IoT 워크로드에 대한 보안 요구 사항 지정
이 단원에서는 IoT 워크로드에 대한 새로운 요구 사항 사양을 만드는 데 도움이 되도록 IoT 허브에 대한 Azure 보안 기준을 요약합니다.
Microsoft 클라우드 보안 벤치마크에 대한 자세한 배경은 Microsoft 사이버 보안 참조 아키텍처 및 클라우드 보안 벤치마크 소개를 참조하세요.
아래 표에는 다음과 같은 전체 기준의 컨트롤이 포함되어 있습니다.
- 보안 컨트롤은 지원되었지만 기본적으로 사용하도록 설정되지 않았습니다.
- 고객 부분에 대해 수행할 작업이 포함된 명시적 지침이 있었습니다.
| 영역 | 제어 | 기능 | 지침 요약 |
|---|---|---|---|
| 네트워크 보안 | NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스 | Azure Private Link | Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다. |
| NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스 | 공용 네트워크 액세스 사용 안 함 | 서비스 수준 IP ACL 필터링 규칙을 사용하거나 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | |
| ID 관리 | IM-1: 중앙 ID 및 인증 시스템 사용 | 데이터 평면 액세스에 대한 로컬 인증 방법 | 데이터 평면 액세스에 대한 로컬 인증 방법 사용을 제한합니다. 대신 Microsoft Entra ID를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다. |
| IM-3: 애플리케이션 ID를 안전하게 자동으로 관리 | 관리 ID | 가능하면 서비스 주체 대신 Azure 관리 ID를 사용합니다. 이 ID는 Azure 서비스 및 Microsoft Entra 인증을 지원하는 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다. | |
| 서비스 주체 | 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. 조직에서 이 보안 기능을 구성하려는지 검토하고 확인하세요. | ||
| IM-7: 조건에 따라 리소스 액세스 제한 | 데이터 평면에 대한 조건부 액세스 | 워크로드에서 Microsoft Entra 조건부 액세스에 적용 가능한 조건 및 기준을 정의합니다. | |
| 권한 있는 액세스 | PA-7: 충분한 관리 수행(최소 권한) 원칙 | 데이터 평면용 Azure RBAC | Azure AD 및 RBAC를 사용하는 경우 IoT Hub에서 API를 요청하는 보안 주체가 권한을 부여하는 데 적절한 수준의 권한을 갖도록 요구합니다. 권한을 보안 주체에 부여하려면 역할 할당을 부여합니다. |
| 데이터 보호 | DP-6: 보안 키 관리 프로세스 사용 | Azure Key Vault에서 키 관리 | Azure Key Vault를 사용하여 키 만들기, 배포 및 저장을 포함한 암호화 키 수명 주기를 만들고 제어합니다. 정의된 일정 또는 키 사용 중지 또는 손상이 있을 때 Azure Key Vault 및 서비스에서 키를 교체하고 취소합니다. |
| 자산 관리 | AM-2: 승인된 서비스만 사용 | Azure Policy 지원 | 클라우드용 Microsoft Defender를 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. |
| 로깅 및 위협 탐지 | LT-4: 보안 조사를 위해 로깅 사용 | Azure 리소스 로그 | 서비스에 대한 리소스 로그를 사용하도록 설정합니다. |