네트워크 핵심 요소에 대한 CISA 제로 트러스트 완성 모델

이 섹션에는 네트워크 분야에서 CISA 제로 트러스트 성숙도 모델에 대한 Microsoft 지침과 권장 사항이 있습니다. 자세한 내용은 제로 트러스트로 네트워크를 보호하세요을 참조하세요.

3개 네트워크

사이버 보안 & CISA(인프라 보안 기관)는 네트워크를 일반적인 채널을 포함한 개방형 통신 매체로 식별합니다. 예를 들어 에이전시 내부 네트워크, 무선 네트워크 및 인터넷이 있습니다. 또한 정의는 셀룰러와 같은 잠재적인 채널을 예시로 들었습니다.

다음 링크를 사용하여 가이드의 섹션으로 이동합니다.

• 소개
• 정체성
• 디바이스
• 네트워크
• 애플리케이션 및 워크로드
• 데이터

3.1 함수: 네트워크 구분

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 완성도 상태 기관은 중요한 워크로드 격리, 최소 기능 원칙에 대한 연결 제한 및 서비스별 상호 연결로 전환하여 네트워크 아키텍처를 배포하기 시작합니다.	Azure Front Door , Azure Firewall , Azure Virtual Network , Azure Kubernetes Service 아키텍처 지침을 활용하여 엄격한 네트워크 제어를 통해 워크로드를 격리하고, 연결을 제한하며, 서비스별 상호 연결로의 전환을 가능하게 하여 중요 업무용 워크로드를 설계하십시오. - 제로 트러스트로 네트워크 보안 - Azure에서 중요 업무용 기준 아키텍처 - 네트워크 제어를 포함한 중요 업무용 기준 아키텍처 - 중요 업무용 워크로드를 위한 네트워킹
고급 성숙도 상태 Agency는 자사 네트워크 아키텍처의 더 많은 부분에 수신/송신 마이크로 경계와 서비스별 상호 연결을 활용하여 엔드포인트 및 애플리케이션 프로필 격리 메커니즘의 배치를 확대합니다.	Azure Firewall Premium 네트워크 애플리케이션 수준 트래픽 필터링과 함께 Azure Virtual Network 및 Azure Firewall Premium을 사용하여 클라우드 리소스, 클라우드 및 온-프레미스 리소스와 인터넷 간의 수신/송신 트래픽을 제어합니다.Azure Private Link가 프라이빗 엔드포인트를 통해 Azure PaaS(Platform as a Service)에 액세스할Azure Private Link보안 및 관리워크로드를다중 허브 및 스포크 토폴로지방화벽 프리미엄 기능을Azure Firewall 정책 규칙 집합을세분화 전략 가상 네트워크에 있습니다. 프라이빗 엔드포인트를 사용하여 가상 네트워크에서 Azure 리소스를 보호합니다. 가상 네트워크에서 Azure로의 트래픽은 Azure 백본 네트워크에 남아 있습니다. Azure PaaS 서비스를 사용하려면 공용 인터넷에 가상 네트워크를 노출하지 마세요. - PaaS 서비스 경계 - 네트워크 보안 모범 사례 네트워크 보안 그룹 NSG는 가상 네트워크의 리소스 간 트래픽을 계층 4 방화벽으로 제어하는 액세스 제어 메커니즘입니다. NSG는 인터넷, 다른 가상 네트워크 등과 같은 외부 네트워크를 사용하여 트래픽을 제어합니다. NSG 개요 애플리케이션 보안 그룹 ASG 제어 메커니즘은 NSG와 유사하지만 애플리케이션 컨텍스트에서 참조됩니다. ASG를 사용하여 애플리케이션 태그를 사용하여 VM을 그룹화합니다. 기본 VM에 적용되는 트래픽 규칙을 정의합니다. ASG 개요
최적 성숙도 상태 기관 네트워크 아키텍처는 완전히 분산된 수신/발신 마이크로 경계와 애플리케이션 프로필을 기반으로 하는 광범위한 마이크로 세분화로 구성되며, 서비스별 상호 연결에 대한 동적 점차적이고 최적한 연결을 제공합니다.	Microsoft Defender for Cloud, 지연된 가상 머신 액세스, 사이버 보안 예방 기술과 목표는 공격 표면을 줄입니다. 더 적은 수의 열린 포트, 특히 관리 포트를 사용하도록 설정합니다. 합법적인 사용자는 이러한 포트를 사용하므로 포트를 닫는 것은 실용적이지 않습니다. 클라우드 JIT용 Microsoft Defender를 사용하여 VM에 대한 인바운드 트래픽을 잠급니다. 이 작업은 VM에 연결하기 위한 액세스를 유지하면서 공격에 대한 노출을 줄입니다. JIT(Just-In-Time) 가상 머신 액세스 Azure Bastion Azure Bastion 관리형 PaaS(Platform as a Service)를 사용하여 TLS 연결을 통해 VM에 안전하게 연결합니다. Azure Portal 또는 네이티브 클라이언트를 통해 가상 머신의 개인 IP 주소로 연결을 설정합니다. - Azure Bastion - VM에서 JIT 액세스 사용

3.2 함수: 네트워크 트래픽 관리

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 완성도 상태 기관은 고유한 트래픽 관리 기능을 사용하여 애플리케이션 프로필을 설정하고 모든 애플리케이션을 이러한 프로필에 매핑하기 시작합니다. 에이전시는 정적 규칙의 적용을 모든 애플리케이션으로 확장하고 애플리케이션 프로필 평가에 대한 정기적인 수동 감사를 수행합니다.	Azure Policy를 사용하여 Azure Firewall 또는 기타 네트워킹 장비에 대한 트래픽 강제 터널링과 같은 네트워킹 표준을 적용합니다. 공용 IP를 금지하거나 암호화 프로토콜의 보안 사용을 시행합니다. Azure 네트워킹 서비스 정의를 Azure에 배포된 웹앱에는 Application Gateway 사용을 요구합니다. Azure Application Gateway . - Application Gateway 개요 - Application Gateway 통합 Azure 서비스 태그 Azure VM 및 Azure Virtual Networks에 대한 서비스 태그를 사용하여 Azure 서비스에 대한 네트워크 액세스를 제한합니다. Azure는 각 태그와 연결된 IP 주소를 유지 관리합니다. 서비스 태그 Azure Firewall Manager 방화벽, DDoS(분산 서비스 거부) 및 웹 애플리케이션 방화벽과 같은 클라우드 기반 보안 경계에 대한 중앙 집중식 정책 및 경로 관리에 이 보안 관리 서비스를 사용하도록 설정합니다. IP 그룹을 사용하여 Azure Firewall 규칙에 대한 IP 주소를 관리합니다. - Firewall Manager - Azure Firewall의 IP(인터넷 프로토콜) 그룹은 애플리케이션 보안 그룹에서 ASG를 사용하여 애플리케이션 구조의 확장으로 네트워크 보안을 구성할 수 있습니다. VM(가상 머신)을 그룹화하고 그룹에 따라 네트워크 보안 정책을 정의합니다. 공용 IP 주소로 리소스를 제한하기 Azure DDoS Protection을ASG 및 네트워크 보안 그룹을. 공용 IP 주소를 사용하여 Azure 리소스에 대한 DDoS(분산 서비스 거부) 보호를 배포합니다. - DDoS 보호 - 애플리케이션(계층 7) DDoS 보호
Advanced Maturity Status 기관은 리소스 최적화를 위한 동적 네트워크 규칙 및 구성을 구현하며, 이는 자동화된 위험 인식 및 위험 대응 애플리케이션 프로필 평가와 모니터링에 따라 주기적으로 조정됩니다.	Azure Monitor 이 서비스는 네트워크 및 애플리케이션을 지속적으로 모니터링하여 성능 및 보안 메트릭을 기반으로 인사이트와 경고를 제공합니다. 네트워크 규칙을 동적으로 조정하여 리소스 사용량 및 보안을 최적화합니다. Azure Monitor 개요
최적 완성도 상태 Agency는 애플리케이션 프로필 요구 사항을 충족하고 중요도, 위험 등에 따라 애플리케이션의 우선 순위를 다시 지정하도록 지속적으로 진화하는 동적 네트워크 규칙 및 구성을 구현합니다.	Microsoft Entra Internet Access,Private Access 트래픽 프로필을 보호하기 위해 조건부 액세스 정책을 구성합니다. 허용되는 로그인 위험을 정의합니다. - 전역 보안 액세스 - 유니버설 조건부 액세스 Azure Virtual Network Manager를 통해 Azure Policy 조건문을 사용하여 동적 네트워크 그룹 멤버 자격을 정의하고 관리할 수 있습니다. 네트워크 그룹은 특정 조건에 따라 가상 네트워크를 포함하거나 제외합니다.Virtual Network ManagerAzure Firewall동적 네트워크 그룹 멤버 자격, Microsoft Sentinel Azure Firewall 및 Sentinel 통합은 지속적인 모니터링, AI 기반 위협 탐지, 자동화된 응답 및 위험에 따른 보안 구성 업데이트를 제공합니다. Sentinel 플레이북은 식별된 위협에 동적으로 대응하여 네트워크 구성을 조정함으로써 중요 업무용 애플리케이션을 보호합니다. Azure Firewall과 Sentinel을 사용하여, 네트워크 보안 그룹(NSG)이 Azure 리소스와의 네트워크 트래픽을 필터링하는 보안 규칙을 적용합니다. 네트워크 조건 및 보안 요구 사항에 따라 트래픽을 허용하거나 거부하도록 동적 규칙 업데이트를 사용하도록 설정합니다. NSG 개요 Azure Virtual Network Manager 이 관리 서비스는 구독 및 테넌트 간에 그룹화, 구성, 배포 및 VNet(가상 네트워크) 관리를 용이하게 합니다. VNet을 분할할 네트워크 그룹을 정의합니다. 이러한 그룹에서 선택한 VNet에 대한 연결 및 보안 구성을 설정하고 적용합니다. Virtual Network Manager

3.3 함수: 트래픽 암호화

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 완성도 상태 기관은 내부 애플리케이션에 대한 모든 트래픽을 암호화하고, 외부 애플리케이션에 대한 트래픽에 대한 암호화를 선호하며, 키 관리 정책을 공식화하고, 서버/서비스 암호화 키를 보호하기 시작합니다.	Microsoft Cloud Services Microsoft 데이터 센터 간 그리고 사용자 장치와 Microsoft 데이터 센터 간에, 전송 중인 고객 데이터에 대해 Microsoft Cloud Services는 IPSec(인터넷 프로토콜 보안)과 TLS(전송 계층 보안) 같은 보안 전송 프로토콜을 사용합니다. Microsoft 클라우드의암호화Microsoft Entra 애플리케이션 프록시암호화 채널을 통해 내부 애플리케이션을 게시하려면 애플리케이션 프록시 커넥터를 배포하세요.온프레미스 애플리케이션 게시
고급 완성도 상태 기관은 적용 가능한 모든 내부 및 외부 트래픽 프로토콜에 대한 암호화를 보장합니다. 키 및 인증서의 발급 및 회전을 관리하고 암호화 민첩성에 대한 모범 사례를 통합하기 시작합니다.	Azure Key Vault 이 클라우드 서비스는 클라우드 애플리케이션 및 서비스에서 사용하는 암호화 키와 비밀을 보호하는 데 도움이 됩니다. 보안 스토리지, 액세스 제어 및 감사를 통해 중요한 정보가 보호되고 효율적으로 관리됩니다. 키 관리를 중앙 집중화하여 보안 표준 준수를 간소화합니다. 전체 앱 보안 태세를 향상시킵니다. Azure Key Vault
최적 완성도 상태 기관은 계속해서 트래픽을 적절하게 암호화하고, 보안 키 관리에 대한 최소 권한 원칙을 엔터프라이즈 전체에 적용하고, 암호화 민첩성에 대한 모범 사례를 최대한 광범위하게 통합합니다.	Azure Azure 키 관리 서비스는 Azure Key Vault, Azure HSM(Managed Hardware Security Model) 및 Azure Dedicated HSM을 비롯한 클라우드의 암호화 키를 안전하게 저장하고 관리합니다. 플랫폼 관리형 키 및 고객 관리형 키 중에서 선택합니다. 유연한 규정 준수 및 오버헤드 관리를 지원합니다. 키 관리를 중앙화합니다. Azure는 보안을 강화하고, 액세스 제어를 간소화하고, 애플리케이션을 지원하며, 중요한 데이터를 보호합니다. 키 관리 Azure Key Vault RBAC(역할 기반 액세스 제어)를 통해 최소 권한 원칙을 적용합니다. 역할에 따라 사용자 및 애플리케이션에 특정 권한을 할당합니다. 세분화된 액세스 관리를 사용하도록 설정합니다. 키, 비밀 및 인증서에 대한 권한을 설정합니다. 권한 있는 엔터티만 중요한 정보에 액세스하는지 확인합니다.Azure Key Vault 모범 사례Azure Key Vault에 액세스할 수 있도록 앱에 권한을 부여한 후, Microsoft Entra Privileged Identity ManagementJIT(Just-In-Time) 액세스를 위해 Azure Key Vault와 PIM을 통합합니다. 필요한 경우 임시 권한을 부여합니다. - PIM 개요 - 그룹에 대한 PIM

3.4 함수: 네트워크 복원력

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 성숙도 상태 기관은 추가 애플리케이션에 대한 가용성 요구를 관리하고 중요 업무용으로 간주되지 않는 워크로드에 대한 복원력 메커니즘을 확장하도록 네트워크 기능을 구성하기 시작합니다.	Azure Virtual Networks Azure를 채택하여 데이터 센터 및 서비스의 글로벌 네트워크를 사용하여 가용성 요구를 관리합니다.Azure Virtual NetworkAzure 안정성 개요가용성 영역한 영역에 중단이 있더라도 앱을 사용할 수 있도록 하려면 지역에서 장애 격리를 위해 가용성 영역을 사용합니다.Azure ExpressRouteExpressRoute를Azure 가용성 영역은 온-프레미스 네트워크와 Azure 워크로드 간의 낮은 대기 시간, 복원력 및 높은 처리량 프라이빗 연결에 사용되는 하이브리드 연결 서비스입니다. 복원력 대한 ExpressRoute
Advanced Maturity Status Agency는 대부분의 애플리케이션에 대한 가용성 요구 및 복원력 메커니즘을 동적으로 관리하도록 네트워크 기능을 구성했습니다.	Azure Traffic Manager 지역 및 데이터 센터에 트래픽을 동적으로 분산합니다. 최적의 성능과 고가용성을 보장합니다. 사용자 요청 패턴 변경에 맞게 조정합니다. - Traffic Manager - Azure Front Door Azure Front Door 의 안정성은 동적 HTTP/S 부하 분산 및 웹 애플리케이션 방화벽 서비스를 사용하여 전역 연결 및 보안을 향상시킵니다. 서비스는 트래픽을 라우팅하고 실시간 요구 또는 위협에 맞게 조정합니다. Azure Front Door 가용성 영역을 인식하는 ExpressRoute 가상 네트워크 게이트웨이 영역 중복 게이트웨이는 네트워크 트래픽을 가용성 영역에 동적으로 분산합니다. 한 영역에 중단이 있는 경우 원활한 연결을 유지합니다. 가용성 영역 영역 중복 VNet 게이트웨이
최적 완성도 상태 기관은 모든 워크로드에 대한 가용성 요구의 변화에 맞게 전체적인 전달 및 인식을 통합하고 비례 복원력을 제공합니다.	Azure Load Balancer Azure Load Balancer 상태 프로브를 구성하여 애플리케이션 인스턴스 상태에 대한 인식을 만듭니다. 프로브는 애플리케이션 오류를 감지하고, 부하를 관리하고, 가용성 수요 변경에 적응합니다. - Load Balancer 상태 프로브 - Azure Application Gateway 상태 프로브 관리 여러 백 엔드 풀 및 가용성 영역에 트래픽을 분산하여 가용성 수요 및 복원력 메커니즘을 동적으로 관리합니다. 고가용성 및 내결함성을 보장하고 영역 오류 발생 시 트래픽의 경로를 자동으로 변경합니다.Azure Application Gateway v2 잘 설계된 관점Azure Firewall 트래픽 요구에 맞게 리소스를 자동으로 조정하여 자동 크기 조정을 향상할. 높은 부하에서 보안 및 성능을 보장합니다. 처리량 및 CPU 사용량에 따라 동적으로 확장되는 위협 방지 및 URL 필터링 기능을 사용합니다. - 프리미엄 기능 - Azure Firewall FAQ - Azure Firewall 성능 Azure ExpressRoute ExpressRoute 장애 조치(failover)를 개선하기 위해 양방향 전달 검색(BFD)을 구성합니다. 링크 장애를 신속하게 감지하고 백업 연결로 거의 즉시 전환을 가능하게 하세요. 가동 중지 시간을 최소화하고 고가용성을 유지하면서 네트워크를 보다 복원력 있고 안정적으로 만듭니다. BFD 구성

3.5 기능: 가시성 및 분석

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 성숙도 상태 기관은 각 환경에서 상황 인식을 개발하기 위해 손상 지표(네트워크 자원 목록 작성 포함)를 기반으로 네트워크 모니터링 기능을 사용하고, 분석 및 위협 탐지 활동을 위해 트래픽 유형 및 환경 전반에 걸쳐 원격 분석 데이터를 상호 연관시키기 시작합니다.	Azure Monitor 포괄적인 시각적 네트워크 표현을 위해 Azure Network Watcher 및 Azure Monitor Network Insights를 사용합니다. VNet(가상 네트워크) 흐름 로그가 Log Analytics 작업 영역으로 이동하여 다른 분석 도구로 수집될 수 있도록 활성화합니다. 연결 모니터를 사용하여 중요한 흐름의 안정성을 추적합니다. 흐름에 경고를 연결하여 장애 발생 시 적절한 그룹이 알림을 받도록 합니다. - Network Watcher - 네트워크 인사이트 - VNet 흐름 로그 - 연결 모니터 트래픽 분석 트래픽 분석 솔루션을 사용하여 클라우드 네트워크의 사용자 및 애플리케이션 활동에 대한 가시성을 제공합니다. 트래픽 분석은 Azure Network Watcher 흐름 로그를 검사하여 Azure 클라우드의 흐름에 대한 인사이트를 제공합니다. 트래픽 분석 개요
고급 완성도 상태 기관은 이상 징후 기반 네트워크 탐지 기능을 배포하여 모든 환경에서의 상황 인식을 향상시키고, 여러 출처의 원격 측정 데이터를 연관 짓기 시작하며, 강력한 위협 탐지를 위한 자동화된 프로세스를 통합합니다.	Microsoft Sentinel, Azure Firewall, Application Gateway, Data Factory 및 Bastion은 로그를 Sentinel 또는 기타 SIEM(보안 정보 및 이벤트 관리) 시스템으로 내보냅니다. 환경 전체 요구 사항을 적용하려면 Sentinel 또는 Azure Policy에서 커넥터를 사용합니다.SentinelWeb App Firewall 커넥터를 사용하여 Azure Firewall을 SentinelSentinel 데이터 커넥터전역 보안 액세스전역 보안 액세스 로그에서 찾기로 네트워크 트래픽에 대한 세부 정보를 찾습니다. 환경을 모니터링할 때 세부 정보를 이해하고 분석하려면 세 가지 수준의 로그와 해당 상관 관계를 확인합니다. - 로그 및 모니터링 - 네트워크 트래픽 로그 - 보강된 Microsoft 365 로그 - 원격 네트워크 상태 로그
최적 완성도 상태 기관은 모든 기관 네트워크 및 환경에서의 통신에 대한 가시성을 유지하면서, 모든 검색 원본의 원격 분석 상관 관계를 자동화하는 엔터프라이즈 수준의 상황 인식 및 고급 모니터링 기능을 제공합니다.	Microsoft Sentinel 제로 트러스트(TIC 3.0) 솔루션을 사용하여 제로 트러스트 보안 아키텍처를 모니터링하면 주로 클라우드 기반 환경에서 Microsoft 기술에서 제어 요구 사항에 대한 가시성 및 상황 인식을 구현할 수 있습니다. 고객 환경은 사용자에 따라 다릅니다. 일부 사용자 인터페이스에는 구성 및 쿼리 수정이 필요할 수 있습니다. 제로 트러스트(TIC 3.0) 보안 아키텍처 모니터링

3.6 자동화 및 오케스트레이션

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 성숙도 상태 기관은 자동화된 방법을 사용하여 일부 에이전시 네트워크 또는 환경의 구성 및 리소스 수명 주기를 관리하기 시작하고 모든 리소스가 정책 및 원격 분석에 따라 정의된 수명을 갖도록 합니다.	Azure Virtual Network Manager를 구독 간에 가상 네트워크에 대한 연결 및 보안 구성을 중앙 집중화합니다. Virtual Network Manager Azure Policy Azure Firewall 또는 기타 네트워크 어플라이언스에 대한 트래픽 강제 터널링과 같은 네트워크 표준을 적용합니다. 공용 IP를 금지하거나 암호화 프로토콜을 적용합니다. Azure Firewall ManagerAzure 네트워킹 서비스 정의를이 서비스는 중앙 집중식 보안 정책 및 클라우드 기반 보안 경계 경로 관리를 위한 것입니다. Azure Firewall, Azure DDoS Protection 및 Azure Web Application Firewall에 대한 정책을 관리합니다. - Azure Firewall Manager - Policy 개요 네트워크 성능 모니터 Azure 솔루션은 네트워크 연결을 모니터링, 분석, 경고 및 시각화합니다. 자동 크기 조정 또는 장애 조치(failover) 작업을 트리거하려면 Azure Monitor 경고를 사용합니다. 네트워크 모니터링 Azure DevOps 이 서비스를 사용하여 네트워크 구성을 위한 지속적인 통합 및 지속적인 전달(CI/CD) 파이프라인을 설정합니다. DevOps 사례는 기존 인프라 관리와 최신 민첩한 접근 방식 간의 격차를 해소하여 네트워크 환경이 요구 사항을 충족하도록 합니다. Azure DevOps Azure Blueprints 표준, 패턴 및 요구 사항을 준수하는 반복 가능한 Azure 리소스를 정의합니다. 규정 준수를 보장하면서 새 환경을 빌드하고 시작합니다. Azure Blueprints Microsoft Sentinel 안전하지 않은 프로토콜 통합 문서 안전하지 않은 프로토콜 트래픽에 대한 인사이트를 위해 안전하지 않은 프로토콜 통합 문서를 사용합니다. Microsoft 제품에서 보안 이벤트를 수집하고 분석합니다. NTLM(NT LAN Manager) SMBv1(서버 메시지 블록 버전 1), WDigest, 약한 암호 및 Active Directory를 사용한 레거시 인증과 같은 레거시 프로토콜 트래픽의 원본을 보고 식별합니다. 안전하지 않은 프로토콜 통합 문서 Microsoft Sentinel Azure 네트워크 인프라를 Sentinel에 연결합니다. 비 Azure 네트워킹 솔루션에 대한 Sentinel 데이터 커넥터를 구성합니다. 사용자 지정 분석 쿼리를 사용하여 Sentinel 보안 오케스트레이션, 자동화 및 응답(SOAR) 자동화를 트리거합니다. - 플레이북을 사용하여 위협에 대응 - Logic Apps와 Global Secure Access를 사용하여 탐지 및 대응 네트워크 액세스 API는 트래픽 전달 또는 필터링과 관련된 규칙을 구성하는 프레임워크를 제공합니다. Graph 네트워크 액세스 API를 이용하여 보안 액세스를 확보
Advanced Maturity Status Agency는 자동화된 변경 관리 방법(예: CI/CD)을 사용하여 모든 기관 네트워크 및 환경의 구성 및 리소스 수명 주기를 관리하며, 인식된 위험에 대한 정책과 보호를 적용하고 그에 대응합니다.	azure DevOps 네트워크 구성 변경 및 리소스 관리를 자동화하려면 CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인을 구현합니다.Azure DevOpsAzure Automation업데이트 및 규정 준수 적용과 같은 네트워크 구성 및 수명 주기 작업을 관리합니다. Azure AutomationMicrosoft SentinelSentinel을 사용하도록 설정하여 네트워크 환경을 모니터링하고 정책을 적용합니다. 자동화된 응답은 인식된 위험을 해결합니다.고급 모니터링Azure Policy네트워크 리소스에 대한 규정 준수 적용 및 정책 애플리케이션을 자동화합니다. Azure Policy
최적의 완성도 상태 기관 네트워크 및 환경은 변화하는 요구 사항에 맞추기 위해 자동화된 시작과 만료를 포함한 코드 기반 인프라로 자동화된 변경 관리 방법을 사용하여 정의됩니다.	Azure Resource Manager ARM 템플릿을 사용하여 코드로 네트워크 인프라를 정의하고 관리합니다. 자동화된 프로비저닝 및 업데이트를 사용하도록 설정합니다. ARM 개요 Terraform on Azure 네트워크 리소스를 만들고, 관리하고, 크기를 조정하는 프로세스를 자동화하려면 코드로서의 인프라를 위해 Terraform을 구현합니다. Terraform 및 Azure Azure DevOps CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인을 사용하여 변경 및 수명 주기 관리를 자동화합니다. 동적 네트워크 요구 사항에 맞게 정렬합니다. 고급 CD/IC Microsoft Sentinel 네트워크 보안 작업을 오케스트레이션 및 자동화합니다. Sentinel은 포괄적인 관리를 위한 코드로서의 인프라 사례와 통합됩니다. SentinelAzure Automation을 사용한Automation자동화된 네트워크 리소스 시작 및 만료를 비롯한 수명 주기 관리에 기능을 사용합니다. 고급 자동화

3.7 함수: 거버넌스

CISA ZTMM 단계 설명	Microsoft 지침 및 권장 사항
초기 성숙도 상태 기관은 개별 네트워크 세그먼트 및 리소스에 맞게 조정된 정책을 정의하고 구현하는 동시에 회사 차원의 규칙을 적절하게 상속하기 시작합니다.	Azure 네트워크 보안세그먼트 및 리소스에 대한 네트워크 보안 정책을 정의하고 구현합니다. Azure Firewall Premium을Azure 네트워크 보안Azure Firewall을 통해 아웃바운드 및 인바운드 트래픽을 라우팅합니다. 네트워크 세그먼트 및 리소스에 대한 정책을 구현합니다.방화벽 프리미엄 기능인바운드 및 아웃바운드 인터넷 연결Azure PortalAzure Policy에서 Azure Firewall을 구성하여 Microsoft Sentinel Monitor를Azure Firewall 정책 규칙 집합을Azure Firewall 배포를 보호하고 네트워크 정책을 적용합니다. 및 엔터프라이즈 차원의 규칙에 부합하는지 확인합니다.SentinelMicrosoft Defender for Cloud네트워크 리소스 및 세그먼트에 대한 거버넌스 및 보안으로 시작합니다.Defender for Cloud
고급 완성도 상태 기관은 자동화를 통합하여 맞춤형 정책을 구현하고 경계 중심 보호에서의 전환을 용이하게 합니다.	Azure 방화벽네트워크 정책 적용을 자동화하며 경계 기반 사고 방식에서 보다 정밀한 보안 조치로 전환합니다.Azure FirewallSentinel네트워크 보안 그룹을 사용하여 Azure Firewall을 NSG를 사용하여 네트워크 트래픽 관리를 자동화하고 정책을 동적으로 적용합니다.Azure NSGSentinel정책 적용 자동화를 강화하고 기존 보안 모델에서 동적 보안 모델로의 전환을 모니터링합니다.고급 모니터링
최적 완성도 상태 기관은 엔터프라이즈 전반의 네트워크 정책을 구현하여 맞춤형 로컬 컨트롤을 가능하게 하고, 애플리케이션 및 사용자 워크플로를 기반으로 동적 업데이트와 안전한 외부 연결을 지원합니다.	Azure Policy 동적 업데이트 및 로컬 컨트롤을 통해 엔터프라이즈 차원의 네트워크 정책을 구현하고 관리합니다. Azure Policy Azure 가상 WAN 안전하고 동적인 외부 연결을 촉진하고 애플리케이션 및 사용자 요구에 따라 네트워크 성능을 최적화합니다. Azure 가상 WAN Sentinel 안전한 외부 연결과 엔드 투 엔드 자동화 및 네트워크 정책 통합을 위해 Sentinel을 사용합니다. Sentinel을 사용한 자동화 Microsoft Defender for Cloud 자동화된 동적 업데이트 및 강력한 네트워크 리소스 보안을 통해 포괄적인 네트워크 거버넌스를 실현합니다. 고급 네트워크 보안 Azure Firewall, Firewall Manager 엔터프라이즈 차원의 네트워크 정책을 구축합니다. 세그먼트 및 리소스에 대해 사용자 지정 가능한 네트워크 및 애플리케이션 규칙을 사용합니다. 는 필요한 네트워크 차원의 보안을 보장합니다. Azure Firewall Manager를 사용하면 정책이 중앙에서 관리되며 여러 인스턴스에 적용할 수 있습니다. IT 직원은 핵심 정책을 수립하고 DevOps 직원은 지역화된 컨트롤을 추가합니다. - Azure Firewall 중앙 관리 - Azure Firewall 정책 규칙 집합

다음 단계

CISA 제로 트러스트 성숙 모델을 위해 Microsoft Cloud Services를 구성하는 방법.

• 소개
• 정체성
• 디바이스
• 네트워크
• 애플리케이션 및 워크로드
• 데이터