이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 ExpressRoute에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 ExpressRoute에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
비고
ExpressRoute에 적용되지 않는 기능은 제외되었습니다.
보안 프로필
보안 프로필에는 ExpressRoute의 영향력이 큰 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 가치 |
|---|---|
| 제품 범주 | 하이브리드/다중 클라우드, 네트워킹 |
| 고객이 HOST/OS에 액세스할 수 있음 | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | 진실 |
| 고객 콘텐츠를 정지 상태로 저장 | 거짓 |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 VNet(Virtual Network)에 대한 배포를 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: NSG(네트워크 보안 그룹)를 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. 서비스의 열린 포트를 제한하는 NSG 규칙을 만듭니다(예: 신뢰할 수 없는 네트워크에서 관리 포트에 액세스하지 못하도록 방지). 기본값으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽은 허용합니다.
참고: 고객은 GatewaySubnet에서 기본 경로 또는 NSG를 사용하여 UDR을 구성할 수 없습니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Network:
| 이름 (Azure Portal) |
설명 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 서브넷은 네트워크 보안 그룹과 연결되어야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | 존재하지 않으면 감사, 비활성화 | 3.0.0 |
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 ID 관리를 참조하세요.
IM-1: 중앙 집중식 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 대해 지원되는 로컬 인증 방법입니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
IM-3: 애플리케이션 ID를 안전하고 자동으로 관리
기능
관리형 ID
설명: 데이터 평면 작업은 관리 ID를 사용하는 인증을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
기능 정보: ExpressRoute에 대한 인증은 관리 ID를 통해 지원되지 않지만, 서비스는 관리 ID를 활용하여 Key Vault에 인증하여 MACsec 비밀을 검색합니다.
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
서비스 프린시펄
설명: 데이터 평면은 서비스 주체를 사용하는 인증을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
IM-7: 조건에 따라 리소스 액세스 제한
기능
데이터 평면에 대한 조건부 액세스
설명: Azure AD 조건부 액세스 정책을 사용하여 데이터 평면 액세스를 제어할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault에서 서비스 자격 증명 및 비밀 관리 기능 통합 및 저장
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 대한 Azure Key Vault의 기본 사용을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 비밀 및 자격 증명을 코드 또는 구성 파일에 포함하는 대신 Azure Key Vault와 같은 보안 위치에 저장해야 합니다.
참조: ExpressRoute Direct에 대한 MACsec 암호화를 구성합니다.
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-1: 높은 권한/관리 사용자 분리 및 제한
기능
로컬 관리자 계정
설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
PA-8: 클라우드 공급자 지원에 대한 액세스 프로세스 확인
기능
고객 잠금함
설명: Customer Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 누출/손실 방지
설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 중 데이터 암호화
설명: 서비스는 데이터 평면에 대한 전송 중인 데이터 암호화를 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
기능 정보: ExpressRoute 프라이빗 피어링을 통해 IPsec을 사용하면 고객은 VPN 연결을 구성하고 ExpressRoute 및 VPN 게이트웨이가 경로를 교환할 수 있도록 구성을 관리할 수 있습니다. 그러나 암호화는 ExpressRoute가 아닌 VPN 연결에서만 지원됩니다.
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault의 인증서 관리
설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: Azure Policy를 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
로깅 및 위협 감지
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 로깅 및 위협 검색을 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스 및 제품 제공용 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
LT-4: 보안 조사를 위해 로깅을 활성화하다
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. 예를 들어 Key Vault는 키 자격 증명 모음에서 비밀을 가져오는 작업에 대한 추가 리소스 로그를 지원하며 Azure SQL에는 데이터베이스에 대한 요청을 추적하는 리소스 로그가 있습니다. 리소스 로그의 내용은 Azure 서비스 및 리소스 종류에 따라 다릅니다.
백업 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure 백업
설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
서비스 네이티브 백업 기능
설명: 서비스는 자체 네이티브 백업 기능을 지원합니다(Azure Backup을 사용하지 않는 경우). 자세히알아보세요.
| 지원됨 | 기본값으로 사용 가능 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. 조직에서 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: ExpressRoute 프라이빗 피어링을 위한 백업으로 S2S VPN 사용
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요 참조
- Azure 보안 기준에 대해 자세히 알아보세요.