제로 트러스트를 통한 인프라 보호
인프라는 중요한 위협 벡터를 나타냅니다. 온-프레미스 또는 다중 클라우드에 관계없이 IT 인프라는 IT 서비스를 개발, 테스트, 제공, 모니터링, 제어 또는 지원하는 데 필요한 모든 하드웨어(물리적, 가상, 컨테이너화), 소프트웨어(오픈 소스, 자사 및 타사, PaaS, SaaS), 마이크로 서비스(함수, API), 네트워킹 인프라, 시설 등으로 정의됩니다. Microsoft가 향후 클라우드 및 온-프레미스 인프라를 보호하기 위한 포괄적인 기능 집합을 개발하기 위해 엄청난 리소스를 투자한 영역입니다.
엔드투엔드 제로 트러스트 전략을 사용하는 최신 보안을 사용하면 다음을 더 쉽게 수행할 수 있습니다.
- 버전을 평가합니다.
- 구성 관리를 수행합니다.
- JIT/JEA(Just-In-Time 및 Just-Enough-Access) 관리 권한을 사용하여 방어를 강화합니다.
- 원격 분석을 사용하여 공격 및 변칙을 검색합니다.
- 위험한 동작을 자동으로 차단하고 플래그를 지정하며 보호 조치를 취합니다.
마찬가지로 중요한 것은 Microsoft Azure Blueprints 및 관련 기능을 통해 리소스가 조직의 정책, 표준 및 요구 사항을 준수하는 방식으로 설계, 구현 및 유지되도록 보장합니다.
Azure Blueprints, Azure Policies, 클라우드용 Microsoft Defender, Microsoft Sentinel 및 Azure Sphere는 배포된 인프라의 보안을 개선하는 데 크게 기여할 수 있습니다. 이를 통해 인프라를 정의, 디자인, 프로비전, 배포 및 모니터링하는 다른 접근 방식을 사용할 수 있습니다.
인프라 제로 트러스트 배포 목표
팁
대부분의 조직에서 제로 트러스트 여정을 시작하기 전 인프라 보안에 대한 접근 방식의 특징은 다음과 같습니다.
- 사용 권한은 환경 전체에서 수동으로 관리됩니다.
- 워크로드가 실행 중인 VM 및 서버의 구성 관리
인프라를 관리하고 모니터링하기 위한 엔드투엔드 제로 트러스트 프레임워크를 구현할 때는 먼저 다음과 같은 초기 배포 목표에 집중하는 것이 좋습니다. |
|
I. 워크로드를 모니터링하고 비정상적인 동작에 대해 경고합니다. |
|
초기 목표가 완료되면 다음과 같은 추가 배포 목표에 집중합니다. |
|
IV. 권한 없는 배포가 차단되고 경고가 트리거됩니다. |
인프라 제로 트러스트 배포 가이드
이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 인프라를 보호하는 데 필요한 단계를 안내합니다.
시작하기 전에 이러한 기준 인프라 배포 목표를 충족했는지 확인합니다.
Microsoft 테넌트 기준 설정
인프라를 관리하는 방법에 우선 순위가 지정된 기준을 설정해야 합니다. NIST 800-53과 같은 업계 지침을 적용하면 인프라를 관리하기 위한 요구 사항 집합을 파생시킬 수 있습니다. Microsoft에서는 최소한의 기준을 다음과 같은 요구 사항 목록으로 설정했습니다.
-
데이터, 네트워크, 서비스, 유틸리티, 도구 및 애플리케이션에 대한 액세스는 인증 및 권한 부여 메커니즘에 의해 제어되어야 합니다.
-
데이터는 전송 중 및 미사용 시 암호화되어야 합니다.
-
네트워크 트래픽 흐름을 제한합니다.
-
보안 팀이 모든 자산에 대한 가시성을 가져야 합니다.
-
규정된 조직 지침에 따라 모니터링 및 감사를 사용하도록 설정하고 올바르게 구성해야 합니다.
-
맬웨어 방지는 최신 상태여야 하며 실행 중이어야 합니다.
-
지정된 조직 지침에 따라 취약성 검사를 수행하고 취약성을 수정해야 합니다.
이 최소 또는 확장된 기준의 규정 준수를 측정하고 추진하기 위해 Azure 테넌트 전체에서 보안 읽기 권한자 역할을 적용하여 테넌트 수준 및 온-프레미스 환경에서 가시성을 얻는 것부터 시작합니다. 보안 읽기 권한자 역할을 사용하면 업계 기준(예: Azure CIS, PCI, ISO 27001) 또는 조직에서 정의한 사용자 지정 기준을 적용하는 데 사용할 수 있는 클라우드용 Microsoft Defender 및 Azure 정책을 통해 더 많은 가시성을 얻을 수 있습니다.
권한이 환경에서 수동으로 관리됨
테넌트 수준에서 각 리소스 그룹 광고 구독 내의 개별 리소스까지 적절한 역할 기반 액세스 제어를 적용해야 합니다.
워크로드가 실행 중인 VMS 및 서버의 구성 관리
온-프레미스 데이터 센터 환경을 관리한 것처럼 클라우드 리소스를 효과적으로 관리해야 합니다. Azure 활용의 이점은 Azure Arc(미리 보기)를 사용하여 모든 VM을 하나의 플랫폼에서 관리할 수 있다는 것입니다. Azure Arc를 사용하여 Azure Policy, 클라우드용 Microsoft Defender 정책 및 보안 점수 평가에서 보안 기준을 확장할 수 있으며 모든 리소스를 한 곳에서 로깅 및 모니터링할 수 있습니다. 다음은 시작하기 위한 몇 가지 작업입니다.
Azure Arc(미리 보기) 구현
Azure Arc를 사용하면 조직에서 Azure의 익숙한 보안 제어를 온-프레미스와 조직의 인프라 에지까지 확장할 수 있습니다. 관리자는 온-프레미스 리소스를 Azure Arc에 연결하는 몇 가지 옵션이 있습니다. 여기에는 서비스 주체 스크립팅을 사용하는 Azure Portal, PowerShell 및 Windows 설치가 포함됩니다.
이러한 기술에 대해 자세히 알아보세요.
게스트 내 정책의 애플리케이션을 포함하여 Azure Policy를 통해 보안 기준 적용
클라우드용 Defender 사용하도록 설정하면 클라우드용 Microsoft Defender 대한 Azure Policy의 기본 제공 정책 정의를 통해 기준 컨트롤 집합을 통합할 수 있습니다. 기준 정책 집합은 해당 정책 준수를 측정할 수 있는 클라우드용 Defender 보안 점수에 반영됩니다.
정책 적용 범위를 클라우드용 Defender 집합 이상으로 확장하고 기본 제공을 사용할 수 없는 경우 사용자 지정 정책을 만들 수 있습니다. 구독 내의 게스트 VM 내에서 규정 준수를 측정하는 게스트 구성 정책을 통합할 수도 있습니다.
클라우드용 Defender Endpoint Protection 및 취약성 관리 컨트롤 적용
엔드포인트 보호는 인프라가 안전하고 사용 가능한 상태로 유지되도록 하는 데 필수적입니다. 엔드포인트 보호 및 취약성 관리 대한 전략의 일환으로 중앙에서 규정 준수를 측정하여 클라우드용 Microsoft Defender Endpoint Protection 평가 및 권장 사항을 통해 맬웨어 보호를 사용하도록 설정하고 구성할 수 있습니다.
여러 구독에서 기준선의 중앙 집중식 표시 여부
테넌트 판독기 롤을 적용하면 클라우드용 Defender 보안 점수, Azure Policy 및 게스트 구성 정책의 일부로 평가되는 각 정책의 상태의 테넌트 전체에서 가시성을 얻을 수 있습니다. 테넌트 상태에 대한 중앙 보고를 위해 조직 규정 준수 대시보드로 깔때기합니다.
또한 서버용 Defender의 일부로 Qualys에서 제공하는 가상 머신에서 기본 제공 취약성 평가 솔루션을 사용하도록 설정하는 정책을 사용하여 VM에서 취약성을 검사하고 해당 솔루션을 클라우드용 Defender 직접 반영할 수 있습니다. 기업에 이미 취약성 검사 솔루션이 배포되어 있는 경우 파트너 취약성 검사 솔루션 배포를 위해 가상 머신에 설치해야 하는 대체 정책 취약성 평가 솔루션을 사용할 수 있습니다.
|
초기 배포 목표 |
기준 인프라 목표를 충족하면 엔드투엔드 제로 트러스트 전략을 사용하여 최신 인프라를 구현하는 데 집중할 수 있습니다.
9\. 워크로드를 모니터링하고 비정상 동작을 경고
새 인프라를 만들 때 경고를 모니터링하고 발생시키는 규칙도 설정해야 합니다. 이것은 리소스가 예기치 않은 동작을 보일 때 확인하기 위해 중요합니다.
서버용 Defender, 스토리지용 Defender, 컨테이너용 Defender, SQL용 Defender 등 지원되는 리소스 유형을 보호하기 위해 클라우드용 Microsoft Defender 및 해당 계획을 사용하도록 설정하는 것이 좋습니다.
ID 모니터링의 경우 신호 수집이 고급 위협, 손상된 ID 및 조직을 대상으로 하는 악의적인 내부자 작업을 식별, 감지 및 조사할 수 있도록 하기 위해 Microsoft Defender for Identity 및 Advanced Threat Analytics를 사용하도록 설정하는 것이 좋습니다.
클라우드용 DEFENDER, Defender for Identity, Advanced Threat Analytics 및 기타 모니터링 및 감사 시스템의 이러한 신호를 클라우드 네이티브 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션인 Microsoft Sentinel과 통합하면 SOC(보안 운영 센터)가 단일 창에서 작동하여 기업 전체의 보안 이벤트를 모니터링할 수 있습니다.
II. 모든 워크로드에 앱 ID가 할당되고 일관되게 구성 및 배포
리소스/워크로드를 만들 때 할당되고 적용되는 정책을 사용하는 것이 좋습니다. 정책을 만들 때 리소스에 태그를 적용하고, 리소스 그룹 할당을 의무화하고, 허용되는 지역, VM 사양(예: VM 유형, 디스크, 네트워크 정책 적용)과 같은 제한/직접 기술 특성을 요구할 수 있습니다.
III. 리소스에 대한 사용자 액세스에 Just-In-Time이 필요
직원은 관리 액세스를 아쉽게 사용해야 합니다. 관리 기능이 필요한 경우 사용자는 임시 관리 액세스 권한을 받아야 합니다.
조직은 관리자 보호 프로그램을 설정해야 합니다. 이러한 프로그램의 특징은 다음과 같습니다.
- 관리 권한이 있는 사용자 수를 대상으로 줄입니다.
- 관리자 권한 계정 및 역할 감사
- 노출 영역을 줄이기 위해 특수 HVA(고가용성 자산) 인프라 영역을 만듭니다.
- 관리자에게 자격 증명 도난 가능성을 줄이기 위해 특별한 보안 관리자 워크스테이션(SAW)을 제공합니다.
이러한 모든 항목은 조직이 관리 권한의 사용 방법, 이러한 사용 권한이 여전히 필요한 위치를 더 잘 인식하고 보다 안전하게 작동하는 방법에 대한 로드맵을 제공하는 데 도움이 됩니다.
|
추가 배포 목표 |
처음 세 가지 목표를 달성한 후에는 무단 배포 차단과 같은 추가 목표에 집중할 수 있습니다.
IV. 권한 없는 배포가 차단되고 경고가 트리거됨
조직이 클라우드로 이동하면 가능성은 무한합니다. 항상 좋은 것은 아닙니다. 여러 가지 이유로 조직은 권한 없는 배포를 차단하고 경고를 트리거하여 리더와 관리자가 문제를 인식할 수 있어야 합니다.
Microsoft Azure는 승인된 리소스(예: ARM 템플릿)만 배포할 수 있도록 리소스 배포 방법을 제어하는 Azure Blueprints를 제공합니다. Blueprints는 Blueprints의 정책 또는 기타 규칙을 충족하지 않는 리소스의 배포가 차단되도록 할 수 있습니다. 실제 또는 시도된 청사진 위반은 필요에 따라 경고를 발생시키고, 알림을 보내거나, 웹후크 또는 자동화 Runbook을 활성화하거나, 서비스 관리 티켓을 만들 수도 있습니다.
V. 워크로드에서 세분화된 표시 유형 및 액세스 제어를 사용 가능
Microsoft Azure는 리소스 가시성을 얻기 위한 다양한 방법을 제공합니다. Azure Portal에서 리소스 소유자는 많은 메트릭 및 로그 수집 및 분석 기능을 설정할 수 있습니다. 이 가시성은 보안 작업을 공급할 뿐만 아니라 컴퓨팅 효율성 및 조직 목표를 지원하는 데도 사용할 수 있습니다. 여기에는 메트릭을 기반으로 리소스를 안전하고 효율적으로 스케일 아웃하고 스케일 인할 수 있는 Virtual Machine Scale Sets와 같은 기능이 포함됩니다.
액세스 제어 쪽 에서 RBAC(역할 기반 액세스 제어) 를 사용하여 리소스에 권한을 할당할 수 있습니다. 이렇게 하면 다양한 기본 제공 또는 사용자 지정 역할을 사용하여 개별 및 그룹 수준에서 권한을 균일하게 할당하고 취소할 수 있습니다.
VI. 워크로드마다 사용자 및 리소스 액세스 분할
Microsoft Azure는 사용자 및 리소스 액세스를 관리하기 위해 워크로드를 분할하는 여러 가지 방법을 제공합니다. 네트워크 세분화 는 전체적인 접근 방식이며, Azure 내에서 VNet(가상 네트워크), VNet 피어링 규칙, NSG(네트워크 보안 그룹), ASG(애플리케이션 보안 그룹) 및 Azure Firewall을 사용하여 구독 수준에서 리소스를 격리할 수 있습니다. 워크로드를 분할하는 가장 좋은 방법을 결정하는 몇 가지 디자인 패턴이 있습니다.
팁
네트워크에 대한 엔드투엔드 제로 트러스트 전략을 구현하는 방법을 알아봅니다.
이 가이드에서 설명하는 제품
Microsoft Azure
ARM(Azure Resource Manager) 템플릿
결론
인프라는 성공적인 제로 트러스트 전략의 핵심입니다. 구현에 대한 자세한 내용이나 도움말은 고객 성공 팀에 문의하거나 이 가이드의 다른 챕터(모든 제로 트러스트 핵심 요소)를 계속 읽어보세요.
제로 트러스트 배포 가이드 시리즈