SK infosec.. 흠.
클라우드 보안 가이드
올해 EQST그룹에서는 '클라우드 보안 가이드 - AWS, Cloud Z', '클라우드 보안 가이드(컨테이너 보안)
- Docker, Kubernetes'를 발간한 바 있습니다. 이번엔 국내 클라우드 플랫폼 중 AWS 다음으로 높은 점유율을 확보하고 있는 Azure, GCP(Google Cloud Platform)에 대한 클라우드 보안 가이드를 제시하고자 합니다.올해 EQST그룹에서는 '클라우드 보안 가이드 - AWS, Cloud Z', '클라우드 보안 가이드(컨테이너 보안)
- Docker, Kubernetes'를 발간한 바 있습니다. 이번엔 국내 클라우드 플랫폼 중 AWS 다음으로 높은 점유율을 확보하고 있는 Azure, GCP(Google Cloud Platform)에 대한 클라우드 보안 가이드를 제시하고자 합니다.
본 가이드는 Azure, GCP의 권한 관리, 계정 관리, 데이터 관리 등 도메인을 분리하고, 도메인별 세부 항목에 대한 보안 정책 설정 방법과 점검 방법에 대한 설명을 담고 있습니다. 이를 통해 클라우드 운영자가 위협에 대응하고, 인증심사 및 컴플라이언스 기준을 충족할 수 있도록 취약점 점검 항목을 포함했습니다.
=========================================================
목 차
Part 01. Microsoft Azure
I. 전체목록 ......................................................................................................................... 7
1. 체크리스트 항목 .......................................................................................................................... 7
2. 위험도 구분 ...................................................................................................................... 8
II. 세부항목 설정 ........................................................................................................ 9
1. 권한 관리 ................................................................................................................................. 9
AUT-001. 리소스 그룹 정책 .................................................................................................... 9
AUT-002. 리소스 그룹 잠금 ....................................................................................... 17
AUT-003. Access 역할 할당 ............................................................................................. 19
AUT-004. AD 역할 및 관리자 .................................................................................... 25
AUT-005. Key Vault 액세스 정책 ........................................................ 31
2. 계정관리 ................................................................................................................ 36
ACC-001. AD User 프로필 및 디렉터리 역할 .......................................................... 36
ACC-002. AD 그룹 구성원 및 소유자 관리 ............................................................. 39
ACC-003. AD 게스트 사용자 ........................................................................................ 42
ACC-004. AD 셀프 서비스 암호 재설정 ..................................................................... 45
ACC-005. MFA (Multi-Factor Authentication) ............................................................. 47
ACC-006. AD 인증방법 .................................................................................................. 57
ACC-007. Azure 접근 패스워드 설정 ................................................................................ 59
3. 데이터 관리 .................................................................................................. 61
DAT-001. 투명한 데이터 암호화 (TDE) ................................................................................ 61
DAT-002. 스토리지 암호화 .................................................................................................... 65
DAT-003. 애플리케이션 게이트웨이 ............................................................................ 68
4. 가상 리소스 관리 ................................................................................................ 73
VRS-001. 가상 네트워크에 연결된 디바이스 설정 ................................................ 73
VRS-002. 서브넷 ................................................................................................................... 75
VRS-003. 가상 네트워크 게이트웨이 .......................................................................... 78
VRS-004. 네트워크 보안 그룹 ..................................................................................... 83
VRS-005. 가상 네트워크 방화벽 ................................................................................. 90
VRS-006. SSH Key (Linux) ................................................................................................ 97
VRS-007. RDP 관리자 계정 패스워드 (Windows)................................................ 100
EQST insightㅣ Cloud Security Guide - Azure, GCP
4
VRS-008. 가상 스토리지 계정 ............................................................................... 103
VRS-009. 가상 스토리지 공유 액세스 서명 (SAS) ..................................................... 108
5. 감사/추적 .............................................................................................................. 110
AUD-001. AD 감사 로그 ................................................................................................. 110
AUD-002. Azure 모니터 로그 통합 (Log Analytics) ................................................ 112
'Tech > Public Cloud & 오픈소스' 카테고리의 다른 글
| AWS Data Transfer Costs (0) | 2023.09.06 |
|---|---|
| ELK(ElasticSearch, Logstash, Kibana) ELK Stack (0) | 2022.08.08 |
