클라우드용 Microsoft Defender로 네트워크 보안 권장 사항 받기
네트워크 보안에는 다양한 기술, 디바이스, 프로세스가 포함됩니다. 컴퓨터 네트워크와 데이터의 무결성, 기밀성, 접근성을 보호하도록 설계된 규칙 및 구성 집합을 제공합니다. 규모, 산업 또는 인프라와 관계없이 모든 조직에는 계속 증가하는 공격 위험으로부터 보호하기 위한 어느 정도의 네트워크 보안 솔루션이 필요합니다.
Microsoft Azure의 경우 마이크로 서비스, VM, 데이터 등의 리소스를 보호하는 것 또는 보호하는 기능을 제공하는 것이 가장 중요합니다. Microsoft Azure는 분산형 가상 방화벽을 통해 이를 보장합니다.
Microsoft Azure의 가상 네트워크는 개인 IP 주소를 통해 통신하는 동안 다른 네트워크와 격리됩니다.
네트워크 보안
네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 Azure 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다. 컨트롤 관련 전체 설명은 Microsoft Learn의 Security Control V3: 네트워크 보안에서 확인할 수 있습니다.
NS-1: 네트워크 구분 경계 설정
보안 원칙: 가상 네트워크 배포가 GS-2 보안 제어에 정의된 엔터프라이즈 구분 전략에 맞는지 확인합니다. 조직에 더 높은 위험을 초래할 수 있는 모든 워크로드는 격리된 가상 네트워크에 있어야 합니다. 고위험 워크로드의 예는 다음과 같습니다.
- 매우 중요한 데이터를 저장하거나 처리하는 애플리케이션입니다.
- 조직 외부의 일반 사용자 또는 사용자가 액세스할 수 있는 외부 네트워크 연결 애플리케이션입니다.
- 안전하지 않은 아키텍처를 사용하거나 쉽게 수정할 수 없는 취약성을 포함하는 애플리케이션입니다.
엔터프라이즈 구분 전략을 향상시키려면 네트워크 컨트롤을 사용하여 내부 리소스 간의 트래픽을 제한하거나 모니터링합니다. 구체적이고 잘 정의된 애플리케이션(예: 3계층 앱)의 경우 네트워크 트래픽의 포트, 프로토콜, 원본 및 대상 IP를 제한하여 매우 안전한 "기본적으로 거부하고 예외로 허용"하는 방법이 될 수 있습니다. 서로 상호 작용하는 많은 애플리케이션과 엔드포인트가 있는 경우 트래픽 차단이 제대로 확장되지 않을 수 있으며 트래픽을 모니터링할 수만 있을 수 있습니다.
Azure 지침: Azure 네트워크에서 기본적인 구분 방법으로 VNet(가상 네트워크)을 만들어 VM과 같은 리소스를 네트워크 경계 내에서 VNet에 배포할 수 있습니다. 네트워크를 더 자세히 구분하기 위해 VNet 내부에 더 작은 하위 네트워크용 서브넷을 만들 수 있습니다.
NSG(네트워크 보안 그룹)를 네트워크 계층 제어로 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다.
ASG(애플리케이션 보안 그룹)를 사용하여 복잡한 구성을 단순화할 수도 있습니다. 네트워크 보안 그룹의 명시적 IP 주소를 기반으로 정책을 정의하는 대신 ASG를 사용하면 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성할 수 있으므로 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다.
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
보안 원칙: 리소스에 대한 프라이빗 액세스 지점을 설정하여 클라우드 서비스를 보호합니다. 또한 가능하면 공용 네트워크에서 액세스를 사용하지 않도록 설정하거나 제한해야 합니다.
Azure 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다. 또한 가능한 경우 서비스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하거나 제한해야 합니다.
특정 서비스의 경우 서비스에 대한 프라이빗 액세스 지점을 설정하도록 VNET을 제한할 수 있는 서비스에 대한 VNet 통합을 배포하는 옵션도 있습니다.
NS-3: 엔터프라이즈 네트워크의 에지에 방화벽 배포
보안 원칙: 방화벽을 배포하여 외부 네트워크를 오가는 네트워크 트래픽에 대한 고급 필터링을 수행합니다. 내부 세그먼트 간에 방화벽을 사용하여 구분 전략을 지원할 수도 있습니다. 필요한 경우 보안 제어를 위해 네트워크 트래픽이 네트워크 어플라이언스를 통과하도록 해야 하는 경우 서브넷에 대한 사용자 지정 경로를 사용하여 시스템 경로를 재정의합니다.
최소한 알려진 잘못된 IP 주소와 원격 관리(예: RDP 및 SSH) 및 인트라넷 프로토콜(예: SMB 및 Kerberos)과 같은 고위험 프로토콜은 차단합니다.
Azure 지침: Azure Firewall을 사용하여 완전한 상태 저장 애플리케이션 계층 트래픽 제한(예: URL 필터링) 및/또는 수많은 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대한 중앙 관리를 제공합니다.
허브/스포크 설정과 같은 복잡한 네트워크 토폴로지가 있는 경우 트래픽이 원하는 경로를 통과하도록 UDR(사용자 정의 경로)을 만들어야 할 수 있습니다. 예를 들어 UDR을 사용하여 특정 Azure Firewall 또는 네트워크 가상 어플라이언스를 통해 송신 인터넷 트래픽을 리디렉션하는 옵션이 있습니다.
NS-4: IDS/IPS(침입 검색 시스템/침입 방지 시스템) 배포
보안 원칙: 네트워크 IDS(침입 검색 시스템) 및 IPS(침입 방지 시스템)를 사용하여 워크로드를 오가는 페이로드 트래픽과 네트워크를 검사합니다. IDS/IPS가 항상 SIEM 솔루션에 고품질 경고를 제공하도록 조정되어 있는지 확인합니다.
보다 심층적인 호스트 수준 검색 및 방지 기능을 사용하려면 네트워크 IDS/IPS와 함께 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 사용합니다.
Azure 지침: 네트워크에서 Azure Firewalls IDPS 기능을 사용하여 알려진 악성 IP 주소 및 도메인에서 들어오고 나가는 트래픽에 대한 경고 및/또는 차단을 수행합니다.
보다 심층적인 호스트 수준 검색 및 방지 기능을 위해 네트워크 IDS/IPS와 함께 VM 수준에서 호스트 기반 IDS/IPS 또는 엔드포인트용 Microsoft Defender와 같은 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 배포합니다.
NS-5: DDOS 보호 배포
보안 원칙: DDoS(분산 서비스 거부) 보호를 배포하여 공격으로부터 네트워크와 애플리케이션을 보호합니다.
Azure 지침: VNet에서 DDoS 네트워크 보호 계획을 사용하도록 설정하여 공용 네트워크에 노출된 리소스를 보호합니다.
NS-6: 웹 애플리케이션 방화벽 배포
보안 원칙: WAF(웹 애플리케이션 방화벽)를 배포하고 적절한 규칙을 구성하여 특정 애플리케이션에 대한 공격으로부터 웹 애플리케이션과 API를 보호합니다.
Azure 지침: Azure Application Gateway, Azure Front Door 및 Azure CDN(Content Delivery Network)에서 WAF(웹 애플리케이션 방화벽) 기능을 사용하여 네트워크의 에지에서 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다. 요구 사항과 위협 환경에 따라 WAF를 "검색" 또는 "방지 모드"로 설정합니다. OWASP Top 10 취약성과 같은 기본 제공 규칙 집합을 선택하고 애플리케이션에 맞게 조정합니다.
NS-7: 네트워크 보안 구성 간소화
보안 원칙: 복잡한 네트워크 환경을 관리할 때 도구를 사용하여 네트워크 보안 관리를 단순화, 중앙 집중화 및 강화합니다.
Azure 지침: 다음 기능을 사용하여 NSG 및 Azure Firewall 규칙의 구현 및 관리를 단순화합니다.:
- 클라우드용 Microsoft Defender 적응형 네트워크 강화를 사용하여 위협 인텔리전스 및 트래픽 분석 결과를 기반으로 포트, 프로토콜 및 원본 IP를 추가로 제한하는 NSG 강화 규칙을 권장합니다.
- Azure Firewall Manager를 사용하여 방화벽 정책을 중앙 집중화하고 가상 네트워크의 경로를 관리합니다. 방화벽 규칙 및 네트워크 보안 그룹 구현을 단순화하기 위해 Azure Firewall Manager ARM(Azure Resource Manager) 템플릿을 사용할 수도 있습니다.
NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 사용하지 않도록 설정
보안 원칙: OS, 애플리케이션 또는 소프트웨어 패키지 계층에서 안전하지 않은 서비스 및 프로토콜을 검색하고 사용하지 않도록 설정합니다. 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정할 수 없는 경우 보상 컨트롤을 배포합니다.
Azure 지침: Azure Sentinels의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, 서명되지 않은 LDAP 바인딩 및 Kerberos의 약한 암호와 같은 안전하지 않은 서비스 및 프로토콜의 사용을 검색합니다. 적절한 보안 표준을 충족하지 않는 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정합니다.
참고 항목
안전하지 않은 서비스나 프로토콜을 사용하지 않도록 설정하는 것이 불가능한 경우, 네트워크 보안 그룹, Azure Firewall 또는 Azure Web Application Firewall을 통해 리소스에 대한 액세스 차단과 같은 보상 컨트롤을 사용하여 공격 노출 영역을 줄이세요.
NS-9: 온-프레미스 또는 클라우드 네트워크를 프라이빗하게 연결
보안 원칙: 공동 배치 환경의 클라우드 서비스 공급자 데이터 센터 및 온-프레미스 인프라와 같은 서로 다른 네트워크 간의 보안 통신을 위해 프라이빗 연결을 사용합니다.
Azure 지침: 공동 배치 환경의 클라우드 서비스 공급자 데이터 센터 및 온-프레미스 인프라와 같은 다양한 네트워크 간의 보안 통신을 위해 프라이빗 연결을 사용합니다.
사이트 간 또는 지점과 사이트 간 연결의 경우 Azure VPN(가상 사설망)을 사용하여 온-프레미스 사이트 또는 최종 사용자 디바이스와 Azure 가상 네트워크 간에 보안 연결을 만듭니다.
엔터프라이즈 수준의 고성능 연결의 경우 Azure ExpressRoute(또는 Virtual WAN)를 사용하여 공동 배치 환경에서 Azure 데이터 센터와 온-프레미스 인프라를 연결합니다.
둘 이상의 Azure 가상 네트워크를 함께 연결할 때 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 유지됩니다.
NS-10: DNS(Domain Name System) 보안 보장
보안 원칙: DNS(Domain Name System) 보안 구성이 알려진 위험으로부터 보호하는지 확인합니다.:
- 클라이언트(예: 운영 체제 및 애플리케이션)가 올바른 확인 결과를 받을 수 있도록 클라우드 환경 전체에서 신뢰할 수 있는 재귀 DNS 서비스를 사용합니다.
- 개인 네트워크에 대한 DNS 확인 프로세스가 공용 네트워크에서 격리될 수 있도록 공용 및 프라이빗 DNS 확인을 분리합니다.
- DNS 보안 전략에 댕글링 DNS, DNS 증폭 공격, DNS 중독 및 스푸핑 등과 같은 일반적인 공격에 대한 완화도 포함되어 있는지 확인합니다.
Azure 지침: VM의 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정에서 Azure 재귀 DNS 또는 신뢰할 수 있는 외부 DNS 서버를 사용합니다.
DNS 확인 프로세스가 가상 네트워크를 벗어나지 않는 프라이빗 DNS 영역 설정에 Azure 프라이빗 DNS를 사용합니다. 사용자 지정 DNS를 사용하여 클라이언트에 대한 신뢰할 수 있는 확인만 허용하는 DNS 확인을 제한합니다.
워크로드 또는 DNS 서비스에 대한 다음 보안 위협에 대한 고급 보호를 위해 DNS용 Azure Defender를 사용합니다.
- DNS 터널링을 사용하여 Azure 리소스에서 데이터 반출
- 명령 및 제어 서버와 통신하는 맬웨어
- 피싱 및 암호화 마이닝으로 악성 도메인과의 통신
- 악성 DNS 확인자와 통신하는 DNS 공격
또한 DNS 등록 대행자에서 사용자 지정 도메인을 제거하지 않고 App Service 웹 사이트를 해제하는 경우 App Service용 Azure Defender를 사용하여 매달린 DNS 레코드를 검색할 수 있습니다.
Microsoft Cloud 보안 벤치마크
Microsoft는 보안 벤치마크를 사용하면 클라우드 배포를 신속하게 보호하는 데 도움이 될 수 있다는 점을 발견했습니다. 클라우드 서비스 공급자의 포괄적인 보안 모범 사례 프레임워크를 사용하면 여러 서비스 공급자에서 클라우드 환경의 특정 보안 구성 설정을 선택할 수 있는 시작점이 제공되고 단일 창으로 이러한 구성을 모니터링할 수 있습니다.
MCSB(Microsoft 클라우드 보안 벤치마크)에는 단일 또는 다중 클라우드 환경에서 클라우드 서비스를 보호하는 데 사용할 수 있는 강력한 보안 권장 사항 모음이 포함되어 있습니다. MCSB 권장 사항에는 다음 두 가지 주요 측면이 포함됩니다.
- 보안 제어: 이러한 권장 사항은 일반적으로 클라우드 워크로드 전체에 적용 가능합니다. 각 권장 사항은 일반적으로 벤치마크의 계획, 승인 또는 구현에 관여하는 이해관계자의 목록을 식별합니다.
- 서비스 기준: 개별 클라우드 서비스에 컨트롤을 적용하여 특정 서비스의 보안 구성에 대한 권장 사항을 제공합니다. 현재는 Azure에서만 사용할 수 있는 서비스 기준이 있습니다.
Microsoft 클라우드 보안 벤치마크 구현
- 계획 엔터프라이즈 제어 및 서비스별 기준의 설명서를 검토하여 MCSB 구현을 계획하여 제어 프레임워크 및 CIS(Center for Internet Security), NIST(국립 표준 기술 연구소), PCI-DSS(결제 카드 산업 데이터 보안 표준) 프레임워크와 같은 지침에 매핑되는 방법을 계획합니다.
- 멀티 클라우드 환경에서 클라우드용 Microsoft Defender - 규정 준수 대시보드를 사용하여 MCSB 상태 및 기타 컨트롤 집합의 규정 준수를 모니터링합니다.
- 설정 보안 구성을 자동화하고 Azure Blueprints, Azure Policy 또는 다른 클라우드 플랫폼의 동등한 기술과 같은 기능을 사용하여 MCSB(및 조직의 기타 요구 사항) 준수를 적용하는 보호책을 설정합니다.
용어
컨트롤 및 기준이라는 용어는 Microsoft 클라우드 보안 벤치마크 설명서에서 자주 사용되며, Azure에서 이러한 용어가 어떻게 사용되는지 이해하는 것이 중요합니다.
| 기간 | 설명 | 예제 |
|---|---|---|
| 컨트롤 | 컨트롤은 처리해야 하고 기술 또는 구현과 관련이 없는 기능이나 작업에 대한 개략적인 설명입니다. | 데이터 보호는 보안 컨트롤 제품군 중 하나입니다. 데이터 보호는 데이터를 보호하기 위해 처리해야 하는 특정 작업을 포함합니다. |
| 기초 | 기준은 개별 Azure 서비스에 대한 컨트롤의 구현입니다. 각 조직은 벤치마크 권장 사항을 지정하며 Azure에서는 해당 구성이 필요합니다. 참고: 현재 Azure에서만 사용할 수 있는 서비스 기준이 있습니다. | Azure SQL 보안 기준에서 제시하는 권장 구성에 따라 Azure SQL 보안 기능을 사용하려는 Contoso사의 경우를 예로 들 수 있습니다. |
규정 준수를 위해 Microsoft Defender for Cloud 사용
Microsoft Defender for Cloud를 통해 규정 준수 대시보드를 사용하여 규정 준수 요구 사항을 충족하기 위한 프로세스를 간소화할 수 있습니다.
규정 준수 대시보드에는 선택한 표준 및 규정에 대한 환경 내의 모든 평가 상태가 표시됩니다. 권장 사항에 따라 작업하고 환경에서 위험 요소를 줄임에 따라 규정 준수 상태가 개선됩니다.
규정 준수 대시보드
대시보드에는 지원되는 규정 준수 세트와 함께 규정 준수 상태의 개요가 표시됩니다. 전반적인 준수 점수 및 각 표준과 관련된 통과와 실패 평가의 수를 볼 수 있습니다.
규정 준수 컨트롤
- 표준이 적용되는 구독.
- 해당 표준에 대한 모든 컨트롤의 목록.
- 해당 컨트롤과 관련된 통과 및 실패 평가에 대한 세부 정보를 봅니다.
- 영향을 받는 리소스의 수.
일부 컨트롤은 회색으로 표시됩니다. 이러한 컨트롤에는 연결된 Microsoft Defender for Cloud 평가가 없습니다. 고객의 요구 사항을 확인하고 해당 환경에서 평가합니다. 일부는 프로세스와 관련되며 기술적이지 않습니다.
특정 표준 규정 준수에 대한 세부 정보 살펴보기
특정 표준에 대한 현재 규정 준수 상태가 요약된 PDF 보고서를 생성하려면 보고서 다운로드를 선택합니다.
이 보고서는 Microsoft Defender for Cloud 평가 데이터를 기반으로 선택한 표준에 대한 규정 준수 상태에 대한 대략적인 요약을 제공합니다. 해당 표준의 컨트롤에 따라 보고서가 구성됩니다. 이 보고서는 관련자와 공유할 수 있으며, 내부 및 외부 감사자에게 증거 자료를 제공할 수 있습니다.
Microsoft Defender for Cloud의 경고
Microsoft Defender for Cloud는 Azure 리소스의 로그 데이터, 네트워크, 그리고 방화벽 및 엔드포인트 보호 솔루션과 같은 연결된 파트너 솔루션을 자동으로 수집, 분석 및 통합하여 실제 위협을 탐지하고 가양성을 줄입니다. 우선 순위가 지정된 보안 경고 목록은 문제를 신속하게 조사하는 데 필요한 정보 및 공격을 해결하기 위해 수행해야 하는 단계와 함께 Microsoft Defender for Cloud에 표시됩니다.
보안 경고 관리
Microsoft Defender for Cloud 개요 페이지는 페이지 상단에, 그리고 사이드바의 링크로서 보안 경고 타일을 표시합니다.
보안 경고 페이지는 활성 경고를 표시합니다. 심각도, 경고 제목, 영향을 받는 리소스, 작업 시작 시간을 기준으로 목록을 정렬할 수 있습니다. MITRE ATTACK 전술 및 상태.
경고 목록을 필터링하려면 관련 필터를 선택합니다. 필터 추가 옵션을 통해 필터를 더 추가할 수 있습니다.
선택한 필터링 옵션에 따라 목록이 업데이트됩니다. 필터링은 매우 유용할 수 있습니다. 예를 들어, 시스템에서의 잠재적 위반을 조사 중이면 최근 24시간 동안 발생한 보안 경고를 해결하는 것이 좋습니다.
보안 경고에 대응
보안 경고 목록에서 경고를 선택합니다. 사이드 창이 열리고 영향을 받는 모든 리소스 및 경고에 대한 설명이 표시됩니다.
전체 세부 정보 보기는 다음 이미지와 같이 추가 정보를 표시합니다.
보안 경고 페이지의 왼쪽 창에는 보안 경고의 제목, 심각도, 상태, 작업 시간, 의심스러운 활동 설명, 영향을 받는 리소스에 대한 높은 수준의 정보가 표시됩니다. 영향을 받는 리소스 옆에는 리소스와 관련된 Azure 태그가 있습니다. 이를 사용하여 경고를 조사할 때 리소스의 조직 컨텍스트를 유추합니다.
오른쪽 창에는 문제를 조사하는 데 도움을 주도록 경고에 대한 자세한 정보를 포함하는 경고 정보 탭(IP 주소, 파일, 프로세스 등)이 포함되어 있습니다.
또한 오른쪽 창에는 작업 수행 탭이 있습니다. 이 탭을 사용하여 보안 경고와 관련된 추가 작업을 수행합니다. 작업은 다음과 같습니다.
- 위협 완화: 보안 경고에 대하여 수동으로 수정할 수 있는 단계를 제공합니다.
- 향후 공격 방지: 공격 노출 영역을 줄이고 보안 태세를 강화하며 이후 공격을 방지하는 데 도움이 되는 보안 권장 사항을 제공합니다.
- 자동 응답 트리거: 보안 경고에 대한 대응으로 논리 앱을 트리거하는 옵션을 제공합니다.
- 유사한 경고 표시 안 함: 경고가 조직과 관련이 없는 경우 유사한 특성을 가진 경고는 표시하지 않는 옵션을 제공합니다.