CSPM(클라우드 보안 태세 관리)
클라우드용 Microsoft Defender의 주요 요소 중 하나는 CSPM(클라우드 보안 태세 관리)입니다. CSPM은 자산 및 워크로드의 보안 태세에 대한 자세한 표시 여부를 제공하고 보안 태세를 효율적이고 효과적으로 개선하는 데 도움이 되는 강화 지침을 제공합니다.
클라우드용 Defender는 Azure 구독, AWS 계정 및 GCP 프로젝트에 대해 정의된 보안 표준을 기준으로 리소스를 지속적으로 평가합니다. 클라우드용 Defender는 이러한 평가를 기반으로 보안 권장 사항을 제시합니다.
기본적으로 Azure 구독에서 클라우드용 Defender를 사용하도록 설정하면 MCSB(Microsoft 클라우드 보안 벤치마크) 규정 준수 표준이 켜집니다. 권장 사항을 제공합니다. 클라우드용 Defender는 일부 MCSB 권장 사항을 기반으로 집계된 보안 점수를 제공합니다. 점수가 높을수록 식별된 위험 수준이 낮습니다.
CSPM 기능
클라우드용 Defender는 다음과 같은 CSPM 제품을 제공합니다.
기본 CSPM - 클라우드용 Defender는 기본 다중 클라우드 CSPM 기능을 무료로 제공합니다. 이러한 기능은 클라우드용 Defender에 온보딩된 구독 및 계정에 대해 기본적으로 자동으로 사용하도록 설정됩니다.
Defender CSPM(클라우드 보안 태세 관리) 계획 - 선택 사항인 유료 클라우드용 Defender 보안 태세 관리 계획은 더 많은 고급 보안 태세 기능을 제공합니다.
플랜 이용 가능 여부
Defender CSPM 가격 책정에 대해 자세히 알아보세요.
다음 표에는 각 플랜과 해당 클라우드 가용성이 요약되어 있습니다.
| 기능 | 기본 CSPM: | Defender CSPM | 클라우드 가용성 |
|---|---|---|---|
| 보안 권장 사항 | 
|
|
Azure, AWS, GCP, 온-프레미스 |
| 자산 인벤토리 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 보안 점수 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| Azure 통합 문서를 사용하여 데이터 시각화 및 보고 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 데이터 내보내기 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 워크플로 자동화 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 수정 도구 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| Microsoft Cloud 보안 벤치마크 |
|
|
Azure, AWS, GCP |
| 보안 거버넌스 | - |
|
Azure, AWS, GCP, 온-프레미스 |
| 규정 준수 표준 | - |
|
Azure, AWS, GCP, 온-프레미스 |
| 클라우드 보안 탐색기 | - |
|
Azure, AWS, GCP |
| 공격 경로 분석 | - |
|
Azure, AWS, GCP |
| 컴퓨터에 대한 에이전트 없는 검사 | - |
|
Azure, AWS, GCP |
| 에이전트 없는 컨테이너 보안 태세 | - |
|
Azure, AWS, GCP |
| 레지스트리 검사를 포함한 컨테이너 레지스트리 취약성 평가 | - |
|
Azure, AWS, GCP |
| 데이터 인식 보안 태세 | - |
|
Azure, AWS, GCP |
| 네트워크 노출의 EASM 인사이트 | - |
|
Azure, AWS, GCP |
| 권한 관리(미리 보기) | - |
|
Azure, AWS, GCP |
참고 항목
2024년 3월 7일부터 Defender CSPM은 코드-클라우드 컨텍스트화를 지원하는 보안 탐색기 및 공격 경로와 코드 제공 인프라(Infrastructure as Code) 보안 결과에 대한 끌어오기 요청 주석을 포함하는 프리미엄 DevOps 보안 기능을 갖도록 사용하도록 설정되어야 합니다. 자세한 내용은 DevOps 보안 지원 및 필수 조건을 참조하세요.
통합(미리 보기)
이제 클라우드용 Microsoft Defender에는 타사 시스템을 사용하여 티켓, 이벤트 및 고객 상호 작용을 원활하게 관리하고 추적하는 데 도움이 되는 통합 기능이 기본 제공되어 있습니다. 타사 티켓팅 도구에 권장 사항을 푸시하고 팀에 문제 수정 책임을 할당할 수 있습니다.
통합을 통해 인시던트 대응 프로세스가 간소화되고 보안 인시던트 관리 기능이 개선됩니다. 보안 인시던트를 보다 효과적으로 추적하고 우선 순위를 지정하며 해결할 수 있습니다.
통합할 티켓팅 시스템을 선택할 수 있습니다. 미리 보기의 경우 ServiceNow 통합만 지원됩니다. ServiceNow 통합을 구성하는 방법에 대한 자세한 내용은 ServiceNow와 클라우드용 Microsoft Defender 통합(미리 보기)을 참조하세요.
플랜 가격 책정
Defender CSPM 가격 책정에 대해 알아보려면 클라우드용 Defender 가격 책정 페이지를 검토합니다.
2024년 3월 7일부터 고급 DevOps 보안 태세 기능은 유료 Defender CSPM 계획을 통해서만 제공됩니다. 클라우드용 Defender의 무료 기본 보안 태세 관리는 계속해서 다양한 Azure DevOps 권장 사항을 제공합니다. DevOps 보안 기능에 대해 자세히 알아봅니다.
Defender CSPM 및 컨테이너용 Defender 계획을 모두 사용하는 구독의 경우 무료 취약성 평가는 클라우드용 Microsoft Defender 가격 책정 페이지에 요약된 대로 컨테이너용 Defender 계획을 통해 제공되는 무료 이미지 검사를 기반으로 계산됩니다.
Defender CSPM은 모든 다중 클라우드 워크로드를 보호하지만 청구는 특정 리소스에만 적용됩니다. 다음 표에는 Azure 구독, AWS 계정 또는 GCP 프로젝트에서 Defender CSPM이 사용하도록 설정된 경우 청구 가능한 리소스가 나열되어 있습니다.
Azure 서비스 리소스 유형 제외 컴퓨팅 Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- 할당 취소된 VM
- Databricks VM스토리지 Microsoft.Storage/storageAccounts Blob 컨테이너 또는 파일 공유가 없는 스토리지 계정 데이터베이스 Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- AWS 서비스 리소스 유형 제외 컴퓨팅 EC2 인스턴스 할당 취소된 VM 스토리지 S3 버킷 --- 데이터베이스 RDS 인스턴스 --- GCP 서비스 리소스 유형 제외 컴퓨팅 1. Google 컴퓨팅 인스턴스
2. Google 인스턴스 그룹실행되지 않는 상태의 인스턴스 스토리지 스토리지 버킷 - 클래스의 버킷: 'nearline', 'coldline', 'archive'
- europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 이외의 지역의 버킷데이터베이스 Cloud SQL 인스턴스 ---
Azure 클라우드 지원
상용 및 국가별 클라우드 적용 범위에 대해서는 Azure 클라우드 환경에서 지원되는 기능을 검토합니다.
AWS 및 GCP의 리소스 종류 지원
기본 다중 클라우드 CSPM 계층의 리소스 종류(또는 서비스)에 대한 다중 클라우드 지원은 AWS 및 GCP에 대한 다중 클라우드 리소스 및 서비스 유형 표를 참조하세요.
다음 단계
- 향후의 보안 인시던트 예측! Microsoft Defender를 사용한 클라우드 보안 태세 관리를 시청합니다.
- 보안 표준 및 권장 사항에 대해 알아봅니다.
- 보안 점수에 대해 알아봅니다.