다음을 통해 공유


보안 개요

Azure Secure 방법론에 대한 클라우드 채택 프레임워크 Azure 클라우드 자산을 보호하기 위한 구조화된 접근 방식을 제공합니다.

이 문서 시리즈의 지침은 보안이 클라우드 채택 과정의 모든 단계에서 필수적인 부분이어야 하므로 클라우드 채택 프레임워크 내의 모든 방법론과 관련된 권장 사항을 제공합니다. 따라서 클라우드 채택 과정의 각 단계를 진행할 때 고려할 보안 권장 사항을 제공하는 각 방법론에 맞는 문서를 찾을 수 있습니다.

클라우드 채택과 관련된 방법론을 보여 주는 다이어그램. 다이어그램에는 팀과 역할, 전략, 계획, 준비, 채택, 관리, 관리 등 각 단계에 대한 상자가 있습니다.

이 지침의 모든 권장 사항은 보안 전략, 아키텍처 및 구현을 안내해야 하는 손상(또는 위반 가정), 최소 권한 및 명시적 신뢰 검증을 가정하는 제로 트러스트 원칙을 준수합니다.

전체적인 보안 지침

보안은 클라우드 및 기술 환경의 거의 모든 측면에서 고려해야 하는 복잡하고 까다로운 분야입니다. 다음 주요 사항을 고려합니다.

  • 모든 것이 잠재적인 대상 또는 공격 벡터입니다. 오늘날의 세계에서 공격자는 조직의 인력, 프로세스 및 기술의 약점을 악용하여 악의적인 목표를 달성할 수 있습니다.

  • 보안은 팀 스포츠입니다. 이러한 공격을 방어하려면 비즈니스, 기술 및 보안 팀 전반에 걸쳐 조정된 접근 방식이 필요합니다. 각 팀은 보안 노력에 기여하고 효과적으로 협업해야 합니다. Azure 리소스를 보호하는 데 필요한 다양한 역할에 대한 자세한 내용은 Teams 및 역할을 참조하세요.

이 클라우드 채택 프레임워크 보안 지침은 다양한 팀이 보안 책임을 이해하고 수행할 수 있도록 설계된 더 큰 전체적인 Microsoft 보안 지침 집합의 한 구성 요소입니다. 전체 집합에는 다음 지침이 포함되어 있습니다.

  • 클라우드 채택 프레임워크 Secure 방법론은 Azure에서 호스트되는 모든 워크로드 개발 및 작업을 지원하는 기술 인프라를 관리하는 팀에 대한 보안 지침을 제공합니다.

  • Azure Well-Architected Framework 보안 지침 은 개별 워크로드 소유자에게 애플리케이션 개발 및 DevOps 및 DevSecOps 프로세스에 보안 모범 사례를 적용하는 방법에 대한 지침을 제공합니다. Microsoft는 보안 개발 수명 주기에 보안 사례 및 DevSecOps 컨트롤을 적용하는 방법에 대한 이 설명서를 보완하는 지침을 제공합니다.

  • Microsoft Cloud Security Benchmark 는 강력한 클라우드 보안을 보장하기 위해 관련자를 위한 모범 사례 지침을 제공합니다. 이 지침에는 사용 가능한 보안 기능과 Azure 서비스에 권장되는 최적의 구성을 설명하는 보안 기준이 포함되어 있습니다.

  • 제로 트러스트 지침 에서는 보안 팀이 제로 트러스트 현대화 이니셔티브를 지원하기 위한 기술 기능을 구현하기 위한 지침을 제공합니다.

각 문서에서는 정렬된 방법론과 관련된 몇 가지 항목을 다룹니다.

  • 보안 태세 현대화
  • 인시던트 준비 및 대응
  • CIA(기밀성, 무결성 및 가용성) Triad
  • 보안 상태 유지

보안 태세 현대화

클라우드 채택 과정에서 현대화를 통해 전반적인 보안 태세를 향상시킬 수 있는 기회를 찾아보세요. 이 방법론의 지침은 Microsoft 제로 트러스트 채택 프레임워크일치합니다. 이 프레임워크는 보안 태세를 현대화하기 위한 자세한 단계별 접근 방식을 제공합니다. 클라우드 채택 프레임워크 방법론의 각 단계에 대한 권장 사항을 검토할 때 제로 트러스트 채택 프레임워크에 제공된 지침을 사용하여 권장 사항을 향상시킵니다.

인시던트 준비 및 대응

인시던트 준비 및 대응은 전체 보안 상태의 초석 요소입니다. 인시던트에 대비하고 대응하는 기능은 클라우드 내에서의 운영 성공에 큰 영향을 줄 수 있습니다. 잘 설계된 준비 메커니즘 및 운영 사례를 통해 더 빠른 위협 탐지를 가능하게 하고 인시던트 반경을 최소화할 수 있습니다. 이 방법은 더 빠른 복구를 용이하게 합니다. 마찬가지로, 잘 구성된 응답 메커니즘 및 운영 사례는 복구 활동을 통한 효율적인 탐색을 보장하고 프로세스 전체에서 지속적인 개선을 위한 명확한 기회를 제공합니다. 이러한 요소에 집중하면 전반적인 보안 전략을 향상시켜 클라우드에서 복원력과 운영 연속성을 보장할 수 있습니다.

CIA 트라이어드

CIA Triad는 세 가지 핵심 원칙을 나타내는 정보 보안의 기본 모델입니다. 이러한 원칙은 기밀성, 무결성 및 가용성입니다.

  • 기밀성은 권한이 있는 개인만 중요한 정보에 액세스할 수 있도록 합니다. 이 정책에는 무단 액세스로부터 데이터를 보호하기 위한 암호화 및 액세스 제어와 같은 조치가 포함됩니다.

  • 무결성 은 데이터의 정확성과 완전성을 유지합니다. 이 원칙은 권한이 없는 사용자에 의한 변경 또는 변조로부터 데이터를 보호하여 정보가 안정적으로 유지되도록 하는 것을 의미합니다.

  • 가용성 은 필요한 경우 권한 있는 사용자가 정보와 리소스에 액세스할 수 있도록 합니다. 이 작업에는 가동 중지 시간을 방지하고 데이터에 대한 지속적인 액세스를 보장하기 위한 시스템 및 네트워크 유지 관리가 포함됩니다.

CIA Triad를 채택하여 비즈니스 기술이 안정적이고 안전하게 유지되도록 합니다. 이를 사용하여 잘 정의되고 엄격하게 준수되고 입증된 사례를 통해 운영에서 안정성과 보안을 적용합니다. 트라이어드 원칙이 보안 및 안정성을 보장하는 데 도움이 되는 몇 가지 방법은 다음과 같습니다.

  • 데이터 보호: 개인 정보 보호 및 규정 준수를 보장하는 CIA Triad를 활용하여 중요한 데이터를 위반으로부터 보호합니다.

  • 비즈니스 연속성: 데이터 무결성 및 가용성을 보장하여 비즈니스 운영을 유지하고 가동 중지 시간을 방지합니다.

  • 고객 신뢰: 데이터 보안에 대한 약속을 입증하여 고객 및 이해 관계자와의 신뢰를 구축하기 위해 CIA Triad를 구현합니다.

각 방법론 정렬 문서에서는 CIA Triad의 원칙에 대한 권장 사항을 제공합니다. 이 방법을 사용하면 기밀성, 무결성 및 가용성을 해결할 수 있습니다. 이 지침은 클라우드 채택 과정의 모든 단계에서 이러한 측면을 철저히 고려하는 데 도움이 됩니다.

보안 상태 유지

지속적인 개선은 사이버 위협이 지속적으로 진화하고 더욱 정교해지므로 클라우드에서 강력한 보안 태세를 유지하는 데 매우 중요합니다. 이러한 끊임없이 변화하는 위험으로부터 보호하려면 지속적인 향상된 기능을 보장합니다. 이 섹션의 지침은 지속적인 개선의 기회를 식별하여 장기적인 성공을 위해 조직을 설정하는 데 도움이 될 수 있습니다. 시간이 지남에 따라 클라우드 환경을 설정하고 발전할 때 이러한 전략에 집중합니다.

클라우드 보안 검사 목록

클라우드 보안 검사 목록을 사용하여 각 클라우드 보안 단계에 대한 모든 작업을 확인합니다. 필요한 지침으로 빠르게 이동합니다.

  클라우드 보안 단계 클라우드 보안 작업
보안 팀 및 역할을 이해합니다. 클라우드 서비스 공급자의 역할을 이해합니다.
인프라 및 플랫폼 팀의 역할을 이해합니다.
보안 아키텍처, 엔지니어링, 자세 관리 팀의 역할을 이해합니다.
보안 운영(SecOps 및 SOC) 팀의 역할을 이해합니다.
GRC(보안 거버넌스, 위험 및 규정 준수) 팀의 역할을 이해합니다.
보안 교육 및 정책에 대해 알아봅니다.
클라우드 채택 전략에 보안을 통합합니다. 보안 태세 현대화 전략.
인시던트 준비 및 대응 전략.
기밀성 전략.
무결성 전략.
가용성 전략.
보안 태세 유지 전략
안전한 클라우드 채택을 계획합니다. 랜딩 존 채택을 계획합니다.
보안 태세 현대화 계획.
인시던트 준비 및 대응 계획.
기밀성 계획.
무결성 계획
가용성 계획
보안 태세 유지 계획
보안 클라우드 자산을 준비합니다. 보안 태세 현대화를 위한 준비가 완료되었습니다.
인시던트 준비 및 대응 준비가 완료되었습니다.
기밀 유지 준비가 완료되었습니다.
무결성에 대한 준비가 완료되었습니다.
가용성 준비
보안 태세 유지 준비
클라우드 채택을 안전하게 수행합니다. 보안 태세 현대화 채택.
인시던트 준비 및 대응을 채택합니다.
기밀성을 채택합니다.
무결성을 채택합니다.
가용성을 채택합니다.
보안 태세 유지 채택
클라우드 자산을 안전하게 관리합니다. 보안 태세 현대화.
인시던트 준비 및 대응 거버넌스
기밀 유지 관리.
무결성 거버넌스.
가용성 거버넌스.
보안 거버넌스 유지
클라우드 자산을 안전하게 관리합니다. 보안 태세 현대화.
인시던트 준비 및 대응 관리
기밀 유지 관리.
무결성 관리.
가용성 관리.
보안 유지 관리

다음 단계