다음을 통해 공유

보안 위반 방지 및 복구 인프라 구현

  • 아티클

제로 트러스트 채택 지침의 일환으로 이 문서는 위반 비즈니스 시나리오로 인한 비즈니스 피해 방지 또는 감소의 일부이며 사이버 공격으로부터 조직을 보호하는 방법을 설명합니다. 이 문서에서는 위반을 방지하고 확산을 제한하는 추가 보안 조치를 배포하고 BCDR(비즈니스 연속성 및 재해 복구) 인프라를 만들고 테스트하여 파괴적인 위반으로부터 보다 신속하게 복구하는 방법에 중점을 둡니다.

위반 가정 제로 트러스트 지침 원칙의 요소:

  • 폭발 반경 및 세그먼트 액세스 최소화

    이 문서에서 설명합니다.

  • 엔드 투 엔드 암호화 확인

    이 문서에서 설명합니다.

  • 분석을 사용하여 가시성을 확보하고, 위협 탐지를 촉진하고, 방어를 개선합니다.

    위협 방지 구현 및 XDR 문서에 설명되어 있습니다.

이 문서에서는 보안 태세를 이미 현대화한 것으로 가정합니다.

Microsoft Azure 리소스에 대한 자세한 내용은 파괴적인 사이버 공격으로부터 Azure 리소스 보호를 참조 하세요.

보안 위반 방지 및 복구 인프라를 구현하기 위한 채택 주기

이 문서에서는 Azure에 대한 클라우드 채택 프레임워크 동일한 수명 주기 단계(전략, 계획, 준비, 채택 및 관리 정의)를 사용하지만 제로 트러스트 맞게 조정된 보안 위반 방지 및 복구 인프라를 구현하는 방법을 안내합니다.

목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램입니다.

다음 표는 접근성 있는 일러스트레이션 버전입니다.

전략 정의 계획 준비 채택 제어 및 관리
결과

조직 맞춤

전략적 목표		 관련자 팀

기술 계획

기술 준비 상태		 평가하다

테스트

파일럿		 디지털 자산에서 증분 방식으로 구현 추적 및 측정

모니터링 및 검색

성숙도 반복

제로 트러스트 채택 프레임워크 개요에서 제로 트러스트 채택 주기에 대해 자세히 알아보세요.

"위반으로 인한 비즈니스 손상 방지 또는 감소" 비즈니스 시나리오에 대한 자세한 내용은 다음을 참조하세요.

전략 단계 정의

전략 정의 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

전략 정의 단계는 노력을 정의하고 공식화하는 데 중요합니다. 이 시나리오의 "이유"를 공식화합니다. 이 단계에서는 비즈니스, IT, 운영 및 전략적 관점을 통해 시나리오를 이해합니다. 시나리오에서 성공을 측정할 결과를 정의하여 보안이 증분적이고 반복적인 여정임을 이해합니다.

이 문서에서는 많은 조직과 관련된 동기 및 결과를 제안합니다. 이러한 제안을 사용하여 고유한 요구 사항에 따라 조직의 전략을 연마할 수 있습니다.

보안 위반 방지 및 복구 인프라를 구현하기 위한 동기

보안 위반 방지 및 복구 인프라의 동기는 간단하지만 조직의 여러 부분에는 이 작업을 수행하기 위한 다른 인센티브가 있습니다. 다음 표에서는 이러한 동기 중 일부를 요약합니다.

영역 동기
비즈니스 요구 사항 보안 확장으로 위반 방지 및 복구의 자세로 비즈니스를 운영합니다. 비즈니스는 정상적으로 비즈니스를 계속하면서 하나 이상의 영역 내에서 피해를 포함하는 위반으로부터 복구할 수 있습니다.
IT 요구 사항 ID 보안 및 프로비전에 대한 타협하지 않는 접근 방식을 유지하면서 온-프레미스 시스템 및 엔드포인트를 업데이트하고 허니팟 리소스를 배포하여 공격자를 방해하고 속이는 등 위반 가능성을 낮추기 위한 기술 및 분야를 구현합니다.
운영 요구 사항 위반 방지 및 복구를 표준 운영 절차로 구현합니다. 위반이 예상되며 비즈니스 수직에 대해 원치 않는 위반을 완화할 수 있습니다.
전략적 요구 사항 사이버 공격자에 대한 투자 수익률을 낮추면서 운영 복원력을 높일 수 있는 위반으로부터 복구할 수 있는 비즈니스 능력을 증분적으로 높이기 위해. 제로 트러스트 위반 가정 원칙은 비즈니스 생존을 보장하고, 위반을 최소화하고, 위반 복구 시간을 줄이기 위해 변경 내용 및 업데이트를 계획하고 실행해야 합니다.

보안 위반 방지 및 복구 인프라를 구현하기 위한 결과

제로 트러스트 전반적인 목표를 위반 피해 방지 및 감소 인프라에 "절대 신뢰하지 않고 항상 확인"하도록 적용하면 환경에 상당한 보호 계층이 추가됩니다. 관련된 모든 팀에 대해 적절한 보호 균형을 맞출 수 있도록 달성하고자 하는 결과를 명확히 하는 것이 중요합니다. 다음 표에서는 제안된 목표와 결과를 제공합니다.

목표 결과
비즈니스 결과 위반 방지 및 복구 관행은 위반과 관련된 비용을 최소화하고 비즈니스 프로세스를 신속하게 복구합니다.
거버넌스 위반 방지 및 복구 도구 및 시스템이 배포되고 내부 프로세스가 테스트되고 위반에 대비됩니다.
조직적 복원력 보안 위반 방지 및 복구와 사전 위협 방지 사이에서 조직은 공격으로부터 신속하게 복구하고 향후 해당 유형의 공격을 방지할 수 있습니다.
보안 위반 방지 및 복구는 전반적인 보안 요구 사항 및 정책에 통합됩니다.

계획 단계

계획 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

채택 계획은 제로 트러스트 전략의 원칙을 실행 가능한 계획으로 변환합니다. 조직 팀은 채택 계획을 사용하여 기술 활동을 안내하고 조직의 비즈니스 전략에 부합할 수 있습니다.

비즈니스 리더 및 팀과 함께 정의한 동기와 결과는 조직에 대한 "이유"를 지원하고 전략의 North Star가 됩니다. 다음으로 목표를 달성하기 위한 기술 계획이 제공됩니다.

위반 방지 및 복구를 구현하기 위한 기술 채택에는 다음이 포함됩니다.

  • JIT(Just-In-Time) 액세스를 위해 관리자 및 기타 권한 있는 계정을 보호하기 위해 Microsoft Entra PIM(Privileged Identity Management)을 설정합니다.
  • 네트워킹 인프라의 보안을 강화합니다.
  • 네트워크에 허니팟 리소스를 배포하여 공격자를 유인하고 해당 존재를 조기에 감지합니다.
  • 서버 및 디바이스를 최신 상태로 유지하기 위한 포괄적인 패치 인프라 구현
  • Microsoft Purview 내부 위험 관리 사용을 시작합니다.
  • 파괴적인 사이버 공격으로부터 신속하게 복구하기 위해 BCDR 인프라를 배포합니다.

많은 조직에서 다음 표에 요약된 이러한 배포 목표에 대해 4단계로 구성된 접근 방식을 취할 수 있습니다.

스테이지 1 스테이지 2 3단계 스테이지 4
권한 있는 계정 보호

네트워크 분할

중요한 워크로드 연속성을 위해 Azure Site Recovery 구현

네트워크 통신 암호화		 중요한 비즈니스 데이터를 위한 Microsoft 365 Backup 및 Azure Backup 구현

패치 계획 구현

허니팟 리소스 만들기

Microsoft Purview 내부 위험 관리 시작		 모든 비즈니스 데이터에 대해 Microsoft 365 Backup 및 Azure Backup 구현

모든 워크로드에 대한 Azure Site Recovery 구현

네트워크 트래픽에 대한 가시성 확보

위협 및 BCDR(비즈니스 연속성/재해 복구) 대응 설계		 레거시 네트워크 보안 기술 중단

위협 및 BCDR 대응 연습

이 단계적 접근 방식이 조직에 적합한 경우 다음을 사용할 수 있습니다.

  • 다운로드 가능한 PowerPoint 슬라이드 데크는 비즈니스 리더 및 기타 이해 관계자를 위해 이러한 단계와 목표를 통해 진행 상황을 제시하고 추적할 수 있습니다. 다음은 이 비즈니스 시나리오에 대한 슬라이드입니다.

    위반 방지 및 복구를 구현하는 배포 단계를 위한 PowerPoint 슬라이드입니다.

  • Excel 통합 문서는 소유자를 할당하고 이러한 단계, 목표 및 해당 작업에 대한 진행 상황을 추적합니다. 이 비즈니스 시나리오의 워크시트는 다음과 같습니다.

    보안 위반 방지 및 복구 인프라 배포를 위한 진행률 추적 워크시트입니다.

조직 이해

기술 구현에 권장되는 이 단계적 접근 방식은 조직 이해 연습에 대한 컨텍스트를 제공하는 데 도움이 될 수 있습니다.

모든 비즈니스 시나리오에 대한 제로 트러스트 채택 수명 주기의 기본 단계에는 인벤토리를 사용하고 인프라의 현재 상태를 결정하는 것이 포함됩니다. 이 비즈니스 시나리오의 경우 현재에 대한 정보를 수집해야 합니다.

  • 권한 있는 ID 보안 정책 및 요구 사항.
  • 네트워크 보안 사례 및 기술.
  • 내부 위험 및 관리 우선 순위
  • 서버 및 디바이스 패치 정책 및 요구 사항
  • BCDR 시스템 및 정책

조직 계획 및 맞춤

위반을 방지하고 복구 인프라를 구현하는 기술 작업은 다음과 같은 여러 겹치는 영역과 역할을 교차합니다.

  • 권한 있는 ID
  • 네트워킹
  • 내부 위험 관리
  • 디바이스 패치
  • BCDR

이 표에는 결과를 결정하고 추진하기 위해 스폰서쉽 프로그램 및 프로젝트 관리 계층 구조를 빌드할 때 권장되는 역할이 요약되어 있습니다.

프로그램 리더 및 기술 소유자 책임
CISO, CIO 또는 데이터 보안 디렉터 경영진 스폰서쉽
보안의 프로그램 리드 결과 및 팀 간 협업 추진
보안 설계자 구성 및 표준, 특히 권한 있는 ID, 네트워킹 및 허니팟 리소스 디자인에 대한 조언
IT 잠재 고객 honeypot 리소스 유지 관리, 패치 및 시스템 업데이트 요구 사항 및 정책 구현, BCDR 프로시저 구현 및 연습
네트워크 설계자 네트워크 보안 표준 및 사례에 대한 조언 및 구현
규정 준수 책임자 규정 준수 요구 사항 및 위험을 특정 컨트롤 및 사용 가능한 기술에 매핑하고 탐지 및 관리해야 하는 내부자 위험에 대해 조언합니다.
보안 거버넌스 및/또는 IT 책임자 정의된 정책 및 요구 사항을 준수하도록 모니터링

이 채택 콘텐츠에 대한 리소스의 PowerPoint 데크에는 사용자 고유의 조직에 맞게 사용자 지정할 수 있는 관련자 보기가 포함된 다음 슬라이드가 포함되어 있습니다.

PowerPoint 슬라이드는 위반 방지 및 복구 인프라 배포에 대한 주요 관련자를 식별합니다.

기술 계획 및 기술 준비

기술 작업에 착수하기 전에 Microsoft는 기능, 함께 작동하는 방법 및 이 작업에 접근하기 위한 모범 사례를 파악하는 것이 좋습니다. 다음 표에는 팀이 기술을 습득하는 데 도움이 되는 몇 가지 교육 리소스가 포함되어 있습니다.

리소스 설명
모듈: 권한 있는 액세스 계획 및 구현 PIM을 사용하여 데이터 및 리소스를 보호하는 방법을 알아봅니다.
모듈: 백업 및 재해 복구를 위한 솔루션 설계 Azure 워크로드에 적합한 백업 솔루션과 재해 복구 솔루션을 선택하는 방법에 대해 알아봅니다.
모듈: Azure Site Recovery를 사용하여 재해로부터 온-프레미스 인프라 보호 Azure Site Recovery를 사용하여 온-프레미스 인프라에 재해 복구를 제공하는 방법을 알아봅니다.
모듈: Azure Site Recovery를 사용하여 Azure 인프라 보호 Azure 가상 머신의 복제, 장애 조치(failover) 및 장애 복구(failback)를 사용자 지정하여 Azure 인프라에 재해 복구를 제공하는 방법을 알아봅니다.
모듈: 네트워크 보안 디자인 및 구현 Azure DDoS, 네트워크 보안 그룹, Azure Firewall 및 웹 애플리케이션 방화벽과 같은 네트워크 보안 솔루션을 디자인하고 구현하는 방법을 알아봅니다.
모듈: 네트워크 보안 그룹 및 서비스 엔드포인트를 사용하여 Azure 리소스에 대한 액세스 보호 및 격리 네트워크 보안 그룹 및 서비스 엔드포인트를 사용하여 무단 네트워크 액세스로부터 가상 머신 및 Azure 서비스를 보호하는 방법을 알아봅니다.
모듈: Windows Server 업데이트 관리 Windows Server Update Services를 사용하여 네트워크의 컴퓨터에 운영 체제 업데이트를 배포하는 방법을 알아봅니다.

스테이지 1

1단계 배포 목표에는 관리자 및 기타 권한 있는 액세스 계정을 잠그고, Microsoft 클라우드 제품을 사용하여 중요한 비즈니스 데이터를 백업하고, 모든 네트워크 트래픽이 암호화되도록 하는 것이 포함됩니다.

권한 있는 계정 보호

사이버 보안 인시던트에서는 일반적으로 일종의 자격 증명 도난으로 시작됩니다. 공격자는 잘 알려져 있거나 쉽게 검색할 수 있는 계정 이름을 검색한 다음 계정의 암호를 확인합니다. 대부분의 경우 MFA(다단계 인증)를 통해 이러한 유형의 공격을 방해할 수 있습니다. 그러나 위반 가정 제로 트러스트 원칙은 공격자가 ID를 사용하여 네트워크에 액세스할 수 있고 액세스할 수 있음을 의미합니다.

네트워크에서 공격자는 점점 더 많은 액세스 권한으로 계정을 손상시켜 권한 수준을 높이려고 합니다. 목표는 중요한 데이터뿐만 아니라 관리 설정에 대한 광범위한 액세스 권한이 있는 권한 있는 계정을 손상시키는 것입니다. 따라서 공격자에 대한 이 수준의 액세스를 방지하는 것이 필수적입니다.

먼저 하이브리드 ID 조직의 경우 클라우드 서비스에 사용되는 권한 있는 역할을 보유하는 관리자 계정 또는 계정이 AD DS(온-프레미스 Active Directory Domain Services)와 동기화되고 저장되지 않도록 해야 합니다. 온-프레미스에 저장되고 AD DS 또는 Microsoft Entra Connect가 손상된 경우 공격자는 Microsoft 클라우드 서비스에 대한 관리 제어를 가질 수 있습니다. 동기화 설정을 검토하여 클라우드 관리자 계정이 AD DS에 있는지 여부를 방지하고 테스트합니다.

Microsoft 클라우드 구독을 사용하는 모든 조직에는 사용자 및 관리 계정을 포함하는 클라우드 계정이 포함된 Microsoft Entra ID 테넌트가 있습니다. 관리자는 Microsoft Entra ID, Azure, Microsoft 365 또는 SaaS 앱에서 권한 있는 작업을 수행해야 합니다.

권한 있는 계정을 보호하는 첫 번째 단계는 강력한 암호 및 MFA를 요구하는 것입니다. 또한 최소 권한 액세스 제로 트러스트 원칙에 따라 Microsoft Entra 프로덕션 환경에서 Microsoft Entra PIM을 사용하여 추가 보호 계층을 제공합니다. Microsoft Entra PIM은 과도하거나 불필요하거나 오용된 액세스 권한의 위험을 완화하기 위해 시간 기반 및 승인 기반 역할 활성화를 제공합니다.

Microsoft Entra PIM의 기능은 다음과 같습니다.

  • Microsoft Entra ID 및 Azure 리소스에 대한 JIT 권한 있는 액세스
  • 시작 및 종료 날짜를 사용하여 리소스에 시간 제한 액세스
  • 권한 있는 역할을 활성화하기 위해 승인 필요
  • MFA를 적용하여 모든 역할 활성화
  • 사용자가 활성화하는 이유를 이해하려면 근거 필요
  • 권한 있는 역할이 활성화되면 알림을 받습니다.
  • 액세스 검토를 수행하여 사용자에게 여전히 역할이 필요한지 확인합니다.
리소스 설명
Microsoft Entra ID를 사용하는 하이브리드 ID란? Microsoft Entra ID Connect에 대한 설명서 집합을 시작합니다.
Microsoft Entra Privileged Identity Management란? Microsoft Entra PIM에 대한 설명서 집합을 시작합니다.
Microsoft Entra PIM 배포 계획 권한 있는 계정에 대한 PIM을 배포하기 위한 계획 프로세스를 단계별로 진행합니다.
모듈: 권한 있는 액세스 계획 및 구현 PIM을 사용하여 데이터 및 리소스를 보호하는 방법을 알아봅니다.
네트워크 분할

이 목표는 중간 분석 및 필터링이 중요한 서버, 애플리케이션 및 데이터를 보호할 수 있도록 네트워크에 경계를 만드는 것입니다. 네트워크 구분은 온-프레미스 서버 또는 클라우드에서 발생할 수 있습니다(예: Azure IaaS의 VNet(가상 네트워크)에서 호스트되는 가상 머신을 사용합니다.

권장 사항 리소스
일부 마이크로 세분화와 함께 많은 수신/송신 클라우드 마이크로 경계를 사용합니다. 제로 트러스트를 통한 네트워크 보호
여러 서브넷 및 네트워크 보안 그룹을 사용하여 앱의 여러 계층을 호스트하고 트래픽을 제한합니다. Azure의 스포크 VNet에 제로 트러스트 원칙 적용

Azure PaaS Services를 사용하여 스포크 VNet에 제로 트러스트 원칙 적용

Azure 환경의 세분화에 대한 자세한 내용은 Azure 기반 네트워크 통신 분할을 참조 하세요.

중요한 워크로드 연속성을 위한 Site Recovery 구현

Azure Site Recovery는 배포의 용이성, 비용 효율성 및 신뢰성을 제공하는 네이티브 DRaaS(재해 복구 as a Service)입니다. Site Recovery를 통해 복제, 장애 조치(failover) 및 복구 프로세스를 배포하여 사이버 공격에 기반한 중단과 같이 계획되거나 계획되지 않은 중단 중에 애플리케이션을 계속 실행하도록 지원합니다.

Azure Site Recovery에는 다음 두 가지 주요 구성 요소가 있습니다.

  • Site Recovery 서비스: Site Recovery는 중단 시간 중에도 비즈니스 앱과 워크로드를 지속적으로 실행하여 비즈니스 연속성을 보장합니다. Site Recovery는 물리적 컴퓨터와 VM(가상 머신)에서 실행되는 워크로드를 기본 사이트에서 보조 위치로 복제합니다. 기본 사이트에서 중단이 발생하면 보조 위치로 장애 조치(failover)하고 여기에서 앱에 액세스합니다. 기본 위치가 다시 실행되면 장애 복구(failback)할 수 있습니다.
  • 백업 서비스: Azure Backup 서비스는 데이터를 안전하고 복구 가능한 상태로 유지합니다. 자세한 내용은 이전 섹션을 참조하세요.

Site Recovery는 다음을 위해 복제를 관리할 수 있습니다.

  • Azure 지역 간에 Azure VM 복제
  • Azure 퍼블릭 MEC(멀티 액세스 에지 컴퓨팅)에서 지역으로의 복제
  • 두 Azure 퍼블릭 MEC 간의 복제
  • 온-프레미스 VM, Azure Stack VM 및 물리적 서버

BCDR 솔루션의 일부로 Azure Site Recovery를 사용합니다.

리소스 설명
Site Recovery 개요 설명서 집합을 시작합니다.
모듈: Azure Site Recovery를 사용하여 재해로부터 온-프레미스 인프라 보호 Azure Site Recovery를 사용하여 온-프레미스 인프라에 재해 복구를 제공하는 방법을 알아봅니다.
모듈: Azure Site Recovery를 사용하여 Azure 인프라 보호 Azure 가상 머신의 복제, 장애 조치(failover) 및 장애 복구(failback)를 사용자 지정하여 Azure 인프라에 재해 복구를 제공하는 방법을 알아봅니다.
네트워크 통신 암호화

이 목표는 네트워크 트래픽이 암호화되었는지 확인하기 위한 추가 검사입니다. 네트워킹 팀에 문의하여 이러한 권장 사항이 충족되는지 확인합니다.

권장 사항 리소스
사용자-앱 내부 트래픽이 암호화되었는지 확인합니다.

- 인터넷 연결 웹 애플리케이션에 HTTPS 전용 통신을 적용합니다.
- Azure VPN Gateway를 사용하여 원격 직원 및 파트너를 Microsoft Azure에 연결합니다.
- Azure Bastion을 통해 암호화된 통신을 사용하여 안전하게 Azure 가상 머신에 액세스합니다.		 제로 트러스트-Objective 3을 사용하여 네트워크 보호: 사용자-앱 내부 트래픽이 암호화됨
가상 네트워크 간의 애플리케이션 백 엔드 트래픽을 암호화합니다.

온-프레미스와 클라우드 간의 트래픽을 암호화합니다.		 제로 트러스트-Objective 6을 사용하여 네트워크 보호: 모든 트래픽이 암호화됨
네트워크 설계자를 위해 이 문서는 권장 네트워킹 개념을 관점으로 배치하는 데 도움이 됩니다. Microsoft의 보안 및 규정 준수 설계자인 Ed Fisher는 가장 일반적인 문제를 방지하여 클라우드 연결을 위해 네트워크를 최적화하는 방법을 설명합니다. 네트워킹(클라우드로) - 한 설계자의 관점

Azure 환경의 암호화에 대한 자세한 내용은 Azure 기반 네트워크 통신 암호화를 참조 하세요.

스테이지 2

2단계 배포 목표에는 중요한 리소스에 대한 트래픽에 대한 더 나은 제어를 실행하기 위해 네트워크를 분할하고, 서버 및 디바이스가 적시에 업데이트로 패치되도록 하고, 공격자를 속이고 산만하게 하는 허니팟 리소스를 만들고, 내부자 위험 관리를 시작하는 것이 포함됩니다.

중요한 비즈니스 데이터를 위한 Microsoft 365 및 Azure Backup 구현

BCDR은 위반 완화의 중요한 요소이며 BCDR 인프라의 중요한 부분은 백업 및 복원입니다. 사이버 공격의 경우 의도적인 삭제, 손상 또는 암호화로부터 백업을 보호해야 합니다. 랜섬웨어 공격에서 공격자는 라이브 데이터와 백업을 모두 암호화, 손상 또는 파괴할 수 있으므로 조직은 비즈니스 운영을 복원하기 위해 몸값에 취약해질 수 있습니다. 이 취약성을 해결하려면 백업된 데이터의 복사본을 변경할 수 없어야 합니다.

Microsoft는 네이티브 백업 및 복원 기능을 위해 Microsoft 365 Backup 및 Azure Backup을 제공합니다.

Microsoft 365 Backup은 Exchange, OneDrive 및 SharePoint 워크로드에 대한 Microsoft 365 테넌트 데이터를 대규모로 백업하고 빠른 복원을 제공하는 새로운 제품(현재 미리 보기 상태)입니다. Microsoft 365 Backup 또는 Microsoft 365 Backup Storage 플랫폼을 기반으로 구축된 애플리케이션은 테넌트 크기 또는 규모에 관계없이 다음과 같은 이점을 제공합니다.

  • 몇 시간 내에 빠르고 변경할 수 없는 백업
  • 몇 시간 내에 빠른 복원
  • 전체 SharePoint 사이트 및 OneDrive 계정 복원 충실도, 즉 사이트와 OneDrive는 롤백 작업을 통해 특정 이전 시점에서 정확한 상태로 복원됩니다.
  • 검색을 사용하여 전체 Exchange 사서함 항목 복원 또는 세분화된 항목 복원
  • 통합 보안 및 규정 준수 도메인 관리

자세한 내용은 Microsoft 365 Backup 개요를 참조하세요.

Azure Backup 서비스는 데이터를 백업하고 Microsoft Azure 클라우드에서 복구할 수 있는 간단하고, 안전하며, 비용 효율적인 솔루션을 제공합니다. Azure Backup은 다음을 백업할 수 있습니다.

  • 온-프레미스 파일, 폴더, 시스템 상태, 온-프레미스 VM(Hyper-V 및 VMware) 및 기타 온-프레미스 워크로드.
  • Azure VM 또는 파일, 폴더 및 시스템 상태입니다.
  • Azure Managed Disks
  • Azure Files 공유
  • Azure VM의 SQL Server
  • Azure VM의 SAP HANA 데이터베이스
  • Azure Database for PostgreSQL 서버
  • Azure Blob
리소스 설명
모듈: 백업 및 재해 복구를 위한 솔루션 설계 Azure 워크로드에 적합한 백업 솔루션과 재해 복구 솔루션을 선택하는 방법에 대해 알아봅니다.
Microsoft 365 Backup 개요 Microsoft 365 Backup에 대한 설명서 집합을 시작합니다.
Azure Backup 서비스 개요 Azure Backup에 대한 설명서 집합을 시작합니다.
랜섬웨어로부터 보호하기 위한 백업 및 복원 계획 Azure Backup이 랜섬웨어 공격으로부터 보호하는 방법을 알아봅니다.

BCDR 솔루션의 일부로 Microsoft 365 Backup 및 Azure Backup을 사용할 수 있습니다.

위반 후 포렌식 조사를 위해 Azure에서 증분 스냅샷을 사용할 수도 있습니다. 증분 스냅샷은 관리 디스크의 특정 시점 백업으로, 마지막 스냅샷 이후의 변경 내용으로만 구성됩니다. 스냅샷을 사용하면 위반이 발생하기 전 마지막 시점을 설정하고 해당 상태로 복원할 수 있습니다.

백업을 관리하는 데 사용되는 사용자 계정에 대한 ID 보호는 MFA에서 강력한 인증을 사용해야 하며 JIT 액세스에 PIM을 사용해야 합니다. 또한 백업 인프라가 로컬 ID 또는 로컬 시스템 ID와 같은 다른 ID 공급자의 보조 ID를 사용하여 보호되는지 확인합니다. 이들은 브레이크 글라스 계정으로 알려져 있습니다.

예를 들어 사이버 공격으로 Microsoft Entra ID 테넌트가 손상되고 Microsoft Entra ID 관리자 계정을 사용하여 백업에 액세스할 수 없는 경우 백업 인프라에서 손상된 Microsoft Entra ID 테넌트와는 별개인 로그인을 허용해야 합니다.

패치 계획 구현

패치 계획에는 패치가 패치되지 않은 시스템을 공격 벡터로 사용하는 공격자를 방지하기 위해 패치가 신속하게 롤아웃되도록 모든 운영 체제 자산에서 자동 업데이트를 구성하는 것이 포함됩니다.

리소스 설명
Microsoft에서의 엔드포인트 관리 Microsoft의 엔드포인트 관리 솔루션 개요를 시작합니다.
엔드포인트 관리 설명서를 시작하여 엔드포인트를 관리합니다.
Azure IaaS에 제로 트러스트 적용: 가상 머신 업데이트 자동화 Windows 및 Linux 기반 가상 머신에 대한 자동 업데이트를 구성합니다.
Intune 정책을 통해 관리할 수 있는 Windows 업데이트 설정 Microsoft Intune을 사용하여 Windows 10 및 Windows 11에 대한 Windows 업데이트 설정을 관리합니다.

또한 다른 디바이스, 특히 다음 장치에 필요한 업데이트 및 패치를 고려합니다.

  • 보안을 제공합니다.

    예를 들어 인터넷 액세스 라우터, 방화벽, 패킷 필터링 디바이스 및 기타 중간 보안 분석 디바이스가 있습니다.

  • BCDR 인프라의 일부입니다.

    예를 들어 온-프레미스 또는 온-라인 타사 백업 서비스가 있습니다.

허니팟 리소스 만들기

공격자가 검색할 수 있도록 ID, 파일 공유, 애플리케이션 및 서비스 계정과 같은 허니팟 리소스를 의도적으로 만듭니다. 이러한 리소스는 공격자를 유치하고 속이는 데 전념하며 일반적인 IT 인프라에 속지 않습니다.

허니팟 리소스는 공격자의 일반적인 대상을 반영해야 합니다. 예시:

  • 관리자 액세스를 암시하지만 honeypot 리소스 이외의 권한이 없는 사용자 계정 이름입니다.
  • CustomerDatabase.xlxs와 같은 중요한 데이터를 의미하는 파일 이름이 있지만 데이터는 허구인 파일 공유 리소스입니다.

Honeypot 리소스를 배포한 후 위협 방지 인프라를 사용하여 이를 모니터링하고 공격을 조기에 감지합니다. 이상적으로 탐지는 공격자가 허니팟 리소스가 가짜임을 확인하고 횡적 전송 기술을 사용하여 공격자가 자신의 앱과 도구를 사용하여 자산을 공격하는 땅에서 살기 전에 발생합니다. 허니팟 리소스를 공격하는 동안 공격자의 ID, 방법 및 동기에 대한 정보를 수집할 수도 있습니다.

Microsoft Defender XDR의 새로운 기만 기능을 사용하면 본격적인 디코이 계정, 호스트 및 유혹을 사용하도록 설정하고 구성할 수 있습니다. Defender XDR에서 생성된 가짜 자산은 특정 클라이언트에 자동으로 배포됩니다. 공격자가 미끼 또는 유혹과 상호 작용할 때 기만 기능은 높은 신뢰도 경고를 발생시켜 보안 팀의 조사를 돕고 공격자의 방법과 전략을 관찰할 수 있도록 합니다.

자세한 내용은 개요를 참조하세요.

Microsoft Purview 내부 위험 관리 시작

Microsoft Purview 내부 위험 관리 잠재적으로 위험한 활동을 신속하게 식별, 심사 및 조치를 수행하는 데 도움이 됩니다. Microsoft 365 및 Microsoft Graph의 로그를 사용하여 내부자 위험 관리를 통해 특정 정책을 정의하여 위험 지표를 식별할 수 있습니다. 사용자의 내부 위험 예는 다음과 같습니다.

  • 중요한 데이터 누출 및 데이터 유출
  • 기밀성 위반
  • IP(지적 재산) 도난
  • 사기 행위
  • 내부 거래
  • 규정 준수 위반

위험을 식별한 후 이러한 위험을 완화하기 위한 조치를 취하고 필요한 경우 공개 조사 사례를 수행하고 적절한 법적 조치를 취할 수 있습니다.

리소스 설명
내부자 위험 관리 설명서 집합을 시작합니다.
모듈: Microsoft Purview에서 내부자 위험 관리 내부자 위험 관리 및 Microsoft 기술이 조직의 위험한 활동을 감지, 조사 및 조치를 수행하는 데 어떻게 도움이 되는지 알아봅니다.
모듈: Microsoft Purview 내부 위험 관리 구현 Microsoft Purview 내부 위험 관리 사용하여 내부자 위험 솔루션을 계획하고, 내부자 위험 관리 정책을 만들고, 내부자 위험 관리 경고 및 사례를 관리하는 방법을 알아봅니다.

3단계

이 단계에서는 모든 비즈니스 데이터 및 워크로드를 포함하도록 백업 및 사이트 복구 범위를 확장하고, 네트워크 기반 공격을 방지하고, 위협 및 BCDR 대응에 대한 보다 공식적인 디자인 및 계획을 수립합니다.

모든 비즈니스 데이터에 대해 Microsoft 365 Backup 및 Azure Backup 구현

Microsoft 365 Backup 및 Azure Backup이 중요한 데이터에 대해 작동하고 복구 연습에서 테스트된 것에 만족하면 이제 모든 비즈니스 데이터를 포함하도록 확장할 수 있습니다.

모든 워크로드에 대한 Azure Site Recovery 구현

Azure Site Recovery가 중요한 데이터에 대해 작동하고 복구 연습에서 테스트된 것에 만족하면 이제 모든 비즈니스 데이터를 포함하도록 확장할 수 있습니다.

네트워크 트래픽에 대한 가시성 확보

인터넷 또는 온-프레미스와 같은 외부 환경에 엔드포인트를 연 클라우드 애플리케이션은 이러한 환경에서 들어오는 공격의 위험이 있습니다. 이러한 공격을 방지하려면 트래픽에서 악의적인 페이로드 또는 논리를 검색해야 합니다.

자세한 내용은 알려진 위협에 대한 클라우드 네이티브 필터링 및 보호를 참조하세요.

Azure 환경에서 네트워크 트래픽 가시성을 얻는 방법에 대한 자세한 내용은 네트워크 트래픽에 대한 가시성 확보를 참조하세요.

위협 및 BCDR 응답 디자인

위반으로 인해 공격자가 맬웨어를 사용하여 디바이스를 감염시키는 스펙트럼을 실행할 수 있으며, 이는 공격자가 조직의 중요한 데이터의 일부 또는 전부를 이미 유출, 암호화 또는 파괴한 랜섬웨어 공격에 대해 감지되고 비교적 쉽게 포함될 수 있으며 노출 또는 복원에 대한 몸값을 발생시킵니다.

심각한 랜섬웨어 공격에서 조직은 위기 또는 자연 재해와 여러 면에서 유사한 장기적인 비즈니스 중단을 겪을 수 있습니다. 위반과 그로 인한 파괴적인 사이버 공격을 인간이 만든 위기 또는 재해로 생각해 보십시오.

따라서 BCDR 계획에 위반 및 매우 파괴적인 사이버 공격의 가능성을 포함하는 것이 중요합니다. 위기 또는 자연 재해 후 비즈니스 운영을 계속하는 데 사용하는 것과 동일한 인프라는 공격으로부터 복구하는 데 사용할 수 있고 사용해야 합니다.

BCDR 계획이 이미 있는 경우 이를 검토하여 사이버 공격에 영향을 받을 수 있는 데이터, 디바이스, 애플리케이션 및 프로세스가 포함되어 있는지 확인합니다.

그렇지 않은 경우 일반 BCDR에 대한 계획 프로세스를 시작하고 사이버 공격을 위기 또는 재해의 원인으로 포함합니다. 다음 사항에 유의합니다.

  • BC 계획은 위기가 발생할 경우 비즈니스가 정상적으로 작동할 수 있도록 보장합니다.

  • DR 계획에는 데이터 백업 및 인프라 교체 또는 복구를 통해 데이터 또는 인프라 손실로부터 복구하는 비상 사태가 포함됩니다.

    DR 계획에는 비즈니스 운영을 복원하기 위한 IT 시스템 및 프로세스를 복구하기 위한 자세한 절차가 포함되어야 합니다. 이러한 계획에는 물리적 보안이 있는 위치에 저장된 이식 가능한 미디어와 같은 오프라인 백업이 있어야 합니다. 공격자는 온-프레미스 및 클라우드 위치에서 이러한 유형의 IT 복구 계획을 찾아 랜섬웨어 공격의 일부로 삭제할 수 있습니다. 이러한 계획이 파괴되면 비즈니스 운영을 복원하는 데 더 많은 비용이 들기 때문에 공격자는 더 많은 몸값을 요구할 수 있습니다.

이 문서에 설명된 Microsoft 365 Backup, Azure Backup 및 Azure Site Recovery는 BCDR 기술의 예입니다.

리소스 설명
모듈: 백업 및 재해 복구를 위한 솔루션 설계 Azure 워크로드에 적합한 백업 솔루션과 재해 복구 솔루션을 선택하는 방법에 대해 알아봅니다.

스테이지 4

이 단계에서는 네트워크를 더욱 안전하게 보호하고 파괴적인 사이버 공격 상황에 대비하여 BCDR 계획 및 프로세스가 작동하는지 확인합니다.

레거시 네트워크 보안 기술 중단

조직에서 네트워크 보안을 제공하는 데 사용하는 기술 및 제품 집합을 검사하고 필요한지 아니면 다른 네트워크 보안 기능과 중복되는지 확인합니다. 각 네트워크 보안 기술은 공격자의 대상이 될 수도 있습니다. 예를 들어 기술 또는 제품이 적시에 업데이트되지 않는 경우 이를 제거하는 것이 좋습니다.

자세한 내용은 더 이상 필요하지 않을 수 있는 네트워크 보안 기술의 유형을 설명하는 레거시 네트워크 보안 기술 중단을 참조하세요.

Azure 환경에서 레거시 네트워크 보안 기술을 중단하는 방법에 대한 자세한 내용은 레거시 네트워크 보안 기술 중단을 참조하세요.

위협 및 BCDR 대응 연습

비즈니스 운영이 파괴적인 사이버 공격으로부터 신속하게 복구할 수 있도록 하려면 SecOps 팀과 함께 BCDR 계획을 정기적으로 연습해야 합니다. 한 달에 한 번 또는 분기에 한 번 사이버 공격에 대한 BCDR 사례를 수행하고 BCDR 인프라의 요소가 변경되는 경우(예: 다른 백업 제품 또는 방법 사용)를 수행하는 것이 좋습니다.

클라우드 채택 계획

채택 계획은 성공적인 클라우드 채택을 위한 필수 요구 사항입니다. 보안 위반 방지 및 복구 구현을 위한 성공적인 채택 계획의 주요 특성은 다음과 같습니다.

  • 전략 및 계획이 조정 됩니다. 디지털 자산 전체에서 위반 방지 및 공격 복구 기능을 테스트, 파일럿 및 롤아웃하기 위한 계획을 작성할 때 전략과 목표를 다시 검토하여 계획이 조정되도록 해야 합니다. 여기에는 위반 방지 및 복구를 위한 목표의 우선 순위 및 목표 마일스톤이 포함됩니다.
  • 계획은 반복적입니다. 계획을 롤아웃하기 시작하면 사용자 환경 및 사용 중인 기능 집합에 대해 많은 것을 알게 됩니다. 롤아웃의 각 단계에서 목표와 비교하여 결과를 다시 검토하고 계획을 미세 조정합니다. 예를 들어 이전 작업을 다시 검토하여 정책을 미세 조정할 수 있습니다.
  • 직원 및 사용자 교육은 잘 계획되어 있습니다. 보안 설계자부터 네트워킹, 디바이스 및 BCDR을 위한 IT 전문가에 이르기까지 모든 사람이 위반 방지 및 복구 책임을 성공적으로 수행하도록 교육을 받았습니다.

Azure에 대한 클라우드 채택 프레임워크 자세한 내용은 클라우드 채택 계획을 참조하세요.

준비 단계

준비 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

이 문서에 나열된 리소스를 사용하여 계획의 우선 순위를 지정합니다. 위반 방지 및 복구를 구현하는 작업은 다중 계층 제로 트러스트 배포 전략의 계층 중 하나를 나타냅니다.

이 문서에서 권장되는 단계적 접근 방식에는 디지털 자산 전반에 걸쳐 체계적인 방식으로 연속적인 위반 방지 및 복구 작업이 포함됩니다. 이 단계에서는 계획의 이러한 요소를 다시 검토하여 모든 것이 준비되었는지 확인합니다.

  • Microsoft Entra PIM의 사용은 관리자 계정에 대해 테스트되었으며 IT 관리자는 이를 사용하도록 학습됩니다.
  • 네트워킹 인프라가 필요에 따라 데이터 암호화에 대해 테스트되고, 액세스를 필터링하기 위한 분할이 테스트되었으며, 중복 레거시 네트워킹 기술이 결정되었으며, 제거된 경우 작동을 보장하기 위해 테스트를 실행합니다.
  • 시스템 패치 사례는 성공적인 업데이트 설치 및 실패한 업데이트 검색에 대해 테스트되었습니다.
  • 내부자 위험 및 관리 방법에 대한 분석을 시작했습니다.
  • 허니팟 리소스가 배포되고 위협 방지 인프라와 함께 테스트되어 액세스를 검색합니다.
  • BCDR 인프라 및 사례는 데이터의 하위 집합에서 테스트되었습니다.

채택 단계

채택 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램.

Microsoft는 위반 방지 및 복구를 구현하는 연속적이고 반복적인 방법을 권장합니다. 이렇게 하면 결과의 정확도를 높이기 위해 전략 및 정책을 구체화할 수 있습니다. 다음 단계를 시작하기 전에 한 단계가 완료될 때까지 기다릴 필요가 없습니다. 그 과정에서 반복하면 결과가 더 효과적입니다.

조직 채택 단계의 주요 요소는 다음과 같습니다.

  • 모든 관리자 및 기타 권한 있는 계정에 대해 Microsoft Entra PIM 사용
  • 레거시 시스템의 네트워크 트래픽 암호화, 분할 및 제거 구현
  • Honeypot 리소스 배포
  • 패치 관리 인프라 배포
  • 내부자 위험 분석 및 내부자 위험 관리에 매핑
  • 중요 데이터에 대한 BCDR 인프라 배포 및 연습(1단계) 또는 모든 비즈니스 데이터(3단계)

단계 관리 및 관리

거버넌스 및 관리 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

위반 방지 및 복구를 구현하는 조직의 기능에 대한 거버넌스는 반복적인 프로세스입니다. 구현 계획을 신중하게 만들고 디지털 자산 전체에 배포함으로써 기초를 만들었습니다. 다음 작업을 사용하여 이 기초에 대한 초기 거버넌스 계획 빌드를 시작할 수 있습니다.

목표 작업
추적 및 측정 IT 관리 교육 및 허니팟 리소스 관리, 패치 관리, 네트워킹 보안 및 BCDR 절차와 같은 중요한 작업 및 프로젝트에 소유자를 할당합니다.

각 작업 및 프로젝트에 대한 날짜를 사용하여 실행 가능한 계획을 만들고 보고서 및 대시보드를 사용하여 진행 상황을 계측합니다.
Monitor - PIM 요청 및 결과 작업을 추적합니다.
- 허니팟 리소스에 대한 액세스를 모니터링합니다.
- 업데이트 설치 실패에 대해 패치할 시스템을 모니터링합니다.
- 완전성 및 복원 무결성에 대한 BCDR 프로시저를 테스트합니다.
성숙도 반복 - 제거할 수 있는 추가 레거시 시스템에 대한 네트워킹 인프라를 조사합니다.
- 새 리소스 및 기능을 위해 BCDR 인프라를 조정합니다.

다음 단계

이 비즈니스 시나리오의 경우:

제로 트러스트 채택 프레임워크의 추가 문서:

진행률 추적 리소스

제로 트러스트 비즈니스 시나리오의 경우 다음 진행률 추적 리소스를 사용할 수 있습니다.

진행률 추적 리소스 도움이 됩니다... 대상 사용자
채택 시나리오 계획 단계 그리드 다운로드 가능한 Visio 파일 또는 PDF

단계 및 목표를 보여 주는 예제 계획 및 단계 그리드입니다. 		각 비즈니스 시나리오의 보안 향상 기능과 계획 단계의 단계 및 목표에 대한 노력 수준을 쉽게 이해할 수 있습니다. 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자.
제로 트러스트 채택 추적기 다운로드 가능한 PowerPoint 슬라이드 데크

단계 및 목표를 보여 주는 예제 PowerPoint 슬라이드입니다. 		계획 단계의 단계 및 목표를 통해 진행 상황을 추적합니다. 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자.
비즈니스 시나리오 목표 및 작업 다운로드 가능한 Excel 통합 문서

단계, 목표 및 작업을 보여 주는 Excel 워크시트의 예입니다. 		소유권을 할당하고 계획 단계의 단계, 목표 및 작업을 통해 진행 상황을 추적합니다. 비즈니스 시나리오 프로젝트 리드, IT 잠재 고객 및 IT 구현자.

추가 리소스는 제로 트러스트 평가 및 진행률 추적 리소스를 참조하세요.