYOD(Bring Your Own Device) 프로그램에 등록된 개인 디바이스 모두에 DLP(데이터 손실 방지) 및 액세스 제어를 적용합니다.

• 엔드포인트 위협 탐지를 사용하여 인증에 대한 디바이스 위험을 모니터링합니다.

엔드포인트 고려 사항

• 엔드포인트 배포 목표는 랩톱, 데스크톱 컴퓨터 및 모바일 디바이스와 같은 최종 사용자 컴퓨팅 디바이스를 위한 것입니다.

• 엔드포인트에 대한 제로 트러스트 사례를 채택할 때 Azure 및 Azure 외부에서 솔루션을 구현해야 합니다.

• Microsoft Intune 및 기타 디바이스 관리 솔루션과 같은 도구를 사용하여 배포 목표를 실현할 수 있습니다.

• Azure Virtual Desktop과 같은 Azure에 엔드포인트가 있는 경우 Intune에 클라이언트 환경을 등록하고 Azure 정책 및 컨트롤을 적용하여 인프라에 대한 액세스를 제한할 수 있습니다.

엔드포인트 권장 사항

• Azure 랜딩 존을 구현하는 계획 외에도 제로 트러스트 사례를 사용하여 엔드포인트를 관리하기 위한 계획을 개발합니다.

• 디바이스 및 서버에 대한 기타 정보는 보안 인프라를 참조하세요.

보안 애플리케이션

애플리케이션 보안을 위한 배포 목표에 대한 자세한 내용은 제로 트러스트 사용하여 애플리케이션 보안을 참조하세요. 이러한 배포 목표를 구현하려면 다음을 수행할 수 있습니다.

• API를 사용하여 애플리케이션에 대한 가시성을 얻습니다.

• 정책을 적용하여 중요한 정보를 보호합니다.

• 적응형 액세스 제어를 적용합니다.

• 섀도 IT의 범위를 제한합니다.

애플리케이션 고려 사항

• 애플리케이션의 배포 목표는 조직에서 타사 및 자사 애플리케이션을 모두 관리하는 데 중점을 줍니다.

• 목표는 애플리케이션 인프라 보안을 다루지 않습니다. 대신 애플리케이션, 특히 클라우드 애플리케이션의 소비를 보호하는 문제를 해결합니다.

• Azure 랜딩 존 사례는 애플리케이션 목표에 대한 자세한 제어를 제공하지 않습니다. 이러한 컨트롤은 애플리케이션 구성의 일부로 구성됩니다.

애플리케이션 권장 사항

• 클라우드용 Microsoft Defender 앱을 사용하여 애플리케이션에 대한 액세스를 관리합니다.

• 클라우드용 Defender 앱에 포함된 표준화된 정책을 사용하여 사례를 적용합니다.

• 애플리케이션 액세스에 대한 사례에 애플리케이션을 온보딩하는 계획을 개발합니다. 조직에서 호스트하는 애플리케이션은 타사 애플리케이션을 신뢰하는 것보다 더 이상 신뢰하지 마세요.

보안 데이터

데이터 보안을 위한 배포 목표에 대한 자세한 내용은 제로 트러스트 사용하여 데이터 보안을 참조하세요. 이러한 목표를 구현하려면 다음을 수행할 수 있습니다.

• 데이터를 분류하고 레이블을 지정합니다.
• 액세스 제어를 사용하도록 설정합니다.
• 데이터 손실 방지를 구현합니다.

데이터 리소스 로깅 및 관리에 대한 자세한 내용은 Azure 랜딩 존 참조 구현을 참조 하세요.

제로 트러스트 접근 방식에는 데이터에 대한 광범위한 제어가 포함됩니다. 구현 관점에서 Microsoft Purview는 데이터 거버넌스, 보호 및 위험 관리를 위한 도구를 제공합니다. 클라우드 규모 분석 배포의 일부로 Microsoft Purview를 사용하여 대규모로 구현할 수 있는 솔루션을 제공할 수 있습니다.

데이터 고려 사항

• 랜딩 존 구독 민주화 원칙에 따라 데이터 리소스에 대한 액세스 및 네트워크 격리를 만들고 로깅 사례를 설정할 수도 있습니다.

  참조 구현에는 데이터 리소스를 로깅하고 관리하기 위한 정책이 있습니다.

• 배포 목표를 충족하기 위해 Azure 리소스를 보호하는 것 외에 다른 컨트롤이 필요합니다. 제로 트러스트 데이터 보안에는 데이터 분류, 민감도에 대한 레이블 지정 및 데이터 액세스 제어가 포함됩니다. 또한 데이터베이스 및 파일 시스템 이상으로 확장됩니다. Microsoft Teams, Microsoft 365 그룹 및 SharePoint에서 데이터를 보호하는 방법을 고려해야 합니다.

데이터 권장 사항

• Microsoft Purview 는 데이터 거버넌스, 보호 및 위험 관리를 위한 도구를 제공합니다.

• 클라우드 규모 분석 배포의 일부로 Microsoft Purview를 구현하여 워크로드를 대규모로 구현합니다.

Azure 인프라

인프라 보안을 위한 배포 목표에 대한 자세한 내용은 제로 트러스트 있는 보안 인프라를 참조하세요. 이러한 목표를 구현하려면 다음을 수행할 수 있습니다.

• 워크로드에서 비정상적인 동작을 모니터링합니다.
• 인프라 ID를 관리합니다.
• 사용자 액세스를 제한합니다.
• 리소스를 분할합니다.

인프라 고려 사항

• 인프라 배포 목표는 다음과 같습니다.

  • Azure 리소스 관리.
  • 운영 체제 환경 관리
  • 시스템에 액세스.
  • 워크로드별 컨트롤 적용

• 랜딩 존 구독 모델을 사용하여 Azure 리소스에 대한 명확한 보안 경계를 만들고 리소스 수준에서 필요에 따라 제한된 권한을 할당할 수 있습니다.

• 조직은 관리를 위해 워크로드를 구성해야 합니다.

인프라 권장 사항

• 표준 Azure 랜딩 존 정책을 사용하여 비준수 배포 및 리소스를 차단하고 로깅 패턴을 적용합니다.

• 권한이 높은 역할에 대한 Just-In-Time 액세스를 제공하도록 Microsoft Entra ID에서 Privileged Identity Management를 구성합니다.

• 랜딩 존에 대한 클라우드용 Defender Just-In-Time 액세스를 구성하여 가상 머신에 대한 액세스를 제한합니다.

• Azure에 배포된 개별 워크로드를 모니터링하고 관리하는 계획을 만듭니다.

네트워크 보호

네트워크 보안을 위한 배포 목표에 대한 자세한 내용은 제로 트러스트 사용하여 네트워크 보안을 참조하세요. 이러한 목표를 구현하려면 다음을 수행할 수 있습니다.

• 네트워크 세분화를 구현합니다.
• 클라우드 네이티브 필터링을 사용합니다.
• 최소 액세스 권한을 구현합니다.

네트워크 고려 사항

• 플랫폼 리소스가 제로 트러스트 보안 모델을 지원하도록 하려면 HTTPS 트래픽 검사를 수행할 수 있는 방화벽을 배포하고 중앙 허브에서 ID 및 관리 네트워크 리소스를 격리해야 합니다.

• 연결 구독의 네트워킹 리소스 외에도 스포크 가상 네트워크에서 개별 워크로드를 마이크로 분할하는 계획을 만들어야 합니다. 예를 들어 트래픽 패턴을 정의하고 각 워크로드 네트워크에 대해 세분화된 네트워크 보안 그룹을 만들 수 있습니다.

네트워크 권장 사항

• 다음 제로 트러스트 관련 배포 가이드를 사용하여 Azure 랜딩 존을 배포합니다.

  • 제로 트러스트 네트워크 원칙을 사용하여 Azure 랜딩 존 포털 가속기 배포
  • 제로 트러스트 네트워크 원칙을 사용하여 네트워킹 배포
  • 제로 트러스트 네트워크 원칙을 사용하여 Azure 랜딩 존 Terraform 배포

• 애플리케이션 배달에 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 웹 애플리케이션에 대한 제로 트러스트 네트워크를 참조하세요.

• 워크로드 네트워킹에 대한 계획을 만드는 방법에 대한 자세한 내용은 Azure를 사용하여 제로 트러스트 배포 계획을 참조하세요.

표시 유형, 자동화 및 오케스트레이션

가시성, 자동화 및 오케스트레이션에 대한 배포 목표에 대한 자세한 내용은 제로 트러스트 사용하여 표시 유형, 자동화 및 오케스트레이션을 참조하세요. 이러한 목표를 구현하려면 다음을 수행할 수 있습니다.

• 가시성 설정
• 자동화 사용
• 지속적으로 개선하여 추가 컨트롤을 사용하도록 설정합니다.

가시성, 자동화 및 오케스트레이션 고려 사항

• Azure 랜딩 존 참조 구현에는 Azure 환경에서 가시성을 빠르게 설정하는 데 사용할 수 있는 Microsoft Sentinel 배포가 포함됩니다.

• 참조 구현은 Azure 로깅에 대한 정책을 제공하지만 다른 서비스에는 추가 통합이 필요합니다.

• 신호를 보내도록 Azure DevOps 및 GitHub와 같은 자동화 도구를 구성해야 합니다.

가시성, 자동화 및 오케스트레이션 권장 사항

• Azure 랜딩 존의 일부로 Microsoft Sentinel을 배포합니다.

• Microsoft Entra ID 및 도구의 신호를 Microsoft 365와 Microsoft Sentinel 작업 영역에 통합하는 계획을 만듭니다.

• 위협 헌팅 연습 및 지속적인 보안 향상을 수행하기 위한 계획을 수립합니다.

다음 단계

• Azure용 Microsoft 클라우드 채택 프레임워크의 보안
• Azure 서비스에 제로 트러스트 원칙 적용
• 제로 트러스트 보안 상태 평가