모니터링 에이전트의 자동 프로비저닝을 활성화하여 보안 데이터를 수집합니다.

"Azure VM용 Log Analytics 에이전트"가 켜져 있으면 클라우드용 Microsoft Defender는 기존에 지원되는 모든 Azure 가상 머신과 새로 만든 가상 머신에 Microsoft Monitoring Agent를 프로비전합니다. Microsoft Monitoring Agent는 시스템 업데이트, OS 취약성, 엔드포인트 보호와 같은 다양한 보안 관련 구성 및 이벤트를 검색하고 경고를 제공합니다.

클라우드용 Microsoft Defender는 구독에 대해 높은 심각도 경고가 트리거될 때마다 구독 소유자에게 이메일을 보냅니다. 보안 연락처 이메일 주소를 추가 이메일 주소로 제공해야 합니다.

클라우드용 Microsoft Defender는 구독 소유자에게 이메일을 보내 보안 경고에 대해 알립니다. 보안 연락처의 이메일 주소를 "추가 이메일 주소" 필드에 추가하면 조직의 보안 팀이 이러한 경보에 포함됩니다. 이를 통해 적절한 사람이 적시에 위험을 완화하기 위해 잠재적인 손상을 인식할 수 있습니다.

구독 소유자 또는 기타 지정된 보안 연락처에 보안 경고를 이메일로 보낼 수 있습니다.

보안 경고 이메일을 사용하도록 설정하면 Microsoft에서 보안 경고 이메일을 수신할 수 있습니다. 이를 통해 적절한 사람이 잠재적인 보안 문제를 인식하고 위험을 완화할 수 있습니다.

구독 소유자에게 보안 경고 이메일을 사용하도록 설정합니다.

구독 소유자에게 보안 경고 전자 메일을 사용하도록 설정하면 Microsoft에서 보안 경고 전자 메일을 받을 수 있습니다. 이를 통해 잠재적인 보안 문제를 인식하고 적시에 위험을 완화할 수 있습니다.

저장소 Blob 서비스는 클라우드에서 확장 가능하고 비용 효율적인 목표 저장소를 제공합니다.

스토리지 로깅은 서버 쪽에서 발생하며 성공 및 실패한 요청 모두에 대한 세부 정보를 스토리지 계정에 기록할 수 있습니다. 이러한 로그를 통해 사용자는 Blob에 대한 읽기, 쓰기 및 삭제 작업의 세부 정보를 볼 수 있습니다. 저장소 로깅 로그 항목에는 개별 요청에 대한 다음 정보가 포함됩니다.시작 시간, 엔드 투 엔드 대기 시간 및 서버 대기 시간, 인증 세부 정보, 동시성 정보, 요청 및 응답 메시지 크기와 같은 타이밍 정보.

저장소 분석 로그에는 저장소 서비스에 대한 성공 및 실패한 요청에 대한 자세한 정보가 포함되어 있습니다. 이 정보는 보안 또는 진단 강화를 위해 스토리지 서비스에 대한 각 개별 요청을 모니터링하는 데 사용할 수 있습니다. 요청은 최선을 다해 기록됩니다. 스토리지 분석 로깅은 스토리지 계정에 대해 기본적으로 사용하도록 설정되지 않습니다.

스토리지 테이블 스토리지는 구조적 NoSQL 데이터를 클라우드에 저장하는 서비스로, 스키마가 없는 디자인의 키/속성 저장소를 제공합니다. 스토리지 로깅은 서버 쪽에서 발생하며 성공 및 실패한 요청 모두에 대한 세부 정보를 스토리지 계정에 기록할 수 있습니다. 이러한 로그를 통해 사용자는 테이블에 대한 읽기, 쓰기 및 삭제 작업의 상세 정보를 볼 수 있습니다. 저장소 로깅 로그 항목에는 개별 요청에 대한 다음 정보가 포함됩니다.시작 시간, 엔드 투 엔드 대기 시간 및 서버 대기 시간, 인증 세부 정보, 동시성 정보, 요청 및 응답 메시지 크기와 같은 타이밍 정보.

저장소 분석 로그에는 저장소 서비스에 대한 성공 및 실패한 요청에 대한 자세한 정보가 포함되어 있습니다. 이 정보는 보안 또는 진단 강화를 위해 스토리지 서비스에 대한 각 개별 요청을 모니터링하는 데 사용할 수 있습니다. 요청은 최선을 다해 기록됩니다. 스토리지 분석 로깅은 스토리지 계정에 대해 기본적으로 사용하도록 설정되지 않습니다.

저장소 큐 서비스는 저장소 계정에 액세스할 수 있는 모든 클라이언트가 읽을 수 있는 메시지를 저장합니다. 큐에는 메시지를 무제한으로 포함할 수 있으며, 각 메시지 크기는 버전 2011-08-18 이상을 사용하여 최대 64KB일 수 있습니다. 스토리지 로깅은 서버 쪽에서 발생하며 성공 및 실패한 요청 모두에 대한 세부 정보를 스토리지 계정에 기록할 수 있습니다. 이러한 로그를 통해 사용자는 큐에 대한 읽기, 쓰기 및 삭제 작업의 상세 정보를 볼 수 있습니다. 저장소 로깅 로그 항목에는 개별 요청에 대한 다음 정보가 포함됩니다.시작 시간, 엔드 투 엔드 대기 시간 및 서버 대기 시간, 인증 세부 정보, 동시성 정보, 요청 및 응답 메시지 크기와 같은 타이밍 정보.

저장소 분석 로그에는 저장소 서비스에 대한 성공 및 실패한 요청에 대한 자세한 정보가 포함되어 있습니다. 이 정보를 사용하여 개별 요청을 모니터링하고 저장소 서비스 문제를 진단할 수 있습니다. 요청은 최선을 다해 기록됩니다. 스토리지 분석 로깅은 스토리지 계정에 대해 기본적으로 사용하도록 설정되지 않습니다.

중요한 SQL 서버 및 해당 SQL 데이터베이스에 대한 취약성 평가(VA) 서비스 스캔을 활성화합니다.

취약성 평가(VA) 사용 중요한 SQL 서버 및 해당 SQL 데이터베이스에 대한 주기적인 반복 검사입니다.

중요한 SQL Server에 대해 관련 데이터 소유자/이해 관계자의 이메일 ID를 사용하여 "검사 보고서 보내기"를 구성합니다.

취약성 평가(VA) 설정 사용 '관리자 및 구독 소유자에게도 이메일 알림 보내기'

SQL Database로 인증하기 위해 Azure Active Directory 인증을 사용하여 단일 위치에서 자격 증명을 관리합니다.

고객 관리형 키 지원이 포함된 TDE는 TDE 보호기에 대한 투명성 및 제어를 강화하고, HSM 지원 외부 서비스를 통해 보안을 강화하고, 업무 분리를 촉진합니다. TDE를 사용하면 데이터베이스 또는 데이터 웨어하우스 배포에 저장된 대칭 키(데이터베이스 암호화 키라고 함)를 사용하여 미사용 데이터가 암호화됩니다. 이전에는 이 DEK(데이터 암호화 키)를 보호하기 위해 Azure SQL 서비스에서 관리하는 인증서만 사용할 수 있었습니다.

이제 TDE에 대한 고객 관리형 키 지원을 통해 Key Vault에 저장된 비대칭 키로 DEK를 보호할 수 있습니다. Key Vault는 중앙 키 관리를 제공하고, FIPS 140-2 수준 2 유효성이 검사된 HSM(하드웨어 보안 모듈)을 활용하고, 추가 보안을 위해 키와 데이터 관리를 분리할 수 있는 고가용성 및 확장성이 뛰어난 클라우드 기반 키 저장소입니다. 비즈니스 요구 사항 또는 SQL Server 호스트되는 데이터/데이터베이스의 중요도에 따라 TDE 보호기는 데이터 소유자가 관리하는 키(고객 관리형 키)로 암호화하는 것이 좋습니다.

제어/관리부에서 적절한 활동을 기록하도록 진단 설정을 구성해야 합니다. 진단 설정은 진단 로그를 내보내는 방법을 제어합니다. 적절한 제어/관리부 활동에 대한 진단 설정 범주를 캡처하면 적절한 경보를 사용할 수 있습니다.

진단 설정은 진단 로그를 내보내는 방법을 제어합니다. 적절한 제어/관리부 활동에 대한 진단 설정 범주를 캡처하면 적절한 경고가 가능합니다.

키 자격 증명 모음 인스턴스에 대해 AuditEvent 로깅을 사용하도록 설정하여 키 자격 증명 모음과의 상호 작용이 기록되고 사용 가능한지 확인합니다.

키 자격 증명 모음에 액세스하는 방법과 시기, 액세스 대상을 모니터링하면 Azure KeyVault에서 관리하는 기밀 정보, 키 및 인증서와의 상호 작용에 대한 감사 내역을 사용할 수 있습니다. Key Vault에 대한 로깅을 사용하도록 설정하면 사용자가 제공하는 Azure Storage 계정에 정보가 저장됩니다. 이렇게 하면 지정된 스토리지 계정에 대해 insights-logs-auditevent라는 새 컨테이너가 자동으로 만들어지고, 이 동일한 스토리지 계정을 사용하여 여러 키 자격 증명 모음에 대한 로그를 수집할 수 있습니다.

구독에서 연결되지 않은 디스크가 CMK(고객 관리형 키)로 암호화되었는지 확인합니다.

관리 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 암호화됩니다.

Customermanaged 키를 사용하면 추가 보안 수준을 제공하거나 조직의 규정 요구 사항을 충족할 수 있습니다.

관리 디스크를 암호화하면 키 없이는 전체 콘텐츠를 완전히 복구할 수 없으므로 볼륨이 보증되지 않은 읽기로부터 보호됩니다.

디스크가 VM에 연결되어 있지 않더라도 VM 서비스에 대한 관리 액세스 권한이 있는 손상된 사용자 계정이 이러한 데이터 디스크를 탑재/연결할 수 있는 위험이 항상 있으며, 이로 인해 중요한 정보가 공개되고 변조될 수 있습니다.

키 자격 증명 모음에는 개체 키, 비밀 및 인증서가 포함되어 있습니다. 실수로 키 자격 증명 모음을 사용할 수 없게 되면 키 자격 증명 모음 개체에서 지원하는 보안 기능(인증, 유효성 검사, 확인, 부인 방지 등)이 즉시 손실되거나 손실될 수 있습니다.

"제거 안 함" 및 "일시 삭제" 기능을 사용하도록 설정하여 키 자격 증명 모음을 복구할 수 있도록 하는 것이 좋습니다. 이는 사용자가 실수로 삭제하거나 악의적인 사용자의 방해 활동으로 인해 발생할 수 있는 스토리지 계정, SQL 데이터베이스 및/또는 키 자격 증명 모음 개체(키, 비밀, 인증서) 등에서 제공하는 종속 서비스를 포함하여 암호화된 데이터의 손실을 방지하기 위한 것입니다.

사용자가 실수로 키 자격 증명 모음에서 삭제/제거 명령을 실행하거나 공격자/악의적인 사용자가 의도적으로 중단을 일으키는 시나리오가 있을 수 있습니다. 키 자격 증명 모음을 삭제하거나 제거하면 키, 데이터 암호화 및 액세스/서비스를 허용하는 비밀/인증서에 액세스할 수 없게 되므로 즉각적인 데이터 손실이 발생합니다. 키 자격 증명 모음을 영구적으로 사용할 수 없는 역할을 하는 2가지 키 자격 증명 모음 속성이 있습니다.1.enableSoftDelete: 키 자격 증명 모음에 대해 이 매개 변수를 true로 설정하면 키 자격 증명 모음이 삭제되더라도 키 자격 증명 모음 자체 또는 해당 개체를 다음 90일 동안 복구할 수 있습니다. 이 90일 동안 키 자격 증명 모음/개체를 복구하거나 제거할 수 있습니다(영구 삭제). 아무 작업도 수행하지 않으면 90일 후에 키 자격 증명 모음 및 해당 개체가 제거됩니다.2.enablePurgeProtection:enableSoftDelete는 키 자격 증명 모음이 영구적으로 삭제되지 않고 삭제 날짜로부터 90일 동안 복구할 수 있도록 합니다. 그러나 키 자격 증명 모음 및/또는 해당 개체가 실수로 제거되어 복구할 수 없을 가능성이 있습니다. enablePurgeProtection을 "true"로 설정하면 키 자격 증명 모음 및 해당 개체를 제거할 수 없습니다. 키 자격 증명 모음에서 두 매개 변수를 모두 사용하도록 설정하면 키 자격 증명 모음과 해당 개체를 영구적으로 삭제/제거할 수 없습니다.

Azure Web Apps를 사용하면 기본적으로 HTTP와 HTTPS 모두에서 사이트를 실행할 수 있습니다. 웹 앱은 기본적으로 비보안 HTTP 링크를 사용하여 누구나 액세스할 수 있습니다. 비보안 HTTP 요청을 제한하고 모든 HTTP 요청을 보안 HTTPS 포트로 리디렉션할 수 있습니다. HTTPS 전용 트래픽을 적용하는 것이 좋습니다.

HTTPS 전용 트래픽을 사용하도록 설정하면 모든 비보안 HTTP 요청이 HTTPS 포트로 리디렉션됩니다. HTTPS는 TLS/SSL 프로토콜을 사용하여 암호화되고 인증되는 보안 연결을 제공합니다. 따라서 보안 이점을 위해 HTTPS를 지원하는 것이 중요합니다.