다음을 통해 공유


Azure Monitor에 대한 Azure 보안 기준

이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0지침을 Azure Monitor에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 Azure Monitor에 적용되는 관련 지침에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항의 준수 여부를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고 항목

Azure Monitor에 적용되지 않는 기능은 제외되었습니다. Azure Monitor가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑되는 방법을 보려면 전체 Azure Monitor 보안 기준 매핑 파일을 참조 하세요.

보안 프로필

보안 프로필에는 Azure Monitor의 영향력이 큰 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.

서비스 동작 특성
제품 범주 DevOps, 보안
고객이 HOST/OS에 액세스할 수 있음 액세스 없음
서비스는 고객의 가상 네트워크에 배포될 수 있움 False
고객 콘텐츠를 저장 상태로 유지 True

네트워크 보안

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 네트워크 보안을 참조하세요.

NS-1: 네트워크 구분 경계 설정

기능

가상 네트워크 통합

설명: 서비스는 고객의 프라이빗 VNet(Virtual Network)에 대한 배포를 지원합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

구성 지침: 가상 네트워크에 서비스를 배포합니다. 공용 IP를 리소스에 직접 할당해야 하는 강력한 이유가 없는 한, 리소스에 개인 IP를 할당합니다(해당되는 경우).

참조: Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결

네트워크 보안 그룹 지원

설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

구성 지침: NSG(네트워크 보안 그룹)를 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. 서비스의 열린 포트를 제한하는 NSG 규칙을 만듭니다(예: 신뢰할 수 없는 네트워크에서 관리 포트에 액세스하지 못하도록 방지). 기본값으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽은 허용합니다.

참조: Azure Monitor에서 사용하는 IP 주소

NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스

기능

설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall과 혼동하지 않음). 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

구성 지침: Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있습니다. Azure Monitor는 동시에 작동하여 워크로드를 모니터링하는 상호 연결된 서로 다른 서비스의 모음입니다. Azure Monitor Private Link는 프라이빗 엔드포인트를 Azure Monitor 리소스 집합에 연결하여 모니터링 네트워크의 경계를 정의합니다. 이 세트를 AMPLS(Azure Monitor Private Link Scope)라고 합니다.

참조: Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결

공용 네트워크 액세스 사용 안 함

설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

구성 지침: 서비스 수준 IP ACL 필터링 규칙을 사용하거나 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 추가 정보는 여기를 참조하세요. AMPLS(Azure Monitor Private Link 범위) 사용

참조: Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결

ID 관리

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 ID 관리를 참조하세요.

IM-1: 중앙 ID 및 인증 시스템 사용

기능

데이터 평면 액세스에 필요한 Azure AD 인증

설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
True True Microsoft

기능 참고: Azure Monitor 에이전트는 기본적으로 MSI\AAD를 사용하며 Azure Log Analytics 에이전트 구성에 설명되어 있습니다.

Application Insights는 AAD를 적용하도록 구성되어야 하며 Application Insights AAD 인증에 설명되어 있습니다.

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Application Insights에 대한 Azure AD 인증

데이터 평면 액세스에 대한 로컬 인증 방법

설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 대해 지원되는 로컬 인증 방법입니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

IM-3: 애플리케이션 ID를 안전하게 자동으로 관리

기능

관리 ID

설명: 데이터 평면 작업은 관리 ID를 사용하는 인증을 지원합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

기능 정보: Azure Monitor 에이전트를 설치하기 전에 Azure 가상 머신에서 관리 ID를 사용하도록 설정해야 합니다. Azure Monitor 에이전트 필수 구성 요소

구성 지침: 가능하면 서비스 주체 대신 Azure 관리 ID를 사용합니다. 이 ID는 Azure AD(Azure Active Directory) 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다.

참조: Application Insights에 대한 Azure AD 인증

서비스 주체

설명: 데이터 평면은 서비스 주체를 사용하는 인증을 지원합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

기능 정보: 보안 WebHook에만 적용됩니다.

구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. 조직에서 이 보안 기능을 구성하려는지 검토하고 확인하세요.

참조: Azure Portal에서 작업 그룹 만들기 및 관리

IM-7: 조건에 따라 리소스 액세스 제한

기능

데이터 평면에 대한 조건부 액세스

설명: Azure AD 조건부 액세스 정책을 사용하여 데이터 평면 액세스를 제어할 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

구성 지침: 워크로드에서 Azure AD(Azure Active Directory) 조건부 액세스에 적용 가능한 조건 및 조건을 정의합니다. 특정 위치에서 액세스 차단 또는 액세스 권한 부여, 위험한 로그인 동작 차단 또는 특정 애플리케이션에 대한 조직 관리 디바이스 요구와 같은 일반적인 사용 사례를 고려합니다.

참조: Azure Monitor Log Analytics API 개요

권한 있는 액세스

자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.

PA-7: 충분한 관리 수행(최소 권한) 원칙

기능

데이터 평면용 Azure RBAC

설명: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure Monitor의 역할, 권한 및 보안

PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정

기능

고객 Lockbox

설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

기능 정보: Azure Monitor Log Analytics가 전용 클러스터로 구성된 경우에만 사용할 수 있습니다.

구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다. 전용 클러스터의 로그 데이터에만 적용됩니다.

참조: 고객 Lockbox(미리 보기)

데이터 보호

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 데이터 보호를 참조하세요.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

기능

중요한 데이터 검색 및 분류

설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링

기능

데이터 누출/손실 방지

설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

DP-3: 전송 중인 중요한 데이터 암호화

기능

전송 암호화 중인 데이터

설명: 서비스는 데이터 평면에 대한 전송 중인 데이터 암호화를 지원합니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

기능 정보: 데이터 수집을 제외한 모든 구성은 기본적으로 구성됩니다.
Log Analytics의 경우

Application Insights의 경우

구성 지침: 기본 제공 전송 암호화 기능에 네이티브 데이터가 있는 서비스에서 보안 전송을 사용하도록 설정합니다. 모든 웹 애플리케이션 및 서비스에 HTTPS를 적용하고 TLS v1.2 이상이 사용되는지 확인합니다. SSL 3.0, TLS v1.0과 같은 레거시 버전을 사용하지 않도록 설정해야 합니다. Virtual Machines의 원격 관리를 위해 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다.

DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정

기능

플랫폼 키를 사용하여 미사용 데이터 암호화

설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용

기능

CMK를 이용하여 미사용 데이터 암호화

설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장한 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

기능 정보: Azure Monitor 데이터는 서비스 상태에 대한 데이터이며 기본적으로 고객 Lockbox에 의해 보호되지 않습니다. 로그만 Lockbox로 보호할 수 있으며 전용 클러스터에 대해서만 보호할 수 있습니다.

구성 지침: Azure Monitor 데이터는 서비스 상태 데이터 전용이며 전용 클러스터에 저장된 로그 데이터만 미사용 데이터 암호화에 고객 관리형 키를 사용할 수 있습니다. 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 범위를 정의합니다. 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.

참조: Azure Monitor 고객 관리형 키

자산 관리

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 자산 관리를 참조하세요.

AM-2: 승인된 서비스만 사용

기능

Azure Policy 지원

설명: Azure Policy를 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
거짓 고객

구성 지침: 클라우드용 Microsoft Defender 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. Azure Policy [거부] 및 [존재하지 않는 경우 배포] 효과를 사용하여 Azure 리소스에 보안 구성을 적용합니다.

참조: Azure Policy를 사용하여 대규모 진단 설정 만들기

로깅 및 위협 탐지

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 로깅 및 위협 검색을 참조하세요.

LT-1: 위협 탐지 기능 사용하도록 설정

기능

서비스/제품 제공에 대한 Microsoft Defender

설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

LT-4: 보안 조사를 위해 로깅 사용

기능

Azure 리소스 로그

설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure Monitor의 진단 설정

Backup 및 복구

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

기능

Azure Backup

설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

서비스 네이티브 백업 기능

설명: 서비스는 자체 네이티브 백업 기능을 지원합니다(Azure Backup을 사용하지 않는 경우). 자세히 알아보기.

지원 여부 기본값으로 사용 가능 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

다음 단계