그렇다면 가장 먼저 해야 할 일은 무엇입니까?
먼저 준수 목표를 정의해야 합니다. 어떤 표준과 규정(예: PCI-DSS, ISO 27001 및 HIPAA)이 당사 조직에 적용됩니까? 이 질문에 명확하게 답하고 준수 목표가 명확하게 정의되어 있는지 확인하는 것이 항상 첫 번째 단계입니다.
여러 준수 표준 및 규정이 있습니다Azure에 관한 것입니다. 이러한 표준 및 규정은 귀하의 산업 분야 – 즉, 금융 서비스, 건강 관리 및 생활 서비스 – 및 귀하의 지역에 따라 다릅니다. 또한 귀하의 비즈니스가 다양한 미국 정부 규정을 준수하는 것을 확인하기 위한 특별한 준수 표준도 있습니다.
이 기사에서는Azure 규정 준수 대시보드를 사용하여규정 준수를 평가하고 대부분의 준수 체크리스트 요구 사항을 충족시키기 위한 최상의 보안 관행을 배우게 될 것입니다.
또한 읽으십시오 Azure AD 모니터링 솔루션을 살펴보세요
8개의 Azure 최고의 보안 관행을 준수하세요
다양한 Azure 준수 기준이 있지만, 대부분의 기준에 포함된 체크리스트 요구 사항이 있습니다. 준수하기 위해 따라야 할 최선의 관행에 대한 포괄적인 분석입니다.
1. 보안 시스템 및 프로세스의 정기적인 테스트 수행
모든 보안 전문가는 모든 기계에 대한 정기적인 위협 검사 일정을 가지고 있어야 한다고 조언할 것입니다. 이는 PCI DSS, ISO 27001, HIPAA, SOC 2 및 기타 준수 기준을 포함한 다양한 준수 기준의 체크리스트 요구 사항입니다.
취약점는 악의적인 개인들과 연구자들에 의해 지속적으로 발견되고 있습니다. 이 현재의 위협 환경에서는 기계가 취약하지 않다고 가정하는 것이 항상 현명합니다. 따라서 정기적인 테스트 및 스캔 전략을 시행하여 공격으로부터 보안을 보장해야합니다.
따라서 다음의 관행이 보안 전략에 구현되어 있는지 확인하는 것이 좋습니다:
- 모든 외부 IP 및 도메인이 정기적으로 스캔되었는지 확인하십시오. 예를 들어, PCI DSS 표준은 CDE에 노출된 모든 외부 IP 및 도메인이 최소 분기별로 PCI 승인 스캐닝 업체 (ASV)에 의해 스캔되어야 함을 요구합니다.
모든 외부 IP 및 도메인이 광범위하고 정기적인 응용 프로그램 및 네트워크 침투 테스트를 받는지 확인하십시오. - 모든 외부 IP와 도메인에 대해 광범위하고 정기적인 응용 프로그램 및 네트워크 침투 테스트를 실시하십시오.
- 강력한 파일 모니터링 전략을 수립하세요. 시스템이 주기적으로 파일 비교를 수행하여 눈에 띄지 않는 변경 사항을 감지하도록 해야 합니다.
2. 일관된 패치 관리 전략 수립
3. 사용 및 정기적으로 업데이트 방치 소프트웨어 강력한 방화벽 정책
이것은 대부분의 Azure 준수 표준에 대한 상위 준수 검사 리스트입니다. 이 검사 리스트 요구 사항은 악성코드로부터의 시스템 보호에 초점을 맞춥니다.
준수하고 있는지 확인하려면 모든 시스템에 바이러스 백신 솔루션이 장착되어 있는지 확인하세요. 이는 직원들이 시스템에 로컬 및 원격으로 접근할 수 있는 작업 스테이션, 노트북, 모바일 장치를 포함합니다.
바이러스 백신 프로그램이 효과적인지 확인하려면 바이러스 백신 또는 바이러스 백신 프로그램이 정기적으로 업데이트되었는지 확인해야 합니다.
항상 당신의 바이러스 방지 메커니즘 활성 상태, 감사 가능한 로그, 그리고 최신 시그니처를 사용하고 있는지 확인하세요.
강력한 방화벽 정책을 갖는 것은 항상 관리 포트를 항상 닫는 것이 좋습니다. SSH, RDP, WinRM 및 기타 관리 포트에 대한 액세스는 절대적으로 필요하지 않은 경우에는 제한되어야 합니다. 이것은 가상 머신을 보호하는 데 중요합니다.
4. 적절한 암호화 절차 사용
최대의 사이버 보안 예산을 가진 대기업조차도 데이터 침해 사건의 피해자입니다. 따라서 암호화의 중요성은 과소 평가될 수 없습니다. 종종 중간자 공격은 부적절한 또는 존재하지 않는 암호화 정책을 이용하여 발생합니다.
Azure에서 암호화는 오늘날 모든 비즈니스에 중요합니다. 이는 민감한 데이터를 암호화 키 없이는 읽을 수 없는 암호문으로 변환함으로써 보호할 수 있기 때문입니다. 이를 “인코딩”이라고 합니다.
암호화 키를 가진 사람만이 데이터를 해독하고 실제 정보를 드러낼 수 있기 때문에 암호화는 사이버 범죄자나 다른 무단 당사자가 데이터를 훔치고 잘못 사용하는 것을 거의 불가능하게 만듭니다.
따라서 이 준수 검사 리스트가 체크되어 있는지 확인하려면 다음을 확인해야 합니다:
- 데이터를 보호하기 위해 최신 현대 암호화 프로토콜만 적용하세요.
- SSL보다 TLS를 사용하세요. SSL에는 여러 취약점이 있습니다.취약성.
- 엔드포인트도 암현화하세요. 네, 이미 안전하게 저장된 데이터도 암호화하세요. 이렇게 하면 데이터가 도난당한 경우 공격자에게 소용이 없게 됩니다.
또한 읽으십시오 GDPR 준수 검사리스트 – 감사 요건 설명
5. 엄격한 정보 기밀성 유지
기밀 정보는 개인적 성격으로 인해 민감한 것으로 간주되는 모든 정보를 말합니다. 정보 기밀성은 SOC 2, PCI DSS 및 기타 준수 표준에 대한 체크리스트 요구 사항입니다.
이 준수 요건을 충족하려면 여러 보안 관행을 구현해야 합니다. 예를 들어 귀하의 회사가 민감한 정보를 수집하는 경우 다음을 수행해야 합니다:
- 대상의 허락을 얻습니다.
- 가능한 한 많은 개인 정보를 수집하지 않고 합법적인 수단을 사용하여 수집하십시오.
- 수집된 데이터만을 사용하고 지정된 데이터 보존 기간이 끝날 때 폐기하십시오.
- 누출 및 데이터 손실을 방지하기 위해 승인된 인원만이 해당 정보에 접근할 수 있도록 제한하십시오.
6. 강력하고 복잡한 비밀번호를 사용하고 다단계 인증(MFA)을 활성화하세요.
이미지 출처: Itro
이는 특히 상업적 이유로 가상 머신에 인바운드 트래픽이 있는 경우 매우 중요합니다. 예를 들어, 금융 서비스를 제공하고 결제 카드 산업 데이터 보안 표준(PCI DSS)에 따라야 하는 기업의 경우 이는 최우선 규정 준수 요구 사항입니다.
또한, SOC 2 및 기타 규정 준수 표준은 적어도 이중 인증을 시스템에 활성화하도록 요구합니다. 이 체크리스트 요구 사항이 체크되었는지 확인하려면 가상 머신에 접근할 수 있는 모든 사용자 계정에 복잡한 사용자 이름과 비밀번호 조합을 사용하도록 해야 합니다.
또한 가상 머신이 도메인에 가입된 경우 이 보안 절차를 따르고 다단계 인증이 있는 모든 계정이 가상 머신에 로그인할 수 있도록 해야 합니다.
7. 항상 데이터 백업이 있어야 합니다.
데이터 손실로부터 보호하기 위해 데이터에 대한 백업을 갖는 것이 항상 좋습니다. 데이터는 우발적인 데이터 취급 실수 또는 공격자에 의한 시스템 침해로 인해 손실될 수 있습니다.
이로 인해 비즈니스에 끼치는 손실, 모두 재정적, 그리고 명성의 측면에서 엄청날 수 있습니다. 이것이 Azure의 대부분의 규정 준수 표준이 항상 데이터의 안정적인 백업을 갖는 것을 요구하는 이유입니다. 규정 준수 표준 항상 데이터의 안정적인 백업을 갖는 것을 요구합니다.
다행히도 Azure에서는 이것이 단 한 번의 클릭만으로 가능합니다. 또한 Azure는 사용자에게 사용할 수 있는 데이터 백업 서비스를 제공합니다. 이를 사용하려면 Azure Backup Service를 활성화하기만 하면 됩니다.
8. 시스템이 항상 가용해야 합니다.
컴퓨팅에서 가용성 개념은 승인된 사용자가 언제든지 필요할 때 컴퓨터 시스템에 액세스할 수 있는 보장을 나타냅니다. 시스템의 높은 수준의 가용성은 필요할 때 예상대로 작동할 것을 보장합니다.
그러므로 이것이 많은 Azure AD 표준의 규정 준수 검사리스트 최상위에 있는 것은 놀랄 일이 아닙니다.
시스템의 가용성에 대한 두 가지 주요 위협은 서비스 거부 또는 데이터 처리 기능 손실입니다. 항상 규정 준수에 있으려면 시스템의 방어와 네트워크 인프라를 강화하여 이로 인해 시스템이 가동 중지 시간에 직면하지 않도록 하는 것이 좋습니다.
이렇게 하려면 다음을 확인하세요:
- 가동 중지 시간이 발생할 경우의 대책을 갖추십시오.
- 트래픽이 적은 시간에 시스템에 대한 정기적인 유지 보수를 수행하고 일시적으로 사용할 수 있는 대체 시스템을 항상 갖추십시오.
- 시스템에 영향을 미칠 핵심 결정을 내릴 때 여러 사람이 참여하도록 요구하여 인간의 실수(이것이 더 흔함)를 방지하십시오.
다음으로 Azure Security Best Practices – For Compliance에서는 Azure Regulatory Compliance Dashboard를 설명합니다.
또한 읽어보십시오 사이버 보안의 최고 10가지 위협 헌팅 도구(장단점)
Azure 규정 준수 대시보드
사이버 보안에서 레드 팀 대 블루 팀 – 차이점은 무엇입니까?를 읽어보세요.
대시보드 제어 및 해결책
아즈어의 규정 준수 기능은 귀하의 준수 상태를 결정하기 위해 평가를 수행합니다. 대시보드에서는 규정 준수 평가 점수를 실패한 및 통과한 평가 수와 백분율로 표시합니다.
규정 준수 상태와 통과한 규칙 수가 전체 점수 옆에 표시됩니다.
대시보드의 녹색 컨트롤에 있는 모든 규칙은 평가를 통과한 것입니다. 대시보드의 빨간색 컨트롤은 적어도 하나의 규칙이 평가에 실패했음을 나타냅니다.
규칙을 확장하면 개별 평가, 리소스 유형, 총 리소스 및 평가의 그래픽 표현을 볼 수 있습니다.
회색은 준수 평가가 해당되지 않거나 아직 지원되지 않음을 나타냅니다. Microsoft는 ASC 규정 준수 대시보드의 데이터가 준수 관리자에서 사용할 수 있도록 보다 나은 대시보드를 개선합니다.
해상도
문제를 해결하려면 해당 평가 항목을 클릭하면되며, 문제를 해결할 수있는 페이지로 이동됩니다. 해결해야 할 문제는 가상 머신을 업데이트해야 하는지 여부를 결정하고 필요한 업데이트를 설치하거나 가상 머신에 모니터링 에이전트를 설치하는 것입니다.
컴플라이언스 관리자는 Office 365 및 Azure 환경에서 데이터를 한 곳에 수집하여 권장 사항을 따라 데이터 보호 및 컴플라이언스를 개선할 수 있도록합니다. 마이크로 소프트는 대시 보드에 업데이트를 롤아웃하고 곧 컴플라이언스 보고 기능 (매우 유용한 기능)이 통합될 예정입니다.
Azure 보안 최적 사례 – 컴플라이언스 (체크리스트) 읽어 주셔서 감사합니다. 이 기사 블로그를 마무리하겠습니다.
Azure 보안 최적 사례 – 컴플라이언스 (체크리스트) 결론
Microsoft Azure 사용자로서, 다양한 준수 기준과 규정을 준수하는 것이 항상 중요합니다. 다행히도,이 안내서는 Azure 최상의 보안 관행을 포함하여 대부분의 준수 기준을 준수하는 것을 보장하기 위한 포괄적인 분석을 제공합니다.
Microsoft Azure는 또한 준수 및 규제 대시보드를 제공하여 최상의 보안 관행을 준수하는지 확인할 수 있습니다.
Azure 최상의 보안 관행을 준수하지 않으면 벌금과 법적 제재 그리고 비즈니스 기회의 손실이 발생할 수 있습니다. 또한 시스템이 사이버 공격에 취약해질 수 있습니다.
위의 관행을 따르고 Azure의 규제 준수 대시보드를 활용하고 고객에게 특화된 Azure 준수 기준과 규정을 교육하여 안전하게 대비하십시오.
Source:
https://infrasos.com/azure-security-best-practices-for-compliance-checklist/