계획 및 운영 가이드

  • 아티클

이 가이드는 Defender for Cloud를 사용할 계획인 IT(정보 기술) 전문가, IT 설계자, 정보 보안 분석가 및 클라우드 관리자를 위한 것입니다.

계획 가이드

이 가이드에서는 클라우드용 Defender가 조직의 보안 요구 사항 및 클라우드 관리 모델에 어떻게 부합하는지에 대한 백그라운드를 제공합니다. 조직의 다양한 개인이나 팀이 보안 개발 및 운영, 모니터링, 거버넌스 및 인시던트 대응 요구 사항을 충족하기 위해 서비스를 어떻게 사용하는지 이해해야 합니다. Defender for Cloud 사용을 계획할 때 고려해야 할 주요 영역은 다음과 같습니다.

  • 보안 역할 및 Access Control
  • 보안 정책 및 권장 사항
  • 데이터 수집 및 스토리지
  • 비 Azure 리소스 온보딩
  • 지속적인 보안 모니터링
  • 사고 대응

다음 섹션에서는 요구 사항에 따라 이러한 각각의 영역을 계획하고 권장 사항을 적용하는 방법에 대해 학습합니다.

참고 항목

디자인 및 계획 단계에서도 유용할 수 있는 일반적인 질문 목록을 보려면 클라우드용 Defender 일반적인 질문을 참조하세요.

보안 역할 및 액세스 제어

조직의 규모와 구조에 따라 여러 개인과 팀에서 클라우드용 Defender를 사용하여 다양한 보안 관련 업무를 수행할 수 있습니다. 다음 다이어그램에는 가상의 사용자와 그 역할 및 보안 책임의 예가 나와 있습니다.

Roles.

Defender for Cloud를 사용하면 이러한 개인이 다양한 책임을 이행할 수 있습니다. 다음은 그 예입니다.

Jeff(워크로드 소유자)

  • 클라우드 워크로드와 관련 리소스를 관리합니다.

  • 회사 보안 정책에 따라 보호를 구현하고 유지 관리하는 업무를 담당합니다.

Ellen(CISO/CIO)

  • 회사의 모든 보안 업무를 담당합니다.

  • 클라우드 워크로드에 걸쳐 회사의 보안 태세를 파악하고자 합니다.

  • 주요 공격 및 위험에 대해 숙지해야 합니다.

David(IT 보안)

  • 적절한 보호 조치가 마련되도록 회사 보안 정책을 설정합니다.

  • 정책 준수 여부를 모니터링합니다.

  • 경영진 또는 감사를 위한 보고서를 생성합니다.

Judy(보안 운영)

  • 언제든지 보안 경고를 모니터링하고 대응합니다.

  • 클라우드 워크로드 소유자 또는 IT 보안 분석가에게 보안 문제를 제기합니다.

Sam(보안 분석가)

  • 공격 여부를 조사합니다.

  • 클라우드 워크로드 소유자와 함께 해결책을 적용합니다.

클라우드용 Defender는 Azure의 사용자, 그룹 및 서비스에 할당할 수 있는 기본 제공 역할을 제공하는 Azure 역할 기반 액세스 제어(Azure Role-based 액세스 제어)를 사용합니다. 사용자가 Defender for Cloud를 열면 액세스 권한이 있는 리소스와 관련된 정보만 표시됩니다. 이는 구독 또는 리소스가 속한 리소스 그룹에 대한 소유자, 참가자 또는 읽기 권한자의 역할이 사용자에게 할당된다는 것을 의미합니다. 기본 제공 역할 외에도 클라우드용 Defender와 관련된 두 가지 역할이 있습니다.

  • 보안 읽기 권한자: 이 역할에 속하는 사용자는 권장 사항, 경고, 정책 및 상태가 포함된 Defender for Cloud 구성만 볼 수 있지만 변경할 수는 없습니다.

  • 보안 관리자: 보안 읽기 권한자와 동일하지만 보안 정책을 업데이트하고 권장 사항 및 경고를 해제할 수 있습니다.

이전 다이어그램에서 설명한 가상 사용자에는 다음과 같은 Azure 역할 기반 액세스 제어 역할이 필요합니다.

Jeff(워크로드 소유자)

  • 리소스 그룹 소유자/기여자.

Ellen(CISO/CIO)

  • 구독 소유자/기여자 또는 보안 관리자

David(IT 보안)

  • 구독 소유자/기여자 또는 보안 관리자

Judy(보안 운영)

  • 경고를 보는 구독 읽기 권한자 또는 보안 읽기 권한자.

  • 경고를 해제하는 데 필요한 구독 소유자/기여자 또는 보안 관리자.

Sam(보안 분석가)

  • 경고를 보는 구독 읽기 권한자.

  • 경고를 해제하는 데 필요한 구독 소유자/기여자.

  • 작업 영역에 대한 액세스가 필요할 수 있습니다.

고려가 필요한 몇 가지 다른 중요 정보:

  • 구독 소유자/참가자 및 보안 관리자만이 보안 정책을 편집할 수 있습니다.

  • 구독 및 리소스 그룹 소유자 및 참가자만이 리소스에 대한 보안 권장 사항을 적용할 수 있습니다.

클라우드용 Defender에 대한 Azure 역할 기반 액세스 제어를 사용하여 액세스 제어를 계획할 때는 조직에서 누가 클라우드용 Defender에 액세스해야 하는지 이해해야 합니다. 그런 다음 Azure 역할 기반 액세스 제어를 올바르게 구성할 수 있습니다.

참고 항목

사용자가 자신의 작업을 완료하는 데 필요한 최소한의 역할을 할당하는 것이 좋습니다. 예를 들어, 리소스의 보안 상태에 대한 정보를 보기만 하고 권장 사항 적용이나 정책 편집 등의 조치는 취하지 않는 사용자라면 읽기 권한자 역할을 할당해야 합니다.

보안 정책 및 권장 사항

보안 정책은 워크로드에서 원하는 구성을 정의하고 회사 또는 규정 보안 요구 사항을 준수하는 데 도움이 됩니다. Defender for Cloud에서는 Azure 구독에 대한 정책을 정의할 수 있습니다. 이는 워크로드 유형 또는 데이터 민감도에 맞게 조정할 수 있습니다.

클라우드용 Defender 정책에는 다음 구성 요소가 포함되어 있습니다.

  • 데이터 컬렉션: 에이전트 프로비전 및 데이터 컬렉션 설정입니다.

  • 보안 정책: 클라우드용 Defender에서 모니터링하고 권장하는 컨트롤을 결정하는 Azure Policy. Azure Policy를 사용하여 새 정의를 만들고, 더 많은 정책을 정의하고, 관리 그룹에 걸쳐 정책을 할당할 수도 있습니다.

  • 전자 메일 알림: 보안 연락처 및 알림 설정입니다.

  • 가격 책정 계층: 범위 내 리소스에 사용할 수 있는 클라우드용 Defender 기능을 결정하는 클라우드용 Microsoft Defender의 계획을 사용하는지 여부에 관계없이 API를 사용하여 구독 및 작업 영역에 대해 지정할 수 있습니다.

참고 항목

보안 연락처를 지정하면 보안 인시던트가 발생할 경우 Azure가 조직의 적절한 사람에게 연락할 수 있습니다. 이 권장 사항을 사용하도록 설정하는 방법에 대한 자세한 내용은 Defender for Cloud에서 보안 연락처 세부 정보 제공을 참고하세요.

보안 정책 정의 및 권장 사항

Defender for Cloud는 각 Azure 구독에 대한 기본 보안 정책을 자동으로 만듭니다. 클라우드용 Defender에서 정책을 편집하거나 Azure Policy를 사용하여 새 정의를 만들고, 더 많은 정책을 정의하고, 관리 그룹에 정책을 할당할 수 있습니다. 관리 그룹은 전체 조직 또는 조직 내 사업부를 나타낼 수 있습니다. 이러한 관리 그룹에서 정책 준수를 모니터링할 수 있습니다.

보안 정책을 구성하기 전에 각 보안 권장 사항을 검토합니다.

  • 이러한 정책이 다양한 구독 및 리소스 그룹에 적합한지 확인합니다.

  • 보안 권장 사항을 해결하는 작업을 이해합니다.

  • 조직에서 새 권장 사항을 모니터링하고 수정할 책임이 있는 사용자를 결정합니다.

데이터 수집 및 스토리지

클라우드용 Defender는 Log Analytics 및 Azure Monitor 에이전트를 사용하여 가상 머신에서 보안 데이터를 수집합니다. 이 에이전트에서 수집된 데이터는 Log Analytics 작업 영역에 저장됩니다.

에이전트

보안 정책에서 자동 프로비저닝을 사용하도록 설정하면 데이터 수집 에이전트가 지원되는 모든 Azure VM 및 새로 지원되는 모든 VM에 설치됩니다. VM 또는 컴퓨터가 Log Analytics 에이전트에 이미 설치되어 있는 경우 클라우드용 Defender는 현재 설치된 에이전트를 사용합니다. 에이전트의 프로세스는 사용자 작업에 영향을 미치지 않으며 VM의 성능에도 최소한의 영향을 미칩니다.

데이터 수집을 사용하지 않으려는 특정 지점의 경우 보안 정책에서 수집을 해제할 수 있습니다. 그러나 Log Analytics 에이전트는 다른 Azure 관리 및 모니터링 서비스에서 사용할 수 있으므로 클라우드용 Defender에서 데이터 수집을 해제하는 경우 에이전트가 자동으로 제거되지 않습니다. 필요한 경우 에이전트를 수동으로 제거할 수 있습니다.

참고 항목

지원되는 VM 목록을 찾으려면 클라우드용 Defender 일반적인 질문을 참조하세요.

작업 영역

작업 영역은 데이터에 대한 컨테이너 역할을 하는 Azure 리소스입니다. 사용자나 조직의 다른 구성원이 여러 개의 작업 영역을 사용하여 IT 인프라 전체 또는 일부에서 수집되는 각 데이터 집합을 관리할 수 있습니다.

Log Analytics 에이전트에서 수집된 데이터는 Azure 구독 또는 새 작업 영역에 연결된 기존 Log Analytics 작업 영역 중 하나에 저장됩니다.

Azure Portal에서 Defender for Cloud에서 만든 항목을 포함하여 Log Analytics 작업 영역 목록을 찾아볼 수 있습니다. 새 작업 영역에 관련된 리소스 그룹이 만들어집니다. 리소스는 다음 명명 규칙에 따라 생성됩니다.

  • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]

  • 리소스 그룹: DefaultResourceGroup-[geo]

Defender for Cloud에서 만든 작업 영역의 경우 데이터는 30일 동안 보존됩니다. 기존 작업 영역의 경우 작업 영역 가격 책정 계층에 따라 보존됩니다. 원하는 경우 기존 작업 영역을 사용할 수도 있습니다.

에이전트가 기본 작업 영역이 아닌 다른 작업 영역에 보고하는 경우 구독에서 사용하도록 설정한 클라우드용 Defender의 Defender 플랜은 작업 영역에서도 사용하도록 설정되어야 합니다.

참고 항목

Microsoft는 이 데이터의 개인 정보 및 보안을 보호하기 위해 노력하고 있습니다. Microsoft는 코딩부터 서비스에 이르기까지 엄격한 규정 준수 및 보안 지침을 따릅니다. 데이터 처리 및 개인 정보 보호에 대한 자세한 내용은 Defender for Cloud 데이터 보안을 참조하세요.

비 Azure 리소스 온보딩

Defender for Cloud에서 비 Azure 컴퓨터의 보안 상태를 모니터링할 수 있지만, 먼저 이러한 리소스를 온보딩해야 합니다. 비 Azure 리소스를 온보딩하는 방법에 대한 자세한 내용은 비 Azure 컴퓨터 온보딩을 참조하세요.

지속적인 보안 모니터링

Defender for Cloud 권장 사항을 초기에 구성하고 적용한 후 다음 단계는 Defender for Cloud 운영 프로세스를 고려하는 것입니다.

클라우드용 Defender 개요는 모든 Azure 리소스 및 연결한 비 Azure 리소스에 대한 통합된 보안 보기를 제공합니다. 이 예에서는 해결해야 할 문제가 많은 환경을 보여 줍니다.

Screenshot of Defender for Cloud's overview page.

참고 항목

클라우드용 Defender는 일반적인 운영 절차를 방해하지 않습니다. 클라우드용 Defender는 배포를 수동적으로 모니터링하고 사용하도록 설정된 보안 정책을 기반으로 권장 사항을 제공합니다.

현재 Defender for Cloud를 Azure 환경에 처음으로 사용하도록 선택하는 경우 권장 사항 페이지에서 수행할 수 있는 모든 권장 사항을 검토해야 합니다.

위협 인텔리전스 옵션을 일별 보안 작업의 일부로 방문할 계획입니다. 거기에서 특정 컴퓨터가 봇네트의 일부인지 식별하는 등 환경에 대한 보안 위협을 식별할 수 있습니다.

새 또는 변경된 리소스 모니터링

대부분의 Azure 환경은 동적이며, 리소스가 정기적으로 생성, 확장 또는 축소, 분리, 재구성 및 변경됩니다. Defender for Cloud는 이러한 새 리소스의 보안 상태에 가시성을 확보하는 데 도움이 됩니다.

Azure 환경에 새 리소스(VM, SQL DB)를 추가하면 클라우드용 Defender는 이러한 리소스를 자동으로 검색하고 PaaS 웹 역할 및 작업자 역할을 포함하여 보안을 모니터링하기 시작합니다. 보안 정책에서 데이터 수집을 사용하도록 설정한 경우 가상 머신에 대해 더 많은 모니터링 기능이 자동으로 적용됩니다.

또한 기존 리소스를 정기적으로 모니터링하여 보안 위험을 초래하고 권장 기준에 미치지 못하는 구성 변경 내용과 보안 경고를 확인해야 합니다.

액세스 및 애플리케이션 강화

또한 보안 작업의 일환으로 VM에 대한 액세스 권한을 제한하는 예방 조치를 채택하고 VM에서 실행되는 애플리케이션을 제어해야 합니다. Azure VM에 인바운드 트래픽을 잠금으로써 공격에 대한 노출을 줄이고 동시에 필요할 때 VM에 쉽게 연결할 수 있는 액세스 권한을 제공합니다. Just-In-Time VM 액세스 기능을 사용하여 VM에 대한 액세스 권한을 강화합니다.

적응형 애플리케이션 제어를 사용하여 Azure에 있는 VM에서 실행할 수 있는 애플리케이션을 제한할 수 있습니다. 다른 이점 중에서 적응형 애플리케이션 제어는 맬웨어에 대한 VM을 강화하는 데 도움이 됩니다. 클라우드용 Defender는 기계 학습의 도움으로 VM에서 실행 중인 프로세스를 분석하여 허용 목록 규칙을 만드는 데 도움을 줍니다.

인시던트 대응

위협이 발생하면 Defender for Cloud에서 이를 탐지하여 사용자에게 경고합니다. 조직에서는 새 보안 경고를 모니터링하고 필요에 따라 조치를 통해 추가적인 조사를 수행하거나 공격에 대처해야 합니다. Defender for Cloud 위협 방지가 작동하는 방법에 대한 자세한 내용은 Defender for Cloud에서 위협을 탐지하고 대응하는 방법을 참조하세요.

인시던트 대응 계획을 만들 수는 없지만 클라우드 수명 주기에서 Microsoft Azure 보안 대응을 인시던트 대응 단계의 기초로 사용합니다. 클라우드 수명 주기의 인시던트 대응 단계는 다음과 같습니다.

Stages of the incident response in the cloud lifecycle.

참고 항목

자체 계획을 마련할 때는 NIST(National Institute of Standards and Technology) 컴퓨터 보안 인시던트 처리 가이드 를 사용할 수 있습니다.

다음 단계에서는 클라우드용 Defender 경고를 사용할 수 있습니다.

  • 감지: 하나 이상의 리소스에서 의심스러운 작업을 식별합니다.

  • 평가: 초기 평가를 수행하여 의심스러운 작업에 대한 자세한 정보를 가져옵니다.

  • 진단: 수정 단계를 사용하여 문제를 해결하는 기술 절차를 수행합니다.

각 보안 경고는 공격의 근원을 더 잘 이해하는 데 도움이 될 수 있는 정보를 제공하며 가능한 해결 방법을 제안합니다. 일부 경고에서는 Azure 내부의 타 정보원이나 다른 추가 정보에 대한 링크를 제공할 수 있습니다. 완화를 시작하려면 다시 추가 검색에 제공되는 정보를 사용하고 작업 영역에 저장되어 있는 보안 관련 데이터를 검색할 수도 있습니다.

다음 예제에서는 미심쩍은 RDP 활동이 발생하고 있음을 보여줍니다.

Suspicious activity.

이 페이지에서는 공격 발생 시간, 소스 호스트 이름, 대상 VM과 관련한 자세한 내용을 표시하며 권장 단계를 제공합니다. 경우에 따라 공격의 원본 정보가 비어 있을 수 있습니다. 이 유형의 동작에 대한 자세한 내용은 클라우드용 Defender 경고에 누락된 원본 정보를 참조하세요.

손상된 시스템을 식별하면 이전에 만든 워크플로 자동화를 실행할 수 있습니다. 워크플로 자동화는 경고에서 트리거되면 클라우드용 Defender에서 실행할 수 있는 절차 모음입니다.

참고 항목

인시던트 대응 프로세스 중에 Defender for Cloud 기능을 사용하여 도움을 받는 방법에 대한 자세한 내용은 Defender for Cloud에서 보안 경고 관리 및 대응을 참고하세요.

다음 단계

이 문서에서는 Defender for Cloud 채택을 계획하는 방법에 대해 알아보았습니다. 클라우드용 Defender에 대해 자세히 알아보세요.