스토리지용 Defender의 맬웨어 검사

  • 아티클

Defender for Storage의 맬웨어 검색은 Microsoft Defender 바이러스 백신 기능을 사용하여 업로드된 콘텐츠에 대한 전체 맬웨어 검사를 거의 실시간으로 수행하여 악의적인 콘텐츠로부터 Azure Blob Storage를 보호하는 데 도움이 됩니다. 신뢰할 수 없는 콘텐츠를 처리하기 위한 보안 및 규정 준수 요구 사항을 충족하도록 설계되었습니다.

맬웨어 검사 기능은 유지 관리 없이 대규모로 간단한 설정을 허용하고 대규모 응답 자동화를 지원하는 에이전트 없는 SaaS 솔루션입니다.

Diagram showing how malware scanning protects your data from malicious code.

맬웨어 업로드는 클라우드 스토리지에서 가장 큰 위협 요인입니다.

클라우드 스토리지에 업로드된 콘텐츠가 맬웨어일 수 있는 것입니다. 스토리지 계정은 조직 및 맬웨어 배포 지점에 대한 맬웨어 진입점으로 활용될 수 있습니다. 이러한 위협으로부터 조직을 보호하려면 클라우드 스토리지의 콘텐츠에 액세스하기 전에 맬웨어를 검사해야 합니다.

스토리지용 Defender의 맬웨어 검사는 악의적인 콘텐츠로부터 스토리지 계정을 보호하는 데 도움이 됩니다.

  • 유지 관리 없이 대규모로 간단하게 사용할 수 있는 기본 제공 SaaS 솔루션입니다.
  • MDAV(Microsoft Defender 바이러스 백신)를 사용하여 다형 및 변형 맬웨어를 파악하는 포괄적인 맬웨어 방지 기능입니다.
  • 모든 파일 형식(zip 파일과 같은 보관 파일 포함)이 검사되고 모든 검사에 대해 결과가 반환됩니다. 파일 크기는 2GB로 제한됩니다.
  • Blob의 인덱스 태그 또는 Event Grid 이벤트에 따라 의심스러운 파일을 삭제하거나 격리하는 대규모 대응 조치를 지원합니다.
  • 맬웨어 검사에서 악성 파일을 식별하면 자세한 클라우드용 Microsoft Defender 보안 경고가 생성됩니다.
  • 모든 검사 결과를 기록하는 옵션을 포함하여 스토리지에 업로드된 신뢰할 수 없는 콘텐츠를 검사하기 위한 보안 및 규정 준수 요구 사항을 충족하도록 설계되었습니다.

일반적인 사용 사례 및 시나리오

스토리지용 Defender의 맬웨어 검사를 위한 몇 가지 일반적인 사용 사례 및 시나리오는 다음과 같습니다.

  • 웹 애플리케이션: 사용자는 많은 클라우드 웹 애플리케이션을 통해 스토리지에 콘텐츠를 업로드할 수 있습니다. 이렇게 하면 세금 앱, 이력서 업로드용 인사 팀 사이트 및 영수증 업로드와 같은 애플리케이션에 대해 유지 관리 노력이 적고 확장 가능한 스토리지를 사용할 수 있습니다.

  • 콘텐츠 보호: 비디오 및 사진과 같은 자산은 일반적으로 내부 및 외부 당사자 모두 대규모로 공유되고 배포됩니다. CDN(Content Delivery Network) 및 콘텐츠 허브는 전통적인 맬웨어 배포 기회입니다.

  • 규정 준수 요구 사항:NIST, SWIFT, GDPR 등과 같은 규정 준수 표준을 준수하는 리소스에는 맬웨어 검사를 포함하는 강력한 보안 관행이 필요합니다. 규제를 받는 산업 또는 지역에서 사업을 운영하는 조직 입장에서는 매우 중요합니다.

  • 타사 통합: 타사 데이터는 다양한 원본에서 나올 수 있으며, 모든 원본이 비즈니스 파트너, 개발자 및 계약자와 같은 강력한 보안 사례를 가질 수 있는 것은 아닙니다. 맬웨어를 검사하면 이러한 데이터가 시스템에 보안 위험을 초래하지 않도록 하는 데 도움이 됩니다.

  • 공동 작업 플랫폼: 파일 공유와 유사하게 팀은 클라우드 저장소를 사용하여 지속적으로 콘텐츠를 공유하고 팀과 조직 간에 공동 작업을 수행합니다. 맬웨어를 검사하면 안전한 공동 작업이 보장됩니다.

  • 데이터 파이프라인: ETL(추출, 전송, 로드) 프로세스를 통해 이동하는 데이터는 여러 원본에서 올 수 있으며 맬웨어를 포함할 수 있습니다. 맬웨어를 검사하면 이러한 파이프라인의 무결성을 보장하는 데 도움이 될 수 있습니다.

  • 기계 학습 학습 데이터: 학습 데이터의 품질과 보안은 효과적인 기계 학습 모델을 구현하는 데 있어 매우 중요합니다. 특히 사용자가 생성한 콘텐츠 또는 외부 원본의 데이터를 포함하는 경우 이러한 데이터 집합이 깔끔하고 안전한지 확인하는 것이 중요합니다.

    animated GIF showing user-generated-content and data from external sources.

참고 항목

맬웨어 검사는 거의 실시간 서비스입니다. 검사 시간은 검사되는 파일 크기 또는 파일 형식뿐만 아니라 서비스 또는 스토리지 계정의 부하에 따라 달라질 수 있습니다. Microsoft는 전체 검사 시간을 줄이기 위해 지속적으로 노력하고 있지만 서비스를 기반으로 사용자 환경을 디자인할 때는 검사 시간의 이러한 가변성을 고려해야 합니다.

필수 조건

맬웨어 검사를 사용하도록 설정하고 구성하려면 소유자 역할(예: 구독 소유자 또는 스토리지 계정 소유자) 또는 필요한 데이터 작업이 있는 특정 역할이 있어야 합니다. 필요한 권한에 대해 자세히 알아보세요.

개별 스토리지 계정에 대한 기능 구성에 대한 세분화된 제어를 유지하면서 구독에 대해 대규모로 맬웨어 검사를 사용하도록 설정하고 구성할 수 있습니다. 스토리지용 Defender를 사용하도록 설정하고 구성하는 방법에는 다음과 같이 여러 가지가 있습니다. Azure 기본 제공 정책(권장 방법), Terraform, BicepARM 템플릿을 포함한 코드 제공 인프라 템플릿을 프로그래밍 방식으로 사용, Azure Portal 사용 또는 REST API를 통해 직접

맬웨어 검사 작동 방식

업로드 시 맬웨어 검사

업로드 시 트리거

Blob이 보호된 스토리지 계정에 업로드되면 맬웨어 검사가 트리거됩니다. 모든 업로드 방법에서 검사를 트리거합니다. Blob 수정은 업로드 작업이므로 업데이트 후 수정된 콘텐츠를 검사합니다.

영역 및 데이터 보존 검사

Microsoft Defender 바이러스 백신 기술을 사용하는 맬웨어 검사 서비스는 Blob을 읽습니다. 맬웨어 검사는 콘텐츠를 "메모리 내"에서 검색하고 스캔한 후 즉시 검사된 파일을 삭제합니다. 콘텐츠는 보존되지 않습니다. 검사는 스토리지 계정의 동일한 지역 내에서 수행됩니다. 경우에 따라 파일이 의심스럽고 더 많은 데이터가 필요한 경우 맬웨어 검사는 고객 데이터(예: SHA-256 해시)로 분류된 메타데이터를 포함하여 검사 지역 외부에서 파일 메타데이터를 엔드포인트용 Microsoft Defender 공유할 수 있습니다.

고객 데이터 액세스

맬웨어 검사 서비스를 사용하려면 데이터에 액세스하여 맬웨어를 검사해야 합니다. 서비스를 사용하도록 설정하는 동안 StorageDataScanner라는 새 데이터 스캐너 리소스가 Azure 구독에 만들어집니다. 이 리소스에는 맬웨어 검사 및 중요한 데이터 검색을 위해 데이터에 액세스하고 변경할 수 있도록 스토리지 Blob 데이터 소유자 역할이 할당됩니다.

프라이빗 엔드포인트는 기본 제공으로 지원됩니다.

스토리지용 Defender의 맬웨어 검사는 데이터 개인 정보를 유지하면서 프라이빗 엔드포인트를 사용하는 스토리지 계정에서 지원됩니다.

프라이빗 엔드포인트는 Azure Storage 서비스에 대한 보안 연결을 제공하여 퍼블릭 인터넷 노출을 제거하며 모범 사례로 간주됩니다.

맬웨어 검사 설정

맬웨어 검사를 사용하도록 설정하면 사용자 환경에서 다음 작업이 자동으로 수행됩니다.

  • 맬웨어 검사를 사용하도록 설정하는 각 스토리지 계정에 대해 Event Grid 시스템 토픽 리소스는 맬웨어 검사 서비스에서 Blob 업로드 트리거를 수신 대기하는 데 사용하는 스토리지 계정의 동일한 리소스 그룹에 만들어집니다. 이 리소스를 제거하면 맬웨어 검사 기능이 중단됩니다.

  • 데이터를 검사하려면 맬웨어 검사 서비스가 해당 데이터에 액세스해야 합니다. 서비스 사용 중에 StorageDataScanner라는 새 데이터 스캐너 리소스가 Azure 구독에 만들어지고 시스템이 할당한 관리 ID로 할당됩니다. 이 리소스에는 맬웨어 검사 및 중요한 데이터 검색을 위해 데이터에 액세스할 수 있도록 하는 스토리지 Blob 데이터 소유자 역할이 할당됩니다.

스토리지 계정 네트워킹 구성이 선택한 가상 네트워크 및 주소가 지정된 IP에서 공용 네트워크 액세스 사용으로 설정된 경우 StorageDataScanner 리소스는 스토리지 계정 네트워킹 구성 아래의 리소스 인스턴스 섹션에 추가되어 데이터 검색에 대한 액세스를 허용합니다.

구독 수준에서 맬웨어 검사를 사용하도록 설정하는 경우 StorageAccounts/securityOperators/DefenderForStorageSecurityOperator라는 새 보안 운영자 리소스가 Azure 구독에 만들어지고 시스템 관리 ID로 할당됩니다. 이 리소스는 기존 스토리지 계정에서 스토리지용 Defender 및 맬웨어 검사 구성을 사용 및 복구하고 구독에서 사용할 새로 만든 스토리지 계정을 확인하는 데 사용됩니다. 이 리소스에는 맬웨어 검사를 사용하도록 설정하는 데 필요한 특정 권한이 포함된 역할이 할당됩니다.

참고 항목

맬웨어 검사의 올바른 작동은 특정 리소스, ID 및 네트워킹 설정에 따라 달라집니다. 이러한 항목을 수정하거나 삭제하면 맬웨어 검사의 작동이 중지됩니다. 정상적인 작업을 복원하려면 껐다가 다시 켤 수 있습니다.

감사 결과 제공

맬웨어 검사 결과는 네 가지 방법을 통해 제공됩니다. 설정한 후에는 스토리지 계정에서 업로드 및 검사된 모든 파일에 대한 Blob 인덱스 태그로 검사 결과를 표시하고, 파일이 악성으로 식별되면 클라우드용 Microsoft Defender 보안 경고로 표시됩니다.

Event GridLog Analytics와 같은 추가 검사 결과 방법을 구성하도록 선택할 수 있는데, 이러한 메서드에는 추가 구성이 필요합니다. 다음 섹션에서는 다양한 검사 결과 방법에 대해 알아봅니다.

Diagram showing flow of viewing and consuming malware scanning results.

검사 결과

Blob 인덱스 태그

Blob 인덱스 태그는 Blob의 메타데이터 필드입니다. Blob 인덱스 태그는 키-값 태그 특성을 사용하여 스토리지 계정의 데이터를 분류합니다. 이러한 태그는 데이터를 쉽게 찾을 수 있도록 검색 가능한 다차원 인덱스로 자동으로 인덱싱되고 표시됩니다. 검사 결과는 간결하며 Blob 메타데이터에 맬웨어 검사 결과 및 맬웨어 검사 시간(UTC)을 표시합니다. 다른 결과 형식(경고, 이벤트, 로그)은 맬웨어 유형 및 파일 업로드 작업에 대한 자세한 정보를 제공합니다.

Screenshot that shows an example of a blob index tag.

Blob 인덱스 태그는 애플리케이션에서 워크플로를 자동화하는 데 사용할 수 있지만 변조 방지는 아닙니다. 응답 설정에 대해 자세히 읽어보세요.

참고 항목

인덱스 태그에 액세스하려면 권한이 필요합니다. 자세한 내용은 Blob 인덱스 태그 가져오기, 설정 및 업데이트를 참조하세요.

클라우드용 Defender 보안 경고

악성 파일이 검색되면 클라우드용 Microsoft Defender가 클라우드용 Microsoft Defender 보안 경고를 생성합니다. 경고를 보려면 클라우드용 Microsoft Defender 보안 경고로 이동합니다. 보안 경고에는 파일에 대한 세부 정보 및 컨텍스트, 맬웨어 유형 및 권장 조사 및 수정 단계가 포함됩니다. 이러한 경고를 수정에 사용하려면 다음을 수행할 수 있습니다.

  1. Azure Portal에서 보안 경고를 확인하려면 클라우드용 Microsoft Defender>보안 경고로 이동합니다.
  2. 이러한 경고에 따라 자동화를 구성합니다.
  3. SIEM으로 보안 경고를 내보냅니다. Microsoft Sentinel 커넥터 또는 선택한 다른 SIEM을 사용하여 보안 경고 Microsoft SIEM(Microsoft Sentinel)을 지속적으로 내보낼 수 있습니다.

보안 경고에 대응하는 방법에 대해 자세히 알아봅니다.

Event Grid 이벤트

Event Grid는 이벤트 기반 자동화에 유용합니다. 대기 시간을 최소화하여 대응을 자동화하는 데 사용할 수 있는 이벤트 형태로 결과를 가져오는 가장 빠른 방법입니다.

Event Grid 사용자 지정 토픽의 이벤트는 여러 엔드포인트 유형에서 사용할 수 있습니다. 맬웨어 검사 시나리오에 가장 유용한 것은 다음과 같습니다.

  • 함수 앱(이전에는 Azure Function이라고 함) - 서버리스 함수를 사용하여 이동, 삭제 또는 격리와 같은 자동화된 대응에 대한 코드를 실행합니다.
  • 웹후크 - 애플리케이션을 연결합니다.
  • Event Hubs 및 Service Bus 큐 - 다운스트림 소비자에게 알립니다.

자동화를 위해 모든 검사 결과가 Event Grid 토픽으로 자동으로 전송되도록 맬웨어 검사를 구성하는 방법을 알아봅니다.

로그 분석

규정 준수 증거 확보 또는 검사 결과 조사를 위해 검사 결과를 기록하는 경우가 있을 수 있습니다. Log Analytics 작업 영역 대상을 설정하면 쿼리하기 쉬운 중앙 집중식 로그 리포지토리에 모든 검사 결과를 저장할 수 있습니다. Log Analytics 대상 작업 영역으로 이동하여 StorageMalwareScanningResults 테이블을 찾아 결과를 볼 수 있습니다.

맬웨어 검사에 대한 로깅 설정에 대해 자세히 알아봅니다.

실습 랩을 통해 스토리지용 Defender의 맬웨어 검사 기능을 살펴보는 것이 좋습니다. 검사 결과에 대한 대응 구성을 포함하여 맬웨어 검사를 포괄적으로 설정하고 테스트하는 방법에 대한 자세한 단계별 가이드는 Ninja 학습 지침을 따릅니다. 이는 고객이 클라우드용 Microsoft Defender를 익히고 해당 기능에 대한 실무 환경을 제공하는 데 도움이 되는 '랩' 프로젝트의 일부입니다.

비용 제어

맬웨어 검사는 검사된 용량(GB)을 기준으로 청구됩니다. 비용을 손쉽게 예측할 수 있도록 하기 위해 맬웨어 검사는 스토리지 계정당 한 달 동안 검사된 용량(GB)의 한도 설정을 지원합니다.

Important

Defender for Storage의 맬웨어 검색은 처음 30일 평가판에 무료로 포함되지 않으며 클라우드용 Defender 가격 책정 페이지에서 사용할 수 있는 가격 책정 체계에 따라 첫날부터 요금이 청구됩니다.

"상한" 메커니즘은 각 스토리지 계정에 대해 기가바이트(GB)로 측정된 월별 검사 한도를 설정하여 효과적인 비용 제어 역할을 하도록 설계되었습니다. 한 달에 스토리지 계정에 대해 미리 정의된 검사 한도가 설정된 경우 이 임계값에 도달하면(최대 20GB 편차 포함) 검사 작업이 자동으로 중지되고 파일의 맬웨어를 검사하지 않습니다. 상한은 매월 자정 UTC에 다시 설정됩니다. 상한을 업데이트하는 작업은 일반적으로 적용되는 데 최대 1시간이 걸립니다.

기본적으로 특정 상한 메커니즘이 정의되지 않은 경우 5TB(5,000GB) 한도가 설정됩니다.

개별 스토리지 계정 또는 전체 구독에서 상한 메커니즘을 설정할 수 있습니다(구독의 모든 스토리지 계정에는 구독 수준에 정의된 한도가 할당됨).

다음 단계에 따라 상한 메커니즘을 구성합니다.

맬웨어 검사의 추가 비용

맬웨어 검사는 다른 Azure 서비스를 기본으로 사용합니다. 즉, 맬웨어 검사를 사용하도록 설정하면 필요한 Azure 서비스에 대해서도 요금이 청구됩니다. 이러한 서비스에는 Azure Storage 읽기 작업, Azure Storage Blob 인덱싱 및 Azure Event Grid 알림이 포함됩니다.

가능한 가양성 및 가음성 처리

맬웨어일 수 있지만 검색되지 않거나(가음성) 잘못 검색된 파일(가양성)이 있는 경우 샘플 제출 포털을 통해 제출하여 분석할 수 있습니다. 원본으로 "스토리지용 Microsoft Defender"를 선택합니다.

클라우드용 Defender를 사용하면 가양성 경고를 표시하지 않을 수 있습니다. 맬웨어 이름 또는 파일 해시를 사용하여 제거 규칙을 제한해야 합니다.

악성인 경우에도 맬웨어 검사는 업로드된 Blob에 대한 액세스 또는 변경 권한을 자동으로 차단하지 않습니다.

제한 사항

지원되지 않는 기능 및 서비스

  • 지원되지 않는 스토리지 계정: 레거시 v1 스토리지 계정은 맬웨어 검사에서 지원되지 않습니다.

  • 지원되지 않는 서비스: Azure Files는 맬웨어 검사에서 지원되지 않습니다.

  • 지원되지 않는 지역: Jio 인도 서부, 한국 남부, 남아프리카 공화국 서부.

  • 스토리지용 Defender에서 지원되지만 맬웨어 검사에서는 지원되지 않는 지역입니다. 스토리지용 Defender의 가용성에 대해 자세히 알아봅니다.

  • 지원되지 않는 Blob 유형: 추가 및 페이지 Blob은 맬웨어 검사가 지원되지 않습니다.

  • 지원되지 않는 암호화: 클라이언트 쪽 암호화된 Blob은 서비스에서 검사하기 전에 암호를 해독할 수 없으므로 지원되지 않습니다. 그러나 CMK(고객 관리형 키)에서 미사용 시 암호화된 데이터는 지원됩니다.

  • 지원되지 않는 인덱스 태그 결과: 인덱스 태그 검사 결과는 계층 구조 네임스페이스를 사용하도록 설정된 스토리지 계정에서 지원되지 않습니다(Azure Data Lake Storage Gen2).

  • Event Grid: 공용 네트워크 액세스(예: 프라이빗 엔드포인트 연결)가 사용하도록 설정되지 않은 Event Grid 토픽 스토리지용 Defender의 맬웨어 검사에서 지원되지 않습니다.

처리량 용량 및 Blob 크기 제한

  • 처리량 속도 제한 검사: 맬웨어 검사는 각 스토리지 계정에 대해 분당 최대 2GB를 처리할 수 있습니다. 스토리지 계정에 대한 파일 업로드 속도가 일시적으로 이 임계값을 초과하는 경우 시스템은 속도 제한을 초과하는 파일을 검색하려고 시도합니다. 파일 업로드 속도가 지속적으로 이 임계값을 초과하는 경우 일부 Blob은 검사되지 않습니다.
  • 처리량 속도 제한 검사: 맬웨어 검사는 각 스토리지 계정에 대해 분당 최대 2천 개의 파일을 처리할 수 있습니다. 스토리지 계정에 대한 파일 업로드 속도가 일시적으로 이 임계값을 초과하는 경우 시스템은 속도 제한을 초과하는 파일을 검색하려고 시도합니다. 파일 업로드 속도가 지속적으로 이 임계값을 초과하는 경우 일부 Blob은 검사되지 않습니다.
  • Blob 크기 제한: 검사할 단일 Blob의 최대 크기 제한은 2GB입니다. 한도보다 큰 Blob은 검사되지 않습니다.

Blob 업로드 및 인덱스 태그 업데이트

스토리지 계정에 Blob을 업로드하면 맬웨어 검사가 추가 읽기 작업을 시작하고 인덱스 태그를 업데이트합니다. 대부분의 경우 이러한 작업은 많은 양의 부하를 생성하지 않습니다.

액세스 및 스토리지 IOPS에 미치는 영향

검사 프로세스에도 불구하고 업로드된 데이터에 대한 액세스는 영향을 받지 않으며 스토리지 IOPS(초당 입력/출력 작업)에 미치는 영향은 최소화됩니다.

다음 단계

맬웨어 검사 결과에 대한 대응을 설정하는 방법에 대해 자세히 알아봅니다.