애플리케이션 및 워크로드 핵심 요소에 대한 CISA 제로 트러스트 완성 모델
이 섹션에는 애플리케이션 및 워크로드 핵심 요소에서 CISA 제로 트러스트 완성 모델 대한 Microsoft 지침과 권장 사항이 있습니다.
4개 애플리케이션 및 워크로드
CISA 정의에 따르면 애플리케이션 및 워크로드에는 온-프레미스, 모바일 디바이스 및 클라우드 환경에서 실행되는 엔터프라이즈 시스템, 컴퓨터 프로그램 및 서비스가 포함됩니다.
다음 링크를 사용하여 가이드의 섹션으로 이동합니다.
4.1 함수: 애플리케이션 액세스
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 만료가 있는 요청당 컨텍스트 정보(예: ID, 디바이스 준수 및/또는 기타 특성)를 통합하는 애플리케이션에 대한 액세스 권한 부여 기능을 구현하기 시작합니다. |
Microsoft Entra ID 애플리케이션은 Microsoft Entra ID를 엔터프라이즈 ID 공급자(IdP)로 채택하십시오. 새 애플리케이션에 Microsoft Entra ID를 사용하는 정책을 설정합니다. 애플리케이션에 대한 사용자 및 그룹 할당을 사용하여 애플리케이션 액세스 권한을 부여합니다. Microsoft Entra ID는 Microsoft Entra 조건부 액세스와 결합된 경우 업계 표준 프로토콜을 구현합니다. 요청 시 만료 기간을 가진 컨텍스트 정보를 통합합니다. - Microsoft Entra ID를 앱과 통합하고, - 토큰과 클레임을 처리합니다. - 사용자를 앱에 할당하고, 그룹을 지정합니다. 조건부 액세스에서 보안 결정을 위해 위치와 같은 디바이스 신호를 사용하는 조건부 액세스 정책을 설정합니다. 디바이스 특성에 따라 필터를 사용하여 정책을 포함 및 제외합니다.디바이스 |
|
고급 완성도 상태 Enterprise는 확장된 컨텍스트 정보와 최소 권한 원칙을 준수하는 만료 조건을 적용하여 애플리케이션 액세스 결정을 자동화합니다. |
조건부 액세스 엔터프라이즈 요구 사항을 충족하는 조건부 액세스 정책을 사용하여 애플리케이션 액세스 결정을 자동화합니다. 조건부 액세스는 애플리케이션 또는 리소스 액세스에 대한 정책 결정 지점(PDP)입니다. 액세스 결정에서 디바이스에 대한 컨텍스트 정보를 확장합니다. 규정을 준수하는 디바이스 또는 Microsoft Entra 하이브리드 가입 디바이스가 필요합니다. 액세스 권한을 알려진 디바이스나 규정을 준수하는 디바이스에 한해서만 부여합니다. - 조건부 액세스 - 디바이스 기반 정책 - Microsoft Entra 하이브리드 조인 확장된 맥락 정보를 사용하여 자동화된 애플리케이션 액세스 결정의 정확성을 높입니다. 애플리케이션, 보호된 작업 및 인증에 대한 조건부 액세스 정책을 구성합니다. 로그인 빈도 세션 제어를 사용하여 만료 조건을 사용자 지정합니다. - 보호된 작업 - 인증 개발자 가이드 - 조건부 액세스: 세션 Microsoft Intune Microsoft Entra ID로 디바이스를 등록하고 Intune을 사용하여 구성을 관리합니다. Intune 정책을 사용하여 디바이스 준수를 평가합니다. - 등록된 디바이스 - 디바이스 정책 준수 Microsoft Defender for Cloud Apps 클라우드 애플리케이션에 대한 세션을 모니터링하고 제어하기 위해 Cloud Apps용 Defender를 사용하십시오. - 앱 보호 - 세션 정책 - 위험한 작업 인증 앱 위생에 대한 정책 구성: 사용하지 않은 자격 증명 및 만료되는 자격 증명. 앱 거버넌스 기능 Microsoft Entra 앱 역할 앱 역할을 사용하여 앱 권한 부여 및 권한 모델을 디자인하기. 앱 관리를 위임하려면 소유자를 할당하여 앱 구성을 관리하고, 앱 역할을 등록하고 할당합니다. 애플리케이션 역할 |
|
최적 완성도 상태 Enterprise는 실시간 위험 분석 및 동작 또는 사용 패턴과 같은 요소를 통합하여 애플리케이션 액세스 권한을 지속적으로 부여합니다. |
Microsoft Entra ID Protection ID 보호는 사용자 및 로그인 위험 수준을 평가합니다. Microsoft Defender XDR 제품군에서는 검출된 실시간 및 오프라인 데이터가 집계 위험 수준을 결정합니다. 위험 기반 적응형 액세스 정책을 적용하려면 조건부 액세스 정책에서 위험 조건을 사용합니다. - ID 보호 - ID 보호의 위험 지속적인 액세스 평가 지속적인 액세스 평가(CAE) 메커니즘은 애플리케이션이 토큰 만료를 기다리지 않고 거의 실시간으로 정책 위반에 대응할 수 있도록 합니다. CAE를 지원하는 애플리케이션은 ID 보호에서 높은 사용자 위험에 플래그가 지정된 사용자를 포함하여 중요한 이벤트에 응답합니다. CAE 개요 Global Secure Access 토큰 도난 및 재생 공격의 위험을 줄이려면 CAE를 지원하는 서비스와 함께 작동하는 규정 준수 네트워크 적용을 구성합니다. 앱은 거의 실시간에 가까운 속도로 테넌트 준수 네트워크 외부에서 재생된 도난된 액세스 토큰을 거부합니다. - 글로벌 보안 액세스 - Microsoft Entra Internet Access - 적합성 네트워크 검사 |
4.2 함수: 애플리케이션 위협 방지
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 위협 방지를 중요 업무용 애플리케이션 워크플로에 통합하여 알려진 위협 및 일부 애플리케이션 관련 위협에 대한 보호를 적용합니다. |
Microsoft Entra ID 모든 액세스 요청의 경로에 Microsoft Entra ID를 넣습니다. 중요 업무용 애플리케이션이 Microsoft Entra ID와 통합되도록 의무화하는 정책을 구현합니다. 위협 방지가 애플리케이션 워크플로의 일부인지 확인합니다. - 애플리케이션 관리 - 엔터프라이즈 앱 추가 - 앱 및 인증 마이그레이션 Microsoft Cloud Apps용 Defender 위험한 OAuth 앱을 탐지하고 경고를 보내도록 Defender for Cloud Apps를 구성합니다. 사용자가 부여한 앱 권한을 조사하고 모니터링합니다. 위험한 OAuth 앱을 Azure Application Gateway 뒤에서 방지 모드로 Azure Web Application Firewall을 사용하여 Azure 애플리케이션 게이트웨이 뒤에 Azure 앱 및 API를 배포합니다. OWASP(Open Web Application Security Project) CRS(핵심 규칙 집합)를 사용하도록 설정합니다. 웹 애플리케이션 방화벽 Microsoft Defender XDR Defender XDR은 엔드포인트, ID, 이메일 및 애플리케이션에서 검색, 방지, 조사 및 대응 작업을 조정하는 통합된 위반 후 방어 모음입니다. - Defender XDR - XDR 도구 설정 |
|
Advanced Maturity Status Enterprise는 모든 애플리케이션 워크플로에 위협 방지를 통합하여 특정 애플리케이션 관련 위협과 표적 위협으로부터 보호합니다. |
Microsoft Entra ID 액세스 요청 경로에 Microsoft Entra ID를 배치합니다. 앱이 Microsoft Entra ID와 통합되도록 하는 정책을 구현하십시오. 모든 앱에 위협 방지가 적용되는지 확인합니다. - 애플리케이션 관리 - 엔터프라이즈 앱 추가 - 앱 및 인증 마이그레이션 Microsoft Entra 조건부 액세스, 토큰 보호 조건부 액세스 정책에서 토큰 보호 또는 토큰 바인딩을 사용합니다. 토큰 보호는 의도한 디바이스에서 토큰을 사용할 수 있도록 하여 공격을 줄입니다. 토큰 보호 Microsoft Entra 애플리케이션 프록시 레거시 인증 프로토콜을 사용하여 프라이빗 앱에 애플리케이션 프록시 및 Microsoft Entra ID를 사용합니다. 애플리케이션 프록시를 배포하거나 SHA(보안 하이브리드 액세스) 파트너 솔루션을 통합합니다. 보호를 확장하려면 Cloud Apps용 Microsoft Defender에서 세션 정책을 구성합니다. - 레거시 앱 보호 - 애플리케이션 프록시 보안 고려 사항 - 세션 정책 만들기 Microsoft Defender 취약성 관리 Defender 취약성 관리의 에이전트 없는 스캐너가 위험을 지속적으로 모니터링하고 탐지합니다. 통합된 인벤토리는 소프트웨어 취약성, 약한 암호화 알고리즘을 사용하는 디지털 인증서, 하드웨어 및 펌웨어 약점 및 엔드포인트의 위험한 브라우저 확장에 대한 실시간 보기입니다. Defender 취약성 관리 Defender for Cloud 애플리케이션 워크로드에 대한 워크로드 보호를 사용하도록 설정합니다. Defender for Servers P2를 사용하여 엔드포인트용 Microsoft Defender 및 서버용 Defender 취약성 관리에 서버를 온보딩합니다. - Defender for App Service - Defender for APIs - Defender for Containers - Defender for Servers Microsoft Entra Workload ID Premium 애플리케이션 워크플로에 위협 방지를 통합하기 위해. 워크로드 ID에 대한 ID 보호를 구성합니다. 워크로드 ID의 보안을 강화합니다. |
|
최적 완성도 상태 Enterprise는 고급 위협 방지를 모든 애플리케이션 워크플로에 통합하여 애플리케이션에 맞게 조정된 정교한 공격에 대한 실시간 가시성 및 콘텐츠 인식 보호를 제공합니다. |
Microsoft Defender for Cloud Apps 실시간 가시성과 제어를 위해 Defender for Cloud Apps에서 세션 제어 정책을 구성합니다. 파일 정책을 사용하여 실시간으로 콘텐츠를 검색하고, 레이블을 적용하고, 파일 작업을 제한합니다. - 클라우드 앱 가시성 및 제어 - 파일 정책 Defender XDR, Microsoft Sentinel Defender XDR과 Sentinel을 통합합니다. - Defender XDR - Sentinel 및 Zero Trust용 Defender XDR Fusion, Sentinel의 Fusion Fusion은 Sentinel의 다단계 공격 탐지 분석 규칙입니다. Fusion에는 다단계 공격 또는 APT(고급 영구 위협)를 감지하는 기계 학습 상관 관계 엔진이 있습니다. 비정상적인 동작 및 의심스러운 활동을 식별합니다. 사고는 발생 빈도가 낮고 충실도가 높으며 심각도가 높습니다. - 다단계 공격 탐지 - 비정상 - 비정상 탐지 분석 규칙 글로벌 보안 액세스 애플리케이션 및 리소스에 대한 보안 액세스를 보장하면서 사용자 액세스를 실시간으로 지속적으로 모니터링하고 관리합니다. Defender for Cloud Apps와 통합하여 소프트웨어 사용 및 보안을 표시하고 제어합니다. 조건부 액세스에서 테넌트에 대한 규격 네트워크 검사를 사용하여 도난당한 재생된 토큰과 같은 정교한 공격을 방지합니다. 생산성을 지원하고 위치 기반 보안 검사를 수행합니다. SaaS(Software as a Service) 앱에 대한 SSE(Security Service Edge) 바이패스를 방지합니다. - Global Secure Access - 준수하는 네트워크 검사 |
4.3 함수: 액세스 가능한 애플리케이션
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 조정된 연결을 통해 필요한 권한이 있는 사용자에게 공개 공개 네트워크를 통해 해당 업무상 중요한 애플리케이션 중 일부를 사용할 수 있도록 합니다. |
Microsoft Entra ID 액세스 요청 경로에 Microsoft Entra ID를 설정합니다. 중요 업무용 앱을 Microsoft Entra ID와 통합하도록 의무화하는 정책을 구현합니다. - 애플리케이션 관리 - 엔터프라이즈 앱 추가 - 앱 및 인증 마이그레이션 Microsoft Azure 애플리케이션을 Azure로 마이그레이션하여 현대화하세요. - 앱 마이그레이션 - 앱 및 프레임워크 현대화 - Microsoft Entra 애플리케이션 프록시 마이그레이션 계획 빌드 Microsoft Entra ID로 권한이 부여된 사용자가 공용 네트워크 연결을 통해 액세스하는 중요 업무용 내부 웹 애플리케이션을 게시하도록 애플리케이션 프록시를 구성합니다. - Defender for Cloud Apps - 앱을 Defender와 연결 - 세션 정책 만들기 Microsoft Entra 조건부 액세스 Microsoft Entra ID와 통합된 앱에 대한 액세스 권한을 부여하는 정책을 구성합니다. Cloud Apps용 Defender에서 CASB(클라우드 액세스 보안 브로커)를 사용하도록 조건부 액세스 앱 제어를 구성합니다.조건부 액세스 |
|
고급 완성도 상태 Enterprise는 필요에 따라 공개 공개 네트워크 연결을 통해 해당 업무상 중요한 애플리케이션 대부분을 사용할 수 있도록 합니다. |
초기 성숙도 상태지침을 사용하고 가장 중요 업무용 애플리케이션을 포함합니다. |
|
최적 완성도 상태 Enterprise는 필요한 경우 권한 있는 사용자 및 디바이스에 대해 공개 공용 네트워크를 통해 적용 가능한 모든 애플리케이션을 사용할 수 있도록 합니다. |
초기 완성도 상태지침을 사용하고 모든 애플리케이션을 포함합니다.
조건부 액세스 애플리케이션에 대한 규격 디바이스가 필요한 조건부 액세스 정책을 구성합니다. 비규격 디바이스에 대한 액세스가 차단됩니다. 규격 디바이스 필요 |
4.4 함수: 보안 애플리케이션 개발 및 배포 워크플로
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 CI/CD 파이프라인을 통한 공식 코드 배포 메커니즘과 최소 권한 원칙을 지원하는 필수 액세스 제어를 통해 개발, 테스트 및 프로덕션 환경(자동화 포함)을 위한 인프라를 제공합니다. |
Azure 랜딩 존을 설정하고 Azure Policy를 사용하여 개발 환경을 만들며 리소스 구성 정책을 적용할 수 있습니다. - 랜딩 존 - Azure Policy GitHub 또는 Azure DevOps와 같은 CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인을 사용하여 공식화된 코드 배포 메커니즘을 설정합니다. GitHub Enterprise GitHub Enterprise 도구는 협업, 보안 및 관리를 지원합니다. 무제한 리포지토리, 프로젝트 관리 기능, 문제 추적 및 보안 경고와 같은 기능을 사용합니다. 리포지토리 및 프로젝트 정보를 제어하면서 팀 간의 협업을 강화합니다. 유연한 배포 옵션을 사용하여 보안 정책을 간소화하고 관리를 간소화합니다. GitHub Enterprise Cloud SSO(Single Sign-On) 및 사용자 프로비저닝을 위해 GitHub를 Microsoft Entra ID에 연결합니다. 최소 권한 원칙을 보장하려면 개인 액세스 토큰을 사용하지 않도록 설정합니다. - Enterprise 관리 사용자는 GitHub Enterprise - 에 대한 SSO(Single Sign-On) 통합을 - Azure DevOps 개인 액세스 토큰 정책을 적용하여 사용자, 프로세스 및 기술을 함께 가져와 소프트웨어 배달을 자동화할 있습니다. 기존 개발 방법보다 빠르게 제품을 만들고 개선하기 위한 협업 및 프로세스를 지원합니다. Azure Boards, Repos, 파이프라인, 테스트 계획 및 아티팩트와 같은 기능을 사용합니다. 프로젝트 관리, 버전 제어, CI/CD, 테스트 및 패키지 관리를 간소화합니다. Azure DevOps - 정책을 사용하여 조직을 Microsoft Entra ID에 연결 - 개인 액세스 토큰 관리 |
|
고급 완성도 상태 Enterprise는 개발, 보안 및 운영을 위해 고유하고 조정된 팀을 사용하는 동시에 코드 배포를 위한 프로덕션 환경에 대한 개발자 액세스를 제거합니다. |
Microsoft Entra ID 거버넌스 개발 및 프로덕션 구독에서 동일한 Microsoft Entra 테넌트를 사용하는 경우, 권한 관리에서 액세스 패키지를 사용하여 역할 자격을 할당합니다. 사용자가 개발 및 프로덕션 환경에 액세스할 수 없도록 검사를 사용하도록 설정합니다. 업무 분리 Access 검토 프로덕션 환경에 액세스할 수 있는 개발자를 제거하려면 Azure 프로덕션 역할을 사용하여 액세스 검토를 만듭니다. 액세스 검토 만들기 |
|
최적 완성도 상태 Enterprise는 변경이 가능한 경우 변경할 수 없는 워크로드를 활용하며, 변경 내용이 재배포를 통해서만 적용되도록 허용하고, 코드 배포를 위한 자동화된 프로세스를 위해 배포 환경에 대한 관리자 액세스를 제거합니다. |
Azure DevOps 릴리스 게이트 PIM 검색 및 인사이트 액세스 검토 프로덕션 환경에서 적격 관리자를 줄이려면 Azure 역할을 사용하여 액세스 검토를 만듭니다. Azure 리소스 역할 액세스 검토 |
4.5 함수: 애플리케이션 보안 테스트
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 애플리케이션 배포 전에 정적 및 동적(즉, 애플리케이션이 실행 중) 테스트 방법을 사용하여 수동 전문가 분석을 포함한 보안 테스트를 수행하기 시작합니다. |
Microsoft 위협 모델링 도구 위협 모델링 도구는 Microsoft SDL(보안 개발 수명 주기)의 일부입니다. 소프트웨어 설계자는 보안 문제를 조기에 식별하고 완화하여 개발 비용을 절감합니다. 위협 모델을 만들고 분석하기 위한 지침을 찾습니다. 이 도구는 보안 디자인 통신을 용이하게 하고, 잠재적인 보안 문제를 분석하며, 완화를 제안합니다. - 위협 모델링 도구 - 시작하기 Azure Marketplace 개발자 도구 보안 애플리케이션 개발 사례를 따르십시오. Azure Marketplace의 도구를 사용하여 코드 분석을 지원합니다. - CodeQL 검색 - Azure DevOps를 위한 GitHub 고급 보안 |
|
고급 완성도 상태 Enterprise는 주기적인 동적 테스트 방법 사용을 포함하여 애플리케이션 개발 및 배포 프로세스에 애플리케이션 보안 테스트를 통합합니다. |
GitHub Advanced Security - 고급 보안 - Azure DevOps의 고급 보안 - 코드 스캔 Microsoft Defender for Cloud 애플리케이션 워크로드가 있는 구독에 대한 워크로드 보호를 활성화합니다. - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps 보안 CSPM(클라우드 지원 계획 관리) 기능을 사용하여 다중 파이프라인 환경에서 애플리케이션 및 코드를 보호합니다. 조직을 연결하고 DevOps 환경 보안 구성을 평가합니다. - Defender for Cloud DevOps 보안 - Azure DevOps 환경을 Defender for Cloud 연결 |
|
최적 완성도 상태 Enterprise는 엔터프라이즈 전체의 소프트웨어 개발 수명 주기 전반에 걸쳐 애플리케이션 보안 테스트를 배포된 애플리케이션의 일상적인 자동화된 테스트와 통합합니다. |
Defender for Cloud DevOps 보안 CSPM(클라우드 보안 상태 관리) 기능을 사용하여 다중 파이프라인 환경에서 애플리케이션 및 코드를 보호합니다. DevOps 환경 보안 구성을 평가합니다. - Defender for Cloud DevOps 보안 - 컨테이너 이미지 매핑 - 공격 경로 관리 |
4.6 함수: 가시성 및 분석
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 향상된 로그 수집, 집계 및 분석을 위해 애플리케이션 프로필(예: 상태, 상태 및 성능) 및 보안 모니터링을 자동화하기 시작합니다. |
Azure Monitor 진단을 사용하도록 Azure Policy를 구성하고 Azure에 배포된 애플리케이션 워크로드에 Azure Monitor를 사용합니다.Azure Monitor Application Insights Microsoft Defender for Cloud Azure 및 다중 클라우드 환경에 대해 Defender for Cloud를 사용하도록 설정합니다. Microsoft 보안 점수를 사용하여 격차를 식별하고 보안 태세를 개선합니다. - Defender for Cloud - 보안 점수 |
|
고급 완성도 상태 Enterprise는 추론을 사용하여 대부분의 애플리케이션에 대한 프로필 및 보안 모니터링을 자동화하여 애플리케이션별 및 엔터프라이즈 차원의 추세를 식별하고 시간이 지남에 따라 프로세스를 구체화하여 가시성 격차를 해결합니다. |
Defender for Cloud Microsoft Secure Score를 사용하여 클라우드 보안 상태를 평가하고 개선합니다. 위험 우선 순위를 사용하여 중요한 보안 문제를 해결합니다. 모니터링 구성 요소를 배포하여 Azure 워크로드에서 데이터를 수집하고 취약성 및 위협을 모니터링합니다.Microsoft Sentinel |
|
최적 완성도 상태 Enterprise는 모든 애플리케이션에서 연속적이고 동적 모니터링을 수행하여 엔터프라이즈 전체의 포괄적인 가시성을 유지합니다. |
Defender for Cloud 비 Microsoft 클라우드 및 온-프레미스의 리소스를 포함하여 클라우드용 Defender와 인프라 및 플랫폼 워크로드를 통합합니다. 포괄적인 엔터프라이즈 수준의 가시성을 유지 관리합니다. - 온-프레미스 서버 연결 - AWS(Amazon Web Services) 계정 연결 - GCP(Google Cloud Platform) 프로젝트 연결 Defender for Cloud 워크로드 보호 애플리케이션 워크로드에 대한 워크로드 보호 기능을 활성화합니다. - Defender for App Service - Defender for API - Defender for Containers - Defender for Servers |
4.7 함수: 자동화 및 오케스트레이션
| CISA ZTMM의 단계 설명 |
Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 엔터프라이즈는 관련 보안 및 성능 목표를 충족하기 위해 위치 및 액세스를 포함한 애플리케이션 구성을 주기적으로 수정합니다. |
Azure Resource Manager ARM은 Azure용 배포 및 관리 서비스입니다. ARM 템플릿 및 Azure Bicep을 사용하여 구성 변경 내용을 자동화합니다. - ARM 개요 - ARM 템플릿 - Bicep |
|
고급 완성도 상태 Enterprise는 운영 및 환경 변화에 대응하기 위해 애플리케이션 구성을 자동화합니다. |
스테이지 환경 클라우드용 Microsoft Defender를 사용하고, Microsoft 보안 점수를 통해 클라우드 보안 상태를 평가하고 개선합니다. Defender for Cloud 수정 기능을 사용합니다. 권장 사항을 수정합니다 . |
|
최적 완성도 상태 엔터프라이즈는 애플리케이션 구성을 자동화하여 보안 및 성능을 지속적으로 최적화합니다. |
Azure Chaos Studio 클라우드 애플리케이션 및 서비스 복원력을 측정, 이해 및 개선하는 데 도움이 되도록 이 서비스를 비정상 상황 엔지니어링에 사용합니다. Azure Load Testing 및 Azure Chaos Studio를 워크로드 개발 주기에 통합합니다. - Azure Chaos Studio - 연속 유효성 검사 |
4.8 기능: 거버넌스
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 업무 요구 사항(예: 소프트웨어 자료 청구)에 따라 기술 삽입, 패치 및 추적 소프트웨어 종속성에서 애플리케이션 개발(개발 인프라에 대한 액세스 포함), 배포, 소프트웨어 자산 관리, ST&E에 대한 정책 적용을 자동화하기 시작합니다. |
GitHub Actions CI/CD(지속적인 통합 및 지속적인 배포) 파이프라인을 사용하여 SBOM(소프트웨어 자재 명세서)에 대한 DevSecOps 프로세스를 표준화합니다. - GitHub Actions - SBOM 생성 GitHub Dependabot 및 CodeQL을 사용하여 보안 검사를 자동화하고 종속성 취약성을 검색합니다.ko-KR: - 코드 검사 - Azure DevOps용 GitHub Advanced Security의 소프트웨어 구성 정보 생성 도구 Windows, Linux 및 MacOS 등 다양한 운영 체제에서 작동하는 빌드 시 SBOM 생성기를 사용합니다. 표준 SPDX(소프트웨어 패키지 데이터 교환) 형식을 사용합니다. - 오픈 소스 SBOM 생성 도구 - GitHub 에서의 SBOM 도구 |
|
고급 완성도 상태 Enterprise는 애플리케이션 및 애플리케이션 개발 및 배포 수명 주기의 모든 측면에 대해 엔터프라이즈 전체에 계층화된 맞춤형 정책을 구현하고 가능한 경우 자동화를 활용하여 적용을 지원합니다. |
Azure Policy Azure Policy Microsoft Defender for Cloud Defender for Cloud를 사용하여 Azure 및 비 Azure 워크로드를 보호합니다. 규정 준수 여부와 Azure Policy를 사용하여 구성 표준에 따라 인프라를 지속적으로 평가합니다. 구성 변경을 방지합니다. - 보안 표준을 할당합니다. - 다중 클라우드 환경 관리 그룹 관리 그룹을 사용하여 Azure 구독에 대한 액세스 정책 및 규정 준수를 적용하는 데 도움을 줍니다. 구독 및 관리 그룹 |
|
최적 완성도 상태 Enterprise는 CI/CD 파이프라인을 통해 애플리케이션에 대한 동적 업데이트를 통합하는 것을 포함하여 애플리케이션 개발 및 배포를 제어하는 정책을 완전히 자동화합니다. |
Defender for Cloud 모니터링 구성 요소를 배포하여 Azure 워크로드에서 데이터를 수집하고 취약성 및 위협을 모니터링합니다.클라우드용 Defender의 - Defender - 워크로드 정책에서 데이터 수집은 클라우드 보안 상태를 개선하는 데 도움이 되는 표준 및 권장 사항으로 구성됩니다. 표준은 해당 규칙에 대한 규칙, 규정 준수 조건 및 조건이 충족되지 않는 경우 작업을 정의합니다. |
다음 단계
CISA 제로 트러스트 성숙 모델을 위해 Microsoft Cloud Services를 구성하십시오.