주요 콘텐츠로 건너뛰기 이 브라우저는 더 이상 지원되지 않습니다. Show
최신 기능, 보안 업데이트, 기술 지원을 이용하려면 Microsoft Edge로 업그레이드하세요. 보안 제어: 네트워크 보안
이 문서의 내용네트워크 보안에는 가상 네트워크 보안, 프라이빗 연결 설정, 외부 공격 방지 및 완화, DNS 보안 등 네트워크를 보호하고 보호하는 컨트롤이 포함됩니다. NS-1: 네트워크 구분 경계 설정
보안 원칙: 가상 네트워크 배포가 GS-2 보안 제어에 정의된 엔터프라이즈 세분화 전략에 부합하는지 확인합니다. 조직에 더 높은 위험을 초래할 수 있는 모든 워크로드는 격리된 가상 네트워크에 있어야 합니다. 고위험 워크로드의 예는 다음과 같습니다.
엔터프라이즈 구분 전략을 향상시키려면 네트워크 컨트롤을 사용하여 내부 리소스 간의 트래픽을 제한하거나 모니터링합니다. 구체적이고 잘 정의된 애플리케이션(예: 3계층 앱)의 경우 네트워크 트래픽의 포트, 프로토콜, 원본 및 대상 IP를 제한하여 매우 안전한 "기본적으로 거부하고 예외로 허용"하는 방법이 될 수 있습니다. 서로 상호 작용하는 많은 애플리케이션과 엔드포인트가 있는 경우 트래픽 차단이 제대로 확장되지 않을 수 있으며 트래픽을 모니터링할 수만 있을 수 있습니다. Azure 지침: Azure 네트워크에서 기본 세분화 방법으로 VNet(가상 네트워크)을 만들면 VM과 같은 리소스를 네트워크 경계 내의 VNet에 배포할 수 있습니다. 네트워크를 더 자세히 구분하기 위해 VNet 내부에 더 작은 하위 네트워크용 서브넷을 만들 수 있습니다. NSG(네트워크 보안 그룹)를 네트워크 계층 제어로 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. ASG(애플리케이션 보안 그룹)를 사용하여 복잡한 구성을 단순화할 수도 있습니다. 네트워크 보안 그룹의 명시적 IP 주소를 기반으로 정책을 정의하는 대신 ASG를 사용하면 네트워크 보안을 애플리케이션 구조의 자연스러운 확장으로 구성할 수 있으므로 가상 머신을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 정의할 수 있습니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 네트워크에서 기본 세분화 방법으로 VPC(가상 프라이빗 클라우드)를 만들면 EC2 인스턴스와 같은 리소스를 네트워크 경계 내의 VPC에 배포할 수 있습니다. 네트워크를 더욱 세분화하려면 더 작은 하위 네트워크를 위해 VPC 내에 서브넷을 만들 수 있습니다. EC2 인스턴스의 경우 보안 그룹을 상태 저장 방화벽으로 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소로 트래픽을 제한합니다. VPC 서브넷 수준에서 NACL(네트워크 Access Control 목록)을 상태 비저장 방화벽으로 사용하여 서브넷에 대한 수신 및 송신 트래픽에 대한 명시적 규칙을 만듭니다. 참고: VPC 트래픽을 제어하려면 인터넷 및 NAT 게이트웨이를 구성하여 인터넷으로의 트래픽이 제한되도록 해야 합니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-2: 네트워크 제어를 사용하여 클라우드 네이티브 서비스 보호
보안 원칙: 리소스에 대한 프라이빗 액세스 지점을 설정하여 클라우드 서비스를 보호합니다. 또한 가능하면 공용 네트워크의 액세스를 사용하지 않도록 설정하거나 제한해야 합니다. Azure 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다. Private Link 사용하면 프라이빗 연결이 공용 네트워크를 통해 라우팅되지 않습니다. 특정 서비스의 경우 서비스에 대한 프라이빗 액세스 지점을 설정하도록 VNET을 제한할 수 있는 서비스에 대한 VNet 통합을 배포하도록 선택할 수 있습니다. 또한 공용 네트워크의 액세스를 차단하도록 서비스 네이티브 네트워크 ACL 규칙을 구성하는 옵션도 있습니다. 예를 들어 Azure SQL 공용 네트워크의 액세스를 차단할 수 있습니다. Azure VM의 경우 강력한 사용 사례가 없는 한 공용 IP/서브넷을 VM 인터페이스에 직접 할당하지 말고 공용 네트워크에서 액세스하기 위한 프런트 엔드로 게이트웨이 또는 부하 분산 장치 서비스를 사용해야 합니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: PrivateLink 기능을 지원하는 모든 AWS 리소스에 대해 VPC PrivateLink를 배포하여 다른 AWS 계정(VPC 엔드포인트 서비스)에서 호스트하는 지원되는 AWS 서비스 또는 서비스에 대한 프라이빗 연결을 허용합니다. PrivateLink를 사용하면 프라이빗 연결이 공용 네트워크를 통해 라우팅되지 않습니다. 특정 서비스의 경우 사용자 고유의 VPC에 서비스 인스턴스를 배포하여 트래픽을 격리하도록 선택할 수 있습니다. 또한 공용 네트워크의 액세스를 차단하도록 서비스 네이티브 ACL 규칙을 구성하는 옵션도 있습니다. 예를 들어 Amazon S3을 사용하면 버킷 또는 계정 수준에서 공용 액세스를 차단할 수 있습니다. 강력한 사용 사례가 없는 한 VPC의 서비스 리소스에 IP를 할당할 때는 공용 IP/서브넷을 리소스에 직접 할당하지 말고 개인 IP/서브넷을 대신 사용해야 합니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-3: 엔터프라이즈 네트워크의 에지에 방화벽 배포
보안 원칙: 방화벽을 배포하여 외부 네트워크 간에 네트워크 트래픽에 대한 고급 필터링을 수행합니다. 내부 세그먼트 간에 방화벽을 사용하여 구분 전략을 지원할 수도 있습니다. 필요한 경우 서브넷에 대한 사용자 지정 경로를 사용하여 네트워크 트래픽이 보안 제어를 위해 네트워크 어플라이언스로 이동하도록 강제해야 하는 경우 시스템 경로를 재정의합니다. 최소한 알려진 잘못된 IP 주소와 원격 관리(예: RDP 및 SSH) 및 인트라넷 프로토콜(예: SMB 및 Kerberos)과 같은 고위험 프로토콜은 차단합니다. Azure 지침: Azure Firewall 사용하여 많은 수의 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대해 완전한 상태 저장 애플리케이션 계층 트래픽 제한(예: URL 필터링) 및/또는 중앙 관리를 제공합니다. 허브/스포크 설정과 같은 복잡한 네트워크 토폴로지가 있는 경우 트래픽이 원하는 경로를 통과하도록 UDR(사용자 정의 경로)을 만들어야 할 수 있습니다. 예를 들어 UDR을 사용하여 특정 Azure Firewall 또는 네트워크 가상 어플라이언스로 송신 인터넷 트래픽을 리디렉션하는 옵션이 있습니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 네트워크 방화벽을 사용하여 많은 수의 엔터프라이즈 세그먼트 또는 스포크(허브/스포크 토폴로지)에 대해 완전한 상태 저장 애플리케이션 계층 트래픽 제한(예: URL 필터링) 및/또는 중앙 관리를 제공합니다. 허브/스포크 설정과 같은 복잡한 네트워크 토폴로지를 사용하는 경우 트래픽이 원하는 경로를 통과하도록 사용자 지정 VPC 경로 테이블을 만들어야 할 수 있습니다. 예를 들어 사용자 지정 경로를 사용하여 특정 AWS 방화벽 또는 네트워크 가상 어플라이언스로 송신 인터넷 트래픽을 리디렉션하는 옵션이 있습니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-4: IDS/IPS(침입 검색 시스템/침입 방지 시스템) 배포
보안 원칙: 네트워크 침입 감지 및 침입 방지 시스템(IDS/IPS)을 사용하여 워크로드를 오가는 네트워크 및 페이로드 트래픽을 검사합니다. IDS/IPS가 항상 SIEM 솔루션에 고품질 경고를 제공하도록 조정되어 있는지 확인합니다. 보다 심층적인 호스트 수준 검색 및 방지 기능을 사용하려면 네트워크 IDS/IPS와 함께 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 사용합니다. Azure 지침: Azure Firewall IDPS 기능을 사용하여 가상 네트워크를 보호하여 알려진 악성 IP 주소 및 도메인 간 트래픽을 경고 및/또는 차단합니다. 보다 심층적인 호스트 수준 검색 및 방지 기능을 위해 네트워크 IDS/IPS와 함께 VM 수준에서 호스트 기반 IDS/IPS 또는 엔드포인트용 Microsoft Defender와 같은 호스트 기반 EDR(엔드포인트 감지 및 응답) 솔루션을 배포합니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 네트워크 방화벽의 IPS 기능을 사용하여 VPC를 보호하여 알려진 악성 IP 주소 및 도메인에 대한 트래픽을 경고 및/또는 차단합니다. 더 심층적인 호스트 수준 검색 및 방지 기능을 위해 네트워크 IDS/IPS와 함께 VM 수준에서 호스트 기반 IDS/IPS 또는 호스트 기반 EDR(엔드포인트 검색 및 응답) 솔루션(예: 호스트 기반 IDS/IPS에 대한 타사 솔루션)을 배포합니다. 참고: 마켓플레이스에서 타사 IDS/IPS를 사용하는 경우 전송 게이트웨이 및 게이트웨이 분산 장치를 사용하여 인라인 검사를 위해 트래픽을 전달합니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-5: DDOS 보호 배포
보안 원칙: DDoS(분산 서비스 거부) 보호를 배포하여 공격으로부터 네트워크 및 애플리케이션을 보호합니다. Azure 지침: DDoS Protection Basic은 Azure 기본 플랫폼 인프라(예: Azure DNS)를 보호하기 위해 자동으로 사용하도록 설정되며 사용자의 구성이 필요하지 않습니다. 공용 네트워크에 노출되는 리소스를 보호하기 위해 VNet에서 http DDoS 표준 보호 계획 사용과 같은 애플리케이션 계층(계층 7) 공격을 보다 높은 수준으로 보호합니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Shield 표준은 일반 네트워크 및 전송 계층(계층 3 및 4) DDoS 공격으로부터 워크로드를 보호하기 위해 표준 완화를 통해 자동으로 사용하도록 설정됩니다. HTTPS 홍수, DNS 홍수와 같은 애플리케이션 계층(계층 7) 공격으로부터 더 높은 수준의 애플리케이션 보호를 위해 Amazon EC2, ELB(탄력적 부하 분산), Amazon CloudFront, AWS 글로벌 가속기 및 Amazon Route 53에서 AWS Shield 고급 보호를 사용하도록 설정합니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-6: 웹 애플리케이션 방화벽 배포
보안 원칙: WAF(웹 애플리케이션 방화벽)를 배포하고 애플리케이션별 공격으로부터 웹 애플리케이션 및 API를 보호하기 위한 적절한 규칙을 구성합니다. Azure 지침: Azure Application Gateway, Azure Front Door 및 Azure CDN(Content Delivery Network)의 WAF(웹 애플리케이션 방화벽) 기능을 사용하여 네트워크 가장자리의 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다. 요구 사항 및 위협 지형에 따라 WAF를 "검색" 또는 "방지 모드"로 설정합니다. OWASP Top 10 취약성과 같은 기본 제공 규칙 집합을 선택하고 애플리케이션에 맞게 조정합니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: Amazon CloudFront 배포, Amazon API Gateway, 애플리케이션 Load Balancer 또는 AWS AppSync에서 AWS Web Application Firewall(WAF)를 사용하여 네트워크 가장자리의 애플리케이션 계층 공격으로부터 애플리케이션, 서비스 및 API를 보호합니다. WAF에 대한 AWS 관리 규칙을 사용하여 기본 제공 기준 그룹을 배포하고 사용자 사례 규칙 그룹에 대한 애플리케이션에 사용자 지정합니다. WAF 규칙 배포를 간소화하기 위해 AWS WAF 보안 자동화 솔루션을 사용하여 웹 ACL에서 웹 기반 공격을 필터링하는 미리 정의된 AWS WAF 규칙을 자동으로 배포할 수도 있습니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-7: 네트워크 보안 구성 간소화
보안 원칙: 복잡한 네트워크 환경을 관리할 때 도구를 사용하여 네트워크 보안 관리를 간소화, 중앙 집중화 및 향상시킵니다. Azure 지침: 다음 기능을 사용하여 가상 네트워크, NSG 규칙 및 Azure Firewall 규칙의 구현 및 관리를 간소화합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Firewall Manager를 사용하여 다음 서비스에서 네트워크 보호 정책 관리를 중앙 집중화합니다.
AWS Firewall Manager는 방화벽 관련 정책을 자동으로 분석하고 규정 미준수 리소스 및 탐지된 공격에 대한 결과를 만들어 조사를 위해 AWS 보안 허브로 보낼 수 있습니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 사용하지 않도록 설정
보안 원칙: OS, 애플리케이션 또는 소프트웨어 패키지 계층에서 안전하지 않은 서비스 및 프로토콜을 검색하고 사용하지 않도록 설정합니다. 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정할 수 없는 경우 보상 컨트롤을 배포합니다. Azure 지침: Microsoft Sentinel의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, 서명되지 않은 LDAP 바인드 및 Kerberos의 약한 암호와 같은 안전하지 않은 서비스 및 프로토콜의 사용을 검색합니다. 적절한 보안 표준을 충족하지 않는 안전하지 않은 서비스 및 프로토콜을 사용하지 않도록 설정합니다. 참고: 안전하지 않은 서비스 또는 프로토콜을 사용하지 않도록 설정할 수 없는 경우 네트워크 보안 그룹, Azure Firewall 또는 Azure Web Application Firewall을 통해 리소스에 대한 액세스 차단과 같은 보상 컨트롤을 사용하여 공격 표면을 줄입니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: VPC 흐름 로그를 사용하도록 설정하고 GuardDuty를 사용하여 VPC 흐름 로그를 분석하여 적절한 보안 표준을 충족하지 않는 가능한 안전하지 않은 서비스 및 프로토콜을 분석합니다. AWS 환경의 로그를 Microsoft Sentinel로 전달할 수 있는 경우 Microsoft Sentinel의 기본 제공 안전하지 않은 프로토콜 통합 문서를 사용하여 안전하지 않은 서비스 및 프로토콜의 사용을 검색할 수도 있습니다. 참고: 안전하지 않은 서비스 또는 프로토콜을 사용하지 않도록 설정하는 것이 불가능한 경우 네트워크 방화벽, Azure Firewall 또는 Azure Web Application Firewall 통해 리소스에 대한 액세스 차단과 같은 보상 컨트롤을 사용하여 공격 표면을 줄입니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-9: 온-프레미스 또는 클라우드 네트워크를 프라이빗하게 연결
보안 원칙: 클라우드 서비스 공급자 데이터 센터 및 공동 배치 환경의 온-프레미스 인프라와 같은 서로 다른 네트워크 간의 보안 통신에 프라이빗 연결을 사용합니다. Azure 지침: 사이트 간 또는 지점 및 사이트 간 간단한 연결을 위해 Azure VPN(가상 사설망)을 사용하여 온-프레미스 사이트 또는 최종 사용자 디바이스 간에 Azure 가상 네트워크에 대한 보안 연결을 만듭니다. 엔터프라이즈 수준의 고성능 연결의 경우 Azure ExpressRoute(또는 Virtual WAN)를 사용하여 공동 배치 환경에서 Azure 데이터 센터와 온-프레미스 인프라를 연결합니다. 둘 이상의 Azure 가상 네트워크를 함께 연결할 때 가상 네트워크 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 비공개이며 Azure 백본 네트워크에 유지됩니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: 지점 및 사이트 간 경량 연결을 위해 AWS VPN을 사용하여 온-프레미스 사이트 또는 최종 사용자 디바이스 간에 AWS 네트워크에 대한 보안 연결(IPsec 오버헤드가 문제가 되지 않는 경우)을 만듭니다. 엔터프라이즈 수준 고성능 연결의 경우 AWS Direct Connect를 사용하여 공동 위치 환경에서 AWS VPC 및 리소스를 온-프레미스 인프라에 연결합니다. VPC 피어링 또는 전송 게이트웨이를 사용하여 지역 내 또는 지역 간에 둘 이상의 VPC 간에 연결을 설정할 수 있습니다. 피어된 VPC 간의 네트워크 트래픽은 프라이빗이며 AWS 백본 네트워크에 유지됩니다. 큰 플랫 서브넷을 만들기 위해 여러 VPC를 조인해야 하는 경우 VPC 공유를 사용할 수도 있습니다. AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
NS-10: DNS(Domain Name System) 보안 보장
보안 원칙: DNS(Domain Name System) 보안 구성이 알려진 위험으로부터 보호하는지 확인합니다.
Azure 지침: VM 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정에서 Azure 재귀 DNS 또는 신뢰할 수 있는 외부 DNS 서버를 사용합니다. DNS 확인 프로세스가 가상 네트워크를 벗어나지 않는 프라이빗 DNS 영역 설정에 Azure 프라이빗 DNS를 사용합니다. 사용자 지정 DNS를 사용하여 클라이언트에 대한 신뢰할 수 있는 확인만 허용하는 DNS 확인을 제한합니다. 워크로드 또는 DNS 서비스에 대한 다음과 같은 보안 위협에 대한 고급 보호를 위해 DNS에 Microsoft Defender 사용합니다.
dns 등록 기관에서 사용자 지정 도메인을 제거하지 않고 App Service 웹 사이트를 서비스 해제하는 경우 App Service Microsoft Defender 사용하여 현수 DNS 레코드를 검색할 수도 있습니다. Azure 구현 및 추가 컨텍스트:
AWS 지침: VM 운영 체제 또는 애플리케이션과 같은 워크로드 재귀 DNS 설정에서 Amazon Route 53 DNS 또는 중앙 집중식 신뢰할 수 있는 DNS 확인자 서버를 사용합니다. Amazon Route 53 방화벽을 사용하여 아래 사용 사례에서 VPC의 아웃바운드 DNS/UDP 트래픽을 규제하고 필터링합니다.
DNS 스푸핑 또는 중간자 공격으로부터 도메인을 보호하기 위해 DNS 트래픽을 보호하도록 Amazon Route 53에서 DNSSEC(도메인 이름 시스템 보안 확장) 기능을 구성합니다. Amazon Route 53은 도메인에 대한 신뢰할 수 있는 이름 서버로 Route 53을 사용할 수 있는 DNS 등록 서비스도 제공합니다. 도메인 이름의 보안을 보장하려면 다음 모범 사례를 따라야 합니다.
AWS 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
|
Aws appsync 다른 어플 패키지명 연결 방법
저작권 © 2024 ko.idkuu.com Inc.
