SaaS 앱에 권장되는 클라우드용 Microsoft Defender 앱 정책
클라우드용 Microsoft Defender 앱은 다운로드, 업로드, 복사 및 붙여넣기 및 인쇄 차단과 같은 SaaS 앱을 사용하여 세부적인 작업을 실시간으로 모니터링하고 제어할 수 있도록 Microsoft Entra 조건부 액세스 정책을 기반으로 합니다. 이 기능은 관리되지 않는 디바이스 또는 게스트 사용자가 회사 리소스에 액세스하는 경우와 같이 내재된 위험을 수반하는 세션에 보안을 추가합니다.
또한 클라우드용 Defender 앱은 기본적으로 Microsoft Purview Information Protection과 통합되어 중요한 정보 유형 및 민감도 레이블을 기반으로 중요한 데이터를 찾고 적절한 조치를 취하기 위한 실시간 콘텐츠 검사를 제공합니다.
이 지침에는 다음 시나리오에 대한 권장 사항이 포함되어 있습니다.
- IT 관리에 SaaS 앱 가져오기
- 특정 SaaS 앱에 대한 보호 조정
- 데이터 보호 규정을 준수하도록 Microsoft Purview DLP(데이터 손실 방지) 구성
IT 관리에 SaaS 앱 가져오기
클라우드용 Defender 앱을 사용하여 SaaS 앱을 관리하는 첫 번째 단계는 이러한 앱을 검색한 다음 Microsoft Entra 테넌트에 추가하는 것입니다. 검색에 도움이 필요한 경우 네트워크에서 SaaS 앱 검색 및 관리를 참조하세요. 앱을 검색한 후 Microsoft Entra 테넌트에 추가합니다.
다음을 수행하여 관리를 시작할 수 있습니다.
- 먼저 Microsoft Entra ID에서 새 조건부 액세스 정책을 만들고 "조건부 액세스 앱 제어 사용"으로 구성합니다. 그러면 요청을 클라우드용 Defender 앱으로 리디렉션됩니다. 하나의 정책을 만들고 이 정책에 모든 SaaS 앱을 추가할 수 있습니다.
- 다음으로, 클라우드용 Defender 앱에서 세션 정책을 만듭니다. 적용하려는 각 컨트롤에 대해 하나의 정책을 만듭니다.
SaaS 앱에 대한 권한은 일반적으로 앱에 대한 액세스에 대한 비즈니스 요구 사항을 기반으로 합니다. 이러한 권한은 매우 동적일 수 있습니다. 클라우드용 Defender 앱 정책을 사용하면 사용자가 시작 지점, 엔터프라이즈 또는 특수 보안 보호와 연결된 Microsoft Entra 그룹에 할당되었는지 여부에 관계없이 앱 데이터를 보호합니다.
SaaS 앱 컬렉션에서 데이터를 보호하기 위해 다음 다이어그램에서는 필요한 Microsoft Entra 조건부 액세스 정책과 클라우드용 Defender 앱에서 만들 수 있는 제안된 정책을 보여 줍니다. 이 예제에서는 클라우드용 Defender 앱에서 만든 정책이 관리하는 모든 SaaS 앱에 적용됩니다. 이러한 컨트롤은 디바이스가 관리되는지 여부와 파일에 이미 적용된 민감도 레이블에 따라 적절한 컨트롤을 적용하도록 설계되었습니다.
다음 표에서는 Microsoft Entra ID에서 만들어야 하는 새 조건부 액세스 정책을 나열합니다.
| 보호 수준 | 정책 | 자세한 정보 |
|---|---|---|
| 모든 보호 수준 | 클라우드용 Defender 앱에서 조건부 액세스 앱 제어 사용 | 그러면 IdP(Microsoft Entra ID)가 클라우드용 Defender 앱에서 작동하도록 구성됩니다. |
다음 표에는 모든 SaaS 앱을 보호하기 위해 만들 수 있는 위에 설명된 예제 정책이 나와 있습니다. 사용자 고유의 비즈니스, 보안 및 규정 준수 목표를 평가한 다음 환경에 가장 적합한 보호를 제공하는 정책을 만들어야 합니다.
| 보호 수준 | 정책 |
|---|---|
| 시작 지점 | 관리되지 않는 디바이스에서 트래픽 모니터링 관리되지 않는 디바이스에서 파일 다운로드에 보호 추가 |
| Enterprise | 중요하거나 관리되지 않는 디바이스에서 분류된 레이블이 지정된 파일의 다운로드 차단(브라우저 전용 액세스 제공) |
| 특수 보안 | 모든 디바이스에서 분류된 레이블이 지정된 파일의 다운로드 차단(브라우저 전용 액세스 제공) |
조건부 액세스 앱 제어를 설정하기 위한 엔드 투 엔드 지침은 주요 앱에 대한 조건부 액세스 앱 제어 배포를 참조 하세요. 이 문서에서는 Microsoft Entra ID에서 필요한 조건부 액세스 정책을 만들고 SaaS 앱을 테스트하는 프로세스를 안내합니다.
자세한 내용은 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.
특정 SaaS 앱에 대한 보호 조정
환경의 특정 SaaS 앱에 추가 모니터링 및 컨트롤을 적용할 수 있습니다. 클라우드용 Defender 앱을 사용하면 이 작업을 수행할 수 있습니다. 예를 들어 Box와 같은 앱이 사용자 환경에서 많이 사용되는 경우 더 많은 컨트롤을 적용하는 것이 좋습니다. 또는 법률 또는 재무 부서가 중요한 비즈니스 데이터에 특정 SaaS 앱을 사용하는 경우 이러한 앱에 대한 추가 보호를 대상으로 지정할 수 있습니다.
예를 들어 다음과 같은 유형의 기본 제공 변칙 검색 정책 템플릿을 사용하여 Box 환경을 보호할 수 있습니다.
- 익명 IP 주소에서의 활동
- 자주 실행하지 않는 국가/지역의 활동
- 의심스러운 IP 주소에서의 활동
- 이동 불가능
- 종료된 사용자가 수행한 작업(IdP로 Microsoft Entra ID 필요)
- 맬웨어 검색
- 여러 번의 로그인 시도 실패
- 랜섬웨어 활동
- 위험한 Oauth 앱
- 비정상적인 파일 공유 작업
이는 예에 불과합니다. 추가 정책 템플릿이 정기적으로 추가됩니다. 특정 앱에 추가 보호를 적용하는 방법의 예는 연결된 앱 보호를 참조 하세요.
클라우드용 Defender 앱이 Box 환경을 보호하는 방법은 Box 및 기타 앱에서 중요한 데이터로 비즈니스 데이터를 보호하는 데 도움이 되는 컨트롤 유형을 보여 줍니다.
데이터 보호 규정을 준수하도록 DLP(데이터 손실 방지) 구성
클라우드용 Defender 앱은 규정 준수 규정 보호를 구성하는 데 유용한 도구가 될 수 있습니다. 이 경우 특정 정책을 만들어 규정이 적용되는 특정 데이터를 찾고 각 정책이 적절한 조치를 취하도록 구성합니다.
다음 그림과 표에서는 GDPR(일반 데이터 보호 규정)을 준수하도록 구성할 수 있는 정책의 몇 가지 예를 제공합니다. 이러한 예제에서 정책은 특정 데이터를 찾습니다. 데이터의 민감도에 따라 각 정책은 적절한 조치를 취하도록 구성됩니다.
| 보호 수준 | 예제 정책 |
|---|---|
| 시작 지점 | 이 중요한 정보 유형("신용 카드 번호")이 포함된 파일이 조직 외부에서 공유되는 경우 경고 관리되지 않는 디바이스에 대한 이 중요한 정보 유형("신용 카드 번호")이 포함된 파일의 다운로드 차단 |
| Enterprise | 관리되는 디바이스에 대한 이 중요한 정보 유형("신용 카드 번호")이 포함된 파일 다운로드 보호 관리되지 않는 디바이스에 대한 이 중요한 정보 유형("신용 카드 번호")이 포함된 파일의 다운로드 차단 이러한 레이블이 있는 파일이 비즈니스용 OneDrive 또는 Box에 업로드될 때 경고(고객 데이터, 인사: 급여 데이터, 인사, 직원 데이터) |
| 특수 보안 | 이 레이블이 있는 파일("고도로 분류됨")이 관리되는 디바이스에 다운로드되는 경우 경고 이 레이블("고도로 분류됨")을 사용하여 관리되지 않는 디바이스에 대한 파일 다운로드 차단 |
다음 단계
클라우드용 Defender 앱 사용에 대한 자세한 내용은 클라우드용 Microsoft Defender Apps 설명서를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기