Azure의 Red Hat Enterprise Linux에 대한 거버넌스 및 규정 준수 고려 사항
이 문서에서는 RHEL(Red Hat Enterprise Linux) 운영 체제 이미지 및 인스턴스에 대한 고려 사항 및 권장 사항을 설명합니다. 클라우드 환경에서 효율적이고 효과적인 거버넌스 및 규정 준수를 위해서는 부지런한 노력이 필요합니다.
Azure에서 RHEL 배포에 대한 규정 준수는 시스템이 사양, 정책 또는 표준과 같은 규칙을 준수하는 방법을 정의, 측정 및 보고하는 데 사용하는 방법을 나타냅니다. 조직에 시스템에 대한 사용 요구 사항이 있는 것 같습니다. 거버넌스는 충족해야 하는 사양을 정의하는 데 사용하는 구조 및 프로세스를 나타냅니다. 거버넌스에는 이러한 사양을 적용하는 방법과 잘못된 정렬을 수정하는 방법도 포함됩니다.
개요
조직, 특히 규제 산업에서는 환경에서 소프트웨어를 설치하고 사용하기 위해 ATO(운영 기관)가 필요한 경우가 많습니다. 이 프로세스에는 기술 제어 집합인 SRG(보안 요구 사항 가이드)에 대한 소프트웨어 평가가 포함됩니다. 이러한 제어의 예로는 정보 시스템 및 조직에 대한 NIST(National Institute of Standards and Technology) 보안 및 개인 정보 보호 제어가 있습니다.
이 보안 평가는 소프트웨어가 각 컨트롤을 충족하는지 또는 각 컨트롤을 충족하도록 소프트웨어를 구성할 수 있는지 여부를 결정합니다. 평가는 컨트롤이 특정 소프트웨어에 적용되는지 여부도 결정합니다. 조직의 거버넌스 프레임워크는 Azure 배포 내에서 적용되는 규정과 규정이 적용되는 시스템을 결정합니다. 보안 요구 사항을 준수하면 규정 준수 수준이 결정됩니다.
Red Hat은 많은 표준 본문과 함께 작동하여 구성 지점, 측정 및 수정이 Azure 소프트웨어에 대해 알려지고, 확인되고, 참조할 수 있도록 합니다. 표준 기관은 해당 업계의 SRG를 설명하는 평가의 벤치마크 또는 검사 목록을 만들 수 있습니다. 이러한 벤치마크의 예는 다음과 같습니다.
- 결제 카드 산업용 PCI DSS(결제 카드 산업 데이터 보안 표준).
- 의료 산업을 위한 HIPPA(건강 보험 이식성 및 책임법).
- 정부 및 관련 산업을 위한 DISA(국방 정보 시스템 기관) 및 STIG(보안 기술 구현 가이드)
SCAP(보안 콘텐츠 및 자동화 프로토콜)는 이러한 검사 목록을 제공합니다. SCAP는 보안 자동화 콘텐츠를 교환하기 위한 검사 및 자동화 방법의 정의와 같은 사양 모음입니다. 이 콘텐츠를 사용하여 구성 준수를 평가하고 취약한 버전의 소프트웨어가 있는지 감지할 수 있습니다. Red Hat은 NIST 및 MITRE 회사와 협력하여 콘텐츠를 작성하고 게시합니다. 스캔 도구는 콘텐츠를 사용하여 RHEL 운영 체제 및 기타 Red Hat 소프트웨어에 대한 다양한 규정 준수 표준을 평가하고 보고합니다.
Red Hat은 검사 목록을 구현하는 표준 언어 및 도구를 개발하는 오픈 소스 프로젝트에도 기여합니다. OpenSCAP 오픈 프로젝트는 Red Hat 소프트웨어와의 이러한 노력에 대한 통합 지점을 제공합니다. OpenSCAP 프로젝트는 표준화된 구성 요소를 결합하여 규정 준수 정의의 결과를 만들고, 유지 관리하고, 검사하고, 보고하고, 분석하는 데 사용할 수 있는 도구를 만듭니다.
규정 준수 정의는 OVAL(Open Vulnerability and Assessment Language) 및 XCCDF(Extensible Configuration Checklist Description Format)로 작성됩니다. 두 형식 모두 XML로 표시됩니다. OVAL을 엔드포인트 시스템의 상태에 대한 논리적 어설션을 정의하고 측정하는 수단으로 간주합니다. XCCDF는 이러한 어설션을 보안 정책으로 표현, 구성 및 관리하는 수단으로 간주합니다. OpenSCAP 스캐너는 이러한 문서 유형을 모두 사용할 수 있습니다.
코드로서의 준수 오픈 소스 프로젝트는 SCAP, Ansible 및 기타 형식으로 콘텐츠를 제공합니다. 일반적으로 측정 및 보고에 SCAP를 사용하고 수정에 Ansible을 사용합니다.
Microsoft Azure에는 워크로드가 규정 지침을 준수하는 데 도움이 되는 몇 가지 규정 준수 제품이 있습니다. 먼저 특정 규정 준수 표준을 구현해야 합니다.
디자인 고려 사항
Azure 랜딩 존에서 RHEL 인스턴스에 대한 거버넌스를 관리하는 경우 조직이 준수해야 하는 규정 준수 표준을 고려합니다. RHEL 시스템에 적용되는 내부적으로 위임된 컨트롤 및 규정 프레임워크 정의 컨트롤을 기반으로 거버넌스를 구성합니다. 표준을 적용하고 편차를 수정하는 방법에 따라 도구 및 서비스를 선택합니다. 규정 준수를 측정하는 방법을 고려하고 보고 및 수정 기능을 고려합니다. 구현 관점에서 이러한 선택은 이전 섹션에 설명된 많은 규정 준수 영역에 영향을 줍니다.
규정 준수 표준에는 다음과 같은 작업을 수행할 수 있도록 자동화 도구와 콘텐츠 및 이미지 관리를 통합하는 데 사용할 수 있는 보안 요구 사항의 팩터리 목록이 포함되어 있습니다.
- 구성 가능한 파이프라인에서 운영 체제, 애플리케이션 및 보안 구성 콘텐츠를 함께 정의합니다.
- 배포 시간부터 요구 사항을 충족하는 이미지를 지속적으로 측정, 유지 관리 및 제공합니다.
- 영구 인스턴스를 지속적으로 측정, 유지 관리 및 수정합니다.
콘텐츠 수명 주기 및 이미지 빌드 파이프라인은 적용의 이상적인 지점입니다. 다음 파이프라인을 고려합니다.
- 분석 및 보고: 클라우드 플랫폼은 배포된 시스템에서 메타데이터 및 로그 데이터를 집계하는 데 사용할 수 있는 포괄적인 서비스를 제공합니다. 또한 규제 보고 요구 사항 및 감사를 위해 캡처된 데이터를 전달하고 저장할 수 있습니다.
- 자동화 우선: 최신 자동화 시스템은 규정 준수 및 보고를 간소화하고 정확도와 가시성을 높일 수 있습니다. 배포 프로세스의 일부로 IaC(Infrastructure as Code) 자동화를 통해 규정 준수 관리를 구현합니다. 검사 및 유지 관리 작업 워크플로를 결합하여 적시에 보고하고 준수 백로그를 최소한으로 유지하는 빠른 실패 방법론을 보장하는 것이 좋습니다. 일관성을 보장하려면 구현 자동화 코드 및 수정 코드를 통합합니다.
- 규정 준수 유지 관리: 규정 준수 표준은 정기적으로 업데이트되며 잘 알려진 배달 메커니즘 및 콘텐츠 형식이 있습니다. 규정 준수 관리를 구현할 때 개방형 표준을 사용하는지 확인합니다. 규정 준수 콘텐츠 스트리밍을 디자인하고 애플리케이션 및 이미지 개발을 위해 수명 주기로 검토합니다.
디자인 권장 사항
Azure의 거버넌스에는 규정 준수 및 비용, 리소스 관리 및 리소스 크기 조정이 포함됩니다. 거버넌스를 포괄적으로 구현하려면 이러한 Red Hat 및 Microsoft 권장 사항을 고려하세요.
규정 준수
Red Hat은 거버넌스 요구 사항을 충족하기 위해 유효성이 검사된 콘텐츠를 제공합니다. 기준 및 필수 규정 준수 요구 사항을 결정할 때 규정 준수 콘텐츠 및 자동화 코드의 기존 원본을 철저히 검토합니다. 포괄적인 코드베이스를 유지하기 위해 Red Hat, Microsoft 및 Microsoft 보안 파트너는 규정 준수 표준 기관과 긴밀히 협력합니다. 포괄적인 코드베이스는 규정 준수 평가를 간소화합니다. 모든 RHEL 구독에 포함된 SCAP 워크벤치와 같은 유틸리티를 사용하여 기존 콘텐츠를 활용하고 특정 요구 사항에 맞게 조정할 수 있습니다. RHEL의 각 주요 릴리스에 대해 Red Hat은 잘 알려진 규정 준수 표준에 대한 게시된 XCCDF 기준이 포함된 SSG(SCAP 보안 가이드)를 제공합니다.
예를 들어 RHEL 9용 SSG에는 다음이 포함됩니다.
- ANSSI-BP-028 - 고급, 높음, 중간, 최소
- CCN RHEL 9 - 고급, 중급, 기본
- 수준 2에 대한 CIS(인터넷 보안 센터) RHEL 9 벤치마크 - 서버
- 수준 1에 대한 CIS RHEL 9 벤치마크 - 서버
- 수준 1에 대한 CIS RHEL 9 벤치마크 - 워크스테이션
- 수준 2에 대한 CIS RHEL 9 벤치마크 - 워크스테이션
- [초안] 비연방 정보 시스템 및 조직에서 제어되는 미분류 정보(NIST 800-171)
- ACSC(오스트레일리아 사이버 보안 센터) Essential Eight
- ACSC ISM(정보 보안 설명서) 공식
- HIPAA
- 범용 운영 체제에 대한 보호 프로필
- RHEL 9에 대한 PCI DSS v3.2.1 제어 기준
- RHEL 7, RHEL 8(RHEL-1808) 및 RHEL 9에 대한 PCI DSS v4.0 제어 기준
- [초안] RHEL 9용 DISA STIG
- [초안] RHEL 9용 GUI(그래픽 사용자 인터페이스)가 있는 DISA STIG
Red Hat 제품 보안 인시던트 대응 팀은 RED Hat 제품에 대한 알려진 CVE(Common Vulnerabilities and Exposures) 정보의 게시된 스트림을 OVAL 형식으로 제공합니다. Red Hat은 Azure에서 규정 준수 구현의 일부로 이러한 리소스를 사용하는 것이 좋습니다.
Red Hat 위성 및 RHEL 이미지 작성기에서는 다음을 위해 사용할 수 있는 통합 SCAP 기능을 포함합니다.
- 선택한 표준으로 강화된 이미지를 정의합니다.
- SCAP 정책 프로필을 정의하고 각 워크로드에 맞게 조정합니다.
- 관리되는 시스템에 대한 예약을 검사합니다.
- 콘텐츠 파이프라인을 테스트하고, 표준에 맞게 버전이 지정된 콘텐츠를 제공합니다.
Azure는 여러 규제 표준을 구현하는 데 사용할 수 있는 도구를 제공합니다. 다양한 이니셔티브를 자동으로 적용하려면 Azure Policy 이니셔티브를 사용합니다. Linux 운영 체제 게스트에 대한 보안 설정을 구현하려면 Linux 보안 기준을 고려합니다.
비용
클라우드 컴퓨팅, 특히 Microsoft Azure의 컨텍스트에서 비용 거버넌스는 Azure 서비스와 연결된 비용을 관리하고 최적화하는 관행을 의미합니다. Azure는 지출을 모니터링, 제어 및 최적화하는 데 도움이 되는 도구 모음을 제공합니다. 이러한 도구를 사용하여 불필요한 재무 오버헤드 없이 리소스를 효율적으로 확장하고 조정할 수 있습니다.
Microsoft Cost Management를 사용하여 Azure에서 비용을 관리하고 추적합니다. 비용을 최적화하기 위해 Azure 지출에 대한 가시성을 확보합니다. 컴퓨팅 리소스에 대한 비용을 제어하려면 Azure 예약 및 Azure 절감 계획을 사용합니다. 이러한 도구를 사용하여 효과적인 비용 거버넌스 전략을 구현하고 비즈니스가 클라우드 투자를 극대화하는 동시에 비용을 제어할 수 있도록 지원합니다.
리소스 거버넌스
특히 엔터프라이즈 환경의 복잡성이 증가함에 따라 클라우드 리소스를 효율적으로 관리하고 보호할 수 있도록 Azure 리소스 조직을 관리합니다. Azure에는 효과적인 거버넌스를 지원하고 리소스가 일관되게 관리되고 정책을 준수하며 성능과 비용 모두에 최적화되도록 하는 여러 도구와 서비스가 있습니다.
Azure Policy를 가드레일로 사용하여 환경을 준수합니다. 템플릿 사양을 사용하여 배포가 기본적으로 ID, 보안, 비용 및 기타 요구 사항을 충족하는지 확인합니다. Azure 리소스에 대한 명명 표준 이 있는지 확인합니다. 명명 표준을 사용하면 시간이 지남에 따라 환경을 보다 쉽게 관리하고 구성할 수 있습니다. 관리 그룹 및 정책을 사용하여 Azure 테넌트에 워크로드를 배포하기 전에 랜딩 존 내에서 리소스를 구성합니다.
구독 디자인에 대한 포괄적인 권장 사항은 클라우드 채택 프레임워크 구독 지침을 참조하세요.
적용
Azure Policy를 사용하여 거버넌스 표준을 적용하고 규제 이니셔티브를 구현합니다. Azure 정책은 보안, 비용, 규정 준수, 리소스 및 관리 전반에 걸쳐 규정 준수를 적용하는 데 도움이 되는 가드레일입니다. 규정 준수 대시보드를 사용하여 각 리소스 또는 정책에 대한 규정 준수를 볼 수 있습니다. Azure Policy를 사용하여 수정을 수행할 수도 있습니다.
Ansible Automation Platform과 함께 Red Hat Satellite를 사용하여 워크로드 규정 준수 요구 사항을 통합하는 콘텐츠 및 이미지 배달을 위한 파이프라인을 개발할 수 있습니다.
포괄적인 규정 준수 분석을 얻으려면 Red Hat 위성 인증 Ansible 컬렉션을 사용하여 Azure 모니터링에 통합하기 위한 데이터 수집을 자동화합니다.