Microsoft 사이버 보안 참조 아키텍처 및 클라우드 보안 벤치마크 소개
이 모듈에서는 공격자가 성공할 위험을 줄이는 데 필수적인 사이버 보안 기능 및 제어에 대한 모범 사례를 다룹니다.
학습 목표
이 모듈에서는 다음을 수행하는 방법을 알아봅니다.
- MCRA(Microsoft 사이버 보안 참조 아키텍처)를 사용하여 보다 안전한 솔루션을 설계합니다.
- MCSB(Microsoft 클라우드 보안 벤치마크)를 사용하여 보다 안전한 솔루션을 설계합니다.
이 모듈의 내용은 SC-100: Microsoft 사이버 보안 설계자 인증 시험을 준비하는 데 도움이 됩니다.
필수 구성 요소
- 하이브리드 환경의 보안 정책, 요구 사항, 제로 트러스트 아키텍처 및 관리에 대한 개념적 지식
- 제로 트러스트 전략, 보안 정책 적용, 비즈니스 목표에 기반한 보안 요구 사항 개발과 관련된 실무 경험
MCRA 개요
MCRA(Microsoft 사이버 보안 참조 아키텍처)는 Microsoft의 사이버 보안 기능을 설명하는 기술적 다이어그램 집합입니다. 다이어그램에서는 Microsoft 보안 기능이 다음과 통합되는 방법을 설명합니다.
- Microsoft 365 및 Microsoft Azure와 같은 Microsoft 플랫폼
- ServiceNow 및 salesforce와 같은 타사 앱
- AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)와 같은 타사 플랫폼
MCRA에는 다음 항목에 대한 다이어그램이 포함되어 있습니다.
- Microsoft 사이버 보안 기능
- 제로 트러스트 및 제로 트러스트 RaMP(신속한 현대화 계획)
- 제로 트러스트 사용자 액세스
- 보안 운영
- OT(운영 기술)
- 다중 클라우드 및 교차 플랫폼 기능
- 공격 체인 검사
- Azure 네이티브 보안 컨트롤
- 보안 조직 기능
MCSB 개요
새로운 서비스 및 기능이 Azure 및 기타 클라우드 플랫폼에서 매일 릴리스됩니다. 개발자는 이러한 서비스를 기반으로 하는 새로운 클라우드 애플리케이션을 빠르게 게시하고 있고 공격자는 지속적으로 잘못 구성된 리소스를 악용할 새로운 방법을 찾고 있습니다. 클라우드는 빠르게 이동하고, 개발자도 빠르게 이동하며, 공격자도 빠르게 이동합니다. 클라우드 배포가 항상 안전하게 보호되도록 하려면 어떻게 해야 할까요? 클라우드 시스템에 대한 보안 관행은 온-프레미스 시스템과 어떻게 다르며 클라우드 서비스 공급자 간에 어떻게 다른가요? 여러 클라우드 플랫폼에서 일관성을 위해 워크로드를 모니터링하려면 어떻게 해야 할까요?
Microsoft는 보안 벤치마크를 사용하면 클라우드 배포를 신속하게 보호하는 데 도움이 될 수 있다는 점을 발견했습니다. 클라우드 서비스 공급자의 포괄적인 보안 모범 사례 프레임워크를 사용하면 여러 서비스 공급자에서 클라우드 환경의 특정 보안 구성 설정을 선택할 수 있는 시작점이 제공되고 단일 창으로 이러한 구성을 모니터링할 수 있습니다.
보안 컨트롤
컨트롤은 해결해야 하는 권장 기능 또는 활동에 대한 상위 수준 설명입니다. 컨트롤은 기술 또는 구현에만 국한되지 않습니다. 보안 제어 권장 사항은 여러 클라우드 워크로드에 적용할 수 있습니다. 각 컨트롤의 번호가 매겨지고 컨트롤의 권장 사항은 일반적으로 벤치마크의 계획, 승인 또는 구현과 관련된 관련자 목록을 식별합니다.
MCSB 컨트롤 도메인/컨트롤 제품군
MCSB 컨트롤에서는 "제품군" 또는 "도메인"으로 그룹화됩니다. 다음 표에는 MCSB의 보안 컨트롤 도메인이 요약되어 있습니다.
| 제어 도메인 | 설명 |
|---|---|
| NS(네트워크 보안) | 네트워크 보안은 가상 네트워크 보안 유지, 프라이빗 연결 구축, 외부 공격 방지 및 완화, DNS 보안 등 네트워크의 보안 및 보호를 위한 컨트롤을 포함합니다. |
| IM(ID 관리) | ID 관리에서는 애플리케이션, 조건부 액세스, 계정 변칙 모니터링을 위해 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 원칙)를 사용하여 ID 및 액세스 관리 시스템을 사용하는 보안 ID 및 액세스 제어를 설정하는 컨트롤을 다룹니다. |
| PA(권한 있는 액세스) | 권한 액세스는 의도적인 위험과 우발적인 위험으로부터 관리 모델, 관리 계정, 권한 있는 액세스 워크스테이션을 보호하는 다양한 컨트롤을 포함하여 테넌트 및 리소스에 대한 권한 액세스를 보호하는 컨트롤을 포함합니다. |
| DP(데이터 보호) | 데이터 보호는 액세스 제어, 암호화, 키 관리 및 인증서 관리를 사용하여 중요한 데이터 자산을 검색, 분류, 보호 및 모니터링하는 것을 포함하여 미사용, 전송 중 및 승인된 액세스 메커니즘을 통한 데이터 보호 제어를 다룹니다. |
| AM(자산 관리) | 자산 관리는 리소스에 대한 보안 가시성과 거버넌스를 보장하기 위한 제어를 다룹니다. 여기에는 보안 담당자에 대한 권한, 자산 인벤토리에 대한 보안 액세스, 서비스 및 리소스(인벤토리, 추적 및 수정)에 대한 승인 관리에 대한 권장 사항이 포함됩니다. |
| 로깅 및 위협 탐지(LT) | 로깅 및 위협 탐지는 클라우드에서 위협을 탐지하고, 클라우드 서비스의 기본 위협 탐지를 사용하여 높은 품질의 경고를 생성하는 컨트롤을 통해 탐지, 조사, 수정 프로세스를 사용하도록 설정하는 것을 비롯하여 클라우드에서 위협을 탐지하고 클라우드 서비스에 대한 감사 로그를 활성화, 수집, 저장하고는 컨트롤을 포함합니다. 또한 클라우드 모니터링 서비스를 통한 로그 수집, SIEM을 통한 보안 분석 중앙 집중화, 시간 동기화, 로그 보존을 포함합니다. |
| 인시던트 응답(IR) | 인시던트 대응은 인시던트 대응 프로세스를 자동화하기 위해 클라우드용 Microsoft Defender, Sentinel 및/또는 기타 클라우드 서비스 같은 Azure 서비스를 사용하는 것을 포함하여 인시던트 대응 수명 주기의 제어(준비, 검색 및 분석, 억제, 인시던트 후 작업)를 다룹니다. |
| PV(자세 및 취약성 관리) | 태세 및 취약성 관리는 취약성 검사, 침투 테스트, 문제 해결, 클라우드 리소스의 보안 구성 추적, 보고, 수정 등 클라우드 보안 태세를 평가하고 개선하기 위한 제어에 중점을 둡니다. |
| ES(엔드포인트 보안) | 엔드포인트 보안은 클라우드 환경에서 엔드포인트에 대해 EDR(엔드포인트 검색 및 응답) 및 맬웨어 방지 서비스를 사용하는 것을 포함하여 엔드포인트 검색 및 응답의 컨트롤을 포함합니다. |
| BR(백업 및 복구) | 백업 및 복구는 여러 서비스 계층의 데이터 및 구성 백업이 수행되고, 유효성이 검사되고, 보호되도록 하는 컨트롤을 포함합니다. |
| DS(DevOps 보안) | DevOps 보안은 DevOps 프로세스 전반에 걸쳐 보안을 보장하기 위해 배포 단계 이전에 중요한 보안 검사(예: 정적 애플리케이션 보안 테스트, 취약성 관리) 배포를 포함하여 DevOps 프로세스의 보안 엔지니어링 및 운영과 관련된 컨트롤을 다룹니다. 여기에는 위협 모델링 및 소프트웨어 공급 보안과 같은 일반적인 항목도 포함됩니다. |
| GS(거버넌스 및 전략) | 거버넌스 및 전략은 다양한 클라우드 보안 기능, 통합 기술 전략, 지원 정책, 표준에 대한 역할 및 책임을 설정하는 것을 포함하여 보안 보장을 안내하고 유지하기 위한 일관된 보안 전략 및 문서화된 거버넌스 접근 방식을 지원하는 참고 자료를 제공합니다. |
서비스 기준
보안 기준은 Azure 제품 제안의 표준화된 문서로, 향상된 도구, 추적 및 보안 기능을 통해 보안을 강화하는 데 도움이 되는 사용 가능한 보안 기능과 최적의 보안 구성을 설명합니다. 현재는 Azure에서만 사용할 수 있는 서비스 기준이 있습니다.
Azure에 대한 보안 기준은 Azure 환경에서 클라우드 중심 컨트롤 영역에 중점을 둡니다. 이러한 컨트롤은 CIS(Center for Internet Security) 또는 NIST(미국 국립표준기술연구소)와 같은 잘 알려진 업계 표준과 일치합니다. Microsoft의 기준은 Microsoft 클라우드 보안 벤치마크 v1에 나열된 컨트롤 영역에 대한 지침을 제공합니다.
각 기준은 다음 구성 요소로 구성됩니다.
- 서비스는 어떻게 작동하나요?
- 사용할 수 있는 보안 기능은 무엇인가요?
- 서비스를 보호하기 위해 권장되는 구성은 무엇인가요?
Microsoft 클라우드 보안 벤치마크 구현
- 계획 엔터프라이즈 제어 및 서비스별 기준의 설명서를 검토하여 MCSB 구현을 계획하여 제어 프레임워크 및 CIS(Center for Internet Security), NIST(국립 표준 기술 연구소), PCI-DSS(결제 카드 산업 데이터 보안 표준) 프레임워크와 같은 지침에 매핑되는 방법을 계획합니다.
- 멀티 클라우드 환경에서 클라우드용 Microsoft Defender - 규정 준수 대시보드를 사용하여 MCSB 상태 및 기타 컨트롤 집합의 규정 준수를 모니터링합니다.
- 설정 보안 구성을 자동화하고 Azure Blueprints, Azure Policy 또는 다른 클라우드 플랫폼의 동등한 기술과 같은 기능을 사용하여 MCSB(및 조직의 기타 요구 사항) 준수를 적용하는 보호책을 설정합니다.
일반 사용 예
Microsoft 클라우드 보안 벤치마크는 다음과 같은 고객 또는 서비스 파트너의 일반적인 문제를 해결하는 데 자주 사용됩니다.
- Azure(및 AWS와 같은 기타 주요 클라우드 플랫폼)를 처음 사용하며 클라우드 서비스 및 사용자의 자체 애플리케이션 워크로드를 안전하게 배포할 수 있는 보안 모범 사례를 찾고 있습니다.
- 상위 위험과 완화의 우선 순위를 지정하기 위해 기존 클라우드 배포의 보안 태세를 개선하려 합니다.
- 다중 클라우드 환경(예: Azure 및 AWS)을 사용하고 단일 창으로 보안 제어 모니터링 및 평가를 조정하는 데 어려움을 겪고 있습니다.
- 서비스를 클라우드 서비스 카탈로그에 온보딩/승인하기 전에 Azure(및 AWS와 같은 기타 주요 클라우드 플랫폼)의 보안 특징/기능을 평가합니다.
- 정부, 금융 및 의료와 같은 규제가 심한 산업에서 규정 준수 요구 사항을 충족해야 합니다. 이러한 고객은 CIS, NIST 또는 PCI와 같은 프레임워크에 정의된 보안 사양을 충족하기 위해 Azure 및 기타 클라우드의 서비스 구성을 확인해야 합니다. MSCB는 이미 이러한 산업 벤치마크에 미리 매핑되어 있는 컨트롤을 사용하는 효율적인 방법을 제공합니다.
용어
“제어” 및 “기준”과 같은 용어는 Microsoft 클라우드 보안 벤치마크 설명서에서 종종 사용됩니다. MCSB가 이러한 용어를 사용하는 방법을 이해하는 것이 중요합니다.
| 용어 | Description | 예제 |
|---|---|---|
| 컨트롤 | 컨트롤은 처리해야 하고 기술 또는 구현과 관련이 없는 기능이나 작업에 대한 상위 수준 설명입니다. | 데이터 보호는 보안 컨트롤 제품군 중 하나입니다. 데이터 보호는 데이터를 보호하기 위해 처리해야 하는 특정 작업을 포함합니다. |
| 기초 | 기준은 개별 Azure 서비스에 대한 컨트롤의 구현입니다. 각 조직은 벤치마크 권장 사항을 지정하며 Azure에서는 해당 구성이 필요합니다. 참고: 현재 Azure에서만 사용할 수 있는 서비스 기준이 있습니다. | Azure SQL 보안 기준에서 제시하는 권장 구성에 따라 Azure SQL 보안 기능을 사용하려는 Contoso사의 경우를 예로 들 수 있습니다. |