클라우드용 Microsoft Defender란?

클라우드용 Microsoft Defender는 모든 Azure, 온-프레미스 및 다중 클라우드(Amazon AWS 및 Google GCP) 리소스에 대한 CSPM(클라우드 보안 상태 관리) 및 CWPP(클라우드 워크로드 보호 플랫폼)입니다. Defender for Cloud는 클라우드 및 온-프레미스에서 리소스 및 워크로드의 보안을 관리할 때 세 가지 중요한 요구 사항을 충족합니다.

클라우드용 Microsoft Defender 핵심 기능을 보여 주는 다이어그램

  • 클라우드용 Defender 보안 점수는 보안 상태를 지속적으로 평가하므로 새로운 보안 기회를 추적하고 보안 노력의 진행 상황을 정확하게 보고할 수 있습니다.
  • 클라우드용 Defender 권장 사항은 알려진 보안 위험으로부터 워크로드를 보호하는 단계별 작업으로 워크로드를 보호합니다.
  • 클라우드용 Defender 경고는 워크로드를 실시간으로 방어하므로 즉시 대응하고 보안 이벤트가 발생하는 것을 방지할 수 있습니다.

클라우드용 Defender의 단계별 연습은 이 대화형 자습서를 확인하세요.

필드에서 배운 교훈을 시청하면 사이버 보안 전문가로부터 클라우드용 Defender에 대해 자세히 알아볼 수 있습니다.

리소스 보호 및 보안 진행 상황 추적

클라우드용 Microsoft Defender의 기능은 클라우드 보안의 두 가지 광범위한 핵심 요소인 CWPP(클라우드 워크로드 보호 플랫폼)와 CSPM(클라우드 보안 태세 관리)을 처리합니다.

CSPM - 보안 문제 해결 및 보안 상태 개선 감시

클라우드용 Defender에서 제공하는 상태 관리 기능은 다음과 같습니다.

  • 강화 지침 - 보안을 효율적이고 효과적으로 향상시키는 데 도움이 됩니다.
  • 가시성 - 현재 보안 상황을 이해하는 데 도움이 됩니다.

클라우드용 Defender는 보안 문제에 대한 리소스, 구독 및 조직을 지속적으로 평가하고, 보안 상태를 보안 점수로 표시하며, 현재 보안 상황을 한눈에 알 수 있는 보안 결과의 집계된 점수가 높을수록 식별된 위험 수준이 낮아집니다.

처음으로 클라우드용 Defender를 여는 즉시 클라우드용 Defender는:

  • Microsoft Cloud 보안 벤치마크의 지침과 비교하여 연결된 리소스의 평가에 따라 구독에 대한 보안 점수를 생성합니다. 점수를 사용하여 보안 상태를 이해하고, 규정 준수 대시보드를 사용하여 기본 제공 벤치마크에 대한 규정 준수를 검토합니다. 향상된 보안 기능을 사용하도록 설정한 경우 규정 준수를 평가하는 데 사용되는 표준을 사용자 지정하고, 다른 규정(예: NIST 및 Azure CIS) 또는 조직별 보안 요구 사항을 추가할 수 있습니다. 권장 사항을 적용하고 AWS Foundational Security 모범 사례 표준에 따라 채점할 수도 있습니다.

    보안 점수에 대해 자세히 알아볼 수도 있습니다.

  • 식별된 보안 구성 오류 및 약점에 따라 강화 권장 사항을 제공합니다. 이러한 보안 권장 사항을 사용하여 조직의 Azure, 하이브리드 및 다중 클라우드 리소스의 보안 상태를 강화합니다.

  • 클라우드용 Defender 내에 있는 그래프 기반 컨텍스트 엔진인 클라우드 보안 그래프를 통해 공격 경로를 분석하고 보호합니다. 클라우드 보안 그래프는 다중 클라우드 환경 및 기타 데이터 원본에서 데이터를 수집합니다. 예를 들어, 클라우드 자산 인벤토리, 리소스 간의 연결 및 측면 이동 가능성, 인터넷 노출, 권한, 네트워크 연결, 취약성 등이 있습니다. 수집된 데이터는 다중 클라우드 환경을 나타내는 그래프를 빌드하는 데 사용됩니다.

    공격 경로 분석은 클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 이 검사는 공격자가 환경을 침해하여 영향력이 큰 자산에 도달하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. 공격 경로 분석은 이러한 공격 경로를 노출하며, 공격 경로를 차단하는 문제를 가장 잘 수정하여 성공적인 보안 위반을 방지하는 방법에 대한 권장 사항을 제안합니다.

    인터넷 노출, 권한, 횡적 이동 등과 같은 환경의 컨텍스트 정보를 고려합니다. 공격 경로 분석은 사용자 환경의 보안 위반으로 이어질 수 있는 문제를 식별하고 가장 위험 수준이 높은 문제를 먼저 수정하는 데 도움이 됩니다.

    공격 경로 분석에 대해 자세히 알아봅니다.

Defender CSPM은 환경과 리소스를 보호하기 위한 두 가지 옵션인 무료 옵션과 프리미엄 옵션을 제공합니다. CSPM의 전체 적용 범위와 이점을 얻으려면 프리미엄 옵션을 사용하는 것이 좋습니다. Defender CSPM(Cloud Security Posture Management)이 제공하는 이점과 두 플랜 간의 차이점에 대해 자세히 알아볼 수 있습니다.

CWP - 고유한 워크로드 보안 요구 사항 식별

클라우드용 Defender는 Microsoft 위협 인텔리전스에서 제공하는 보안 경고를 제공합니다. 또한 워크로드에 대한 다양한 고급 인텔리전트 보호 기능이 포함되어 있습니다. 워크로드 보호는 구독의 리소스 종류와 관련된 Microsoft Defender 계획을 통해 제공됩니다. 예를 들어 스토리지용 Microsoft Defender for Storage를 사용하도록 설정하여 스토리지 리소스와 관련된 의심스러운 활동에 대한 경고를 받을 수 있습니다.

한 루프 아래에서 모든 리소스 보호

클라우드용 Defender는 Azure 네이티브 서비스이므로 배포 없이도 많은 Azure 서비스가 모니터링되고 보호되지만 온-프레미스 또는 다른 퍼블릭 클라우드에 있는 리소스를 추가할 수도 있습니다.

필요한 경우 클라우드용 Defender는 Log Analytics 에이전트를 자동으로 배포하여 보안 관련 데이터를 수집할 수 있습니다. Azure 컴퓨터의 경우 배포가 직접 처리됩니다. 하이브리드 및 다중 클라우드 환경의 경우 Microsoft Defender 계획은 Azure Arc의 도움을 통해 비 Azure 머신으로 확장됩니다. CSPM 기능은 에이전트가 필요 없이 다중 클라우드 머신으로 확장됩니다(다른 클라우드에서 실행되는 리소스 방어 참조).

Azure 네이티브 리소스 방어

클라우드용 Defender를 사용하면 다음에서 위협을 탐지할 수 있습니다.

  • Azure PaaS 서비스 - Azure App Service, Azure SQL, Azure Storage 계정 및 기타 데이터 서비스를 포함한 Azure 서비스를 대상으로 하는 위협을 탐지합니다. 또한 클라우드 앱용 Microsoft Defender (이전의 Microsoft Cloud App Security)와의 네이티브 통합을 사용하여 Azure 활동 로그에서 변칙 검색을 수행할 수 있습니다.

  • Azure 데이터 서비스 - 클라우드용 Defender에는 Azure SQL에서 데이터를 자동으로 분류하는 데 도움이 되는 기능이 포함되어 있습니다. Azure SQL 및 Storage 서비스 전체의 잠재적 취약성 평가 및 취약성을 완화하는 방법에 대한 권장 사항을 확인할 수도 있습니다.

  • 네트워크 - 클라우드용 Defender를 사용하면 무차별 암호 대입 공격(brute force attack)에 대한 노출을 제한할 수 있습니다. Just-In-Time VM 액세스를 통해 가상 머신 포트에 대한 액세스를 줄이면 불필요한 액세스를 방지하여 네트워크를 강화할 수 있습니다. 권한 있는 사용자, 허용된 원본 IP 주소 범위 또는 IP 주소에 대해서만, 제한된 시간 동안 선택한 포트에 보안 액세스 정책을 설정할 수 있습니다.

온-프레미스 리소스 보호

Azure 환경을 방어하는 것 외에도 클라우드용 Defender기능을 하이브리드 클라우드 환경에 추가하여 비 Azure 서버를 보호할 수 있습니다. 가장 중요한 것에 집중할 수 있도록 특정 환경에 따라 사용자 지정된 위협 인텔리전스와 우선 순위가 지정된 경고를 받게 됩니다.

보호를 온-프레미스 컴퓨터로 확장하려면 Azure Arc를 배포하고 클라우드용 Defender의 향상된 보안 기능을 사용하도록 설정합니다. Azure Arc를 사용하여 비 Azure 머신 추가에서 자세히 알아보세요.

다른 클라우드에서 실행되는 리소스 방어

클라우드용 Defender는 다른 클라우드(예: AWS 및 GCP)의 리소스를 보호할 수 있습니다.

예를 들어 AWS(Amazon Web Services) 계정을 Azure 구독에 연결한 경우 다음과 같은 보호를 사용하도록 설정할 수 있습니다.

  • 클라우드용 Defender의 CSPM 기능은 AWS 리소스로 확장됩니다. 이 에이전트 없는 플랜은 AWS 관련 보안 권장 사항에 따라 AWS 리소스를 평가하며, 평가 결과는 보안 점수에 포함됩니다. 또한 리소스가 AWS(AWS CIS, AWS PCI DSS 및 AWS Foundational 보안 모범 사례)와 관련된 기본 제공 표준을 준수하는지 여부도 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리하는 데 도움이 되는 다중 클라우드 지원 기능입니다.
  • Kubernetes용 Microsoft Defender는 컨테이너 위협 탐지 및 고급 방어를 Amazon EKS Linux 클러스터로 확장합니다.
  • 서버용 Microsoft Defender는 위협 탐지 및 고급 방어를 Windows 및 Linux EC2 인스턴스로 확장합니다. 이 플랜에는 엔드포인트용 Microsoft Defender의 통합 라이선스, 보안 기준 및 OS 수준 평가, 취약성 평가 검사, AAC(적응형 애플리케이션 제어), FIM(파일 무결성 모니터링) 등이 포함됩니다.

AWSGCP 계정을 클라우드용 Microsoft Defender에 연결하는 방법에 대해 자세히 알아봅니다.

취약성이 악용되기 전에 닫기.

Microsoft Defender for Cloud의 평가 기능에 집중

클라우드용 Defender 에는 향상된 보안 기능의 일부로 가상 머신, 컨테이너 레지스트리 및 SQL 서버에 대한 취약성 평가 솔루션이 포함되어 있습니다. 일부 스캐너는 Qualys에서 구동됩니다. 그러나 Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 클라우드용 Defender 내에서 원활하게 처리됩니다.

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender에 대한 자동 네이티브 통합이 포함됩니다. 클라우드용 Defender의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender를 사용하여 엔드포인트 보호에서 자세히 알아보세요. 이 통합을 사용하도록 설정하면 Microsoft Defender 취약성 관리 취약성 결과에 액세스할 수 있습니다. 엔드포인트용 Microsoft Defender Defender 취약성 관리를 사용하여 약점 조사에 대해 자세히 알아보세요.

클라우드용 Defender 내에서 이러한 취약성 스캐너의 결과를 검토하고 모든 결과에 대응합니다. 이 광범위한 접근 방식을 통해 클라우드용 Defender는 모든 클라우드 보안 작업을 수행하기 위한 단일 창이 될 수 있습니다.

다음 페이지에서 자세히 알아보세요.

위에서 아래로 보안 정책 적용

Microsoft Defender for Cloud의 '보안' 기능에 집중

워크로드가 안전한지 알고 확인하는 것이 보안의 기본 사항이며, 이는 맞춤화된 보안 정책을 구현하는 것에서 시작됩니다. 클라우드용 Defender의 정책은 Azure Policy 제어를 기반으로 하여 빌드되므로 세계 최고 수준의 정책 솔루션의 전체 범위와 유연성을 얻을 수 있습니다. 클라우드용 Defender에서는 관리 그룹, 구독 전체 및 테넌트 전체에 대해 실행되는 정책을 설정할 수 있습니다.

클라우드용 Defender는 워크로드 전체에 배포되는 새 리소스를 지속적으로 검색하고 보안 모범 사례에 따라 구성되었는지 여부를 평가합니다. 그렇지 않은 경우 플래그가 지정되고 수정해야 하는 항목에 대해 우선 순위가 지정된 권장 사항 목록이 표시됩니다. 권장 사항은 각 리소스에서 공격 표면을 줄이는 데 도움이 됩니다.

권장 사항 목록은 Microsoft 클라우드 보안 벤치마크에서 사용하도록 설정되고 지원됩니다. 일반적인 규정 준수 프레임워크를 기반으로 하는 이 Microsoft 작성 벤치마크는 Azure에서 시작되었으며, 이제 여러 클라우드 환경에 보안 및 규정 준수 모범 사례에 대한 일련의 지침을 제공합니다. Microsoft 클라우드 보안 벤치마크 소개에서 자세히 알아봅니다.

클라우드용 Defender를 이 방식으로 사용하면 보안 정책을 설정할 뿐만 아니라 리소스 전체에 보안 구성 표준을 적용할 수도 있습니다.

Defender for Cloud 권장 사항 예

각 권장 사항이 전체 보안 상태에 중요한 정도를 이해하는 데 도움이 되도록 클라우드용 Defender는 권장 사항을 보안 제어로 그룹화하고 보안 점수 값을 각 제어에 추가합니다. 이는 보안 작업의 우선 순위를 지정하는 데 중요합니다.

Defender for Cloud 보안 점수

Defender 계획 및 외부 모니터링을 사용하여 클라우드용 Defender 확장

Microsoft Defender for Cloud의 '방어' 기능에 집중

다음을 사용하여 클라우드용 Defender 보호를 확장할 수 있습니다.

  • 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 네트워크 등에 대한 위한 고급 위협 방지 기능 - 이 방지 기능에는 Just-In-Time 액세스를 사용하여 VM의 관리 포트를 보호하고 적응형 애플리케이션 제어를 사용하여 컴퓨터에서 실행해야 하는 앱과 실행하지 않아야 하는 앱에 대한 허용 목록을 만들 수 있는 기능이 포함됩니다.

클라우드용 Microsoft Defender의 Defender 계획은 환경의 컴퓨팅, 데이터 및 서비스 계층에 대한 포괄적인 방어를 제공합니다.

워크로드 보호 대시보드의 고급 보호 타일을 사용하여 이러한 보호를 각각 모니터링하고 구성합니다.

IoT용 Microsoft Defender는 별도의 제품입니다. 모든 세부 정보는 IoT 용 Microsoft Defender소개에서 확인할 수 있습니다.

  • 보안 경고 - 클라우드용 Defender는 환경의 모든 영역에서 위협을 탐지하면 보안 경고를 생성합니다. 이러한 경고는 영향을 받는 리소스의 세부 정보, 제안된 수정 단계 및 경우에 따라 응답으로 논리 앱을 트리거하는 옵션을 설명합니다. 경고가 클라우드용 Defender에서 생성되었는지 또는 클라우드용 Defender가 통합 보안 제품에서 수신했는지 여부에 관계없이 내보낼 수 있습니다. 경고를 Microsoft Sentinel, 타사 SIEM 또는 기타 외부 도구로 내보내려면 SIEM, SOAR 또는 IT Service Management 솔루션으로 경고 스트리밍의 지침을 따릅니다. D클라우드용 Defender의 위협 방지에는 사이버 킬 체인 분석에 따라 환경에서 경고의 상관 관계를 자동으로 지정하는 융합 킬 체인 분석이 포함되어 공격 캠페인의 전체 스토리, 시작 위치 및 리소스에 대한 영향의 종류를 더 잘 이해할 수 있습니다. 클라우드용 Defender에서 지원하는 킬 체인 의도는 MITRE ATT&CK 행렬 버전 9를 기반으로 합니다.

자세한 정보

다음 블로그를 확인할 수도 있습니다.

다음 단계

  • 클라우드용 Defender를 시작하려면 Microsoft Azure에 대한 구독이 필요합니다. 구독이 없는 경우 평가판에 가입하세요.

  • 클라우드용 Defender의 무료 요금제는 Azure Portal에서 클라우드용 Defender 페이지를 처음 방문하거나 REST API를 통해 프로그래밍 방식으로 사용하도록 설정된 경우 현재의 모든 Azure 구독에서 사용하도록 설정됩니다. 고급 보안 관리 및 위협 탐지 기능을 활용하려면 향상된 보안 기능을 사용하도록 설정해야 합니다. 이러한 기능은 처음 30일 동안 무료입니다. 가격 책정에 대해 자세히 알아보세요.

  • 이제 향상된 보안 기능을 사용하도록 설정할 준비가 되었으면 빠른 시작: 향상된 보안 기능 사용에서 단계를 안내합니다.