데이터 인식 보안 태세에 대한 지원 및 필수 조건

  • 아티클

클라우드용 Microsoft Defender에서 데이터 인식 보안 태세를 설정하기 전에 이 페이지의 요구 사항을 검토합니다.

중요한 데이터 검색 사용

중요한 데이터 검색은 Defender CSPM, 스토리지용 Defender 및 데이터베이스용 Defender 계획에서 사용할 수 있습니다.

  • 플랜 중 하나를 사용하도록 설정하면 중요한 데이터 검색 확장이 플랜의 일부로 설정됩니다.
  • 기존 플랜이 실행 중인 경우에는 확장을 사용할 수 있지만 기본적으로 해제되어 있습니다.
  • 하나 이상의 확장이 설정되어 있지 않으면 기존 플랜 상태는 “전체”가 아닌 “부분”으로 표시됩니다.
  • 이 기능은 구독 수준에서 켜져 있습니다.
  • 중요한 데이터 검색이 켜져 있지만 Defender CSPM을 사용하도록 설정하지 않은 경우 스토리지 리소스만 검사됩니다.
  • Defender CSPM을 사용하여 구독을 사용하도록 설정하고 Purview를 사용하여 동일한 리소스를 병렬로 검사한 경우 Purview의 검사 결과는 무시되고 기본적으로 지원되는 리소스 종류에 대한 클라우드용 Microsoft Defender의 검사 결과를 표시합니다.

지원되는 내용

이 표에는 데이터 인식 상태 관리에 대한 지원이 요약되어 있습니다.

지원 세부 정보
어떤 Azure 데이터 리소스를 검색할 수 있나요? 개체 스토리지:

Azure Storage v1/v2의 블록 Blob 스토리지 계정

Azure Data Lake Storage Gen2

개인 네트워크 뒤에 있는 스토리지 계정이 지원됩니다.

고객 관리형 서버 쪽 키로 암호화된 스토리지 계정이 지원됩니다.

스토리지 계정을 Azure DNS Zone으로 정의하는 설정 또는 스토리지 계정 엔드포인트에 사용자 지정 도메인을 매핑하는 설정 중 하나라도 사용하도록 설정되면 계정이 지원되지 않습니다.


데이터베이스

Azure SQL Database
어떤 AWS 데이터 리소스를 검색할 수 있나요? 개체 스토리지:

AWS S3 버킷

클라우드용 Defender는 KMS로 암호화된 데이터를 검색할 수 있지만 고객 관리형 키로 암호화된 데이터는 검색할 수 없습니다.

데이터베이스

- Amazon Aurora
- Amazon RDS for PostgreSQL
- Amazon RDS for MySQL
- Amazon RDS for MariaDB
- Amazon RDS for SQL Server(사용자 지정 아님)
- Amazon RDS for Oracle Database(사용자 지정 아님, SE2 Edition만 해당)

필수 구성 요소 및 제한 사항:
- 자동 백업을 사용하도록 설정해야 합니다.
- 검사 목적으로 만들어진 IAM 역할(기본적으로 DefenderForCloud-DataSecurityPostureDB)에는 RDS 인스턴스 암호화에 사용되는 KMS 키에 대한 권한이 있어야 합니다.
- 표준 시간대 또는 OLS 옵션(또는 둘 다)이 있는 Oracle DB 인스턴스를 제외하고 영구 또는 영구 옵션이 있는 옵션 그룹을 사용하는 DB 스냅샷을 공유할 수 없습니다. 자세한 정보
어떤 GCP 데이터 리소스를 검색할 수 있나요? GCP 스토리지 버킷
표준 클래스
지역: 영역, 이중 지역, 다중 지역
검색에 필요한 권한은 무엇인가요? 스토리지 계정: 구독 소유자
or
Microsoft.Authorization/roleAssignments/* (읽기, 쓰기, 삭제) Microsoft.Security/pricings/* (읽기, 쓰기, 삭제) Microsoft.Security/pricings/SecurityOperators (읽기, 쓰기)

Amazon S3 버킷 및 RDS 인스턴스: Cloud Formation을 실행할 수 있는 AWS 계정 권한(역할을 만들기 위해)

GCP 스토리지 버킷: 스크립트를 실행할 수 있는 Google 계정 권한(역할을 만들기 위해)
중요한 데이터 검색에 지원되는 파일 형식은 무엇인가요? 지원되는 파일 형식(하위 집합을 선택할 수 없음) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
어떤 Azure 지역이 지원되나요? 다음에서 Azure Storage 계정을 검색할 수 있습니다.

아시아 동부; 아시아 남동부; 오스트레일리아 중부; 오스트레일리아 중부 2; 오스트레일리아 동부; 오스트레일리아 남동부; 브라질 남부; 브라질 남동부; 캐나다 중부; 캐나다 동부; 유럽 북부; 유럽 서부; 프랑스 중부; 프랑스 남부; 독일 북부; 독일 중서부; 인도 중부; 인도 남부; 일본 동부; 일본 서부; 지오 인디아 웨스트; 한국중부; 한국 남쪽; 노르웨이 동부; 노르웨이 서부; 남아프리카 북부; 남아프리카 서부; 스웨덴 중부; 스위스 북부; 스위스 서부; UAE 북부; 영국 남부; 영국 서부; 미국 중부; 미국 동부; 미국 동부 2; 미국 북부 중부; 미국 중남부; 미국 서부; 미국 서부 2; 미국 서부 3; 미국 서부 중부;

Defender CSPM 및 Azure SQL Database가 지원되는 모든 지역에서 Azure SQL Database를 검색할 수 있습니다.
어떤 AWS 지역이 지원되나요? S3:

아시아 태평양(뭄바이); 아시아 태평양(싱가포르); 아시아 태평양(시드니); 아시아 태평양(도쿄); 캐나다(몬트리올); 유럽(프랑크푸르트); 유럽(아일랜드); 유럽(런던); 유럽(파리); 유럽(스톡홀름); 남아메리카(상파울루); 미국 동부(오하이오); 미국 동부(버지니아 북부); 미국 서부(캘리포니아 북부): 미국 서부(오리건)


RDS:

아프리카(케이프타운); 아시아 태평양(홍콩 특별행정구); 아시아 태평양(하이데라바드); 아시아 태평양(멜버른); 아시아 태평양(뭄바이); 아시아 태평양(오사카); 아시아 태평양(서울); 아시아 태평양(싱가포르); 아시아 태평양(시드니); 아시아 태평양(도쿄); 캐나다(중부); 유럽(프랑크푸르트); 유럽(아일랜드); 유럽(런던); 유럽(파리); 유럽(스톡홀름); 유럽(취리히); 중동(아랍에미리트); 남아메리카(상파울루); 미국 동부(오하이오); 미국 동부(버지니아 북부); 미국 서부(캘리포니아 북부): 미국 서부(오리건)

검색은 지역 내에서 로컬로 수행됩니다.
어떤 GCP 지역이 지원되나요? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
에이전트를 설치해야 하나요? 아니요, 검색에는 에이전트 설치가 필요하지 않습니다.
비용은 얼마인가요? 이 기능은 Defender CSPM 및 스토리지용 Defender 계획에 포함되어 있으며 해당 계획 비용을 제외하고 추가 비용이 발생하지 않습니다.
데이터 민감도 설정을 보거나 편집하는 데 필요한 권한은 무엇인가요? 전역 관리자, 준수 관리자, 준수 데이터 관리자, 보안 관리자, 보안 운영자와 같은 Microsoft Entra 역할 중 하나가 필요합니다.
온보딩을 수행하는 데 필요한 권한은 무엇인가요? Azure RBAC(Azure 역할 기반 액세스 제어) 역할 중 하나(GCP 프로젝트가 있는 구독 수준의 보안 관리자, 기여자, 소유자)가 필요합니다. 보안 발견 사항을 사용하는 경우: 구독 수준(GCP 프로젝트가 있는 위치)의 보안 읽기 권한자, 보안 관리자, 읽기 권한자, 기여자, 소유자.

데이터 민감도 설정 구성

데이터 민감도 설정을 구성하는 주요 단계는 다음과 같습니다.

Microsoft Purview의 민감도 레이블에 대해 자세히 알아보세요.

검색

클라우드용 Defender는 플랜을 사용하도록 설정한 직후 또는 이미 실행 중인 플랜에서 기능을 켠 후 데이터를 검색하기 시작합니다.

개체 스토리지의 경우:

  • 최초 검색의 결과를 확인하는 데 최대 24시간이 걸립니다.
  • 검색된 리소스에서 파일이 업데이트되면 데이터가 8일 이내에 새로 고쳐집니다.
  • 이미 검색된 구독에 추가된 새 Azure Storage 계정은 24시간 이내에 검색됩니다.
  • 이미 검색된 AWS 계정 또는 Google 계정에 추가된 새 AWS S3 버킷 또는 GCP 스토리지 버킷은 48시간 이내에 검색됩니다.

데이터베이스:

  • 데이터베이스는 매주 검사됩니다.
  • 새로 사용하도록 설정된 구독의 경우 결과는 24시간 이내에 표시됩니다.

AWS S3 버킷 검색

클라우드용 Defender에서 AWS 리소스를 보호하기 위해 CloudFormation 템플릿을 사용하여 AWS 계정을 온보딩하는 AWS 커넥터를 설정합니다.

  • AWS 데이터 리소스를 검색하기 위해 클라우드용 Defender는 CloudFormation 템플릿을 업데이트합니다.
  • CloudFormation 템플릿은 클라우드용 Defender 스캐너가 S3 버킷의 데이터에 액세스할 수 있는 권한을 허용하기 위해 AWS IAM에서 새 역할을 만듭니다.
  • AWS 계정을 연결하려면 계정에 관리자 권한이 있어야 합니다.
  • 이 역할은 이러한 권한을 허용합니다. S3 읽기 전용; KMS 암호 해독.

AWS RDS 인스턴스 검색

클라우드용 Defender에서 AWS 리소스를 보호하기 위해 CloudFormation 템플릿을 사용하여 AWS 계정을 온보딩하는 AWS 커넥터를 설정합니다.

  • AWS RDS 인스턴스를 검색하기 위해 클라우드용 Defender는 CloudFormation 템플릿을 업데이트합니다.
  • CloudFormation 템플릿은 AWS IAM에서 새로운 역할을 만들어 클라우드용 Defender 스캐너가 인스턴스의 마지막 사용 가능한 자동 스냅샷을 가져와 동일한 AWS 지역 내의 격리된 검색 환경에서 온라인으로 가져올 수 있도록 합니다.
  • AWS 계정을 연결하려면 계정에 관리자 권한이 있어야 합니다.
  • 관련 RDS 인스턴스/클러스터에서 자동화된 스냅샷을 사용하도록 설정해야 합니다.
  • 이 역할은 이러한 권한을 허용합니다(정확한 정의는 CloudFormation 템플릿 검토).
    • 모든 RDS DB/클러스터 나열
    • 모든 DB/클러스터 스냅샷 복사
    • 접두사 defenderfordatabases를 사용하여 DB/클러스터 스냅샷 삭제/업데이트
    • 모든 KMS 키 나열
    • 원본 계정의 RDS에만 모든 KMS 키 사용
    • 태그 접두사 DefenderForDatabases가 있는 모든 KMS 키 만들기 및 전체 제어
    • KMS 키 별칭 만들기
  • KMS 키는 RDS 인스턴스가 포함된 각 지역에 대해 한 번씩 만들어집니다. KMS 키를 만들면 AWS KMS 요금에 따라 최소한의 추가 비용이 발생할 수 있습니다.

GCP 스토리지 버킷 검색

클라우드용 Defender에서 GCP 리소스를 보호하기 위해 스크립트 템플릿을 사용하여 GCP 계정을 온보딩하는 Google 커넥터를 설정할 수 있습니다.

  • GCP 스토리지 버킷을 검색하기 위해 클라우드용 Defender는 스크립트 템플릿을 업데이트합니다.
  • 스크립트 템플릿은 클라우드용 Defender 스캐너가 GCP 스토리지 버킷의 데이터에 액세스할 수 있는 권한을 허용하기 위해 Google 계정에 새 역할을 만듭니다.
  • Google 계정을 연결하려면 계정에 관리자 권한이 있어야 합니다.

인터넷에 노출/퍼블릭 액세스 허용

Defender CSPM 공격 경로 및 클라우드 보안 그래프 인사이트에는 인터넷에 노출되고 공용 액세스를 허용하는 스토리지 리소스에 대한 정보가 포함됩니다. 다음 표에 자세한 내용이 나와 있습니다.

State(상태) Azure Storage 계정 AWS S3 버킷 GCP 스토리지 버킷
인터넷에 노출됨 다음 설정 중 하나를 사용하도록 설정한 경우 Azure Storage 계정이 인터넷에 노출된 것으로 간주됩니다.

Storage_account_name >네트워킹>공용 네트워크 액세스>모든 네트워크에서 사용

또는

Storage_account_name >네트워킹>공용 네트워크 액세스>선택된 가상 네트워크 및 IP 주소에서 사용		 AWS 계정/AWS S3 버킷 정책에 IP 주소의 조건이 설정되어 있지 않은 경우 AWS S3 버킷은 인터넷에 노출된 것으로 간주됩니다. 모든 GCP 스토리지 버킷은 기본적으로 인터넷에 노출되어 있습니다.
공용 액세스를 허용함 Azure Storage 계정 컨테이너는 스토리지 계정에서 다음 설정을 사용하는 경우 퍼블릭 액세스를 허용하는 것으로 간주됩니다.

Storage_account_name >구성>Blob 퍼블릭 액세스 허용>사용.

다음 설정 중 하나 선택:

Storage_account_name >컨테이너> container_name >Blob에 설정된 퍼블릭 액세스 수준(Blob에 대한 익명 읽기 권한만 해당)

또는, storage_account_name >컨테이너> container_name >컨테이너에 설정된 퍼블릭 액세스 수준(컨테이너 및 Blob에 대한 익명 읽기 권한)		 AWS 계정과 AWS S3 버킷 모두에 모든 퍼블릭 액세스 차단해제로 설정되어 있고 다음 설정 중 하나가 설정된 경우 AWS S3 버킷은 퍼블릭 액세스를 허용하는 것으로 간주됩니다.

정책에서 RestrictPublicBuckets를 사용할 수 없으며 보안 주체 설정이 *로 설정되고 효과허용으로 설정됩니다.

또는 액세스 제어 목록에서 IgnorePublicAcl을 사용할 수 없으며 모든 사용자 또는 인증된 사용자에게 권한이 허용됩니다.		 GCP 스토리지 버킷은 다음 조건을 충족하는 IAM(ID 및 액세스 관리) 역할이 있는 경우 공용 액세스를 허용하는 것으로 간주됩니다.

역할은 보안 주체 allUsers 또는 allAuthenticatedUsers에 부여됩니다.

역할에는 storage.buckets.create 또는 storage.buckets.list아닌 하나 이상의 스토리지 권한이 있습니다. GCP의 퍼블릭 액세스를 “공용-인터넷”이라고 합니다.

데이터베이스 리소스는 공용 액세스를 허용하지 않지만 여전히 인터넷에 노출될 수 있습니다.

인터넷 노출 인사이트는 다음과 같은 리소스에 사용할 수 있습니다.

Azure:

  • Azure SQL 서버
  • Azure Cosmos DB
  • Azure SQL Managed Instance
  • Azure MySQL 단일 서버
  • Azure MySQL 유연한 서버
  • Azure PostgreSQL 단일 서버
  • Azure PostgreSQL 유연한 서버
  • Azure MariaDB 단일 서버
  • Synapse 작업 영역

AWS:

  • RDS 인스턴스

참고 항목

  • 0.0.0.0/0을 포함하는 노출 규칙은 “과도하게 노출됨”으로 간주되며, 이는 모든 공용 IP에서 액세스할 수 있음을 의미합니다.
  • 노출 규칙 “0.0.0.0”이 있는 Azure 리소스는 테넌트 또는 구독에 관계없이 Azure의 모든 리소스에서 액세스할 수 있습니다.

다음 단계

데이터 인식 보안 태세를 사용합니다.