Azure 랜딩 존을 사용한 보안 컨트롤 매핑

많은 조직에서 Azure 클라우드 서비스를 채택하고 온보딩하기 전에 특정 산업/지역 규정을 준수해야 합니다. 이러한 준수 규정은 각각 준수 도메인 및 제어로 확인할 수 있습니다. 예를 들어 CMMC L3 AC 1.001애서 AC는 Access Control 도메인이고 1.001은 CMMC(사이버 보안 성숙 모델 인증) 프레임워크의 컨트롤 ID입니다. 모범 사례 권장 사항은 필요한 규정 준수 컨트롤을 MCSB(Microsoft 클라우드 보안 벤치마크)에 매핑하고 MCSB에서 다루지 않는 컨트롤의 사용자 지정 집합을 식별하는 것입니다.

또한 MCSB는 필수 컨트롤을 해결하는 기본 제공 정책 및 정책 이니셔티브 GUID 목록을 제공합니다. MCSB에서 다루지 않는 컨트롤의 경우 컨트롤 매핑 지침에는 정책 및 이니셔티브를 빌드하는 방법에 대한 단계별 프로세스가 포함됩니다.

필요한 컨트롤을 Microsoft 클라우드 보안 벤치마크에 매핑하면 보안 Azure 온보딩 환경을 신속하게 처리할 수 있습니다. Microsoft 클라우드 보안 벤치마크는 NIST, CIS, PCI와 같이 널리 사용되는 규정 준수 컨트롤 프레임워크를 기반으로 하는 일련의 클라우드 중심 기술 보안 컨트롤을 정식으로 제공합니다. 이미 사용할 수 있는 기본 제공 규정 준수 이니셔티브가 있습니다. 특정 규정 준수 도메인에 관심이 있는 경우 규정 준수 기본 제공 이니셔티브를 참조하세요.

다음 다이어그램은 컨트롤 매핑의 프로세스 흐름을 보여 줍니다.

컨트롤 매핑 단계

1. 필요한 컨트롤을 식별합니다.
2. 필요한 컨트롤을 Microsoft 클라우드 보안 벤치마크에 매핑합니다.
3. Microsoft 클라우드 보안 벤치마크 및 해당 정책과 매핑되지 않은 컨트롤을 식별합니다.
4. 플랫폼 및 서비스 수준 평가를 수행합니다.
5. Azure 랜딩 존 도구, 네이티브 도구 또는 타사 도구를 사용하여 정책 이니셔티브를 통해 가드레일을 구현합니다.

1. 필요한 컨트롤 식별

보안 팀에서 규정 준수 컨트롤의 모든 기존 및 필수 목록을 수집합니다. 목록이 없으면 Excel 스프레드시트에서 컨트롤 요구 사항을 캡처합니다. 목록을 작성하기 위한 지침으로 아래 형식을 사용하세요. 목록은 하나 이상의 규정 준수 프레임워크의 컨트롤로 구성됩니다. 보안 컨트롤 매핑 템플릿을 사용하여 필요한 컨트롤 및 관련 프레임워크를 캡처합니다.

공식화된 컨트롤 목록의 샘플입니다.

2. Microsoft 클라우드 보안 벤치마크에 컨트롤을 매핑하고 일련의 사용자 지정 컨트롤 생성

캡처한 각 컨트롤에 대해 적절한 컨트롤 제목, 도메인 범주, 지침/설명을 사용하여 관련 컨트롤을 식별합니다. 각 컨트롤의 의도를 최대한 가깝게 정렬하고 스프레드시트의 편차 또는 격차를 확인합니다.

조직의 클라우드 보안 벤치마크와 Microsoft 클라우드 보안 벤치마크 모두에 매핑되는 공통 프레임워크를 사용할 수도 있습니다. 예를 들어 사용자와 Microsoft 클라우드 보안 벤치마크 컨트롤이 이미 NIST 800-53 r4 또는 CIS 7.1에 매핑된 경우 해당 피벗에서 데이터 세트를 함께 조인할 수 있습니다. 중간 공통 프레임워크는 리소스 섹션에서 확인할 수 있습니다.

단일 컨트롤 매핑 예제: 조직의 제어 목표

위의 표에서는 키워드가 강조 표시된 고유한 컨트롤 목표 중 하나를 보여 줍니다.

이 예제에서는 지정된 컨트롤 ‘Application Security’의 기존 분류를 확인하여 애플리케이션 관련 컨트롤로 식별할 수 있습니다. 요구 사항 필드의 내용은 애플리케이션 방화벽을 구현하고 애플리케이션을 강화 및 패치하는 것입니다. Microsoft 클라우드 보안 벤치마크 컨트롤 및 지침에 있는 적절한 일치를 살펴보면 적절하게 적용하고 매핑할 수 있는 많은 컨트롤이 있음을 알 수 있습니다.

지정된 버전의 Microsoft 클라우드 보안 벤치마크를 빠르게 검색하기 위해 컨트롤 ID 또는 설명의 일부로 빠르게 검색할 수 있는 각 릴리스에 대한 Excel 다운로드 파일을 제공합니다. 이 단계에서 프로세스는 Microsoft 클라우드 보안 벤치마크에서 다루는 컨트롤을 식별하고 매핑합니다.

3. Microsoft 클라우드 보안 벤치마크 및 해당 정책과 매핑되지 않은 컨트롤 식별

직접 매핑되지 않을 수 있는 식별된 컨트롤은 자동화 완화가 필요한 것으로 표시되어야 하며, 가드레일 구현 프로세스에서 사용자 지정 정책 또는 자동화 스크립트를 개발해야 합니다.

4. 플랫폼 및 서비스 수준 평가 수행

Microsoft 클라우드 보안 벤치마크에 명확하게 매핑된 컨트롤과 목표가 있고 책임, 지침, 모니터링에 대한 지원 정보를 수집한 후에는 IT 보안 부서 또는 지원 조직이 공식 플랫폼 평가에서 제공된 모든 정보를 검토해야 합니다.

이 플랫폼 평가는 Microsoft 클라우드 보안 벤치마크가 최소 사용량 임계값을 충족하는지 여부와 규정에 의해 부과된 모든 보안 및 규정 준수 요구 사항을 충족할 수 있는지 여부를 결정합니다.

격차가 있는 경우 Microsoft 클라우드 보안 벤치마크를 계속 사용할 수 있지만 이러한 차이가 없어지고 벤치마크가 업데이트를 릴리스하여 문제를 해결할 수 있을 때까지 완화 컨트롤을 개발해야 할 수 있습니다. 또한 정책 정의를 생성하고 필요에 따라 이니셔티브 정의에 추가하여 사용자 지정 컨트롤을 매핑할 수 있습니다.

승인을 위한 검사 목록

1. 보안 팀에서 Azure 플랫폼 사용을 승인했습니다.

2. 개별 Microsoft 클라우드 보안 벤치마크 서비스 기준 Excel을 이전에 완료된 플랫폼 수준 컨트롤 매핑에 조인해야 합니다.

   • 적용 범위, 적용, 허용되는 효과와 같은 평가를 수용하기 위해 열을 추가합니다.

3. 결과 서비스 기준 평가 템플릿 분석을 한 줄씩 수행합니다.

   • 각 컨트롤 목표에 대해 다음을 나타냅니다.

     • 서비스 또는 위험에 의해 충족될 수 있는 경우
     • 위험 값(있는 경우)
     • 해당 항목의 검토 상태
     • 컨트롤 완화 필요(있는 경우)
     • 컨트롤을 적용/모니터링할 수 있는 Azure Policy

   • 서비스 및 컨트롤 모니터링 또는 적용에 격차가 있는 경우:

     • Microsoft 클라우드 보안 벤치마크 팀에 보고하여 콘텐츠, 모니터링 또는 적용의 격차를 좁힙니다.

   • 요구 사항을 충족하지 않는 영역에서는 해당 요구 사항, 영향을 제외하기로 선택한 경우 승인이 허용되는지 또는 격차로 인해 차단되었는지와 관련된 위험을 기록해 둡니다.

4. 서비스 상태는 다음과 같이 결정됩니다.

   • 서비스가 모든 요구 사항을 충족하거나 위험이 허용되며 가드레일이 배치된 후 사용할 허용 목록에 배치됩니다.
   • 또는 서비스 격차가 너무 크거나 위험이 너무 커서 서비스가 차단 목록에 배치됩니다. Microsoft에서 격차를 줄일 때까지 사용할 수 없습니다.

입력 - 플랫폼 수준

• 서비스 평가 템플릿(Excel)
• Microsoft 클라우드 보안 벤치마크 매핑에 대한 컨트롤 목표
• 대상 서비스

출력 - 플랫폼 수준

• 완료된 서비스 평가(Excel)
• 컨트롤 완화
• 격차
• 서비스 사용 승인/비 승인

플랫폼 및 핵심 서비스가 요구 사항을 충족한다는 내부 보안/감사 팀의 승인을 받은 후에는 합의된 적절한 모니터링 및 가드레일을 구현해야 합니다. 매핑 및 평가 프로세스 중에 Microsoft 클라우드 보안 벤치마크 이상으로 확장되는 완화 컨트롤이 있는 경우 정책 정의를 사용하여 기본 제공 컨트롤 또는 Azure Policy를 구현하고 필요에 따라 이니셔티브 정의에 추가해야 합니다.

검사 목록 - 서비스 수준

1. 플랫폼 평가 및 서비스 평가의 출력에 따라 필요한 것으로 식별된 정책을 요약합니다.
2. 컨트롤/격차 완화를 지원하는 데 필요한 사용자 지정 정책 정의를 개발합니다.
3. 사용자 지정 정책 이니셔티브를 생성합니다.
4. Azure 랜딩 존 도구, 네이티브 도구 또는 타사 도구를 사용하여 정책 이니셔티브를 할당합니다.

입력 - 서비스 수준

• 완료된 서비스 평가(Excel)

출력 - 서비스 수준

• 사용자 지정 정책 이니셔티브

5. Azure 랜딩 존 또는 네이티브 도구를 사용하여 가드레일 구현

다음 섹션에서는 Azure 랜딩 존 배포의 일부로 규정 준수 관련 컨트롤을 식별, 매핑, 구현하는 프로세스를 설명합니다. 배포는 플랫폼 수준 보안 컨트롤을 위해 Microsoft 클라우드 보안 벤치마크와 일치하는 정책을 다룹니다.

Azure 랜딩 존 가속기 배포의 일부로 할당된 정책에 대해 알아볼 수 있습니다.

구현 정책 지침

컨트롤 목표에 따라 사용자 지정 정책 정의, 정책 이니셔티브 정의, 정책 할당을 생성해야 할 수 있습니다.

각 가속기 구현 옵션에 대해 다음 지침을 참조하세요.

Azure 랜딩 존 가속기 포털

Azure 랜딩 존 포털 기반 환경을 사용하는 경우:

• 클라우드용 Microsoft Defender 사용자 지정 보안 정책 만들기
• 자습서: 사용자 지정 정책 정의 만들기
• Azure Policy 또는 정책 이니셔티브 할당

AzOps를 사용하는 Azure Resource Manager

AzOps Accelerator와 함께 Resource Manager 템플릿을 사용하는 경우 배포 문서를 참조하여 코드 제공 인프라를 사용하여 Azure 플랫폼을 운영하는 방법을 알아봅니다.

• 사용자 지정 Azure Policy 정의 및 이니셔티브 추가
• Azure Policy 할당

Terraform 모듈

Azure 랜딩 존 Terraform 모듈을 사용하는 경우 추가 정책 정의 및 할당을 관리하는 방법에 대한 지침은 리포지토리 wiki를 참조하세요.

• 사용자 지정 Azure Policy 정의 및 할당 추가
• 기본 제공 Azure Policy 할당
• 기본 제공 원형 정의 확장

Bicep

Azure 랜딩 존 Bicep 구현을 사용하는 경우 고유한 정책 정의 및 할당을 생성하는 방법을 알아봅니다.

• 사용자 지정 Azure Policy 정의 및 이니셔티브 추가
• Azure 정책 할당

Azure 랜딩 존 구현을 사용하지 않을 때 사용자 지정 정책 구현

Azure Portal

Azure Portal을 사용하는 경우 다음 문서를 참조하세요.

• 클라우드용 Microsoft Defender 사용자 지정 보안 정책 만들기
• 사용자 지정 정책 정의 만들기
• 규정 준수를 적용하는 정책 만들기 및 관리
• 정책 이니셔티브 할당

Azure Resource Manager 템플릿

Resource Manager 템플릿을 사용하는 경우 다음 문서를 참조하세요.

• 사용자 지정 정책 정의 만들기
• 정책 이니셔티브 할당
• ARM 템플릿을 사용하여 비규격 리소스를 식별하는 정책 할당 만들기
• Bicep 및 Resource Manager 정책 정의 템플릿 참조
• Bicep 및 Resource Manager 집합(이니셔티브) 템플릿 참조
• Bicep 및 Resource Manager 정책 할당 템플릿 참조

Terraform

Terraform을 사용하는 경우 다음 문서를 참조하세요.

• 사용자 지정 Azure Policy 정의 및 이니셔티브 추가
• Azure Policy 집합 정의 추가
• 관리 그룹 정책 할당
• Azure Policy 또는 정책 이니셔티브 할당

Bicep

Bicep 템플릿을 사용하는 경우 다음 문서를 참조하세요.

• 빠른 시작: Bicep 파일을 사용하여 비준수 리소스를 식별하는 정책 할당 만들기
• Bicep 및 Resource Manager 정책 정의 템플릿 참조
• Bicep 및 Resource Manager 정책 집합(이니셔티브) 템플릿 참조
• Bicep 및 Resource Manager 정책 할당 템플릿 참조

클라우드용 Microsoft Defender 사용 지침

클라우드용 Microsoft Defender는 리소스 구성을 업계 표준, 규정 및 벤치마크의 요구 사항과 지속적으로 비교합니다. 규정 준수 대시보드는 규정 준수 태세에 대한 인사이트를 제공합니다. 규정 준수 개선에 대해 자세히 알아보세요.

자주 묻는 질문

Microsoft 클라우드 보안 벤치마크에 매핑되지 않은 프레임워크를 사용하고 있습니다. 컨트롤 목표를 온보딩하려면 어떻게 해야 하나요?

Microsoft는 가장 수요가 많은 업계 프레임워크에 Microsoft 클라우드 보안 벤치마크 매핑을 제공합니다. 그러나 현재 다루지 않는 컨트롤의 경우 수동 매핑 연습이 필요합니다. 이러한 경우 수동 컨트롤 매핑을 수행하기 위한 단계를 참조하세요.

[예제] 캐나다 PBMM(Federal Protected B) 규정 준수를 충족해야 하며 Microsoft 클라우드 보안 벤치마크에는 아직 PBMM에 대한 매핑이 없습니다. 이 매핑을 연결하려면 사용할 수 있고 PBMM 및 MCSB v2에 매핑되는 NIST SP 800-53 R4와 같은 공유 프레임워크 매핑을 확인하면 됩니다. 이 일반적인 프레임워크를 사용하면 원하는 프레임워크를 충족하기 위해 Azure에서 따라야 하는 권장 사항 및 지침을 이해할 수 있습니다.

Microsoft의 컨트롤 목표는 Microsoft 클라우드 보안 벤치마크 컨트롤에서 다루지 않습니다. 온보딩에서 차단을 해제하려면 어떻게 해야 하나요?

Microsoft 클라우드 보안 벤치마크는 Azure 기술 컨트롤에 중점을 줍니다. 학습과 같은 비기술 항목 또는 데이터 센터 보안과 같은 직접적인 기술 보안이 아닌 항목에 대한 목표 영역은 의도적으로 생략됩니다. 이러한 항목은 Microsoft의 책임으로 표시될 수 있으며 Microsoft 클라우드 보안 벤치마크 콘텐츠 또는 Microsoft 감사 보고서에서 규정 준수 증거를 제공할 수 있습니다. 목표가 실제로 기술 컨트롤임을 발견하면 추적 기준 외에도 완화 컨트롤을 생성하고 MCSBteam@microsoft.com에 요청을 보내 향후 릴리스에서 누락된 컨트롤을 처리합니다.

리소스

Service Trust Portal

Cloud Security Alliance

데이터 센터 보안 개요

금융 서비스 개요

금융 기관 위험 평가 개요

서비스 수준 약정