모범 사례 소개
이 모듈에서는 Microsoft 사이버 보안 기능에 대한 제로 트러스트 및 모범 사례 프레임워크의 문서를 다룹니다.
대규모 조직에서 근무하는 사이버 보안 설계자라고 상상해 보세요. 조직의 사이버 보안을 현대화하는 임무를 맡았습니다. 이 목표를 달성하려면 모범 사례가 필수적이라는 것을 알고 있지만 사용할 프레임워크에 대해서는 확실하게 알고 있지 않습니다. 제로 트러스트의 잠재적인 이점에 대해 들어보았지만 어떻게 시작해야 할지는 잘 모릅니다. 이 모듈은 이와 관련된 모범 사례와 사이버 보안 설계자로서 이를 사용하는 방법을 이해하는 데 도움이 됩니다. 또한 제로 트러스트 개념과 조직에서 제로 트러스트를 시작하는 방법에 대해서도 알아봅니다.
모듈은 5개 단위로 나뉩니다.
- 모범 사례 소개
- 제로 트러스트 소개
- 제로 트러스트 이니셔티브
- 제로 트러스트 기술 핵심 요소 1부
- 제로 트러스트 기술 핵심 요소 2부
이 모듈을 마치면 사이버 보안 설계자로 모범 사례를 사용하고, 제로 트러스트 개념과 이를 사용하여 조직의 사이버 보안을 현대화하는 방법을 이해하고, MCRA, CAF 및 WAF와 같은 다양한 모범 사례 프레임워크를 사용하는 시기를 이해할 수 있습니다.
학습 목표
이 모듈을 완료하면 학습자는 다음을 수행할 수 있습니다.
- 사이버 보안 설계자로 모범 사례를 사용하는 방법을 이해합니다.
- 제로 트러스트 개념과 이를 사용하여 조직 사이버 보안을 현대화하는 방법을 이해합니다.
- MCRA, CAF 및 WAF와 같은 다양한 모범 사례 프레임워크를 사용하는 시기를 이해합니다.
이 모듈의 내용은 SC-100: Microsoft 사이버 보안 설계자 인증 시험을 준비하는 데 도움이 됩니다.
필수 구성 요소
- 하이브리드 환경의 보안 정책, 요구 사항, 제로 트러스트 아키텍처 및 관리에 대한 개념적 지식
- 제로 트러스트 전략, 보안 정책 적용, 비즈니스 목표에 기반한 보안 요구 사항 개발과 관련된 실무 경험
모범 사례
모범 사례는 가장 효과적이거나 효율적인 것으로 확인되어 권장되는 작업 수행 방식입니다. 모범 사례는 실수를 방지하고 리소스와 활동이 낭비되지 않도록 하는 데 도움이 됩니다.
모범 사례는 다음과 같은 다양한 형태로 제공됩니다.
- 무엇을 해야 하는지, 왜 해야 하는지, 누가 해야 하는지, 어떻게 해야 하는지에 대한 정확한 지침
- 다양한 유형의 의사 결정 및 작업에 도움이 되는 대략적인 원칙
- 참조 아키텍처의 일부분으로 솔루션에 포함되어야 하는 구성 요소와 통합하는 방법을 설명하는 지침
Microsoft는 다음을 비롯한 다양한 형태의 지침에 보안 모범 사례를 포함했습니다.
- Microsoft 사이버 보안 참조 아키텍처
- Microsoft Cloud 보안 벤치마크
- CAF(클라우드 채택 프레임워크)
- Azure WAF(Well-Architected Framework)
- Microsoft 보안 모범 사례
안티패턴
안티패턴은 부정적인 결과로 이어지는 일반적인 실수입니다. 모범 사례와는 반대됩니다. 많은 모범 사례는 안티패턴을 방지하는 데 도움이 되도록 설계되었습니다.
수많은 안티패턴을 극복하는 데 도움이 되는 모범 사례의 예로 정기적으로 보안 패치를 적용하는 것이 있습니다. Microsoft는 이 기본적이고 매우 중요한 보안 모범 사례를 정기적으로 적용하는 데 방해가 되는 여러 안티패턴을 관찰했습니다.
(중요하지 않은 것을 제외하면) 패치하지 않음 - 이 안티패턴은 패치가 중요하지 않다는 암시적 가정 때문에 패치 설치를 막습니다. 또 다른 버전은 ‘우리에게는 일어나지 않을 것’으로, 패치되지 않은 취약성이 이전에 발생하지 않았거나 탐지되지 않았기 때문에 악용되지 않을 것이라는 생각입니다.
복원력을 구축하는 대신 완벽한 패치를 기다림 - 이 안티패턴은 패치에 문제가 발생할 수 있다는 두려움 때문에 패치 설치를 막습니다. 이 안티패턴은 공격자로 인한 가동 중지 시간 가능성도 높아집니다.
깨진 책임성 모델 - 이 안티패턴은 패치의 부정적인 결과에 대한 보안 책임을 집니다. 이 책임성 모델로 인해 다른 팀이 보안 유지 관리를 우선 순위로 두지 않습니다.
과도한 사용자 지정 패치 선택 - 이 안티패턴은 모든 제조업체 권장 패치를 적용하는 대신 패치에 고유한 기준을 사용합니다. 이 사용자 지정은 정확한 구성에서 테스트된 적이 없는 Windows, Linux 및 애플리케이션의 사용자 지정 빌드를 만들게 됩니다.
운영 체제에만 집중 - 이 안티패턴은 컨테이너, 애플리케이션, 펌웨어 및 IoT/OT 디바이스에 주소를 지정하지 않고 서버 및 워크스테이션에만 패치를 적용합니다.
설계자가 모범 사례를 사용하는 방법
보안 모범 사례는 사람들의 기술과 습관, 조직 프로세스, 기술 아키텍처 및 구현에 통합되어야 합니다.
사이버 보안 설계자는 다음을 수행하여 보안 모범 사례를 통합하고 실행 가능하도록 해야 합니다.
- 모범 사례를 보안 아키텍처 및 정책에 통합
- 모범 사례를 비즈니스 프로세스, 기술 프로세스 및 문화에 통합하는 방법에 대해 보안 리더에게 조언합니다.
- 기술 팀에게 모범 사례 구현과, 모범 사례를 더 쉽게 구현할 수 있는 기술 기능에 대해 조언합니다.
- 엔터프라이즈 설계자, IT 설계자, 애플리케이션 소유자, 개발자 등 조직의 다른 사용자에게 담당 분야에서 보안 모범 사례를 통합하는 방법에 대해 조언합니다.
모범 사례를 피해야 할 이유가 없는 한 모범 사례를 따릅니다. 조직은 이를 따르지 않아야 할 구체적인 이유가 없는 한 잘 정의되고 합리적인 모범 사례를 따라야 합니다. 일부 조직에서는 그럴듯한 이유로 특정 모범 사례를 무시할 수 있지만, 조직은 Microsoft에서 제공하는 것과 같은 고품질 모범 사례를 무시하기 전에 주의해야 합니다. 모범 사례는 모든 상황에 완벽하게 적용할 수 있는 것은 아니지만 다른 상황에 작동하는 것으로 입증되었으므로 타당한 이유 없이 무시하거나 변경해서는 안 됩니다.
적응하지만 과도하게 사용자 지정하지 않음 - 모범 사례는 대부분의 조직에 통하는 일반적인 지침입니다. 조직의 고유한 상황에 맞게 모범 사례를 조정해야 할 수 있습니다. 원래의 가치가 손상되는 지점까지 사용자 지정하지 않도록 주의해야 합니다. 이 예제는 암호 없는 다단계 인증을 채택하지만 공격자에게 가장 중요하며 가장 큰 영향을 미치는 비즈니스 및 IT 계정에 대한 예외를 만듭니다.
모범 사례를 채택하면 일반적인 실수가 줄어들고 전반적인 보안 효과와 효율성이 향상됩니다. 다음 다이어그램에는 중요한 안티패턴 및 모범 사례가 요약되어 있습니다.
어떤 프레임워크를 선택해야 합니까?
| 프레임워크 | 요약 | 사용 시기 | 사용자 | 조직 | 재질 |
|---|---|---|---|---|---|
| 제로 트러스트 RaMP 이니셔티브 | 제로 트러스트 가이드는 영향력이 큰 영역에서 빠른 성공을 위해 설계된 이니셔티브를 기반으로 합니다. 계획은 시간순으로 구성하고 주요 이해 관계자를 식별합니다. | 제로 트러스트를 시작하고 신속하게 진행하려는 경우. | 클라우드 설계자, IT 전문가 및 비즈니스 의사 결정권자 | 초기 스테이지 클라우드 및 제로 트러스트 채택자 | 검사 목록을 사용하는 프로젝트 계획 |
| ID 제로 트러스트 배포 목표 | 각 기술 핵심 요소에 대한 자세한 구성 단계가 포함된 제로 트러스트 가이드입니다. RaMP 이니셔티브보다 더 포괄적입니다. | 제로 트러스트 롤아웃에 대한 보다 포괄적인 가이드를 원하는 경우. | 클라우드 설계자, IT 전문가 | 제로 트러스트로 일부 진전을 이루었으며 기술을 최대한 활용하기 위한 자세한 지침을 원하는 조직. | 기본 및 보조 목표를 사용하는 배포 계획입니다. |
| MCRA | MCRA는 제로 트러스트에서 RaMP의 액세스 제어 현대화 이니셔티브와 관련된 많은 모범 사례를 포함하는 다이어그램 세트입니다. | 원하는 경우: 보안 아키텍처의 시작 템플릿, 보안 기능에 대한 비교 참조, Microsoft 기능에 대해 알아보기, Microsoft의 통합 투자에 대해 알아보기 | 클라우드 설계자, IT 전문가 | 초기 스테이지 클라우드 및 제로 트러스트 채택자 | 다이어그램이 있는 PowerPoint 슬라이드 |
| MCSB | 업계 표준 및 모범 사례에 대해 조직의 클라우드 환경의 보안 태세를 평가하기 위한 프레임워크입니다. | 보안 제어를 구현하고 규정 준수를 모니터링하는 방법에 대한 지침을 찾고 있는 경우. | 클라우드 설계자, IT 전문가 | 모두 | 컨트롤 및 서비스 기준의 자세한 사양 |
| CAF | 클라우드 채택 수명 주기 전반에 걸친 모범 사례를 위한 설명서 및 구현 프레임워크로 Azure를 사용하여 클라우드 마이그레이션 및 관리에 대한 단계별 접근 방식을 제공합니다. | 클라우드에 대한 비즈니스 및 기술 전략을 만들고 구현하려는 경우. | 클라우드 설계자, IT 전문가 및 비즈니스 의사 결정권자 | Microsoft Azure에 대한 기술 지침이 필요한 조직 | 모범 사례, 설명서 및 도구 |
| WAF | 고객이 비용 최적화, 운영 우수성, 성능 효율성, 안정성 및 보안의 다섯 가지 핵심 요소를 사용하여 Azure의 애플리케이션 및 워크로드를 위한 복원력 있고 효율적인 고성능 보안 인프라를 구축할 수 있도록 설계된 프레임워크입니다. | 클라우드 워크로드의 품질을 개선하려는 경우. | 클라우드 설계자, IT 전문가 | 모두 | Azure Well-Architected 검토, Azure Advisor, 설명서, 파트너, 지원 및 서비스 제공, 참조 아키텍처, 설계 원칙 |