https://docs.microsoft.com/en-us/security/benchmark/azure/security-controls-v3-privileged-access#pa-2-avoid-standing-access-for-user-accounts-and-permissions 적응형 네트워크 강화: https://docs.microsoft.com/en-us/security/benchmark/azure/security-controls-v3-network-security#ns-7-simplify-network-security-configuration
주제 2, Fabrikam, Inc
온프레미스 환경
온-프레미스 네트워크에는 corp.fabrikam.com이라는 단일 AD DS(Active Directory 도메인 서비스) 도메인이 포함되어 있습니다.
Azure 환경
Fabrikam에는 다음과 같은 Azure 리소스가 있습니다.
* corp.fabnkam.com과 동기화되는 fabrikam.onmicrosoft.com이라는 Azure AD(Azure Active Directory) 테넌트
* Sub1이라는 단일 Azure 구독
* 미국 동부 Azure 지역의 Vnet1이라는 가상 네트워크
* 서유럽 Azure 지역의 Vnet2라는 가상 네트워크
* Azure 웹 애플리케이션 방화벽(WAR 지원)이 있는 FD1이라는 Azure Front Door 인스턴스
* Microsoft Sentinel 작업 공간
* ClaimDetails라는 테이블이 포함된 ClaimsDB라는 Azure SQL 데이터베이스
* 애플리케이션 서버로 구성되고 Microsoft Defender for Cloud에 등록되지 않은 20개의 가상 머신
* 테스트 목적으로만 사용되는 TestRG라는 리소스 그룹
* 개인에게 할당된 세션 호스트를 포함하는 Azure Virtual Desktop 호스트 풀 Sub1의 모든 리소스는 미국 동부 또는 유럽 서부 지역에 있습니다.
파트너
Fabrikam은 응용 프로그램 개발을 위해 Contoso, Ltd.라는 회사와 계약을 맺었습니다. Contoso에는 다음과 같은 인프라가 있습니다.
* contoso.onmicrosoft.com이라는 Azure AD 테넌트
* Contoso의 Fabrikam 개발자 애플리케이션에 대한 테스트 워크로드를 호스팅하는 데 사용되는 AWS EC2 인스턴스가 포함된 ContosoAWS1이라는 Amazon Web Services(AWS) 구현은 애플리케이션을 테스트하거나 업데이트하기 위해 Fabrikam의 리소스에 연결됩니다. 개발자는 Sub1의 역할에 할당될 fabrikam.onmicrosoft.com의 Contoso Developers라는 보안 그룹에 추가됩니다.
ContosoDevelopers 그룹에는 ClaimsDB 데이터베이스에 대한 db.owner 역할이 할당됩니다.
규정 준수 이벤트
Fabrikam은 다음 규정 준수 환경을 배포합니다.
* Defender for Cloud는 HIPAA HITRUST 표준 준수를 위해 Sub1의 모든 리소스를 평가하도록 구성됩니다.
* 현재 HIPAA HITRUST 표준을 준수하지 않는 리소스는 수동으로 수정됩니다.
* Qualys는 서버의 표준 취약성 평가 도구로 사용됩니다.
문제 설명
Defender for Cloud의 보안 점수는 모든 가상 머신이 다음 권장 사항을 생성한다는 것을 보여줍니다. 기계에는 취약성 평가 솔루션이 있어야 합니다.
모든 가상 머신은 Defender for Cloud를 준수해야 합니다.
ClaimApp 배포
Fabrikam은 다음 사양을 갖는 ClaimsApp이라는 인터넷 액세스 가능 응용 프로그램을 구현할 계획입니다.
* ClaimsApp은 Vnetl 및 Vnet2에 연결되는 Azure App Service 인스턴스에 배포됩니다.
* 사용자는 https://claims.fabrikam.com의 URL을 사용하여 ClaimsApp에 연결됩니다.
* ClaimsApp은 ClaimsDB의 데이터에 액세스합니다.
* ClaimsDB는 Azure 가상 네트워크에서만 액세스할 수 있어야 합니다.
* ClaimsApp에 대한 앱 서비스 권한을 ClaimsDB에 할당해야 합니다.
애플리케이션 개발 요구 사항
Fabrikam은 응용 프로그램 개발을 위한 다음 요구 사항을 식별합니다.
* Azure DevTest 랩은 개발자가 테스트를 위해 사용합니다.
* 모든 애플리케이션 코드는 GitHub Enterprise에 저장되어야 합니다.
* Azure Pipelines는 애플리케이션 배포를 관리하는 데 사용됩니다.
* 일반 텍스트로 비밀이 포함된 애플리케이션 코드 또는 구성 파일을 포함하여 모든 애플리케이션 코드 변경 사항에서 보안 취약성을 검사해야 합니다. 코드가 저장소에 푸시될 때 스캔이 완료되어야 합니다.
보안 요구 사항
Fabrikam은 다음과 같은 보안 요구 사항을 식별합니다.
* 인터넷에 접속할 수 있는 애플리케이션은 북한에서 시작된 연결을 차단해야 합니다.
* InfraSec이라는 그룹의 구성원만 네트워크 보안 그룹(NSGs} 및 Azure Firewall 인스턴스, VJM 및 Sub1의 Front Door를 구성하도록 허용되어야 합니다.
* 관리자는 가상 머신의 원격 관리를 수행하려면 보안 호스트에 연결해야 합니다. 보안 호스트는 사용자 정의 운영 체제 이미지에서 프로비저닝되어야 합니다.
AWS 요구 사항
Fabrikam은 ContosoAWSV에서 호스팅되는 데이터에 대해 다음과 같은 보안 요구 사항을 식별합니다.
* AWS EC2 인스턴스가 보안 점수 권장 사항을 준수하지 않는 경우 Fabrikam의 보안 관리자에게 알립니다.
* 보안 관리자가 Azure 환경에서 직접 AWS 서비스 로그를 쿼리할 수 있는지 확인하세요.
Contoso 개발자 요구 사항
Fabrikam은 Contoso 개발자를 위한 다음 요구 사항을 식별합니다.
* 매달 ContosoDevelopers 그룹의 구성원 자격을 확인해야 합니다.
* Contoso 개발자는 기존 contoso.onmicrosoft.com 자격 증명을 사용하여 Sub1의 리소스에 액세스해야 합니다.
* Comoro 개발자는 ClaimDetails 테이블의 MedicalHistory 열에 있는 데이터를 볼 수 없도록 해야 합니다.
규정 준수 요구 사항
Fabrikam은 HIPPA HITRUST 표준을 준수하도록 Sub1의 가상 컴퓨터에 자동으로 업데이트를 적용하려고 합니다. TestRG의 가상 머신은 규정 준수 평가에서 제외되어야 합니다.

설명
https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/azure-sentinel-side-by-side-with-splunk-via-eve

https://www.varonis.com/blog/securing-access-azure-webapps