클라우드용 Microsoft Defender 비용 계산기는 클라우드 보안 요구 사항과 관련된 잠재적인 비용을 추정하는 데 유용한 도구입니다. 이 도구는 다양한 계획과 환경을 구성할 수 있으며, 적용 가능한 할인 사항을 포함한 상세한 비용 내역을 제공합니다.
비용 계산기 액세스
클라우드용 Defender 비용 계산기 사용을 시작하려면 클라우드용 Microsoft Defender 환경 설정 섹션으로 이동합니다. 인터페이스의 위쪽 섹션에 있는 비용 계산기 단추를 선택합니다.
클라우드용 Defender 계획 및 환경 구성
계산기의 첫 번째 페이지에서 자산 추가 단추를 선택하여 비용 계산에 자산 추가를 시작합니다. 자산을 추가하는 세 가지 방법이 있습니다.
- 스크립트를 사용하여 자산 추가: 스크립트를 다운로드하고 실행하여 기존 자산을 자동으로 추가합니다.
- 온보딩된 환경에서 자산 추가: 이미 온보딩된 환경의 자산을 클라우드용 Defender 추가합니다.
- 사용자 지정 자산 추가: 자동화를 사용하지 않고 수동으로 자산을 추가합니다.
참고 항목
클라우드용 Defender 대한 예약 계획(P3)은 고려되지 않습니다.
스크립트를 사용하여 자산 추가
환경 유형(Azure, AWS 또는 GCP)을 선택하고 스크립트를 새 *.ps1 파일에 복사합니다.
참고 항목
스크립트는 실행 중인 사용자가 액세스할 수 있는 정보만 수집합니다.
권한 있는 사용자 계정을 사용하여 PowerShell 7.X 환경에서 스크립트를 실행합니다. 스크립트는 청구 가능한 자산에 대한 정보를 수집하고 CSV 파일을 만듭니다. 두 단계로 정보를 수집합니다. 첫째, 일반적으로 일정하게 유지되는 청구 가능한 자산의 현재 수를 수집합니다. 둘째, 한 달 동안 많이 변경 될 수 있는 청구 가능한 자산에 대 한 정보를 수집 합니다. 이러한 자산의 경우 지난 30일 동안의 사용량을 확인하여 비용을 평가합니다. 첫 번째 단계 후에 스크립트를 중지할 수 있으며 몇 초 정도 걸립니다. 또는 동적 자산에 대한 지난 30일의 사용량을 계속 수집할 수 있으며, 이는 대규모 계정에 더 오래 걸릴 수 있습니다.
스크립트를 다운로드한 마법사에 이 CSV 파일을 업로드합니다.
원하는 클라우드용 Defender 계획을 선택합니다. 계산기는 선택 항목 및 기존 할인에 따라 비용을 예측합니다.
참고 항목
- 클라우드용 Defender 예약 계획은 고려되지 않습니다.
- Defender for API의 경우: 지난 30일 동안의 API 호출 수에 따라 비용을 계산할 때 자동으로 최상의 API용 Defender 계획을 선택합니다. 지난 30일 동안 API 호출이 없는 경우 계산을 위해 계획을 자동으로 사용하지 않도록 설정합니다.
스크립트에 필요한 권한
이 섹션에서는 각 클라우드 공급자에 대한 스크립트를 실행하는 데 필요한 사용 권한에 대한 개요를 제공합니다.
Azure
각 구독에 대해 이 스크립트를 성공적으로 실행하려면 사용하는 계정에 다음을 허용하는 권한이 필요합니다.
리소스 (가상 머신, 스토리지 계정, APIM 서비스, Cosmos DB 계정 등 포함)를 검색하고 나열합니다.
Resource Graph 쿼리(Search-AzGraph를 통해).
메트릭을 읽습니다 (Get-AzMetric 및 Azure Monitor/Insights API를 통해).
권장되는 기본 제공 역할:
대부분의 경우 구독 범위에서 읽기 권한자 역할로 충분합니다. 읽기 권한자 역할은 이 스크립트에 필요한 다음과 같은 주요 기능을 제공합니다.
- 모든 리소스 유형을 읽습니다(스토리지 계정, VM, Cosmos DB 및 APIM 등과 같은 항목을 나열하고 구문 분석할 수 있도록).
- Get-AzMetric 또는 직접 Azure Monitor REST 쿼리에 대한 호출이 성공하도록 메트릭을 읽습니다(Microsoft.Insights/메트릭/읽기) .
- Resource Graph 쿼리는 구독에서 해당 리소스에 대한 읽기 액세스 권한이 있는 한 작동합니다.
참고 항목
필요한 메트릭 권한이 있는지 확인하려면 모니터링 판독기 역할을 사용할 수도 있습니다. 그러나 표준 판독기 역할에는 이미 메트릭에 대한 읽기 권한이 포함되어 있으며 일반적으로 필요한 모든 역할입니다.
기여자 또는 소유자 역할이 이미 있는 경우:
- 구독의 기여자 또는 소유자가 충분합니다(이러한 역할은 읽기 권한자보다 높은 권한).
- 스크립트는 리소스 만들기 또는 삭제를 수행하지 않습니다. 따라서 데이터 수집의 목적으로만 상위 수준 역할(예: 기여자/소유자)을 부여하는 것은 최소 권한 관점에서 과잉 처리될 수 있습니다.
요약:
쿼리하려는 각 구독에 대해 사용자 또는 서비스 주체 에게 읽기 권한자 역할(또는 더 높은 권한 있는 역할)을 부여하면 스크립트에서 다음을 수행할 수 있습니다.
- 구독 목록을 검색합니다.
- REST 또는 Az PowerShell을 통해 모든 관련 리소스 정보를 열거하고 읽습니다.
- 필요한 메트릭(APIM에 대한 요청, Cosmos DB의 RU 사용량, 스토리지 계정 수신 등)을 가져옵니다.
- 문제 없이 Resource Graph 쿼리를 실행합니다.
AWS
다음은 AWS ID(사용자 또는 역할)가 이 스크립트를 성공적으로 실행하는 데 필요한 권한에 대한 개요입니다. 스크립트는 리소스(EC2, RDS, EKS, S3 등)를 열거하고 해당 리소스에 대한 메타데이터를 가져옵니다. 리소스를 만들거나 수정하거나 삭제하지 않으므로 대부분의 경우 읽기 전용 액세스로 충분합니다.
AWS 관리 정책: ReadOnlyAccess 또는 ViewOnlyAccess
가장 간단한 방법은 AWS의 기본 제공 읽기 전용 정책 중 하나를 이 스크립트를 실행하는 IAM 보안 주체(사용자/역할)에 연결하는 것입니다. 예를 들면 다음과 같습니다.
arn:aws:iam::aws:policy/ReadOnlyAccessarn:aws:iam::aws:policy/job-function/ViewOnlyAccess
이 중 하나에는 대부분의 AWS 서비스에 대한 설명 및 목록 사용 권한이 포함됩니다. 환경의 보안 정책이 허용하는 경우 ReadOnlyAccess 는 열거하는 모든 AWS 리소스에서 스크립트가 작동하는지 확인하는 가장 쉬운 방법입니다.
주요 서비스 및 필요한 권한:
사용자 지정 IAM 정책을 사용하여 보다 세분화된 접근 방식이 필요한 경우 허용해야 하는 서비스 및 권한은 다음과 같습니다.
-
EC2
- ec2:DescribeInstances
- ec2:DescribeRegions
- ec2:DescribeInstanceTypes(vCPU/코어 정보 검색용)
-
RDS
- rds:DescribeDBInstances
-
EKS
- eks:ListClusters
- eks:DescribeCluster
- eks:ListNodegroups
- eks:DescribeNodegroup
-
자동 크기 조정 (EKS 노드 그룹의 기본 인스턴스)
- autoscaling:DescribeAutoScalingGroups
-
S3
- s3:ListAllMyBuckets
-
STS
- sts:GetCallerIdentity(AWS 계정 ID를 검색하려면)
또한 스크립트에 표시되지 않는 다른 리소스를 나열해야 하거나 스크립트의 기능을 확장하려는 경우 필요에 따라 적절한 Describe*, List*및 Get* 작업을 부여해야 합니다.
요약:
- 가장 간단한 방법은 EC2, RDS, EKS, S3, 자동 크기 조정 리소스를 나열하고 설명하는 데 필요한 모든 작업이 이미 포함된 AWS의 기본 제공 ReadOnlyAccess 정책을 연결하고 STS를 호출하여 계정 정보를 가져오는 것입니다.
- 충분한 권한을 원하는 경우 EC2, RDS, EKS, 자동 크기 조정, S3 및 STS에 대한 위의 Describe*, List*및 Get* 작업을 사용하여 사용자 지정 읽기 전용 정책을 만듭니다.
두 방법 중 하나를 통해 스크립트에 다음을 수행할 수 있는 충분한 권한이 제공됩니다.
- 지역을 나열합니다.
- EC2 인스턴스 메타데이터를 검색합니다.
- RDS 인스턴스를 검색합니다.
- EKS 클러스터 및 노드 그룹(및 기본 자동 크기 조정 그룹)을 나열하고 설명합니다.
- S3 버킷을 나열합니다.
- STS를 통해 AWS 계정 ID를 가져옵니다.
이렇게 하면 스크립트가 아무 것도 만들거나 수정하거나 삭제하지 않고도 리소스를 검색하고 관련 메타데이터를 가져올 수 있습니다.
GCP
다음은 GCP 사용자 또는 서비스 계정이 이 스크립트를 성공적으로 실행하는 데 필요한 권한에 대한 개요입니다. 즉, 스크립트는 선택한 프로젝트의 리소스(VM 인스턴스, 클라우드 SQL, GKE 클러스터 및 GCS 버킷)를 나열하고 설명해야 합니다.
권장되는 기본 제공 역할: 프로젝트 뷰어
이러한 모든 리소스에서 읽기 전용 액세스를 보장하는 가장 간단한 방법은 사용자 또는 서비스 계정에 프로젝트 수준(gcloud 구성 집합 프로젝트를 통해 선택한 동일한 프로젝트)에서 역할/뷰어 역할을 부여하는 것입니다.
역할/뷰어 역할에는 필요한 권한을 포함하여 해당 프로젝트 내의 대부분의 GCP 서비스에 대한 읽기 전용 액세스가 포함됩니다.
- 컴퓨팅 엔진 (VM 인스턴스, 인스턴스 템플릿, 컴퓨터 유형 등 나열).
- 클라우드 SQL (SQL 인스턴스 나열).
- Kubernetes 엔진 (클러스터, 노드 풀 나열 등)
- Cloud Storage (버킷 나열).
서비스별 세분화된 권한(사용자 지정 역할을 만드는 경우):
보다 세부적인 접근 방식을 선호하는 경우 각 서비스에 대해 필요한 읽기-목록 설명 작업만 일괄적으로 부여하는 사용자 지정 IAM 역할 또는 역할 집합을 만들 수 있습니다.
-
컴퓨팅 엔진 (VM 인스턴스, 지역, 인스턴스 템플릿, 인스턴스 그룹 관리자의 경우):
- compute.instances.list
- compute.regions.list
- compute.machineTypes.list
- compute.instanceTemplates.get
- compute.instanceGroupManagers.get
- compute.instanceGroups.get
-
클라우드 SQL:
- cloudsql.instances.list
-
Google Kubernetes 엔진:
- container.clusters.list
- container.clusters.get(클러스터를 설명할 때 필요)
- container.nodePools.list
- container.nodePools.get
-
클라우드 스토리지:
- storage.buckets.list
스크립트는 리소스를 만들거나 수정하지 않으므로 업데이트 또는 삭제 권한이 필요하지 않으며 형식 사용 권한만 나열, 가져오기 또는 설명합니다.
요약:
- 프로젝트 수준에서 역할/뷰어를 사용하는 것은 이 스크립트가 성공할 수 있는 충분한 권한을 부여하는 가장 빠르고 간단한 방법입니다.
- 가장 엄격한 최소 권한 접근 방식이 필요한 경우 컴퓨팅 엔진, 클라우드 SQL, GKE 및 Cloud Storage에 대한 관련 목록/설명/가져오기 작업만 포함하는 사용자 지정 역할을 만들거나 결합합니다.
이러한 사용 권한이 있는 경우 스크립트는 다음을 수행할 수 있습니다.
- 인증 (gcloud 인증 로그인).
- VM 인스턴스, 컴퓨터 유형, 인스턴스 그룹 관리자 등을 나열 합니다.
- 클라우드 SQL 인스턴스를 나열 합니다.
- GKE 클러스터 및 노드 풀을 나열/설명 합니다.
- GCS 버킷을 나열 합니다.
이 읽기 수준 액세스를 사용하면 리소스를 수정하거나 만들지 않고도 리소스 수를 열거하고 메타데이터를 수집할 수 있습니다.
온보딩된 자산 할당
비용 계산에 포함할 클라우드용 Defender 이미 온보딩된 Azure 환경 목록에서 선택합니다.
참고 항목
온보딩 중에 사용 권한을 받은 리소스만 포함됩니다.
계획을 선택합니다. 계산기는 선택 항목 및 기존 할인에 따라 비용을 예측합니다.
사용자 지정 자산 할당
- 사용자 지정 환경의 이름을 선택합니다.
- 각 플랜에 대한 요금제 및 청구 가능 자산 수를 지정합니다.
- 비용 계산에 포함할 자산 유형을 선택합니다.
- 계산기는 입력 및 기존 할인에 따라 비용을 예측합니다.
참고 항목
클라우드용 Defender 예약 계획은 고려되지 않습니다.
보고서 조정
보고서를 생성한 후 플랜 및 청구 가능 자산 수를 조정할 수 있습니다.
- 편집(연필) 아이콘을 선택하여 수정하려는 환경을 선택합니다.
- 구성 페이지가 표시되어 요금제, 청구 가능한 자산 수 및 월평균 시간을 조정할 수 있습니다.
- 다시 계산 단추를 선택하여 예상 비용을 업데이트합니다.
보고서 내보내기
보고서에 만족하면 CSV 파일로 내보낼 수 있습니다.
- 오른쪽에 있는 요약 패널 아래쪽에 있는 CSV로 내보내기 단추를 선택합니다.
- 비용 정보는 CSV 파일로 다운로드됩니다.
자주 묻는 질문
비용 계산기가란?
비용 계산기는 보안 보호 요구 사항에 대한 비용을 예측하는 프로세스를 간소화하도록 설계된 도구입니다. 원하는 계획 및 환경의 범위를 정의할 때 계산기는 적용 가능한 할인을 포함하여 잠재적 비용에 대한 자세한 분석을 제공합니다.
비용 계산기는 어떻게 작동하나요?
계산기를 사용하면 사용하려는 환경 및 계획을 선택할 수 있습니다. 그런 다음 검색 프로세스를 수행하여 환경당 각 계획에 대한 청구 가능한 단위 수를 자동으로 채웁니다. 단위 수량 및 할인 수준을 수동으로 조정할 수도 있습니다.
검색 프로세스란?
검색 프로세스는 다양한 클라우드용 Defender 계획의 청구 가능 자산 인벤토리를 포함하여 선택한 환경의 보고서를 생성합니다. 이 프로세스는 검색 시 사용자 권한 및 환경 상태를 기반으로 합니다. 대규모 환경의 경우 동적 자산도 샘플링되기 때문에 이 프로세스는 약 30-60분 정도 걸릴 수 있습니다.
검색 프로세스를 수행하기 위해 비용 계산기에 대한 특별한 권한을 부여해야 하나요?
Cost Calculator는 사용자의 기존 사용 권한을 사용하여 스크립트를 실행하고 검색을 자동으로 수행하여 추가 액세스 권한을 요구하지 않고 필요한 데이터를 수집하도록 합니다. 사용자가 스크립트를 실행하는 데 필요한 권한을 확인하려면 스크립트에 대한 필수 사용 권한 섹션을 참조 하세요 .
예측에서 내 비용을 정확하게 예측합니까?
계산기는 스크립트가 실행될 때 사용할 수 있는 정보를 기반으로 예측값을 제공합니다. 다양한 요인이 최종 비용에 영향을 줄 수 있으므로 대략적인 계산으로 간주해야 합니다.
청구 가능한 단위란?
계획 비용은 보호하는 단위를 기반으로 합니다. 각 플랜은 클라우드용 Microsoft Defender 설정 페이지에서 찾을 수 있는 다른 단위 유형에 대한 요금을 청구합니다.
견적을 수동으로 조정할 수 있나요?
예, 비용 계산기는 자동 데이터 수집 및 수동 조정을 모두 허용합니다. 단위 수량 및 할인 수준을 수정하여 특정 요구 사항을 더 잘 반영하고 이러한 변경 내용이 전체 비용에 미치는 영향을 확인할 수 있습니다.
계산기는 여러 클라우드 공급자를 지원하나요?
예, 클라우드 공급자에 관계없이 정확한 비용 추정을 얻을 수 있도록 다중 클라우드 지원을 제공합니다.
예상 비용을 공유하려면 어떻게 해야 하나요?
예상 비용을 생성한 후에는 예산 계획 및 승인을 위해 쉽게 내보내고 공유할 수 있습니다. 이 기능을 사용하면 모든 관련자가 필요한 정보에 액세스할 수 있습니다.
질문이 있는 경우 어디에서 도움을 받을 수 있나요?
지원 팀은 사용자가 가질 수 있는 질문이나 문제를 지원할 준비가 되어 있습니다. 도움을 받으시기 바랍니다.
비용 계산기를 어떻게 시도할 수 있나요?
새로운 비용 계산기를 사용해 보시고 그 이점을 직접 경험해 보시기 위해 초대합니다. 도구에 액세스하고 시작하는 데 필요한 보호 범위 정의를 시작합니다. 클라우드용 Defender 비용 계산기를 사용하려면 클라우드용 Microsoft Defender 설정으로 이동하여 위쪽 섹션에서 비용 계산기 단추를 선택합니다.