2021년 Microsoft Azure 보안 모범 사례
Azure 서비스가 매우 다양하기 때문에 모든 상황에 적합한 단일 보안 "레시피"는 보안 태세를 최적화할 수 없습니다. 그러나 Azure의 다양한 측면을 보다 구체적인 범주로 분류하면 구현할 수 있는 실행 가능한 모범 사례를 발견할 수 있습니다. 이러한 범주와 그에 따른 Azure 보안 모범 사례를 살펴보겠습니다.
그러나 먼저 전제 조건: 공동 책임 모델과 최소 권한의 원칙
특정 Azure 보안 모범 사례를 살펴보기 전에 플랫폼의 기본 보안 패러다임인 Azure의 공동 책임 모델을 이해해야 합니다.
간단히 말해서 공동 책임 모델은 Microsoft가 클라우드의 보안을 책임지고 사용자는 클라우드 의 보안을 책임진다는 것을 의미합니다. 둘 사이의 경계는 특정 제품 유형에 따라 다릅니다. 예를 들어 서비스형 소프트웨어(SaaS) 앱의 경우 Microsoft가 운영 체제 보안을 담당합니다. 그러나 IaaS(Infrastructure-as-a-Service) 제품을 사용하면 운영 체제 보안을 책임져야 합니다. Azure 인프라의 구분선이 어디에 있는지 이해하는 것은 필수입니다.
또한 모든 경우에 최소 권한의 원칙을 따라야 합니다. 최소 권한 원칙을 구현하는 방법은 워크로드와 앱에 따라 다르지만 사용자, 디바이스, 앱 및 서비스에 필요한 액세스 권한만 부여하고 그 이상은 부여하지 않는다는 아이디어는 동일합니다. 예를 들어 Azure 데이터베이스를 사용하면 모든 사용자에게 전체 데이터베이스에 대한 읽기 권한을 부여하는 대신 행 수준 보안을 사용하여 데이터베이스 행에 대한 액세스를 제한할 수 있고 제한해야 합니다.
Azure 보안 모범 사례 검사 목록
전제 조건이 제거되었으니 체크리스트를 살펴보겠습니다. Azure의 개별 측면을 살펴보고 팀에서 감사할 수 있는 실행 가능한 특정 항목을 제공합니다.
암호화 및 데이터 보안
데이터 침해는 보안 태세에 대한 가장 큰 위협 중 하나입니다. 따라서 암호화 및 데이터 보안을 올바르게 수행하는 것이 필수입니다. 이 검사 목록은 올바른 경로를 사용하고 있는지 확인하는 데 도움이 되며 중요한 데이터를 사용, 전송 또는 저장하는 Azure의 모든 영역에 적용됩니다.
- 모든 민감한 정보를 식별합니다. 운영 및 컴플라이언스 관점에서는 인프라에서 전송되거나 저장되는 모든 민감한 데이터를 식별해야 합니다. 이렇게 하면 적절한 보안 및 컴플라이언스를 달성하는 방법을 적절하게 결정할 수 있습니다.
- 미사용 데이터를 암호화합니다. 이것은 데이터 보안 101입니다. 모든 미사용 데이터에 대해 최신 암호화 프로토콜과 안전한 데이터 저장 방법을 사용합니다.
- 전송 중인 데이터를 암호화합니다. 미사용 데이터를 암호화하는 것이 필수인 것처럼 전송 중인 데이터를 암호화하는 것도 필수입니다. 데이터가 인터넷을 통과하지 않더라도 암호화합니다.
- 백업 및 재해 복구(DR) 계획을 수립합니다. 랜섬웨어 또는 기타 멀웨어의 피해자가 되는 경우 백업 및 DR 계획을 통해 세상을 바꿀 수 있습니다. 강력한 백업 및 DR 계획은 Azure 보안을 위한 필수 요소입니다.
- 키 관리 솔루션을 사용합니다. Azure Key Vault와 같은 솔루션을 사용하면 키, 비밀 및 인증서를 안전하게 관리할 수 있습니다.
- 관리 워크스테이션을 강화하십시오. 안전하지 않은 워크스테이션에서 민감한 데이터에 액세스하는 것은 큰 위험입니다. 강화된 워크스테이션만 민감한 데이터를 저장하는 시스템에 액세스하고 관리할 수 있는지 확인합니다.
- Azure Information Protection을 사용합니다. Azure Information Protection을 사용하면 중요한 데이터에 대한 완전한 가시성을 확보하고, 제어를 구현하고, 안전하게 공동 작업할 수 있습니다. 이를 사용하면 전반적인 데이터 보안 노력을 더 쉽고 효과적으로 수행할 수 있습니다.
스토리지 및 데이터베이스 보안
데이터베이스 보안은 전반적인 보안 태세의 중요한 요소입니다. 또한 많은 경우 컴플라이언스 관점에서 필수입니다. Azure에서 데이터베이스 보안을 시작해야 하는 위치는 다음과 같습니다.
- 데이터베이스 및 스토리지 액세스를 제한합니다. 방화벽 및 액세스 제어를 사용하여 사용자, 디바이스 및 서비스가 데이터베이스 및 스토리지 Blob에 대해 갖는 액세스 수준을 제한합니다.
- 감사를 활용합니다. Azure 데이터베이스에 대한 감사를 켭니다. 이렇게 하면 모든 데이터베이스 변경 내용을 파악할 수 있습니다.
- Azure SQL에 대한 위협 탐지를 구성합니다. Azure SQL을 사용하는 경우 위협 탐지를 활성화하면 보안 문제를 더 빠르게 식별하고 체류 시간을 제한하는 데 도움이 됩니다.
- Azure Monitor에서 로그 경고를 설정합니다. 단순히 이벤트를 기록하는 것만으로는 충분하지 않습니다. 문제를 신속하게(가능한 경우 자동으로) 수정할 수 있도록 Azure Monitor에서 보안 관련 이벤트에 대해 경고하고 있는지 확인합니다.
- 스토리지 계정에 대해 Azure Defender를 사용하도록 설정합니다. Azure Defender는 Azure Storage 계정을 강화하고 보호합니다.
- 일시 삭제를 사용합니다. 일시 삭제는 악의적인 행위자(또는 사용자 오류)로 인해 유지하려는 데이터가 삭제되는 경우 데이터를 계속 검색할 수 있도록(14일 동안) 하는 데 도움이 됩니다.
- SAS(공유 액세스 서명)를 사용합니다. SAS를 사용하면 데이터에 대한 클라이언트 액세스에 대한 세분화된 액세스 제어 및 시간 제한을 구현할 수 있습니다.
워크로드 및 가상 머신 보호Workloads and Virtual Machine Protection
Azure 보안 모범 사례 검사 목록의 이 섹션에서는 가상 머신 및 기타 워크로드를 다룹니다. Azure에서 리소스를 보호하는 데 도움이 되는 몇 가지 다른 모범 사례가 있습니다.
- 다중 인증(MFA) 및 복잡한 암호를 적용합니다. MFA는 손상된 자격 증명의 위협을 제한하는 데 도움이 될 수 있습니다. 복잡한 암호는 무차별 암호 대입 공격의 효과를 줄이는 데 도움이 됩니다.
- JIT(Just-In-Time) 가상 머신 액세스를 사용합니다. JIT 액세스는 NSG 및 Azure 방화벽에서 작동하며, 가상 머신에 대한 액세스에 대한 RBAC(역할 기반 액세스 제어) 및 시간 바인딩을 계층화하는 데 도움이 됩니다.
- 패치 프로세스를 준비하십시오. 워크로드를 패치하지 않으면 다른 모든 노력이 헛수고가 될 수 있습니다. 패치되지 않은 단일 취약성이 위반으로 이어질 수 있습니다. 운영 체제와 애플리케이션을 최신 상태로 유지하기 위한 패치 프로세스는 이러한 위험을 완화하는 데 도움이 됩니다.
- 관리 포트를 잠급니다. 반드시 필요한 경우가 아니면 SSH, RDP, WinRM 및 기타 관리 포트에 대한 액세스를 제한합니다.
- Azure 방화벽 및 NGS(네트워크 보안 그룹)를 사용하여 워크로드에 대한 액세스를 제한합니다. 최소 권한 원칙에 따라 NSG 및 Azure 방화벽을 사용하여 워크로드 액세스를 제한합니다.
클라우드 네트워크 보안
네트워크 보안은 Azure 워크로드를 안전하게 유지하는 데 중요한 측면입니다. 클라우드 네트워크에 대해 유의해야 할 Azure 보안 모범 사례는 다음과 같습니다.
- 전송 중인 데이터를 암호화합니다. 암호화 및 데이터 보안 섹션에서 언급했듯이 전송 중(및 미사용 데이터)의 암호화는 필수입니다. 모든 네트워크 트래픽에 최신 암호화 프로토콜을 활용합니다.
- 제로 트러스트를 구현합니다. 기본적으로 네트워크 정책은 명시적 허용 규칙이 없는 한 액세스를 거부해야 합니다.
- 열린 포트 및 인터넷 연결 엔드포인트를 제한합니다. 포트가 열려 있거나 워크로드가 인터넷에 연결되어야 하는 잘 정의된 비즈니스 이유가 없는 한, 그런 일이 발생하지 않도록 하십시오.
- Monitor 디바이스 액세스. 워크로드 및 디바이스에 대한 액세스를 모니터링하면(예: SIEM(보안 정보 및 이벤트 관리 ) 또는 Azure Monitor 사용) 위협을 사전에 감지하는 데 도움이 됩니다
- 네트워크를 세분화합니다. 논리적 네트워크 세그멘테이션은 가시성을 개선하고, 네트워크를 더 쉽게 관리할 수 있도록 하며, 침해 발생 시 횡방향 이동을 제한하는 데 도움이 될 수 있습니다.
컴플라이언스
컴플라이언스 유지 관리는 Azure 클라우드에서 보안의 가장 중요한 측면 중 하나입니다. 다음은 이를 수행하는 데 도움이 되는 권장 사항입니다.
- 컴플라이언스 목표를 정의합니다. 컴플라이언스 관점에서 범위에 속하는 데이터와 워크로드는 무엇인가요? 어떤 표준 및 규정(예: PCI-DSS, ISO 27001, HIPAA)가 귀사와 관련이 있습니까? 이러한 질문에 명확하게 답하고 컴플라이언스 목표를 정의하는 것은 필수입니다.
- 를 사용하십시오. Azure Security Center의 규정 컴플라이언스 대시보드 및 Azure Security Benchmark. Azure Security Center의 컴플라이언스 대시보드는 광범위한 표준에 따라 컴플라이언스 달성에 얼마나 근접했는지 식별하는 데 도움이 될 수 있습니다. Azure Security Benchmark는 전체 컴플라이언스에 더 가까이 다가가기 위해 따를 수 있는 권장 사항을 제공합니다. 이러한 도구를 사용하면 클라우드에서 컴플라이언스를 단순화하는 데 도움이 됩니다.
체크 포인트 통합 클라우드 보안 접근 방식을 통한 Azure 보안 향상Improving Azure Security with The Check point Unified Cloud Security Approach
여기에서 볼 수 있듯이 Azure 클라우드에서 보안을 달성하는 데는 많은 노력이 필요합니다. 기업이 프로세스를 간소화하고 클라우드 보안 모범 사례를 대규모로 구현할 수 있도록 체크 포인트 통합 클라우드 보안 접근 방식을 개발했습니다. 이러한 통합 접근 방식의 원칙을 기반으로 체크 포인트 CloudGuard 는 이러한 클라우드 보안 모범 사례를 구현하는 데 도움이 되는 이상적인 도구입니다.
Azure 보안 및 체크 포인트가 어떻게 도움이 될 수 있는지에 대해 자세히 알아보려면 다음을 배울 수 있는 무료 Achieving Cloud with Confidence in the Age of Advanced Threats(고급 위협 시대에 확신을 가지고 클라우드 달성 ) 백서를 다운로드하세요.
- 멀티 클라우드 환경을 대규모로 보호하는 방법
- 클라우드 가시성을 개선하는 방법
- 다양한 배포에서 컴플라이언스를 유지 관리하는 방법
또는 현재 클라우드 보안 태세를 평가하려면 무료 보안 진단에 등록하세요. 점검 후 멀웨어 감염 건수, 엔드포인트 및 스마트 디바이스에 대한 위협, 봇 공격 및 침입 시도, 고위험 애플리케이션 사용, 민감한 데이터 손실과 같은 항목을 자세히 설명하는 포괄적인 보고서를 받게 됩니다.