클라우드용 Microsoft Defender의 주요 기능 중 하나는 CSPM(클라우드 보안 상태 관리)입니다. CSPM은 자산 및 워크로드의 보안 상태에 대한 자세한 가시성을 제공하고 보안 상태를 개선하는 데 도움이 되는 강화 지침을 제공합니다.
Defender for Cloud는 Azure 구독, AWS(Amazon Web Service) 계정 및 GCP(Google Cloud Platform) 프로젝트에 대해 정의된 보안 표준에 따라 리소스를 지속적으로 평가합니다. 클라우드용 Defender는 이러한 평가를 기반으로 보안 권장 사항을 제시합니다.
기본적으로 Azure 구독에서 Defender for Cloud를 사용하도록 설정하면 MCSB(Microsoft Cloud Security Benchmark) 규정 준수 표준이 사용하도록 설정되며 다중 클라우드 환경을 보호하기 위한 권장 사항을 제공합니다. 클라우드용 Defender는 일부 MCSB 권장 사항을 기반으로 집계된 보안 점수를 제공합니다. 점수가 높을수록 식별된 위험 수준이 낮습니다.
CSPM 계획
Defender for Cloud는 다음 두 가지 CSPM 계획 옵션을 제공합니다.
기본 CSPM - Defender for Cloud에 온보딩하는 구독 및 계정에 대해 기본적으로 사용하도록 설정된 무료 요금제입니다.
Defender CSPM - 기본 CSPM 계획 이외의 추가 기능을 제공하는 유료 플랜입니다. 이 버전의 계획은 AI 보안 상태, 공격 경로 분석, 위험 우선 순위 지정 등과 같은 고급 보안 태세 기능을 제공합니다.
플랜 이용 가능 여부
Defender CSPM 가격 책정에 대해 자세히 알아보세요. Defender for Cloud 비용 계산기를 사용하여 비용을 예측할 수도 있습니다.
다음 표에는 각 플랜과 해당 클라우드 가용성이 요약되어 있습니다.
| 기능 | 기본 CSPM: | 디펜더 CSPM | 클라우드 가용성 |
|---|---|---|---|
| 보안 권장 사항 | 
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| 자산 인벤토리 |
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| 보안 점수 |
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| Azure 통합 문서를 사용하여 데이터 시각화 및 보고 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 데이터 내보내기 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 워크플로 자동화 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 수정 도구 |
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| Microsoft 클라우드 보안 벤치마크 |
|
|
Azure, AWS, GCP |
| AI 보안 태세 관리 | - |
|
Azure, AWS |
| 에이전트 없는 VM 취약성 검사 | - |
|
Azure, AWS, GCP |
| 에이전트 없는 VM 비밀 검사. | - |
|
Azure, AWS, GCP |
| 공격 경로 분석 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 위험 우선 순위 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 보안 탐색기를 사용하여 위험 헌팅 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 컨테이너에 대한 코드 투 클라우드 매핑 | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| IaC에 대한 코드 투 클라우드 매핑 | - |
|
Azure DevOps2, Docker Hub, JFrog Artifactory |
| PR 주석 | - |
|
GitHub, Azure DevOps2 |
| 인터넷 노출 분석 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 외부 공격 표면 관리 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 규정 준수 평가 | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| ServiceNow 통합 | - |
|
Azure, AWS, GCP |
| 중요 자산 보호 | - |
|
Azure, AWS, GCP |
| 대규모 시정을 주도하는 거버넌스 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| DSPM(데이터 보안 태세 관리), 중요한 데이터 검사 | - |
|
Azure, AWS, GCP1 |
| Kubernetes에 대한 에이전트 없는 검색 | - |
|
Azure, AWS, GCP |
| 사용자 지정 권장 사항 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 에이전트 없는 코드 투 클라우드 컨테이너 취약성 평가 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| API 보안 상태 관리(미리 보기) | - |
|
애저 (Azure) |
| Azure Kubernetes Service 보안 대시보드(미리 보기) | - |
|
애저 (Azure) |
1: GCP 중요한 데이터 검색은 클라우드 스토리지만 지원합니다. 2: 코드-클라우드 컨텍스트화 기반 보안 탐색기, 공격 경로 및 코드 기반 인프라 보안 결과에 대한 끌어오기 요청 주석과 같은 DevOps 보안 기능은 유료 Defender CSPM 계획을 사용하도록 설정한 경우에만 사용할 수 있습니다. DevOps 보안 지원 및 필수 구성 요소에 대해 자세히 알아봅니다.
통합
이제 클라우드용 Microsoft Defender 파트너 시스템을 사용하여 티켓, 이벤트 및 고객 상호 작용을 원활하게 관리하고 추적하는 데 도움이 되는 기본 제공 통합이 있습니다. 파트너 티켓팅 도구에 권장 사항을 푸시하고 수정을 위해 팀에 책임을 할당할 수 있습니다.
통합은 인시던트 대응 프로세스를 간소화하고 보안 인시던트 관리 기능을 향상시킵니다. 보안 인시던트를 보다 효과적으로 추적하고 우선 순위를 지정하며 해결할 수 있습니다.
통합할 티켓팅 시스템을 선택할 수 있습니다. 미리 보기의 경우 ServiceNow 통합만 지원됩니다. ServiceNow 통합을 구성하는 방법에 대한 자세한 내용은 클라우드용 Microsoft Defender와 ServiceNow 통합(미리 보기)을 참조하세요.
플랜 가격 책정
Defender CSPM 가격 책정에 대해 알아보려면 클라우드용 Defender 가격 책정 페이지를 검토합니다. Defender for Cloud 비용 계산기를 사용하여 비용을 예측할 수도 있습니다.
끌어오기 요청 주석, 클라우드 매핑 코드, 공격 경로 분석 및 클라우드 보안 탐색기와 같은 DevOps 보안 상태 기능은 유료 Defender CSPM 계획을 통해서만 사용할 수 있습니다. 무료 기본 보안 태세 관리 계획은 Azure DevOps 권장 사항을 제공합니다. Azure DevOps 보안 기능에서 제공하는 기능에 대해 자세히 알아봅니다.
Defender CSPM 및 컨테이너용 Defender 계획을 모두 사용하는 구독의 경우 무료 취약성 평가는 클라우드용 Microsoft Defender 가격 책정 페이지에 요약된 대로 컨테이너용 Defender 계획을 통해 제공되는 무료 이미지 검사를 기반으로 계산됩니다. Defender for Cloud 비용 계산기를 사용하여 비용을 예측할 수도 있습니다.
Defender CSPM은 모든 다중 클라우드 워크로드를 보호하지만 청구는 특정 리소스에만 적용됩니다. 다음 표에는 Azure 구독, AWS 계정 또는 GCP 프로젝트에서 Defender CSPM이 사용하도록 설정된 경우 청구 가능한 리소스가 나열되어 있습니다.
Azure 서비스 리소스 유형 제외 컴퓨팅 Microsoft.Compute/virtualMachines (가상 머신)
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- 할당 취소된 VM
- Databricks VM스토리지 Microsoft.Storage/storageAccounts Blob 컨테이너 또는 파일 공유가 없는 스토리지 계정 DB Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/flexibleServers
Microsoft.DBforMySQL/flexibleServers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- AWS 서비스 리소스 유형 제외 컴퓨팅 EC2 인스턴스 할당 취소된 VM 스토리지 S3 버킷 --- DB RDS 인스턴스 --- GCP 서비스 리소스 유형 제외 컴퓨팅 1. Google 컴퓨팅 인스턴스
2. Google 인스턴스 그룹실행하지 않는 상태의 인스턴스 스토리지 스토리지 버킷 - 클래스의 버킷: 'nearline', 'coldline', 'archive'
- europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 이외의 지역의 버킷DB Cloud SQL 인스턴스 ---
Azure 클라우드 지원
상용 및 국가별 클라우드 적용 범위에 대해서는 Azure 클라우드 환경에서 지원되는 기능을 검토합니다.
다음 단계
- 향후의 보안 인시던트 예측! Microsoft Defender를 사용한 클라우드 보안 태세 관리를 시청합니다.
- 보안 표준 및 권장 사항에 대해 알아봅니다.
- 보안 점수에 대해 알아봅니다.