Share via

Microsoft Defender for Cloud Apps 대한 아키텍처 요구 사항 및 주요 개념 검토

  • 아티클

적용 대상:

  • Microsoft Defender XDR

이 문서는 Microsoft Defender XDR 함께 Microsoft Defender for Cloud Apps 대한 평가 환경을 설정하는 프로세스의 3단계 중 1단계입니다. 이 프로세스에 대한 자세한 내용은 개요 문서를 참조하세요.

Microsoft Defender for Cloud Apps 사용하도록 설정하기 전에 아키텍처를 이해하고 요구 사항을 충족할 수 있는지 확인합니다.

아키텍처 이해

Microsoft Defender for Cloud Apps CASB(클라우드 액세스 보안 브로커)입니다. CASB는 사용자가 어디에 있든 사용 중인 디바이스에 관계없이 엔터프라이즈 사용자와 사용하는 클라우드 리소스 간에 실시간으로 액세스를 중개하는 게이트키퍼 역할을 합니다. Microsoft Defender for Cloud Apps 기본적으로 Microsoft Defender XDR 포함한 Microsoft 보안 기능과 통합됩니다.

Defender for Cloud Apps가 없으면 사용자는 관리 또는 보안 보호 없이 클라우드 앱에 직접 액세스합니다.

관리 또는 보호 없이 클라우드 앱 트래픽을 보내는 사용자를 보여 주는 다이어그램

클라우드 앱 검색

클라우드 앱 사용을 관리하는 첫 번째 단계는 organization 사용되는 클라우드 앱을 검색하는 것입니다. 다음 다이어그램에서는 클라우드 검색이 Defender for Cloud Apps에서 작동하는 방식을 보여 줍니다.

클라우드 검색을 사용하는 Microsoft Defender for Cloud Apps 아키텍처를 보여 주는 다이어그램

이 그림에는 네트워크 트래픽을 모니터링하고 organization 사용되는 클라우드 앱을 검색하는 데 사용할 수 있는 두 가지 방법이 있습니다.

  1. Cloud App Discovery는 기본적으로 엔드포인트용 Microsoft Defender 통합됩니다. 엔드포인트용 Defender는 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스되는 클라우드 앱 및 서비스를 보고합니다.
  2. 네트워크에 연결된 모든 디바이스에서 적용할 수 있도록 Defender for Cloud Apps 로그 수집기는 엔드포인트에서 데이터를 수집하기 위해 방화벽 및 기타 프록시에 설치됩니다. 이 데이터는 분석을 위해 Defender for Cloud Apps로 전송됩니다.

클라우드 앱 관리

클라우드 앱을 검색하고 organization 이러한 앱을 사용하는 방법을 분석한 후 선택한 클라우드 앱 관리를 시작할 수 있습니다.

클라우드 앱을 관리하기 위한 Microsoft Defender for Cloud Apps 아키텍처를 보여 주는 다이어그램

이 그림의 내용:

  • 일부 앱은 사용이 허가됩니다. 이 제재는 앱을 관리하기 시작하는 간단한 방법입니다.
  • 앱 커넥터와 앱을 연결하여 더 큰 가시성 및 제어를 사용하도록 설정할 수 있습니다. 앱 커넥터는 앱 공급자의 API를 사용합니다.

클라우드 앱에 세션 컨트롤 적용

Microsoft Defender for Cloud Apps 역방향 프록시 역할을 하여 승인된 클라우드 앱에 대한 프록시 액세스를 제공합니다. 이 프로비저닝을 통해 Defender for Cloud Apps는 사용자가 구성하는 세션 컨트롤을 적용할 수 있습니다.

프록시 액세스 세션 제어를 사용하는 Microsoft Defender for Cloud Apps 대한 아키텍처를 보여 주는 다이어그램

이 그림의 내용:

  • organization 사용자 및 디바이스에서 승인된 클라우드 앱에 대한 액세스는 Defender for Cloud Apps를 통해 라우팅됩니다.
  • 이 프록시 액세스를 사용하면 세션 컨트롤을 적용할 수 있습니다.
  • 승인하지 않았거나 명시적으로 허가되지 않은 클라우드 앱은 영향을 받지 않습니다.

세션 컨트롤을 사용하면 organization 클라우드 앱을 사용하는 방법에 매개 변수를 적용할 수 있습니다. 예를 들어 organization Salesforce를 사용하는 경우 관리되는 디바이스만 Salesforce에서 organization 데이터에 액세스할 수 있도록 하는 세션 정책을 구성할 수 있습니다. 더 간단한 예제는 더 엄격한 정책을 적용하기 전에 이 트래픽의 위험을 분석할 수 있도록 관리되지 않는 디바이스의 트래픽을 모니터링하는 정책을 구성하는 것입니다.

조건부 액세스 앱 제어와 Microsoft Entra ID 통합

다단계 인증 및 기타 조건부 액세스 정책을 적용하기 위해 Microsoft Entra 테넌트에 SaaS 앱이 이미 추가되었을 수 있습니다. Microsoft Defender for Cloud Apps 기본적으로 Microsoft Entra ID 통합됩니다. 클라우드용 Defender 앱에서 조건부 액세스 앱 제어를 사용하도록 Microsoft Entra ID 정책을 구성하기만 하면 됩니다. 이렇게 하면 Defender for Cloud Apps를 통해 이러한 관리되는 SaaS 앱에 대한 네트워크 트래픽을 프록시로 라우팅하므로 Defender for Cloud Apps에서 이 트래픽을 모니터링하고 세션 제어를 적용할 수 있습니다.

SaaS 앱을 사용하는 Microsoft Defender for Cloud Apps 대한 아키텍처를 보여 주는 다이어그램

이 그림의 내용:

  • SaaS 앱은 Microsoft Entra 테넌트와 통합됩니다. 이 통합을 통해 Microsoft Entra ID 다단계 인증을 포함한 조건부 액세스 정책을 적용할 수 있습니다.
  • SaaS 앱의 트래픽을 Defender for Cloud Apps로 전송하기 위한 정책이 Microsoft Entra ID 추가됩니다. 정책은 이 정책을 적용할 SaaS 앱을 지정합니다. 따라서 Microsoft Entra ID 이러한 SaaS 앱에 적용되는 조건부 액세스 정책을 적용한 후 Microsoft Entra ID Defender for Cloud Apps를 통해 세션 트래픽을 지시(프록시)합니다.
  • Defender for Cloud Apps는 이 트래픽을 모니터링하고 관리자가 구성한 모든 세션 제어 정책을 적용합니다.

Microsoft Entra ID 추가되지 않은 클라우드용 Defender 앱을 사용하여 클라우드 앱을 검색하고 승인했을 수 있습니다. 이러한 클라우드 앱을 Microsoft Entra 테넌트와 조건부 액세스 규칙의 scope 추가하여 조건부 액세스 앱 제어를 활용할 수 있습니다.

해커로부터 organization 보호

Defender for Cloud Apps는 자체적으로 강력한 보호를 제공합니다. 그러나 Microsoft Defender XDR 다른 기능과 결합하면 Defender for Cloud Apps는 (함께) 공격을 중지하는 데 도움이 되는 공유 신호에 데이터를 제공합니다.

개요에서 이 Microsoft Defender XDR 평가 및 파일럿 가이드에 이르기까지 이 그림을 반복하는 것이 좋습니다.

Microsoft Defender XDR 위협 체인을 중지하는 방법을 보여 주는 다이어그램

Microsoft Defender for Cloud Apps 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 통지하고 이러한 동작을 보안 팀에 보고합니다. Defender for Cloud Apps는 해커의 횡적 이동과 중요한 데이터의 반출을 방지하는 데 도움이 됩니다. 클라우드용 Microsoft 356 Defender는 모든 구성 요소의 신호를 상호 연결하여 전체 공격 스토리를 제공합니다.

주요 개념 이해

다음 표에서는 Microsoft Defender for Cloud Apps 평가, 구성 및 배포할 때 이해하는 데 중요한 주요 개념을 확인했습니다.

개념 설명 추가 정보
Defender for Cloud Apps 대시보드 organization 대한 가장 중요한 정보에 대한 개요를 제공하고 심층 조사에 대한 링크를 제공합니다. dashboard 작업
조건부 액세스 앱 컨트롤. IdP(ID 공급자)와 통합되어 Microsoft Entra 조건부 액세스 정책을 제공하고 세션 제어를 선택적으로 적용하는 역방향 프록시 아키텍처입니다. Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호
클라우드 앱 카탈로그 클라우드 앱 카탈로그는 80개 이상의 위험 요소를 기반으로 순위가 매겨지고 점수가 매겨진 16,000개가 넘는 클라우드 앱의 Microsoft 카탈로그에 대한 전체 그림을 제공합니다. 앱 위험 점수 작업
Cloud Discovery 대시보드 Cloud Discovery는 트래픽 로그를 분석하고 클라우드 앱이 organization 사용되는 방식에 대한 더 많은 인사이트를 제공하고 경고 및 위험 수준을 제공하도록 설계되었습니다. 검색된 앱 작업
연결된 앱 Defender for Cloud Apps는 조건부 앱 액세스 제어를 사용하여 클라우드-클라우드 통합, API 커넥터 및 실시간 액세스 및 세션 제어를 사용하여 연결된 앱에 대한 엔드 투 엔드 보호를 제공합니다. 연결된 앱 보호

아키텍처 요구 사항 리뷰

클라우드 앱 검색

사용자 환경에서 사용되는 클라우드 앱을 검색하려면 다음 방법 중 하나 또는 둘 다를 구현할 수 있습니다.

  • 엔드포인트용 Microsoft Defender 통합하여 Cloud Discovery를 빠르게 시작하고 실행합니다. 이 네이티브 통합을 사용하면 Windows 11 및 Windows 10 디바이스의 네트워크 내/오프라인에서 클라우드 트래픽에 대한 데이터 수집을 즉시 시작할 수 있습니다.
  • 네트워크에 연결된 모든 디바이스에서 액세스하는 모든 클라우드 앱을 검색하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포합니다. 이 배포는 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps로 보냅니다. Defender for Cloud Apps는 기본적으로 더 많은 기능을 위해 일부 타사 프록시와 통합됩니다.

이러한 옵션은 2단계에 포함되어 있습니다. 평가 환경을 사용하도록 설정합니다.

클라우드 앱에 Microsoft Entra 조건부 액세스 정책 적용

조건부 액세스 앱 제어(클라우드 앱에 조건부 액세스 정책을 적용하는 기능)를 사용하려면 Microsoft Entra ID 통합해야 합니다. 이 통합은 Defender for Cloud Apps를 시작하기 위한 요구 사항이 아닙니다. 파일럿 단계인 3단계 중에 사용해 보도록 권장하는 단계입니다. 파일럿 Microsoft Defender for Cloud Apps.

SIEM 통합

Microsoft Defender for Cloud Apps 일반 SIEM 서버 또는 Microsoft Sentinel과 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다.

또한 Microsoft Sentinel에는 Microsoft Sentinel과의 심층 통합을 제공하는 Microsoft Defender for Cloud Apps 커넥터가 포함되어 있습니다. 이러한 배치를 통해 클라우드 앱에 대한 가시성을 얻을 뿐만 아니라 정교한 분석을 통해 사이버 위협을 식별하고 방지하고 데이터 이동 방식을 제어할 수 있습니다.

다음 단계

2/3단계: Microsoft Defender for Cloud Apps 평가 환경을 사용하도록 설정합니다.

Microsoft Defender for Cloud Apps 평가 개요로 돌아갑니다.

평가 및 파일럿 Microsoft Defender XDR 대한 개요로 돌아갑니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.