Azure 보안 벤치마크로 보안 상태 관리

Azure 보안 벤치마크로 보안 상태 관리

2025년 6월 14일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 ASB(Azure Security Benchmark)를 사용하여 Azure 환경의 보안 상태를 관리하고 개선하도록 안내하는 것을 목표로 합니다. 끊임없이 진화하는 클라우드 환경에서 리소스를 안전하게 구성하고 모범 사례를 준수하도록 보장하는 것은 지속적인 과제입니다. ASB는 Microsoft Defender for Cloud와 함께 클라우드 워크로드의 보안을 평가, 모니터링 및 개선하기 위한 포괄적인 프레임워크를 제공합니다[1].

소개

클라우드 보안은 클라우드 공급자(Microsoft)와 고객 간의 공동 책임입니다. Microsoft는 기본 인프라를 보호하지만 사용자 환경 내의 데이터, 응용 프로그램 및 네트워크 구성의 보안은 사용자의 책임입니다. 클라우드 서비스의 복잡성과 변화 속도로 인해 강력하고 일관된 보안 상태를 유지하기가 어려울 수 있습니다. 잘못된 구성, 패치되지 않은 취약점, 가시성 부족은 보안 침해로 이어질 수 있는 일반적인 공격 벡터입니다[2].

ASB(Azure 보안 벤치마크)는 Microsoft에서 개발한 Azure 관련 보안 지침 세트로, CIS(인터넷 보안 센터) 및 NIST(국립 표준 기술 연구소)와 같은 업계 최고의 프레임워크의 보안 모범 사례 및 규정 준수 권장 사항을 통합합니다. 이는 네트워크 보안, ID 관리, 데이터 보호, 취약성 관리 등과 같은 영역을 포괄하여 클라우드 리소스를 보호하기 위한 기반을 제공합니다. Microsoft Defender for Cloud(이전의 Azure Security Center)는 ASB 규정 준수를 평가하고 모니터링하기 위한 기본 도구입니다[3].

이 실무 가이드에서는 전제 조건, ASB 개념, Microsoft Defender for Cloud를 사용하여 ASB 규정 준수를 평가하고, 보안 권장 사항을 해석하고, 오류를 해결하고, 예외를 구성하고, 보안 점수를 모니터링하는 방법을 다룹니다. 독자가 이러한 기능을 구현, 테스트 및 검증할 수 있도록 단계별 지침, 실제 예제 및 간결한 설명이 제공됩니다. 또한 Azure의 보안 상태가 자율적으로, 전문적으로, 안정적으로 지속적으로 개선되도록 보장하기 위해 보안 팁, 규정 준수 검사 및 모범 사례에 대해 논의합니다.

Azure 보안 벤치마크가 보안 상태에 중요한 이유는 무엇입니까?

  • 포괄적 지침: 클라우드 보안의 모든 측면을 다루는 Azure 서비스에 대한 자세한 보안 권장 사항 세트를 제공합니다.
  • 업계 표준에 부합: 세계적으로 인정받는 보안 프레임워크를 기반으로 보안 관행이 모범 사례에 부합하도록 보장합니다.
  • 지속적 평가: Microsoft Defender for Cloud와 통합되어 ASB 규정 준수에 대한 지속적인 평가를 제공하고 편차를 식별합니다.
  • 실행 가능한 권장 사항: 보안 문제를 해결하고 상태를 개선하기 위한 명확한 권장 사항과 수정 단계를 제공합니다.
  • 보안 점수 모니터링: 수량화 가능한 지표(보안 점수)를 통해 보안 개선 진행 상황을 시각화하고 추적하는 데 도움이 됩니다.
  • 규제 준수: ASB 제어를 규제 표준에 매핑하여 다양한 규정 준수 요구 사항을 쉽게 준수할 수 있습니다.

전제조건

Azure Security Benchmark를 사용하여 보안 상태를 관리하려면 다음 항목이 필요합니다.

  1. 활성 Azure 구독: 배포된 리소스가 포함된 Azure 구독입니다.
  2. 관리 액세스: 구독 또는 리소스 그룹에 대해 '소유자', '기여자' 또는 '보안 관리자' 역할이 있는 계정입니다.
  3. Microsoft Defender for Cloud 활성화: 보안 평가 및 권장 사항을 제공하려면 구독에서 Defender for Cloud를 활성화해야 합니다. 무료 플랜은 이미 ASB [4]를 제공합니다.

단계별: Azure 보안 벤치마크를 사용하여 보안 상태 관리

Security Center를 활성화하고, ASB 규정 준수를 평가하고, 권장 사항을 수정해 보겠습니다.

1. 클라우드용 Microsoft Defender 및 Azure 보안 벤치마크 활성화ASB는 Security Center에 자동으로 포함됩니다. 이미 Defender for Cloud를 사용하도록 설정한 경우 ASB가 이미 평가 중입니다.

  1. 브라우저를 열고 Azure Portal https://portal.azure.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 상단 검색 필드에 '클라우드용 Microsoft Defender'를 입력하고 결과에서 선택합니다.
  4. Security Center 개요 페이지에서 구독이 통합되었는지 확인합니다. 그렇지 않은 경우 지침에 따라 구독을 통합하세요.
  5. 왼쪽 탐색 창에서 환경 설정을 선택합니다.
  6. 보호하려는 서명을 선택하세요.

  7. Defender 계획 페이지에서 '기본 클라우드 보안' 계획(ASB 포함)이 '켜짐'인지 확인하세요.

    • 설명: Defender for Cloud 기본 계획은 Azure 보안 벤치마크 권장 사항을 포함한 보안 상태 평가를 무료로 제공합니다. 유료 요금제(예: Defender for Servers, Defender for Storage)에는 워크로드 보호(CWPP)가 추가됩니다.

2. Azure 보안 벤치마크를 통한 규정 준수 평가

Defender for Cloud는 규정 준수 대시보드를 통해 ASB 준수를 표시합니다.

  1. Defender for Cloud 왼쪽 탐색 창에서 규정 준수를 선택합니다.
  2. 대시보드에 규정 준수 표준 중 하나로 'Azure Security Benchmark'가 표시됩니다.

  3. 'Azure Security Benchmark'를 클릭하여 규정 준수 세부 정보를 확인하세요.

    • 설명: 이 대시보드에는 통과한 제어 수, 실패한 제어 수, 수동 개입이 필요한 제어 수 등 ASB 규정 준수에 대한 개요가 표시됩니다. 컨트롤을 드릴다운하여 특정 권장 사항을 확인할 수 있습니다.

3. 보안 권장 사항 해석 및 해결

권장 사항은 보안 상태를 개선하기 위한 기초입니다.

  1. Defender for Cloud 왼쪽 탐색 창에서 권장 사항을 선택합니다.
  2. 권장 사항은 '보안 제어'별로 그룹화됩니다. '표준' = 'Azure 보안 벤치마크'로 필터링할 수 있습니다.
  3. 상태 = 비정상인 권장 사항을 찾습니다(예: 관리 포트는 신뢰할 수 있는 IP 범위로 제한되어야 합니다).

  4. 세부정보를 보려면 권장사항을 클릭하세요.

    • 설명: 보안 문제를 설명합니다.
    • 수정 단계: 문제를 해결하기 위한 단계별 지침을 제공합니다. 많은 권장 사항은 한 번의 클릭으로 '수정' 옵션이나 자동화 스크립트를 제공합니다.
    • 영향을 받는 리소스: 규정을 준수하지 않는 모든 리소스(VM, 스토리지 계정, 네트워크 등)를 나열합니다.
    • 규정 준수 표준: 이 권장 사항을 다루는 ASB가 제어하는(및 기타 표준)을 보여줍니다.

  5. 권장 사항 수정(예: 관리 포트 제한):

    • '관리 포트는 신뢰할 수 있는 IP 범위로 제한해야 합니다'라는 권장 사항을 보려면 영향을 받는 리소스를 클릭하세요.
    • 각 기능에 대해 '수정'을 클릭하거나 수동 지침에 따라 신뢰할 수 있는 특정 IP로만 RDP/SSH 포트에 대한 액세스를 제한하는 NSG(네트워크 보안 그룹)를 구성할 수 있습니다.

    • NSG를 업데이트하기 위한 Azure CLI 명령 예: ``배쉬 az network nsg 규칙 업데이트\ --resource-group \ --nsg-name \ --name \ --source-address-prefixes \ --destination-port-ranges 3389 # 또는 22 ````

    • 설명: 수정 후 Security Center는 리소스를 재평가합니다. 수정에 성공하면 리소스 상태가 '정상'으로 변경되고 안전 점수가 업데이트됩니다.

4. 추천에 대한 예외 구성

경우에 따라 권장 사항이 특정 리소스에 적용되지 않을 수도 있고 즉시 수정하지 않는 데 대한 비즈니스 정당성이 있을 수도 있습니다. 예외를 생성할 수 있습니다.

  1. 권장사항 세부정보 페이지에서 '...'(추가 옵션)을 클릭하고 '예외 생성'을 선택합니다.
  2. 예외 생성:
    • 범위: 예외가 전체 구독, 리소스 그룹 또는 특정 리소스에 적용되는지 선택합니다.
    • 이유: 예외 사유를 선택합니다(예: '허용된 위험', '제3자 제어에 의해 완화됨').
    • 유효기간: 예외 만료 날짜를 설정합니다.
    • 의견: 예외에 대한 자세한 근거를 제공하세요.

  3. 만들기를 클릭합니다.

    • 설명: 예외는 주의해서 사용해야 하며 문서화해야 합니다. 안전 점수에서 권장 사항을 제거하지만 근본적인 위험은 여전히 ​​존재합니다. 정기적으로 예외를 검토하세요.

5. 보안 점수 모니터링

보안 점수는 보안 상태를 수량화할 수 있는 척도입니다.

  1. Defender for Cloud 왼쪽 탐색 창에서 개요를 선택합니다.
  2. '보안 점수'가 눈에 띄게 표시되어 현재 점수와 개선 가능성을 보여줍니다.

  3. '보안 점수'를 클릭하면 점수 향상에 가장 많이 기여한 권장 사항을 포함한 세부 정보를 볼 수 있습니다.

    • 설명: 보안 점수는 해결된 보안 권장 사항의 비율을 기준으로 계산됩니다. 점수에 더 큰 영향을 미치고 환경에 가장 중요한 권장 사항의 우선 순위를 지정하세요.

검증 및 테스트

교정 조치가 효과가 있고 보안 상태가 개선되고 있는지 검증하는 것이 중요합니다.

1. 권장 사항 수정 확인

  1. 시나리오: 권장 사항에 대한 수정(예: 관리 포트 제한)을 적용한 후 Security Center에서 리소스를 다시 평가할 때까지 몇 분 정도 기다립니다.
  2. 예상 작업: 해당 권장 사항에 대한 리소스 상태는 '비정상'에서 '정상'으로 변경되어야 합니다.
  3. 확인:
    • 클라우드용 Microsoft Defender > 권장 사항으로 이동합니다.
    • 수정한 권장 사항을 기준으로 필터링하고 영향을 받는 리소스의 상태를 확인하세요.

2. 보안 점수의 진화 모니터링

  1. 시나리오: 몇 가지 권장 사항을 수정한 후 시간이 지남에 따라 안전 점수가 어떻게 변화하는지 관찰하세요.
  2. 기대 조치: 보안 상태 개선을 반영하여 보안 점수가 높아져야 합니다.
  3. 확인:
    • 클라우드용 Microsoft Defender > 개요로 이동하여 '보안 점수' 추세 그래프를 살펴보세요.

보안 팁 및 모범 사례

  • 중요 권장 사항 우선 순위 지정: 보안 점수에 가장 큰 영향을 미치고 환경에 대한 가장 중요한 위험을 해결하는 권장 사항에 먼저 집중하세요.
  • 수정 자동화: 원클릭 '수정' 옵션 또는 자동화 스크립트(Azure Policy, Azure Automation)를 사용하여 대규모로 권장 사항을 수정합니다.
  • Azure Policy와 통합: Azure Policy를 사용하여 ASB 규정 준수를 적용하여 새 리소스가 이미 규정 준수 상태로 배포되고 기존 리소스가 정책에서 벗어나지 않도록 합니다.
  • 정기 검토: 보안 권장 사항, 예외 및 보안 점수를 정기적으로 검토하여 사전 예방적인 보안 상태를 유지합니다.
  • 팀 인식: 개발 및 운영 팀이 ASB 권장 사항과 이들의 조치가 보안 상태에 미치는 영향을 인식하고 있는지 확인하세요.
  • 유료 플랜으로 클라우드 방어: ASB는 무료이지만 유료 Defender for Cloud 플랜(예: Defender for Servers, Defender for Storage, Defender for SQL)을 활성화하여 워크로드 보호(CWPP) 및 고급 위협 감지를 얻는 것을 고려하세요.

일반적인 문제 해결

  • 수정 후 권장 사항이 업데이트되지 않습니다:
    • Security Center에서 리소스를 재평가하고 상태를 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 몇 분 정도 기다렸다가 페이지를 새로 고치세요.
    • 교정이 올바르게 적용되었는지 확인하십시오. 때로는 교정 지침에 정확하게 따라야 하는 특정 세부 사항이 있을 수 있습니다.
    • Azure 활동 로그를 확인하여 변경 사항이 리소스에 적용되었는지 확인하세요.
  • 안전 점수는 올라가지 않습니다:
    • 보안 점수는 해결된 권장 사항의 비율을 반영합니다. 영향이 적은 몇 가지 권장 사항만 해결한 경우 증가 폭이 최소화될 수 있습니다.
    • 해결 방법을 상쇄하는 새로운 '비정상' 권장 사항이 없는지 확인하세요.
  • 리소스는 권장사항에 표시되지 않습니다:
    • 리소스가 있는 구독에 대해 보안 센터가 활성화되어 있는지 확인하세요.
    • 보안 센터 및 ASB에서 해당 기능을 지원하는지 확인하세요.
    • 새로운 자원 발굴이 지연될 수 있음Defender for Cloud를 통한 교육 과정입니다.
  • 특정 추천에 관한 질문:
    • 각 제어 및 권장 사항에 대한 자세한 내용은 Microsoft Learn의 공식 Azure 보안 벤치마크 설명서를 참조하세요.
    • Azure Portal의 '피드백' 옵션을 사용하여 Microsoft에 질문이나 의견을 보내세요.

결론

Azure 보안 벤치마크는 Microsoft Defender for Cloud와 함께 Azure에서 강력하고 규정을 준수하는 보안 상태를 유지하려는 모든 조직에 없어서는 안 될 도구입니다. 모범 사례의 명확한 프레임워크와 지속적인 평가 및 해결을 위한 플랫폼을 제공함으로써 보안 팀이 보안 침해를 사전에 식별하고 해결할 수 있도록 지원합니다. ASB를 채택하고 적극적으로 유지 관리하는 것은 사이버 위협으로부터 클라우드 자산을 보호하고 운영 무결성을 보장하는 데 중요합니다. 이 실용적인 가이드를 통해 보안 전문가와 IT 관리자는 Azure 환경의 보안 상태를 자율적이고 전문적이며 안정적으로 구성, 검증 및 관리할 수 있는 역량을 갖추게 됩니다.

참고자료:

[1] 마이크로소프트 런. Azure 보안 벤치마크 v3 개요. 사용 가능: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] 마이크로소프트 런. Security Control v3: 자세 및 취약성 관리. 사용 가능: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] 마이크로소프트 런. 클라우드용 Microsoft Defender란 무엇인가요?. 사용 가능: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] 마이크로소프트 런. 규정 준수 개선 - Azure. 사용 가능: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] 마이크로소프트 런. 클라우드 보안 점수의 수호자. 사용 가능: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] 마이크로소프트 런. 수정 권장 사항 - 클라우드용 Microsoft Defender. 사용 가능: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] 마이크로소프트 런. 보안 권장 사항 검토 - Azure. 사용 가능: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations