보안 제어: 태세 및 취약성 관리
태세 및 취약성 관리는 취약성 검사, 침투 테스트, 문제 해결, 클라우드 리소스의 보안 구성 추적, 보고, 수정 등 클라우드 보안 태세를 평가하고 개선하기 위한 제어에 중점을 둡니다.
PV-1: 보안 구성 정의 및 설정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
보안 원칙: 클라우드의 다양한 리소스 종류에 대한 보안 구성 기준을 정의합니다. 또는 구성 관리 도구를 사용하여 리소스 배포 전이나 배포 중에 자동으로 구성 기준을 설정하여 배포 후에 환경이 기본적으로 규정을 준수할 수 있도록 합니다.
Azure 지침: Microsoft Cloud Security Benchmark 및 서비스 기준을 사용하여 각 Azure 제품 또는 서비스에 대한 구성 기준을 정의합니다. Azure 리소스에 필요할 수 있는 중요한 보안 제어 및 구성을 이해하려면 Azure 참조 아키텍처 및 클라우드 채택 프레임워크 랜딩 존 아키텍처를 참조하세요.
Azure 랜딩 존(및 Blueprints)을 사용하여 Azure Resource Manager 템플릿, Azure RBAC 컨트롤 및 Azure Policy 포함한 서비스 및 애플리케이션 환경의 구성을 설정하여 워크로드 배포를 가속화합니다.
Azure 구현 및 추가 컨텍스트:
- Enterprise Scale Landing Zone의 Guardrails 구현에 대한 그림
- 클라우드용 Microsoft Defender에서 보안 정책 작업
- 자습서: 규정 준수를 적용하는 정책 만들기 및 관리
- Azure Blueprints
AWS 지침: AWS 및 기타 입력에 대한 Microsoft Cloud Security Benchmark - 다중 클라우드 지침을 사용하여 각 AWS 제품 또는 서비스에 대한 구성 기준을 정의합니다. AWS 리소스에 필요할 수 있는 중요한 보안 제어 및 구성을 이해하려면 AWS Well-Architectured Framework의 보안 핵심 요소 및 기타 핵심 요소 를 참조하세요.
AWS 랜딩 존 정의에서 AWS CloudFormation 템플릿 및 AWS 구성 규칙을 사용하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Microsoft Cloud Security Benchmark – GCP에 대한 다중 클라우드 지침 및 기타 입력을 사용하여 각 GCP 제품 또는 서비스에 대한 구성 기준을 정의합니다. Google Cloud 배포 기본 청사진 및 랜딩 존 디자인의 핵심을 참조하세요.
Google Cloud용 Terraform 청사진 모듈을 사용하고 네이티브 Google Cloud Deployment Manager를 사용하여 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다.
GCP 구현 및 추가 컨텍스트:
- Google Cloud의 랜딩 존 디자인. Google Cloud용 Terraform 청사진 및 모듈. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- 보안 기반 청사진
- Google 클라우드 배포 관리자
고객 보안 관련자(자세한 정보) :
PV-2: 보안 구성 감사 및 적용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
보안 원칙: 정의된 구성 기준에서 벗어나는 경우 지속적으로 모니터링하고 경고합니다. 비준수 구성을 거부하여 기준 구성에 따라 원하는 구성을 적용하거나 구성을 배포합니다.
Azure 지침: 클라우드용 Microsoft Defender를 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다.
[거부] 및 [존재하지 않는 경우 배포] 규칙을 Azure Policy 사용하여 Azure 리소스에 보안 구성을 적용합니다.
Azure Policy 지원되지 않는 리소스 구성 감사 및 적용의 경우 사용자 지정 스크립트를 작성하거나 타사 도구를 사용하여 구성 감사 및 적용을 구현해야 할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 구성 규칙을 사용하여 AWS 리소스의 구성을 감사합니다. 또한 AWS 구성 규칙과 연결된 AWS Systems Manager 자동화를 사용하여 구성 드리프트를 해결하도록 선택할 수 있습니다. 리소스에서 구성 편차가 검색되면 Amazon CloudWatch를 사용하여 경고를 만듭니다.
AWS Config에서 지원하지 않는 리소스 구성 감사 및 적용의 경우 사용자 지정 스크립트를 작성하거나 타사 도구를 사용하여 구성 감사 및 적용을 구현해야 할 수 있습니다.
AWS 계정을 클라우드용 Microsoft Defender에 온보딩하여 구성 드리프트를 중앙에서 모니터링할 수도 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud Security Command Center를 사용하여 GCP를 구성합니다. Operations Suite에서 Google Cloud Monitoring을 사용하여 리소스에서 구성 편차가 검색된 경우 경고를 만듭니다.
조직을 관리하려면 조직 정책을 사용하여 organization 클라우드 리소스를 중앙 집중화하고 프로그래밍 방식으로 제어합니다. organization 정책 관리자는 전체 리소스 계층 구조에서 제약 조건을 구성할 수 있습니다.
조직 정책에서 지원하지 않는 리소스 구성 감사 및 적용의 경우 사용자 지정 스크립트를 작성하거나 타사 도구를 사용하여 구성 감사 및 적용을 구현해야 할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
보안 원칙: VM 및 컨테이너와 같은 컴퓨팅 리소스에 대한 보안 구성 기준을 정의합니다. 구성 관리 도구를 사용하여 컴퓨팅 리소스 배포 전이나 배포 중에 자동으로 구성 기준을 설정하여 배포 후에 환경이 기본적으로 규정을 준수할 수 있도록 합니다. 또는 사전 구성된 이미지를 사용하여 컴퓨팅 리소스 이미지 템플릿에 원하는 구성 기준을 빌드합니다.
Azure 지침: Azure 권장 운영 체제 보안 기준(Windows 및 Linux용)을 벤치마크로 사용하여 컴퓨팅 리소스 구성 기준을 정의합니다.
또한 Azure Automanage Machine 구성(이전의 Azure Policy 게스트 구성이라고 함)과 Azure Automation State Configuration 사용자 지정 VM 이미지(Azure Image Builder 사용) 또는 컨테이너 이미지를 사용하여 원하는 보안 구성을 설정할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- Linux OS 보안 구성 기준
- Windows OS 보안 구성 기준
- 컴퓨팅 리소스에 대한 보안 구성 권장 사항
- Azure Automation State Configuration 개요
AWS 지침: 마켓플레이스의 신뢰할 수 있는 원본의 EC2 AMI(AWS Machine Images)를 벤치마크로 사용하여 EC2 구성 기준을 정의합니다.
또한 EC2 Image Builder를 사용하여 Systems Manager 에이전트를 사용하여 사용자 지정 AMI 템플릿을 빌드하여 원하는 보안 구성을 설정할 수 있습니다. 참고: AWS Systems Manager 에이전트는 AWS에서 제공하는 일부 AMI(Amazon Machine Images)에 사전 설치되어 있습니다.
EC2 인스턴스, AWS 람다 또는 컨테이너 환경 내에서 실행되는 워크로드 애플리케이션의 경우 AWS System Manager AppConfig를 사용하여 원하는 구성 기준을 설정할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud 권장 운영 체제 보안 기준(Windows 및 Linux 모두)을 벤치마크로 사용하여 컴퓨팅 리소스 구성 기준을 정의합니다.
또한 Packer Image Builder를 사용하여 사용자 지정 VM 이미지를 사용하거나 Google Cloud Build 컨테이너 이미지가 있는 컨테이너 이미지를 사용하여 원하는 구성 기준을 설정할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
보안 원칙: 컴퓨팅 리소스에 정의된 구성 기준에서 벗어나는 경우 지속적으로 모니터링하고 경고합니다. 비준수 구성을 거부하여 기준 구성에 따라 원하는 구성을 적용하거나 구성을 컴퓨팅 리소스에 배포합니다.
Azure 지침: 클라우드용 Microsoft Defender 및 Azure Automanage Machine 구성(이전의 Azure Policy 게스트 구성)을 사용하여 VM, 컨테이너 등을 비롯한 Azure 컴퓨팅 리소스의 구성 편차를 정기적으로 평가하고 수정합니다. 또한 Azure Resource Manager 템플릿, 사용자 지정 운영 체제 이미지 또는 Azure Automation State Configuration을 사용하여 운영 체제의 보안 구성을 유지할 수 있습니다. Azure Automation State Configuration과 함께 Microsoft VM 템플릿을 사용하면 보안 요구 사항을 충족하고 유지 관리할 수 있습니다. Azure Automation 변경 내용 추적 및 인벤토리 사용하여 Azure, 온-프레미스 및 기타 클라우드 환경에서 호스트되는 가상 머신의 변경 내용을 추적하여 배포 패키지 관리자에서 관리하는 소프트웨어의 운영 및 환경 문제를 정확히 파악할 수 있습니다. 가상 머신에 게스트 증명 에이전트를 설치하여 기밀 가상 머신의 부팅 무결성을 모니터링합니다.
참고: Microsoft에서 게시한 Azure Marketplace VM 이미지는 Microsoft에서 관리 및 유지 관리합니다.
Azure 구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 취약성 평가 권장 사항을 구현하는 방법
- ARM 템플릿에서 Azure 가상 머신을 만드는 방법
- Azure Automation 상태 구성 개요
- Azure Portal에서 Windows 가상 머신 만들기
- 클라우드용 Microsoft Defender의 컨테이너 보안
- 변경 내용 추적 및 인벤토리 개요
- 기밀 VM에 대한 게스트 증명
AWS 지침: AWS System Manager의 State Manager 기능을 사용하여 EC2 인스턴스에서 구성 편차를 정기적으로 평가하고 수정합니다. 또한 CloudFormation 템플릿, 사용자 지정 운영 체제 이미지를 사용하여 운영 체제의 보안 구성을 유지 관리할 수 있습니다. AMI 템플릿은 Systems Manager와 함께 보안 요구 사항을 충족하고 유지 관리하는 데 도움을 줄 수 있습니다.
또한 다음 방법을 사용하여 Azure Automation State Configuration 통해 운영 체제 구성 드리프트를 중앙에서 모니터링하고 관리하고 해당 리소스를 Azure 보안 거버넌스에 온보딩할 수도 있습니다.
- AWS 계정을 클라우드용 Microsoft Defender에 온보딩
- 서버용 Azure Arc를 사용하여 EC2 인스턴스를 클라우드용 Microsoft Defender 연결
EC2 인스턴스, AWS 람다 또는 컨테이너 환경 내에서 실행되는 워크로드 애플리케이션의 경우 AWS System Manager AppConfig를 사용하여 원하는 구성 기준을 감사 및 적용할 수 있습니다.
참고: AWS Marketplace에서 Amazon Web Services에서 게시한 API는 Amazon Web Services에서 관리 및 유지 관리됩니다.
AWS 구현 및 추가 컨텍스트:
- AWS System Manager State Manager
- 클라우드용 Microsoft Defender에 AWS 계정 연결
- Azure Automation State Configuration 사용
GCP 지침: VM 관리자 및 Google Cloud Security Command Center를 사용하여 컴퓨팅 엔진 인스턴스, 컨테이너 및 서버리스 계약의 구성 편차를 정기적으로 평가하고 수정합니다. 또한 Deployment Manager VM 템플릿, 사용자 지정 운영 체제 이미지를 사용하여 운영 체제의 보안 구성을 유지할 수 있습니다. VM Manager와 함께 배포 관리자 VM 템플릿 템플릿은 보안 요구 사항을 충족하고 유지하는 데 도움이 될 수 있습니다.
또한 다음 방법을 사용하여 Azure Automation State Configuration 통해 운영 체제 구성 드리프트를 중앙에서 모니터링하고 관리하고 해당 리소스를 Azure 보안 거버넌스에 온보딩할 수도 있습니다.
- GCP 프로젝트를 클라우드용 Microsoft Defender 온보딩
- 서버용 Azure Arc를 사용하여 GCP VM 인스턴스를 클라우드용 Microsoft Defender 연결
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
PV-5: 취약성 평가 수행
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
보안 원칙: 고정된 일정 또는 주문형으로 모든 계층의 클라우드 리소스에 대한 취약성 평가를 수행합니다. 검사 결과를 추적하고 비교하여 취약성이 수정되었는지 확인합니다. 평가에는 Azure 서비스, 네트워크, 웹, 운영 체제, 잘못된 구성 등의 취약성과 같은 모든 유형의 취약성이 포함되어야 합니다.
취약성 스캐너가 사용하는 권한 있는 액세스와 관련된 잠재적 위험에 유의합니다. 검사에 사용되는 모든 관리 계정을 보호하려면 권한 있는 액세스 보안 모범 사례를 따릅니다.
Azure 지침: Azure Virtual Machines, 컨테이너 이미지 및 SQL 서버에서 취약성 평가를 수행하기 위해 클라우드용 Microsoft Defender의 권장 사항을 따릅니다. 클라우드용 Microsoft Defender에는 가상 머신을 위한 기본 제공 취약성 스캐너가 있습니다. 네트워크 디바이스 및 애플리케이션(예: 웹 애플리케이션)에 대한 취약성 평가를 수행하기 위해 타사 솔루션 사용
또한 검사 결과를 일관된 간격으로 내보내고 결과를 이전 검사와 비교하여 취약성이 수정되었는지 확인해야 합니다. 클라우드용 Microsoft Defender에서 제안하는 취약성 관리 권장 사항을 사용할 때 선택한 검사 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.
원격 검사를 수행하는 경우 단일 영구 관리자 계정을 사용하지 마세요. 검사 계정에 대해 JIT(Just In Time) 프로비저닝 방법을 구현하는 것을 고려합니다. 검사 계정에 대한 자격 증명을 보호하고, 모니터링하고, 취약성 검색에만 사용해야 합니다.
참고: Microsoft Defender 서비스(서버, 컨테이너, App Service, 데이터베이스 및 DNS용 Defender 포함)에는 특정 취약성 평가 기능이 포함됩니다. Azure Defender 서비스에서 생성된 경고는 클라우드용 Microsoft Defender 취약성 검사 도구의 결과와 함께 모니터링 및 검토해야 합니다.
참고: 클라우드용 Microsoft Defender 메일 알림 설정해야 합니다.
Azure 구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender 취약성 평가 권장 사항을 구현하는 방법
- 가상 머신용 통합 취약성 검사기
- SQL 취약성 평가
- 클라우드용 Microsoft Defender 취약성 검사 결과 내보내기
AWS 지침: Amazon Inspector를 사용하여 Amazon ECR(Amazon Elastic Container Registry)에 있는 Amazon EC2 인스턴스 및 컨테이너 이미지에서 소프트웨어 취약성 및 의도하지 않은 네트워크 노출을 검사합니다. 네트워크 디바이스 및 애플리케이션(예: 웹 애플리케이션)에 대한 취약성 평가를 수행하기 위해 타사 솔루션 사용
ES-1 제어" "EDR(엔드포인트 검색 및 응답 사용)"을 참조하여 AWS 계정을 클라우드용 Microsoft Defender 온보딩하고 EC2 인스턴스에서 서버용 Microsoft Defender 배포합니다(엔드포인트용 Microsoft Defender 통합됨). 서버용 Microsoft Defender는 VM에 대한 네이티브 위협 및 취약성 관리 기능을 제공합니다. 취약성 검사 결과는 클라우드용 Microsoft Defender dashboard 통합됩니다.
취약성 결과의 상태 추적하여 가양성으로 간주되는 경우 제대로 수정되거나 억제되는지 확인합니다.
원격 검사를 수행하는 경우 단일 영구 관리자 계정을 사용하지 마세요. 검사 계정에 대한 임시 프로비저닝 방법론을 구현하는 것이 좋습니다. 검사 계정에 대한 자격 증명을 보호하고, 모니터링하고, 취약성 검색에만 사용해야 합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 클라우드용 Microsoft Defender 또는/및 Google Cloud Security Command Center의 권장 사항에 따라 컴퓨팅 엔진 인스턴스에서 취약성 평가를 수행합니다. Security Command Center에는 네트워크 디바이스 및 애플리케이션(예: 웹 보안 스캐너)에 대한 취약성 평가가 기본 제공됩니다.
또한 검사 결과를 일관된 간격으로 내보내고 결과를 이전 검사와 비교하여 취약성이 수정되었는지 확인해야 합니다. Security Command Center에서 제안하는 취약성 관리 권장 사항을 사용하는 경우 선택한 검사 솔루션의 포털로 피벗하여 기록 검사 데이터를 볼 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
PV-6: 자동으로 신속하게 취약성 수정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: 결함 수정 | 6.1, 6.2, 6.5, 11.2 |
보안 원칙: 클라우드 리소스의 취약성을 수정하기 위해 패치와 업데이트를 자동으로 신속하게 배포합니다. 적절한 위험 기반 방법을 사용하여 취약성 수정의 우선 순위를 지정합니다. 예를 들어, 더 높은 가치의 자산에 있는 더 심각한 취약성은 더 높은 우선 순위로 해결되어야 합니다.
Azure 지침: Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 최신 보안 업데이트가 Windows 및 Linux VM에 설치되어 있는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.
타사 소프트웨어의 경우 타사 패치 관리 솔루션 또는 Microsoft System Center 업데이트 Publisher for Configuration Manager 사용합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Systems Manager - Patch Manager를 사용하여 최신 보안 업데이트가 운영 체제 및 애플리케이션에 설치되어 있는지 확인합니다. Patch Manager는 시스템에 대해 승인되고 거부된 패치 목록을 정의할 수 있도록 패치 기준을 지원합니다.
Azure Automation 업데이트 관리를 사용하여 AWS EC2 Windows 및 Linux 인스턴스의 패치 및 업데이트를 중앙에서 관리할 수도 있습니다.
타사 소프트웨어의 경우 타사 패치 관리 솔루션 또는 Microsoft System Center 업데이트 Publisher for Configuration Manager 사용합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud VM Manager OS 패치 관리 또는 타사 솔루션을 사용하여 최신 보안 업데이트가 Windows 및 Linux VM에 설치되도록 합니다. Windows VM의 경우 Windows 업데이트 사용하도록 설정되고 자동으로 업데이트되도록 설정되었는지 확인합니다.
타사 소프트웨어의 경우 구성 관리를 위해 타사 패치 관리 솔루션 또는 Microsoft System Center 업데이트 Publisher를 사용합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
PV-7: 정기적인 레드 팀 작업 수행
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
보안 원칙: 실제 공격을 시뮬레이션하여 조직의 취약성을 보다 완벽하게 파악할 수 있습니다. 레드 팀 운영 및 침투 테스트는 위험을 발견하기 위해 기존의 취약성 스캐닝 방법을 보완합니다.
업계 모범 사례에 따라 이러한 종류의 테스트를 설계, 준비 및 수행하여 환경에 손상이나 중단을 일으키지 않도록 합니다. 여기에는 항상 관련 이해 관계자 및 리소스 소유자와 테스트 범위 및 제약 조건에 대한 논의가 포함되어야 합니다.
Azure 지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정하도록 보장합니다.
Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 필요에 따라 AWS 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정하도록 보장합니다.
침투 테스트를 위한 AWS 고객 지원 정책에 따라 침투 테스트가 AWS 정책을 위반하지 않는지 확인합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 필요에 따라 GCP 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정합니다.
침투 테스트에 대한 GCP 고객 지원 정책에 따라 침투 테스트가 GCP 정책을 위반하지 않는지 확인합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :