클라우드용 Microsoft Defender에서 권한 관리 사용(미리 보기)

  • 아티클

개요

CIEM(클라우드 인프라 권한 관리)은 조직이 클라우드 인프라에서 사용자 액세스 및 자격을 관리하고 제어하는 데 도움이 되는 보안 모델입니다. CIEM은 특정 리소스에 액세스할 수 있는 사용자 또는 대상에 대한 표시 여부를 제공하는 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 솔루션의 중요한 구성 요소입니다. 이는 앱 및 서비스와 같은 사용자 또는 워크로드 ID가 작업을 수행하는 데 필요한 최소한의 액세스 수준만 받는 PoLP(최소 권한 원칙)를 준수하도록 액세스 권한을 보장합니다.

Microsoft는 클라우드용 Microsoft Defender(CNAPP)Microsoft Entra 사용 권한 관리(CIEM)를 통해 CNAPP 및 CIEM 솔루션을 모두 제공합니다. 권한 관리 기능을 클라우드용 Defender와 통합하면 클라우드 환경에서 과도한 권한 또는 잘못된 구성으로 인해 발생할 수 있는 보안 위반 방지가 강화됩니다. 클라우드 권한을 지속적으로 모니터링하고 관리함으로써 권한 관리는 공격 표면을 검색하고, 잠재적 위협을 검색하고, 액세스 권한 규모를 적절하게 조정하고, 규정 표준 준수를 유지하는 데 도움이 됩니다. 따라서 클라우드 기반 애플리케이션을 보호하고 클라우드에서 중요한 데이터를 보호하기 위해 클라우드용 Defender의 기능을 통합하고 보강하는 데 권한 관리의 인사이트가 필수적입니다.

이 통합은 다음과 같이 Microsoft Entra 사용 권한 관리 도구 모음에서 파생된 인사이트를 클라우드용 Microsoft Defender 포털로 가져옵니다. 자세한 내용은 기능 매트릭스를 참조하세요.

일반적인 사용 사례 및 시나리오

Microsoft Entra 사용 권한 관리 기능은 Defender CSPM(클라우드 보안 태세 관리) 계획 내에서 중요한 구성 요소로 원활하게 통합됩니다. 통합 기능은 기본이며 클라우드용 Microsoft Defender 내에서 필수 기능을 제공합니다. 이러한 추가 기능을 사용하면 권한 분석, 활성 ID에 대해 사용되지 않은 권한, 과도한 권한이 부여된 ID를 추적하고 이를 완화하여 최소 권한의 모범 사례를 지원할 수 있습니다.

클라우드용 Defender 대시보드의 권장 사항 탭에 있는 액세스 및 권한 관리 보안 제어에서 새로운 권장 사항을 찾을 수 있습니다.

필수 구성 요소 검토

측면 세부 정보
필수/기본 설정 환경 요구 사항 Defender CSPM
이러한 기능은 Defender CSPM 계획에 포함되어 있으며 추가 라이선스가 필요하지 않습니다.
필요한 역할 및 권한 AWS/GCP
보안 관리자
Application.ReadWrite.All

Azure
보안 관리자
Microsoft.Authorization/roleAssignments/write
클라우드 Azure, AWS 및 GCP 상용 클라우드
국가/소버린(미국 정부, 중국 정부, 기타 정부)

Azure에 대한 권한 관리 사용

  1. Azure Portal에 로그인합니다.

  2. 상단 검색 상자에서 클라우드용 Microsoft Defender를 검색합니다.

  3. 왼쪽 메뉴에서 관리/환경 설정을 선택합니다.

  4. DCSPM CIEM 계획을 활성화하려는 Azure 구독을 선택합니다.

  5. Defender 계획 페이지에서 Defender CSPM 계획이 켜져 있는지 확인합니다.

  6. 계획 설정을 선택하고 권한 관리 확장을 활성화합니다.

  7. 계속을 선택합니다.

  8. 저장을 선택합니다.

  9. 몇 초 후에 다음을 확인할 수 있습니다.

    • 사용자의 구독에는 클라우드 인프라 권한 관리 애플리케이션에 대한 새로운 읽기 권한자 할당이 있습니다.

    • 새로운 Azure CSPM(미리 보기) 표준이 구독에 할당됩니다.

    Azure에 대한 권한 관리를 사용하도록 설정하는 방법 스크린샷

  10. 몇 시간 내에 구독에 적용 가능한 권한 관리 권장 사항을 확인할 수 있습니다.

  11. 권장 사항 페이지로 이동하여 관련 환경 필터가 선택되어 있는지 확인합니다. 다음 권장 사항을 필터링하는 이니셔티브= "Azure CSPM(미리 보기)"을 기준으로 필터링합니다(해당하는 경우).

Azure 권장 사항:

  • Azure 초과 프로비전된 ID에는 필요한 권한만 있어야 합니다.
  • Azure 환경의 슈퍼 ID를 제거해야 합니다.
  • Azure 환경에서 사용하지 않는 ID를 제거해야 합니다.

AWS에 대한 권한 관리 사용

다음 단계에 따라 AWS 계정을 클라우드용 Defender에 연결합니다.

  1. 선택한 계정/프로젝트의 경우:

    • 목록에서 ID를 선택하고 설정 | Defender 계획 페이지가 열립니다.

    • 페이지 하단에서 다음: 계획 선택 > 단추를 선택합니다.

  2. Defender CSPM 계획을 사용하도록 설정합니다. 계획이 이미 사용하도록 설정된 경우 설정을 선택하고 권한 관리 기능을 활성화합니다.

  3. 새로운 권한 관리 기능이 포함된 계획을 사용하도록 설정하려면 마법사 지침을 따릅니다.

    AWS에 대한 권한 관리 계획을 사용하도록 설정하는 방법 스크린샷

  4. 액세스 구성을 선택한 다음 적절한 권한 형식을 선택합니다. 배포 방법('AWS CloudFormation' / 'Terraform' 스크립트)을 선택합니다.

  5. 배포 템플릿은 기본 역할 ARN 이름으로 자동 채워집니다. 하이퍼링크를 선택하여 역할 이름을 사용자 지정할 수 있습니다.

  6. AWS 환경에서 업데이트된 CFT/terraform 스크립트를 실행합니다.

  7. 저장을 선택합니다.

  8. 몇 초 후에 새로운 AWS CSPM(미리 보기) 표준이 보안 커넥터에 할당된 것을 확인할 수 있습니다.

    AWS에 대한 권한 관리를 사용하도록 설정하는 방법 스크린샷

  9. 몇 시간 내에 AWS 보안 커넥터에 적용 가능한 권한 관리 권장 사항이 표시됩니다.

  10. 권장 사항 페이지로 이동하여 관련 환경 필터가 선택되어 있는지 확인합니다. 다음 권장 사항을 반환하는 이니셔티브= "AWS CSPM(미리 보기)"로 필터링합니다(해당되는 경우).

AWS 추천:

  • AWS 초과 프로비전된 자격 증명에는 필요한 권한만 있어야 합니다.

  • AWS 환경에서 사용하지 않는 ID는 제거해야 합니다.

참고 항목

권한 관리(미리 보기) 통합을 통해 제공되는 권장 사항은 Azure Resource Graph에서 프로그래밍 방식으로 사용할 수 있습니다.

GCP에 대한 권한 관리 사용

클라우드용 Microsoft Defender에 GCP 계정을 연결하려면 다음 단계를 따릅니다.

  1. 선택한 계정/프로젝트의 경우:

    • 목록에서 ID를 선택하고 설정 | Defender 계획 페이지가 열립니다.

    • 페이지 하단에서 다음: 계획 선택 > 단추를 선택합니다.

  2. Defender CSPM 계획을 사용하도록 설정합니다. 계획이 이미 사용하도록 설정된 경우 설정을 선택하고 권한 관리 기능을 활성화합니다.

  3. 새로운 권한 관리 기능이 포함된 계획을 사용하도록 설정하려면 마법사 지침을 따릅니다.

  4. GCP 환경에서 업데이트된 CFT/terraform 스크립트를 실행합니다.

  5. 저장을 선택합니다.

  6. 몇 초 후에 새로운 GCP CSPM(미리 보기) 표준이 보안 커넥터에 할당된 것을 확인할 수 있습니다.

    GCP에 대한 권한 관리를 사용하도록 설정하는 방법 스크린샷

  7. 몇 시간 내에 GCP 보안 커넥터에 적용 가능한 권한 관리 권장 사항이 표시됩니다.

  8. 권장 사항 페이지로 이동하여 관련 환경 필터가 선택되어 있는지 확인합니다. 다음 권장 사항을 반환하는 이니셔티브= "GCP CSPM(미리 보기)"로 필터링합니다(해당하는 경우).

GCP 권장 사항:

  • GCP 초과 프로비전된 ID에는 필요한 권한만 있어야 합니다.

  • GCP 환경에서 사용되지 않는 슈퍼 ID를 삭제해야 합니다.

  • GCP 환경에서 사용하지 않는 ID를 삭제해야 합니다.

알려진 제한 사항

  • 처음에 Microsoft Entra 사용 권한 관리에 온보딩된 AWS 또는 GCP 계정은 클라우드용 Microsoft Defender를 통해 통합할 수 없습니다.

기능 매트릭스

통합 기능은 Defender CSPM 계획의 일부로 제공되며 MEPM(Microsoft Entra 사용 권한 관리) 라이선스가 필요하지 않습니다. MEPM에서 받을 수 있는 추가 기능에 대해 자세히 알아보려면 기능 매트릭스를 참조하세요.

범주 기능 Defender for Cloud 사용 권한 관리
검색 Azure, AWS, GCP에서 위험한 ID(미사용 ID, 초과 프로비전된 활성 ID, 슈퍼 ID 포함)에 대한 권한 검색
검색 다중 클라우드 환경(Azure, AWS, GCP) 및 모든 ID에 대한 PCI(권한 크리프 인덱스)
검색 Azure, AWS, GCP의 모든 ID, 그룹에 대한 권한 검색
검색 Azure, AWS, GCP의 권한 사용량 현황 분석, 역할/정책 할당
검색 ID 공급자 지원(AWS IAM ID 센터, Okta, G Suite 포함)
수정 권한 자동 삭제
수정 권한을 연결/분리하여 ID를 수정합니다.
수정 자격 증명, 그룹 등의 작업을 기반으로 사용자 지정 역할/AWS 정책 생성
수정 Microsoft Entra 관리 센터, API, ServiceNow 앱을 통해 사용자 및 워크로드 ID에 대한 요청 시 권한(시간 제한 액세스)입니다.
Monitor Machine Learning 기반 이상 탐지
Monitor 작업 기반, 규칙 기반 경고
Monitor 상황에 맞는 포렌식 보고서(예: PCI 기록 보고서, 사용자 권한 및 사용 보고서 등)

다음 단계