워크로드는 종종 여러 클라우드 플랫폼에 걸쳐 있으므로 클라우드 보안 서비스는 동일한 작업을 수행해야 합니다. 클라우드용 Microsoft Defender는 AWS(Amazon Web Services)에서 워크로드를 보호하는 데 도움이 되지만, AWS 클라우드용 Defender 간의 연결을 설정해야 합니다.
다음 스크린샷은 Defender for Cloud 개요 대시보드에 표시된 AWS 계정을 보여 줍니다.
Defender for Cloud in the Field 비디오 시리즈의 클라우드용 Defender의 새 AWS 커넥터 비디오를 시청하여 자세히 알아볼 수 있습니다.
참고
Microsoft Sentinel에 연결된 AWS 계정이 있는 경우 Defender for Cloud에 연결할 수 없습니다. 커넥터가 올바르게 작동하는지 확인하려면 Sentinel에 연결된 AWS 계정을 Defender for Cloud에 연결에 대한 지침을 따릅니다.
AWS 인증 프로세스
Defender for Cloud 및 AWS는 페더레이션 인증을 사용합니다. 인증과 관련된 모든 리소스는 다음을 포함하여 CloudFormation 템플릿 배포의 일부로 생성됩니다.
- ID 공급자(OpenID Connect)
- 페더레이션 보안 주체가 있는 IAM(Identity and Access Management) 역할(ID 공급자에 연결됨).
클라우드 간 인증 프로세스의 아키텍처는 다음과 같습니다.
Defender for Cloud CSPM 서비스는 RS256 알고리즘을 사용하여 Entra ID로 서명된 유효 수명이 1시간인 Entra 토큰을 획득합니다.
Entra 토큰은 AWS 단기 자격 증명으로 교환되고 Cloud의 CSPM용 Defender 서비스는 CSPM IAM 역할(웹 ID로 가정)을 가정합니다.
역할의 주체는 트러스트 관계 정책에 정의된 페더레이션 ID이므로 AWS ID 공급자는 다음을 포함하는 프로세스를 통해 Entra ID에 대해 Entra 토큰의 유효성을 검사합니다.
- 잠재 고객 유효성 검사
- 토큰 디지털 서명 유효성 검사
- 인증서 지문
Defender for Cloud CSPM 역할은 트러스트 관계에 정의된 유효성 검사 조건이 충족된 후에만 가정됩니다. 역할 수준에 대해 정의된 조건은 AWS 내에서 유효성 검사에 사용되며 클라우드용 Microsoft Defender CSPM 애플리케이션(유효성 검사된 대상 그룹)만 특정 역할에 액세스하도록 허용합니다(다른 Microsoft 토큰은 허용하지 않음).
AWS ID 공급자가 Entra 토큰의 유효성을 검사한 후 AWS STS는 CSPM 서비스가 AWS 계정을 검사하는 데 사용하는 AWS 단기 자격 증명과 토큰을 교환합니다.
필수 구성 요소
이 문서의 절차를 완료하려면 다음이 필요합니다.
Microsoft Azure 구독 Azure 구독이 없는 경우 무료 구독에 등록할 수 있습니다.
Azure 구독에 Microsoft Defender for Cloud가 설정됩니다.
AWS 계정에 대한 액세스 권한이 필요합니다.
관련 Azure 구독에 대한 기여자 수준 권한.
CSPM용 Defender의 일부로 CIEM을 사용하는 경우 커넥터를 사용하도록 설정하는 사용자에게는 테넌트에 대한 보안 관리자 역할 및 Application.ReadWrite.All 권한 도 필요합니다.
참고
AWS 커넥터는 국가 정부 클라우드(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)에서 사용할 수 없습니다.
네이티브 커넥터 계획 요구 사항
각 계획에는 네이티브 커넥터에 대한 고유한 요구 사항이 있습니다.
컨테이너용 Microsoft Defender 계획을 선택하는 경우 다음이 필요합니다.
- EKS Kubernetes API 서버에 대한 액세스 권한이 있는 하나 이상의 Amazon EKS 클러스터. 새 EKS 클러스터를 만들어야 하는 경우 Amazon EKS 시작 – eksctl의 지침을 따릅니다.
- 클러스터 지역에서 새로운 Amazon SQS 큐,
Kinesis Data Firehose전송 스트림 및 Amazon S3 버킷을 만들기 위한 리소스 용량입니다.
AWS 계정 연결
중요합니다
AWS 계정이 이미 Microsoft Sentinel에 연결된 경우 Defender for Cloud에 연결할 수 없습니다. 커넥터가 올바르게 작동하는지 확인하려면 Sentinel에 연결된 AWS 계정을 Defender for Cloud에 연결에 대한 지침을 따릅니다.
네이티브 커넥터를 사용하여 AWS를 클라우드용 Defender에 연결하려면 다음을 수행합니다.
Azure Portal에 로그인 합니다.
Defender for Cloud>Environment 설정으로 이동합니다.
환경> 추가Amazon Web Services를 선택합니다.
커넥터 리소스를 저장할 위치를 포함하여 AWS 계정 세부 정보를 입력합니다.
AWS 지역 드롭다운을 사용하면 Defender for Cloud가 API를 호출하는 지역을 선택할 수 있습니다. 드롭다운에서 선택 취소된 모든 지역은 클라우드용 Defender가 해당 지역에 API 호출을 하지 않음을 의미합니다.
AWS 환경을 4, 6, 12 또는 24시간마다 검사할 간격을 선택합니다.
일부 데이터 수집기는 고정된 검사 간격으로 실행되며 사용자 지정 간격 구성의 영향을 받지 않습니다. 다음 표에서는 제외된 각 데이터 수집기의 고정 검사 간격을 보여줍니다.
데이터 수집기 이름 스캔 간격 EC2Instance
ECRImage
ECRRepository
RDSDBInstance
S3Bucket
S3버킷태그
S3Region
EKSCluster
EKS 클러스터 이름
EKSNodegroup
EKS노드그룹이름
AutoScalingAutoScalingGroup1시간 EcsClusterArn
EcsService
EcsServiceArn
ECS 작업 정의
EcsTaskDefinitionArn
Ecs 작업 정의 태그
AWS 정책 버전 (AwsPolicyVersion)
지역정책버전 (LocalPolicyVersion)
AwsEntitiesForPolicy (정책을 위한 AWS 엔티티들)
정책을 위한 로컬 엔티티
BucketEncryption
버킷 정책 (BucketPolicy)
S3 퍼블릭 액세스 블록 구성 (S3PublicAccessBlockConfiguration)
BucketVersioning
S3LifecycleConfiguration
버킷 정책 상태
S3 복제 구성
S3 접근 제어 목록
S3BucketLoggingConfig
공용 액세스 차단 구성12시간 참고
(선택 사항) 관리 계정을 선택하여 관리 계정에 대한 커넥터를 만듭니다. 그런 다음 제공된 관리 계정에서 검색된 각 멤버 계정에 대해 커넥터가 만들어집니다. 새로 온보딩된 모든 계정에 대해서도 자동 프로비전이 사용하도록 설정됩니다.
(선택 사항) AWS 지역 드롭다운 메뉴를 사용하여 검사할 특정 AWS 지역을 선택합니다. 기본적으로 모든 지역이 선택됩니다.
다음으로, 이 AWS 계정에 사용하도록 설정할 클라우드용 Defender 계획을 검토하고 선택합니다.
Defender 계획 선택
마법사의 이 섹션에서는 사용하려는 클라우드용 Defender 계획을 선택합니다.
다음 선택: 계획을 선택합니다.
계획 선택 탭에서는 이 AWS 계정에 사용할 클라우드용 Defender 기능을 선택합니다. 각 계획에는 사용 권한에 대한 자체 요구 사항이 있으며 요금이 부과될 수 있습니다.
중요합니다
권장 사항의 현재 상태를 표시하기 위해 Microsoft Defender 클라우드 보안 태세 관리 계획은 하루에 여러 번 AWS 리소스 API를 쿼리합니다. 이러한 읽기 전용 API 호출은 요금이 발생하지 않지만 읽기 이벤트에 대한 내역을 사용하도록 설정하면 CloudTrail에 등록됩니다.
AWS의 설명서 에서는 하나의 추적을 유지하는 데 추가 요금이 부과되지 않는다고 설명합니다. AWS에서 데이터를 내보내는 경우(예: 외부 SIEM 시스템으로) 증가한 이 호출 양으로 인해 수집 비용도 증가할 수 있습니다. 이러한 경우 클라우드용 Defender 사용자 또는 ARN 역할:
arn:aws:iam::[accountId]:role/CspmMonitorAws에서 읽기 전용 호출을 필터링하는 것이 좋습니다. (기본 역할 이름입니다. 계정에 구성된 역할 이름을 확인합니다.)기본적으로 서버 계획은 켜기로 설정됩니다. 이 설정은 서버용 Defender의 적용 범위를 AWS EC2로 확장하는 데 필요합니다. Azure Arc에 대한 네트워크 요구 사항을 충족했는지 확인합니다.
필요에 따라 구성 을 선택하여 필요에 따라 구성을 편집합니다.
참고
EC2 인스턴스 또는 더 이상 존재하지 않는 GCP 가상 머신에 대한 각 Azure Arc 서버(및 연결이 끊어지거나 만료된 각 Azure Arc 서버)는 7일 후에 제거됩니다. 이 프로세스는 관련 없는 Azure Arc 엔터티를 제거하여 기존 인스턴스와 관련된 Azure Arc 서버만 표시되도록 합니다.
기본적으로 컨테이너 계획은 켜기로 설정됩니다. 이 설정은 컨테이너용 Defender가 AWS EKS 클러스터를 보호하도록 하는 데 필요합니다. Defender for Containers 계획에 대한 네트워크 요구 사항을 충족했는지 확인합니다.
참고
Azure Arc 지원 Kubernetes, Defender용 Azure Arc 확장 및 Kubernetes용 Azure Policy를 설치해야 합니다. Amazon Elastic Kubernetes Service 클러스터 보호에 설명된 대로 전용 Defender for Cloud 권장 사항을 사용하여 확장(및 필요한 경우 Azure Arc)을 배포합니다.
필요에 따라 구성 을 선택하여 필요에 따라 구성을 편집합니다. 이 구성을 해제하도록 선택하면 위협 감지(컨트롤 플레인) 기능도 사용하지 않도록 설정됩니다. 기능 가용성에 대해 자세히 알아봅니다.
기본적으로 데이터베이스 계획은 켜기로 설정됩니다. 이 설정은 SQL용 Defender의 적용 범위를 AWS EC2 및 RDS Custom for SQL Server 및 RDS의 오픈 소스 관계형 데이터베이스로 확장하는 데 필요합니다.
(선택 사항) 필요에 따라 구성 을 편집하려면 구성을 선택합니다. 기본 구성으로 설정된 상태로 두는 것이 좋습니다.
액세스 구성을 선택하고 다음을 선택합니다.
a. 배포 유형 선택:
- 기본 액세스: Defender for Cloud에서 리소스를 검색하고 향후 기능을 자동으로 포함할 수 있습니다.
- 최소 권한 액세스: 선택한 계획에 필요한 현재 권한에 대해서만 Defender for Cloud 액세스 권한을 부여합니다. 최소 권한 권한을 선택하는 경우 커넥터 상태에 대한 전체 기능을 가져오는 데 필요한 새 역할 및 권한에 대한 알림을 받게 됩니다.
b. 배포 방법( AWS CloudFormation 또는 Terraform)을 선택합니다.
참고
관리 계정에 커넥터를 만들기 위해 관리 계정을 선택한 경우 Terraform을 사용하여 온보딩하기 위한 탭이 UI에 표시되지 않지만, AWS/GCP 환경을 Terraform을 사용해 Microsoft Defender for Cloud에 온보딩하기와 유사하게 Terraform을 사용하여 온보딩할 수 있습니다.
선택한 배포 방법에 대한 화면상의 지침에 따라 AWS에 대한 필수 종속성을 완료합니다. 관리 계정을 온보딩하는 경우 Stack 및 StackSet로 CloudFormation 템플릿을 실행해야 합니다. 온보딩 후 최대 24시간 동안 멤버 계정에 대한 커넥터가 만들어집니다.
다음: 검토 및 생성을 선택합니다.
만들기를 선택합니다.
클라우드용 Defender는 AWS 리소스 검사를 즉시 시작합니다. 보안 권장 사항은 몇 시간 내에 나타납니다.
AWS 계정에 CloudFormation 템플릿 배포
AWS 계정을 클라우드용 Microsoft Defender에 연결하는 과정에서 CloudFormation 템플릿을 AWS 계정에 배포합니다. 이 템플릿은 연결에 필요한 모든 리소스를 만듭니다.
스택(또는 마스터 계정이 있는 경우 StackSet)을 사용하여 CloudFormation 템플릿을 배포합니다. 템플릿을 배포할 때 스택 만들기 마법사는 다음 옵션을 제공합니다.
Amazon S3 URL: 자체 보안 구성을 사용하여 다운로드한 CloudFormation 템플릿을 사용자 고유의 S3 버킷에 업로드합니다. AWS 배포 마법사에서 S3 버킷의 URL을 입력합니다.
템플릿 파일 업로드: AWS는 CloudFormation 템플릿이 저장되는 S3 버킷을 자동으로 만듭니다. S3 버킷 자동화에
S3 buckets should require requests to use Secure Socket Layer권장 사항이 나타나는 보안 구성이 잘못되었습니다. 다음 정책을 적용하여 이 권장 사항을 수정할 수 있습니다.{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "<S3_Bucket ARN>", "<S3_Bucket ARN>/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }참고
AWS 관리 계정을 온보딩할 때 CloudFormation StackSets를 실행할 때 다음과 같은 오류 메시지가 나타날 수 있습니다.
You must enable organizations access to operate a service managed stack set이 오류는 AWS 조직에 대해 신뢰할 수 있는 액세스를 사용하도록 설정하지 않았음을 나타냅니다.
이 오류 메시지를 해결하기 위해 CloudFormation StackSets 페이지에는 신뢰할 수 있는 액세스를 사용하도록 선택할 수 있는 단추가 있는 프롬프트가 있습니다. 신뢰할 수 있는 액세스를 사용하도록 설정한 후 CloudFormation Stack을 다시 실행해야 합니다.
AWS 리소스 모니터링
클라우드용 Defender의 보안 권장 사항 페이지에는 AWS 리소스가 표시됩니다. 환경 필터를 사용하여 클라우드용 Defender에서 다중 클라우드 기능을 활용할 수 있습니다.
리소스 종류별로 리소스에 대한 모든 활성 권장 사항을 보려면 클라우드용 Defender의 자산 인벤토리 페이지를 사용하고 관심 있는 AWS 리소스 종류로 필터링합니다.
Microsoft Defender XDR과 통합
클라우드용 Defender를 활성화하면 해당 보안 경고가 자동으로 Microsoft Defender 포털에 통합됩니다.
클라우드용 Microsoft Defender와 Microsoft Defender XDR의 통합은 클라우드 환경을 Microsoft Defender XDR로 가져옵니다. 클라우드용 Defender의 경고 및 클라우드 상관관계가 Microsoft Defender XDR에 통합되어 SOC 팀은 이제 단일 인터페이스에서 모든 보안 정보에 액세스할 수 있습니다.
Microsoft Defender XDR에서 클라우드용 Defender의 경고에 대해 자세히 알아봅니다.
자세한 정보
다음 블로그를 확인합니다.
리소스 정리
이 문서의 리소스를 정리할 필요가 없습니다.
다음 단계
AWS 계정 연결은 클라우드용 Microsoft Defender에서 사용할 수 있는 다중 클라우드 환경의 일부입니다.
- 워크로드 소유자에게 액세스 권한을 할당합니다.
- Defender for Cloud를 사용하여 모든 리소스를 보호합니다.
- 온-프레미스 머신 및 GCP 프로젝트를 설정합니다.
- AWS 계정 온보딩에 대한 일반적인 질문에 대한 답변을 얻습니다.
- 다중 클라우드 커넥터 문제를 해결합니다.