다음을 통해 공유

클라우드 채택을 안전하게 수행

  • 아티클

클라우드 자산을 구현하고 워크로드를 마이그레이션하는 경우 강력한 보안 메커니즘 및 사례를 설정하는 것이 중요합니다. 이 방법을 사용하면 워크로드가 처음부터 안전하게 보호되고 워크로드가 프로덕션 환경에 있는 후 보안 격차를 해결할 필요가 없습니다. 채택 단계에서 보안 우선 순위를 지정하여 워크로드가 모범 사례에 따라 일관되게 빌드되도록 합니다. 또한 확립된 보안 관행은 잘 디자인된 정책 및 절차를 통해 클라우드 운영을 위한 IT 팀을 준비합니다.

워크로드를 클라우드로 마이그레이션하든 완전히 새로운 클라우드 자산을 빌드하든 관계없이 이 문서의 지침을 적용할 수 있습니다. 클라우드 채택 프레임워크 채택 방법론은 마이그레이션, 현대화, 혁신재배치 시나리오를 통합합니다. 클라우드 경험의 채택 단계에서 수행하는 경로에 관계없이 클라우드 자산의 기본 요소를 설정하고 워크로드를 빌드하거나 마이그레이션할 때 이 문서의 권장 사항을 고려하는 것이 중요합니다.

클라우드 채택과 관련된 방법론을 보여 주는 다이어그램. 다이어그램에는 팀과 역할, 전략, 계획, 준비, 채택, 관리, 관리 등 각 단계에 대한 상자가 있습니다. 이 문서의 상자가 강조 표시됩니다.

이 문서는 채택 방법론에 대한 지원 가이드입니다. 이 기능은 여정에서 해당 단계를 진행할 때 고려해야 하는 보안 최적화 영역을 제공합니다.

보안 태세 현대화 채택

채택 단계의 일부로 보안 태세를 현대화하기 위해 노력하면서 다음 권장 사항을 고려합니다.

  • 보안 기준: 개발의 명확하고 강력한 기반을 설정하기 위한 가용성 요구 사항을 포함하는 보안 기준을 정의합니다. 시간을 절약하고 환경 분석 시 사용자 오류 위험을 줄이려면 기존 보안 기준 분석 도구를 사용합니다.

  • 자동화 수용: 자동화 도구를 사용하여 일상적인 작업을 관리하여 사용자 오류의 위험을 줄이고 일관성을 향상시킵니다. 장애 조치(failover) 및 복구 절차를 자동화할 수 있는 클라우드 서비스를 활용합니다. 자동화를 고려할 수 있는 작업은 다음과 같습니다.

    • 인프라 배포 및 관리
    • 소프트웨어 개발 수명 주기 활동
    • 테스트
    • 모니터링 및 경고
    • 크기 조정

  • 액세스 및 권한 부여 컨트롤을 제로 트러스트. 강력한 액세스 제어 및 ID 관리 시스템을 구현하여 권한 있는 직원만 중요한 시스템 및 데이터에 액세스할 수 있도록 합니다. 이 방법은 서비스를 방해할 수 있는 악의적인 활동의 위험을 줄입니다. 엄격하게 적용되는 RBAC(역할 기반 액세스 제어)를 표준화하고 서비스 가용성을 방해할 수 있는 무단 액세스를 방지하기 위해 다단계 인증을 요구합니다. 자세한 내용은 제로 트러스트 사용하여 ID 보안을 참조하세요.

변경 관리 제도화

ACM(효과적인 채택 및 변경 관리) 방법론은 액세스 제어의 성공적인 구현 및 제도화를 보장하는 데 매우 중요합니다. 몇 가지 모범 사례 및 방법론에는 다음이 포함됩니다.

  • Prosci ADKAR 모델: 이 모델은 성공적인 변경을 위한 5가지 주요 구성 요소에 중점을 둡니다. 이러한 구성 요소는 인식, 욕망, 지식, 능력 및 강화입니다. 조직은 각 요소를 해결하여 직원들이 액세스 제어의 필요성을 이해하고, 변경을 지원하고, 필요한 지식과 기술을 갖도록 동기를 부여하고, 변경 사항을 유지하기 위해 지속적인 강화를 받을 수 있습니다.

  • Kotter의 8단계 변경 모델: 이 모델은 주요 변경에 대한 8단계를 간략하게 설명합니다. 이러한 단계에는 긴급감을 조성하고, 강력한 연합을 형성하고, 비전과 전략을 개발하고, 비전을 전달하고, 직원들이 광범위한 행동을 할 수 있도록 권한을 부여하고, 단기 승리를 창출하고, 이익을 통합하고, 문화에 새로운 접근 방식을 고정하는 것이 포함됩니다. 이러한 단계를 수행하면 조직은 액세스 제어 채택을 효과적으로 관리할 수 있습니다.

  • Lewin의 변경 관리 모델: 이 모델에는 3단계(고정 해제, 변경 및 다시 고정)가 있습니다. 고정 해제 단계에서 조직은 액세스 제어의 필요성을 식별하고 긴급성을 만들어 변화를 준비합니다. 변경 단계에서는 새로운 프로세스 및 사례가 구현됩니다. Refreeze 단계에서는 새로운 사례가 조직 문화권에 굳건히 적용되고 통합됩니다.

  • Microsoft 채택 및 변경 관리 프레임워크: 이 프레임워크는 성공 기준을 정의하고, 이해 관계자를 참여시키고, 조직을 준비하여 채택 및 변경을 추진하는 구조화된 접근 방식을 제공합니다. 또한 이 프레임워크는 구현의 효율성을 보장하기 위해 성공을 측정합니다. 액세스 제어를 효과적으로 채택하고 제도화할 수 있도록 커뮤니케이션, 교육 및 지원의 중요성을 강조합니다.

조직은 이러한 ACM 방법론 및 모범 사례를 통합하여 직원이 액세스 제어를 구현하고 수용하도록 할 수 있습니다. 이 방법을 사용하면 보다 안전하고 규정을 준수하는 엔터프라이즈 환경이 생성됩니다.

Azure 촉진

  • 보안 기준 설정: Microsoft 보안 점수 는 개선을 위한 실질적인 권장 사항으로 기준을 설정하는 데 도움이 될 수 있습니다. Microsoft Defender XDR 제품군의 일부로 제공되며 많은 Microsoft 및 비 Microsoft 제품의 보안을 분석할 수 있습니다.

  • 인프라 배포 자동화: ARM 템플릿(Azure Resource Manager 템플릿)Bicep 은 선언적 구문을 사용하여 IaC(Infrastructure as code)를 배포하기 위한 Azure 네이티브 도구입니다. ARM 템플릿은 JSON으로 작성된 반면 Bicep은 도메인별 언어입니다. Azure Pipelines 또는 GitHub Actions CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인에 쉽게 통합할 수 있습니다.

    • Terraform 은 Azure에서 완전히 지원되는 또 다른 선언적 IaC 도구입니다. Terraform을 사용하여 인프라를 배포하고 관리할 수 있으며 CI/CD 파이프라인에 통합할 수 있습니다.

    • 클라우드용 Microsoft Defender 사용하여 IaC에서 잘못된 구성을 검색할 수 있습니다.

    • Azure 배포 환경: 배포 환경을 사용하면 개발 팀이 프로젝트 기반 템플릿을 사용하여 일관된 앱 인프라를 신속하게 만들 수 있습니다. 이러한 템플릿은 설치 시간을 최소화하고 보안, 규정 준수 및 비용 효율성을 극대화합니다. 배포 환경은 미리 정의된 구독에 배포되는 Azure 리소스의 컬렉션입니다. 개발 인프라 관리자는 엔터프라이즈 보안 정책을 적용하고 미리 정의된 IaC 템플릿의 큐레이팅된 집합을 제공할 수 있습니다.

      개발 인프라 관리자는 배포 환경을 카탈로그 항목으로 정의합니다. 카탈로그 항목은 카탈로그라고 하는 GitHub 또는 Azure DevOps 리포지토리에서 호스트됩니다. 카탈로그 항목은 IaC 템플릿과 manifest.yml 파일로 구성됩니다.

      배포 환경 만들기를 스크립션하고 프로그래밍 방식으로 환경을 관리할 수 있습니다. 워크로드에 초점을 맞춘 자세한 지침은 Azure Well-Architected Framework의 IaC 접근 방식을 참조하세요.

  • 일상적인 작업 자동화:

    • Azure Functions: Azure Functions 는 기본 개발 언어를 사용하여 작업을 자동화하는 데 사용할 수 있는 서버리스 도구입니다. 함수는 함수를 다른 서비스에 연결하는 포괄적인 이벤트 기반 트리거 및 바인딩 집합을 제공합니다. 추가 코드를 작성할 필요가 없습니다.

    • Azure Automation: PowerShell 및 Python은 운영 작업을 자동화하기 위한 인기 있는 프로그래밍 언어입니다. 이러한 언어를 사용하여 서비스 다시 시작, 데이터 저장소 간에 로그 전송 및 수요에 맞게 인프라 크기 조정과 같은 작업을 수행합니다. 코드에서 이러한 작업을 표현하고 요청 시 실행할 수 있습니다. 개별적으로 이러한 언어에는 중앙 집중식 관리, 버전 제어 또는 실행 기록 추적을 위한 플랫폼이 없습니다. 또한 언어에는 모니터링 기반 경고와 같은 이벤트에 응답하기 위한 기본 메커니즘이 부족합니다. 이러한 기능을 제공하려면 자동화 플랫폼이 필요합니다. Automation 은 Azure 및 비 Azure 시스템을 포함하여 클라우드 및 온-프레미스 환경에서 PowerShell 및 Python 코드를 호스팅하고 실행하기 위한 Azure 호스팅 플랫폼을 제공합니다. PowerShell 및 Python 코드는 Automation Runbook에 저장됩니다. Automation을 사용하여

      • 요청 시, 일정 또는 웹후크를 통해 Runbook을 트리거합니다.

      • 기록 및 로깅을 실행합니다.

      • 비밀 저장소를 통합합니다.

      • 소스 제어를 통합합니다.

    • Azure Update Manager: Update Manager 는 가상 머신에 대한 업데이트를 관리하고 관리하는 데 사용할 수 있는 통합 서비스입니다. 워크로드 전체에서 Windows 및 Linux 업데이트 준수를 모니터링할 수 있습니다. 또한 업데이트 관리자를 사용하여 실시간 업데이트를 수행하거나 정의된 유지 관리 기간 내에서 업데이트를 예약할 수 있습니다. 업데이트 관리자를 사용하여 다음을 수행합니다.

      • 전체 컴퓨터의 규정 준수를 감독합니다.

      • 되풀이 업데이트를 예약합니다.

      • 중요 업데이트를 배포합니다.

  • Azure Logic Apps 및 Microsoft Power Automate: 승인 흐름 또는 ChatOps 통합 빌드와 같은 워크로드 작업을 처리하기 위해 사용자 지정 DPA(디지털 프로세스 자동화)를 빌드하는 경우 Logic Apps 또는 Power Automate를 사용하는 것이 좋습니다. 기본 제공 커넥터 및 템플릿에서 워크플로를 생성할 수 있습니다. Logic Apps 및 Power Automate는 동일한 기본 기술을 기반으로 하며 트리거 기반 또는 시간 기반 작업에 적합합니다.

  • 자동 크기 조정: 많은 Azure 기술에는 기본 제공 자동 크기 조정 기능이 있습니다. API를 사용하여 자동으로 크기를 조정하도록 다른 서비스를 프로그래밍할 수도 있습니다. 자세한 내용은 자동 크기 조정을 참조하세요.

  • Azure Monitor 작업 그룹: 경고가 트리거될 때 자동 복구 작업을 자동으로 실행하려면 Azure Monitor 작업 그룹을 사용합니다. Runbook, Azure 함수 또는 웹후크를 사용하여 이러한 작업을 정의할 수 있습니다.

인시던트 준비 및 대응 채택

보안 네트워크 세분화 및 잘 설계된 구독 및 리소스 조직을 사용하여 랜딩 존 또는 기타 플랫폼 디자인을 설정한 후에는 인시던트 준비 및 대응에 중점을 두고 구현을 시작할 수 있습니다. 이 단계에서는 인시던트 대응 계획을 포함하여 준비 및 대응 메커니즘을 개발하여 클라우드 자산 및 운영 관행이 비즈니스 목표에 부합하도록 합니다. 이러한 조정은 효율성을 유지하고 전략적 목표를 달성하는 데 매우 중요합니다. 채택 단계는 두 가지 관점에서 인시던트 준비 및 대응에 접근해야 합니다. 이러한 관점은 위협 준비 및 완화, 인프라 및 애플리케이션 보안입니다.

위협 준비 및 완화

  • 위협 감지: 실시간으로 위협을 감지하는 고급 모니터링 도구 및 사례를 구현합니다. 이 구현에는 비정상적인 활동에 대한 경고 시스템 설정과 XDR(확장 검색 및 응답) 및 SIEM(보안 정보 및 이벤트 관리) 솔루션 통합이 포함됩니다. 자세한 내용은 제로 트러스트 위협 방지 및 XDR을 참조하세요.

  • 취약성 관리: 패치 관리 및 보안 업데이트를 통해 정기적으로 취약성을 식별하고 완화하여 시스템 및 애플리케이션이 알려진 위협으로부터 보호되도록 합니다.

  • 인시던트 대응: 보안 인시던트를 신속하게 해결하고 복구하기 위한 검색, 분석 및 수정 단계를 포함하는 인시던트 대응 계획을 개발하고 유지 관리합니다. 워크로드 중심 지침은 보안 인시던트 대응에 대한 권장 사항을 참조하세요. 가능한 한 완화 활동을 자동화하여 이러한 활동을 보다 효율적이고 사람의 오류가 발생하기 쉽도록 합니다. 예를 들어 SQL 삽입을 감지하는 경우 인시던트를 포함하도록 SQL에 대한 모든 연결을 자동으로 잠그는 Runbook 또는 워크플로가 있을 수 있습니다.

인프라 및 애플리케이션 보안

  • 보안 배포 파이프라인: 통합 보안 검사를 사용하여 CI/CD 파이프라인을 빌드하여 애플리케이션이 안전하게 개발, 테스트 및 배포되도록 합니다. 이 솔루션에는 정적 코드 분석, 취약성 검사 및 규정 준수 검사가 포함됩니다. 자세한 내용은 제로 트러스트 개발자 지침을 참조하세요.

  • IaC 배포: 예외 없이 코드를 통해 모든 인프라를 배포합니다. 이 표준을 의무화하여 잘못 구성된 인프라 및 무단 배포의 위험을 줄입니다. 애플리케이션 코드 자산을 사용하여 모든 IaC 자산을 공동 배치하고 소프트웨어 배포와 동일한 안전한 배포 방법을 적용합니다.

Azure 촉진

기밀 유지 원칙 채택

CIA Triad 기밀 유지 원칙을 채택하기 위한 가장 중요한 전략 및 구현 계획이 이미 마련된 후 다음 단계는 ACM에 초점을 맞추는 것입니다. 이 단계에는 엔터프라이즈 클라우드 환경에서 암호화 및 보안 액세스 제어가 효과적으로 구현되고 제도화되도록 하는 것이 포함됩니다. 채택 단계에서는 전송 중인 중요한 데이터와 미사용 데이터를 보호하기 위해 DLP(데이터 손실 방지) 조치가 구현됩니다. 구현에는 암호화 솔루션 배포, 액세스 제어 구성 및 모든 직원에게 데이터 기밀성 및 DLP 정책 준수의 중요성에 대한 교육이 포함됩니다.

암호화 및 보안 액세스 제어 구현

무단 액세스로부터 중요한 정보를 보호하려면 강력한 암호화 및 보안 액세스 제어를 구현하는 것이 중요합니다. 암호화는 권한이 없는 사용자가 데이터를 읽을 수 없도록 하는 반면 액세스 제어는 특정 데이터 및 리소스에 액세스할 수 있는 사용자를 규제합니다. 배포하는 클라우드 서비스의 암호화 기능을 이해하고 비즈니스 요구 사항을 충족하기 위해 적절한 암호화 메커니즘을 사용하도록 설정합니다.

관련 표준 통합 및 채택

암호화 및 액세스 제어의 일관된 구현을 보장하려면 관련 표준을 개발하고 채택해야 합니다. 조직은 암호화 및 액세스 제어를 사용하기 위한 명확한 지침과 모범 사례를 수립하고 이러한 표준이 모든 직원에게 전달되도록 해야 합니다. 예를 들어 표준에서는 AES-256 암호화를 사용하여 모든 중요한 데이터를 암호화해야 하며 이 데이터에 대한 액세스는 권한 있는 담당자로만 제한되어야 한다고 지정할 수 있습니다. 조직은 이러한 표준을 정책 및 절차에 통합하여 암호화 및 액세스 제어가 기업 전체에 일관되게 적용되도록 할 수 있습니다. 정기적인 교육 및 지원을 제공하면 직원들 사이에서 이러한 관행이 더욱 강화됩니다. 다른 예는 다음과 같습니다.

  • 강력한 암호화: 가능하면 데이터 저장소에서 암호화를 사용하도록 설정하고 사용자 고유의 키를 관리하는 것이 좋습니다. 클라우드 공급자는 데이터 저장소가 호스트되는 스토리지에 미사용 암호화를 제공하고 Azure SQL Database에서 투명한 데이터 암호화와 같은 데이터베이스 암호화를 사용하도록 설정하는 옵션을 제공할 수 있습니다. 가능한 경우 추가 암호화 계층을 적용합니다.

  • 액세스 제어: RBAC, 조건부 액세스 제어, Just-In-Time 액세스 및 모든 데이터 저장소에 대한 액세스만 적용합니다. 사용 권한을 정기적으로 검토하는 방법을 표준화합니다. 지정된 자동화 계정을 통해서만 변경할 수 있는 구성 시스템에 대한 쓰기 액세스를 제한합니다. 이 계정은 일반적으로 Azure Pipelines의 일부로 철저한 검토 프로세스 후에 수정 사항을 적용합니다.

  • 표준 채택: 조직은 Microsoft Purview Information Protection을 사용하여 중요한 정보가 포함된 모든 전자 메일을 암호화해야 하는 표준을 개발할 수 있습니다. 이 요구 사항은 중요한 데이터가 전송 중에 보호되고 권한 있는 받는 사람만 액세스할 수 있도록 합니다.

Azure 촉진

  • SIEM 및 SOAR 솔루션: Microsoft Sentinel 은 SIEM 및 SOAR(보안 오케스트레이션, 자동화 및 응답)를 위한 지능적이고 포괄적인 솔루션을 제공하는 확장 가능한 클라우드 네이티브 SIEM입니다. Microsoft Sentinel은 엔터프라이즈에 대한 개략적인 개요를 통해 위협 탐지, 조사, 대응 및 사전 예방적 헌팅을 제공합니다.

  • Azure 암호화: Azure는 Azure SQL Database, Azure Cosmos DB 및 Azure Data Lake와 같은 서비스에 대한 암호화를 제공합니다. 지원되는 암호화 모델에는 서비스 관리형 키를 사용한 서버 쪽 암호화, Azure Key Vault의 고객 관리형 키 및 고객 제어 하드웨어의 고객 관리형 키가 포함됩니다. 클라이언트 쪽 암호화 모델은 Azure로 전송되기 전에 애플리케이션에서 데이터 암호화를 지원합니다. 자세한 내용은 Azure 암호화 개요를 참조하세요.

  • 액세스 제어 관리: 이전의 Azure Active Directory 로 알려진 Microsoft Entra ID 는 포괄적인 ID 및 액세스 관리 기능을 제공합니다. 다단계 인증, 조건부 액세스 정책 및 Single Sign-On을 지원하여 권한 있는 사용자만 중요한 데이터에 액세스할 수 있도록 합니다.

    • Microsoft Entra ID Protection 은 고급 기계 학습을 사용하여 로그인 위험 및 비정상적인 사용자 동작을 식별하여 액세스를 차단, 도전, 제한 또는 부여합니다. ID 손상을 방지하고, 자격 증명 도난을 방지하며, ID 보안 상태에 대한 인사이트를 제공합니다.

    • Microsoft Defender for Identity 는 조직 전체에서 ID 모니터링을 보호하는 데 도움이 되는 클라우드 기반 보안 ID 위협 검색 솔루션입니다. 자동화된 위협 탐지 및 대응 메커니즘을 통해 조직을 대상으로 하는 고급 위협을 더 잘 식별, 감지 및 조사하는 데 도움이 될 수 있습니다.

  • Azure 기밀 컴퓨팅: 이 서비스는 처리되는 동안 데이터를 보호합니다. 하드웨어 기반의 신뢰할 수 있는 실행 환경을 사용하여 사용 중인 데이터를 격리하고 보호하여 클라우드 관리자도 데이터에 액세스할 수 없도록 합니다.

무결성 원칙 채택

채택 단계에서 계획 및 디자인은 실제 구현으로 바꿔집니다. 데이터 및 시스템 무결성을 보장하려면 이전 단계에서 개발한 표준에 따라 시스템을 빌드합니다. 또한 관련 프로토콜 및 절차에 대한 엔지니어, 관리자 및 운영자를 교육합니다.

데이터 무결성 채택

  • 데이터 분류: 가능하면 자동화를 통해 데이터 분류 프레임워크를 구현하고 필요한 경우 수동으로 구현합니다. 기성 도구를 사용하여 데이터 분류를 자동화하고 중요한 정보를 식별합니다. 문서 및 컨테이너에 수동으로 레이블을 지정하여 정확한 분류를 보장합니다. 지식이 있는 사용자의 전문 지식을 활용하여 민감도를 설정하여 분석을 위한 데이터 세트를 큐레이팅합니다.

  • 데이터 확인 및 유효성 검사: 배포하는 서비스에서 기본 제공 확인 및 유효성 검사 기능을 활용합니다. 예를 들어 Azure Data Factory에는 원본에서 대상 저장소로 데이터를 이동할 때 데이터 일관성 을 확인하는 기본 제공 기능이 있습니다. 다음과 같은 사례를 채택하는 것이 좋습니다.

    • SQL에서 CHECKSUM 및 BINARY_CHECKSUM 함수를 사용하여 전송 중에 데이터가 손상되지 않도록 합니다.

    • 테이블에 해시를 저장하고 마지막으로 수정한 날짜가 변경될 때 해시를 수정하는 서브루틴을 만듭니다.

  • 모니터링 및 경고: 검토에 도움이 되는 자세한 변경 내용 기록 정보를 사용하여 데이터 저장소에서 변경 내용을 모니터링합니다. 적절한 가시성을 확보하고 데이터 무결성에 영향을 줄 수 있는 인시던트가 있는 경우 효율적인 조치를 취할 수 있도록 경고를 구성합니다.

  • 백업 정책: 모든 적절한 시스템에 백업 정책을 적용합니다. 서비스로서의 플랫폼 및 서비스로서의 소프트웨어의 백업 기능을 이해합니다. 예를 들어 Azure SQL Database에는 자동 백업이 포함되며 필요에 따라 보존 정책을 구성할 수 있습니다.

  • 디자인 표준 공유: 조직 전체에서 데이터 무결성 메커니즘을 통합하는 애플리케이션 디자인 표준을 게시하고 공유합니다. 디자인 표준은 애플리케이션 수준에서 구성 및 데이터 변경 내용을 고유하게 추적하고 데이터 스키마 내에서 이 기록을 기록하는 것과 같은 비기능적 요구 사항을 포함해야 합니다. 이 방법은 데이터 스키마가 무결성 모니터링을 강화하기 위한 표준 로깅 메커니즘 외에도 데이터 저장소의 일부로 데이터 기록 및 구성 기록에 대한 세부 정보를 유지하도록 합니다.

시스템 무결성 채택

  • 보안 모니터링: 강력한 모니터링 솔루션을 사용하여 클라우드 자산에 모든 리소스를 자동으로 등록하고 인시던트가 발생할 때 적절한 팀에 알리도록 경고를 사용하도록 설정하고 구성했는지 확인합니다.

  • 자동화된 구성 관리: 새 시스템을 자동으로 등록하고 구성을 지속적으로 관리하는 구성 관리 시스템을 배포 및 구성합니다.

  • 자동화된 패치 관리: 새 시스템을 자동으로 등록하고 정책에 따라 패치를 관리하는 패치 관리 시스템을 배포 및 구성합니다. 클라우드 플랫폼에 네이티브 도구를 사용하는 것이 좋습니다.

Azure 촉진

  • 데이터 분류 및 레이블 지정: Microsoft Purview 는 조직이 어디에 있든 데이터를 제어, 보호 및 관리하는 데 도움이 되는 강력한 솔루션 집합입니다. 수동 및 자동 데이터 분류민감도 레이블 지정을 제공합니다.

  • 구성 관리: Azure Arc 는 클라우드 기반 및 온-프레미스 시스템에 대한 구성을 관리하는 데 사용할 수 있는 중앙 집중식 통합 인프라 거버넌스 및 관리 플랫폼입니다. Azure Arc를 사용하면 Azure Policy, 클라우드용 Defender 정책 및 보안 점수 평가에서 보안 기준을 확장할 수 있으며 모든 리소스를 한 곳에서 로깅 및 모니터링할 수 있습니다.

  • 패치 관리: Azure Update Manager 는 Azure, 온-프레미스 및 다중 클라우드 환경에 사용할 수 있는 Windows 및 Linux 머신에 대한 통합 업데이트 관리 솔루션입니다. Azure PolicyAzure Arc 관리형 머신에 대한 기본 제공 지원이 있습니다.

가용성 원칙 채택

복원력 있는 디자인 패턴이 정의되면 조직은 채택 단계로 넘어갈 수 있습니다. 워크로드 가용성에 대한 자세한 지침은 잘 설계된 프레임워크의 안정성 핵심 요소 및 Azure 안정성 설명서를 참조하세요. 클라우드 채택의 맥락에서, 가용성을 지원하는 운영 사례를 설정하고 명문화하는 데 중점을 두고 있습니다.

가용성을 지원하기 위한 운영 사례 설정

고가용성 클라우드 자산을 유지하려면 클라우드 시스템을 운영하는 팀은 표준화되고 성숙한 관행을 준수해야 합니다. 이러한 사례에는 다음이 포함되어야 합니다.

  • 운영 연속성: 조직은 공격 조건에서도 연속 작업을 계획해야 합니다. 이 방법은 빠른 복구를 위한 프로세스를 설정하고 전체 복구가 가능할 때까지 성능이 저하된 수준에서 중요한 서비스를 유지 관리하는 것을 포함합니다.

  • 강력하고 지속적인 관찰 가능성: 보안 인시던트를 검색하는 조직의 기능을 통해 인시던트 대응 계획을 신속하게 시작할 수 있습니다. 이 전략은 비즈니스 효과를 최대한 최소화하는 데 도움이 됩니다. 인시던트 검색은 위협 탐지 모범 사례를 따르는 잘 설계된 모니터링 및 경고 시스템을 통해서만 가능합니다. 자세한 내용은 관찰성 가이드보안 모니터링 및 위협 탐지 가이드를 참조하세요.

  • 자동 관리: 정책을 통해 시스템 업데이트를 표준화하고 적용합니다. 서비스를 중단하지 않고 시스템에 업데이트 및 패치를 적용하도록 정기적인 유지 관리 기간을 예약합니다. 모든 구성 요소가 최적으로 작동하는지 확인하기 위해 정기적인 상태 검사 및 유지 관리 작업을 수행합니다.

  • 표준화된 거버넌스 정책: 도구 지원 정책을 통해 모든 보안 표준을 적용합니다. 정책 관리 도구를 사용하여 모든 시스템이 기본적으로 비즈니스 요구 사항을 준수하고 정책을 쉽게 감사할 수 있도록 합니다.

  • 재해 복구 준비: 워크로드에 대한 재해 복구 계획을 개발하고 정기적으로 테스트하여 재해가 발생할 경우 복구할 수 있는지 확인합니다. 자세한 내용은 재해 복구를 참조하세요. 복구 작업을 최대한 자동화합니다. 예를 들어 Azure SQL Database와 같은 서비스에서 자동 장애 조치 기능을 사용합니다.

  • 서비스 수준 계약: 클라우드 플랫폼이 서비스에 제공하는 SLA(서비스 수준 계약)를 통해 워크로드 구성 요소의 보장된 가동 시간을 이해하는 데 도움이 됩니다. 이러한 SLA를 기반으로 사용하여 고객에게 제공하는 SLA에 대한 고유한 대상 메트릭을 개발합니다. Microsoft는 온라인 서비스 SLA에서 모든 클라우드 서비스에 대한 SLA를 게시합니다.

  • 규정 준수 요구 사항: GDPR(일반 데이터 보호 규정) 및 HIPAA와 같은 규정을 준수하여 시스템이 가용성과 관련된 표준을 포함하여 높은 표준으로 설계되고 유지 관리되도록 합니다. 규정을 준수하지 않을 경우 법적 조치와 벌금이 부과되어 비즈니스 운영이 중단될 수 있습니다. 규정 준수는 종종 시스템 구성으로 제한되지 않습니다. 대부분의 규정 준수 프레임워크에는 위험 관리 및 인시던트 대응 표준도 필요합니다. 운영 표준이 프레임워크 요구 사항을 충족하고 직원이 정기적으로 교육을 받을 수 있는지 확인합니다.

Azure 촉진

정책 및 규정 준수 관리:

  • Azure Policy 는 조직 표준을 적용하고 대규모 규정 준수를 평가하는 데 도움이 되는 정책 관리 솔루션입니다. 많은 Azure 서비스에 대한 정책 적용을 자동화하려면 기본 제공 정책 정의를 활용 합니다.

  • 클라우드용 Defender 보안 표준 준수를 자동화할 수 있는 보안 정책을 제공합니다.

  • 운영 연속성 및 재해 복구: 많은 Azure 서비스에는 운영 연속성 및 재해 복구 계획에 통합할 수 있는 기본 제공 복구 기능이 있습니다. 자세한 내용은 Azure 서비스 안정성 가이드를 참조 하세요.

보안 유지 채택

클라우드 채택의 일부로 적용한 보안 메커니즘과 사례를 계속 진행하면서 지속적이고 지속적으로 개선할 수 있도록 다음 권장 사항을 고려하세요.

  • 보안 검토 위원회 제정: 프로젝트를 지속적으로 검토하고 보안 제어를 의무화하는 보안 검토 보드를 만듭니다. 프로세스를 정기적으로 검토하여 개선 영역을 찾습니다. 보안이 항상 모든 사람에게 최우선 순위가 되도록 프로세스를 개발합니다.

  • 취약성 관리 솔루션 구현: 취약성 관리 솔루션을 사용하여 보안 취약성 위험 점수를 모니터링하고 위험을 최소화하기 위해 가장 높은 위험 점수에서 가장 낮은 수준으로 작동하도록 정의된 프로세스를 만듭니다. 최신 일반적인 취약성 및 노출 위험을 추적합니다. 수정을 위해 이러한 완화를 정기적으로 적용하는 정책을 갖습니다.

  • 프로덕션 인프라 강화: 인프라를 강화하여 클라우드 자산을 보호합니다. 업계 모범 사례에 따라 인프라를 강화하려면 CIS(인터넷 보안 센터) 벤치마크와 같은 벤치마킹 지침을 따르세요.

  • MITRE ATT&CK 기술 자료 사용: MITRE ATT&CK 기술 자료 사용하여 일반적인 실제 공격 전술 및 기술에 대한 위협 모델 및 방법론을 개발할 수 있습니다.

  • 왼쪽 이동: 사전 프로덕션과 프로덕션에 대해 액세스 수준이 다른 분리된 환경을 사용합니다. 이 방법은 왼쪽을 이동하는 데 도움이 되며, 이는 개발의 모든 단계에 보안 문제를 추가하고 낮은 환경에서 유연성을 제공합니다.

Azure 촉진

취약성 관리: Microsoft Defender 취약성 관리 단일 솔루션에서 가장 중요한 자산에서 가장 큰 취약성을 식별, 평가, 수정 및 추적하는 데 사용할 수 있는 포괄적인 위험 기반 취약성 관리 솔루션입니다.

다음 단계

클라우드 자산을 안전하게 관리