보안 도구 및 정책
Tailwind Traders 설명에서 고객은 Azure 랜딩 존에 대한 "작은 시작" 접근 방식을 선택했습니다. 즉, 현재 구현에는 제안된 보안 컨트롤이 모두 포함되지 않습니다. 이상적으로 고객은 다음 도구 중 많은 부분을 이미 설치한 Azure 랜딩 존 가속기를 시작했을 것입니다.
이 단원에서는 Azure 랜딩 존 개념 아키텍처에 더 가깝게 이동하고 조직의 보안 요구 사항을 준비하기 위해 이 고객의 환경에 추가할 컨트롤을 설명합니다.
보안 기준을 신속하게 달성하는 데 도움이 되는 몇 가지 도구와 컨트롤을 사용할 수 있습니다.
- 클라우드용 Microsoft Defender: 리소스를 강화하고, 보안 상태를 추적하고, 사이버 공격으로부터 보호하고, 보안 관리를 간소화하는 데 필요한 도구를 제공합니다.
- Microsoft Entra ID: 기본 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID는 Microsoft 권장 사항과 관련하여 ID 보안 태세를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다.
- Microsoft Sentinel: AI로 구동되는 전체 엔터프라이즈에 지능형 보안 분석을 제공하는 클라우드 네이티브 SIEM입니다.
- Azure DDoS(분산 서비스 거부) 표준 보호 계획(선택 사항): DDoS 공격 방지를 위한 향상된 DDoS 완화 기능을 제공합니다.
- Azure Firewall: Azure에서 실행되는 클라우드 워크로드에 대한 위협 방지를 제공하는 클라우드 네이티브 지능형 네트워크 방화벽 보안 서비스입니다.
- Web Application Firewall: SQL 삽입 및 사이트 간 스크립팅 등의 보안 취약성과 같은 일반적인 웹 해킹 기술로부터 웹앱을 보호하는 클라우드 네이티브 서비스입니다.
- Privileged Identity Management (PIM): 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있는 Microsoft Entra ID의 서비스입니다.
- Microsoft Intune: 모바일 장치 관리 및 모바일 응용 프로그램 관리에 중점을 둔 클라우드 기반 서비스입니다.
다음 섹션에서는 Tailwind Traders가 실제로 보안 기준을 달성하는 방법을 보여줍니다.
액세스 제어에 대한 기준 구현
CISO는 고객 설명에서 다음 목표를 달성하려고 합니다.
- 사람들이 어디서나 안전하게 작업을 수행할 수 있도록 허용
- 주요 보안 인시던트로 인한 비즈니스 손상 최소화
이러한 목표가 조직에 부합하거나 액세스 제어를 강화하기 위한 다른 드라이버가 있는 경우 다음 작업을 보안 기준에 적용합니다.
- 강력한 자격 증명을 사용하도록 설정하려면 Microsoft Entra ID를 구현합니다.
- 디바이스 보안을 위한 Intune 추가
- 권한 있는 계정에 대한 PIM을 추가하여 제로 트러스트 세계에 더 가깝게 이동
- 애플리케이션 랜딩 존 간에 브레이크 글래스 컨트롤 및 방화벽 컨트롤이 있는 허브 및 스포크 모델을 사용하여 건전한 네트워크 세분화 구현
- 클라우드용 Defender 및 Azure Policy를 추가하여 이러한 요구 사항 준수 모니터링
규정 준수를 위한 기준 구현
CISO는 고객 설명에서 다음 목표를 달성하려고 합니다.
- 규정 및 규정 준수 요구 사항을 사전에 충족
이 목표가 조직에 부합하거나 액세스 제어를 강화할 다른 드라이버가 있는 경우 다음 작업을 보안 기준에 적용합니다.
- 권한 있는 계정에 대한 PIM을 추가하여 제로 트러스트 세계에 더 가깝게 이동
중요한 비즈니스 데이터를 식별하고 보호하기 위한 기준 구현
CISO는 고객 설명에서 다음 목표를 달성하려고 합니다.
- 중요한 비즈니스 데이터 식별 및 보호
- 기존 보안 프로그램을 신속하게 현대화
이러한 목표가 조직에 부합하거나 액세스 제어를 강화하기 위한 다른 드라이버가 있는 경우 다음 작업을 보안 기준에 적용합니다.
- 클라우드용 Defender를 추가하여 방대한 디지털 공간에 대한 중앙 집중식 통합 가시성 및 제어를 확보하고 존재하는 노출 파악
- Microsoft Sentinel을 추가하여 보안 팀의 시간을 확보할 수 있는 프로세스 자동화
올바른 도구가 마련된 후에는 해당 도구를 적절하게 사용하도록 적절한 정책을 적용해야 합니다. 온라인 및 회사 연결 랜딩 존에는 다음과 같은 몇 가지 정책이 적용됩니다.
- 스토리지 계정에 HTTPS와 같은 보안 액세스 적용: 스토리지 계정에 대한 보안 전송 필수 속성을 설정해야만 보안 연결의 요청을 수락하도록 스토리지 계정을 구성합니다. 보안 전송이 필요한 경우 안전하지 않은 연결에서 발생하는 모든 요청이 거부됩니다.
- Azure SQL Database에 대한 감사 적용: 데이터베이스 이벤트를 추적하고 Azure 스토리지 계정, Log Analytics 작업 영역 또는 Event Hubs의 감사 로그에 기록합니다.
- Azure SQL Database에 대한 암호화 적용: 투명한 데이터 암호화는 미사용 데이터를 암호화하여 악의적인 오프라인 활동의 위협으로부터 SQL Database, Azure SQL Managed Instance 및 Azure Synapse Analytics를 보호하는 데 도움이 됩니다.
- IP 전달 방지: IP 전달을 사용하면 VM에 연결된 네트워크 인터페이스가 네트워크 인터페이스의 IP 구성에 할당된 IP 주소가 아닌 네트워크 트래픽을 수신할 수 있습니다. 네트워크 인터페이스의 IP 구성 중 하나에 할당된 것과 다른 소스 IP 주소로 네트워크 트래픽을 보낼 수도 있습니다. VM이 전달해야 하는 트래픽을 받는 VM에 연결된 모든 네트워크 인터페이스에서 이 설정이 활성화되어야 합니다.
- 서브넷이 NSG(네트워크 보안 그룹)와 연결되어 있는지 확인: Azure NSG를 사용하여 Azure 가상 네트워크의 Azure 리소스와 네트워크 트래픽을 필터링합니다. NSG에는 여러 종류의 Azure 리소스로의 인바운드 네트워크 트래픽 또는 이러한 리소스로부터의 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 있습니다. 각 규칙에 대해 원본과 대상, 포트 및 프로토콜을 지정할 수 있습니다.