다음을 통해 공유

인프라 통합

인프라는 조직의 IT 서비스를 지원하는 데 필요한 하드웨어, 소프트웨어, 마이크로 서비스, 네트워킹 인프라 및 시설로 구성됩니다. 제로 트러스트 인프라 솔루션은 이러한 서비스에 대한 보안 위협을 평가, 모니터링 및 방지합니다.

제로 트러스트 인프라 솔루션은 인프라 리소스에 대한 액세스가 명시적으로 확인되고, 최소 권한 액세스 원칙을 사용하여 액세스 권한을 부여하며, 위반을 가정하고 인프라에서 보안 위협을 찾고 수정하는 메커니즘을 마련하여 제로 트러스트의 원칙을 지원합니다.

이 지침은 Microsoft 제품과 통합하여 인프라 보안 솔루션을 향상하려는 소프트웨어 공급자 및 기술 파트너를 위한 것입니다.

인프라용 제로 트러스트 통합 가이드

이 통합 가이드에는 클라우드용 Microsoft Defender 및 통합 클라우드 워크로드 보호 계획인 Microsoft Defender for ... (서버, 컨테이너, 데이터베이스, 스토리지, App Services 등)와 통합하기 위한 전략 및 지침이 포함되어 있습니다.

이 지침에는 가장 인기 있는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동화 응답), EDR(엔드포인트 검색 및 응답) 및 ITSM(IT 서비스 관리) 솔루션과의 통합이 포함됩니다.

제로 트러스트 및 Defender for Cloud

제로 트러스트 인프라 배포 지침은 인프라에 대한 제로 트러스트 전략의 주요 단계를 제공합니다.

  1. 선택한 표준 및 정책 준수 평가
  2. 간격을 찾을 때마다 구성 강화
  3. JIT(Just-In-Time) VM 액세스와 같은 다른 강화 도구 사용
  4. 위협 탐지 및 보호 설정
  5. 위험한 동작을 자동으로 차단 및 플래그 지정하고 보호 조치를 취합니다.

인프라 배포 지침에 설명된 목표에서 클라우드용 Defender의 핵심 측면에 대한 명확한 매핑이 있습니다.

제로 트러스트 목표 클라우드용 Defender 기능
규정 준수 평가 Defender for Cloud에서 모든 구독에는 자동으로 기본 보안 이니셔티브로 할당된 MCSB(Microsoft 클라우드 보안 벤치마크)가 있습니다.
보안 점수 도구규정 준수 대시보드를 사용하여 고객의 보안 상태를 깊이 이해할 수 있습니다.
구성 강화 보안 이니셔티브를 구독에 할당하고 보안 점수를 검토하여 Defender for Cloud에 기본 제공되는 강화 권장 사항 으로 이어집니다. Defender for Cloud는 리소스의 규정 준수 상태를 주기적으로 분석하여 잠재적인 보안 구성 오류 및 약점을 식별합니다. 그런 다음 이러한 문제를 해결하는 방법에 대한 권장 사항을 제공합니다.
강화 메커니즘 사용 또한 보안 오류에 대한 일회성 수정 사항인 Defender for Cloud에는 다음과 같은 리소스를 더욱 강화하는 기능이 포함되어 있습니다.
JIT(Just-In-Time) VM(가상 머신) 액세스
적응형 네트워크 강화
적응형 애플리케이션 제어.
위협 감지 설정 Defender for Cloud는 위협 감지 및 대응을 위한 통합 클라우드 워크로드 보호 계획을 제공합니다. 이 계획은 고급, 지능형, Azure, 하이브리드 및 다중 클라우드 리소스 및 워크로드를 보호합니다.
Microsoft Defender 계획 중 하나인 서버용 Defender에는 엔드포인트용 Microsoft Defender와의 네이티브 통합이 포함됩니다.
클라우드용 Microsoft Defender 소개에서 자세히 알아보세요.
의심스러운 동작 자동 차단 Defender for Cloud의 많은 강화 권장 사항은 거부 옵션을 제공합니다. 이 기능을 사용하면 정의된 강화 조건을 충족하지 않는 리소스 생성을 방지할 수 있습니다. 강제 적용/거부 권장 사항을 사용하여 잘못된 구성 방지에 대해 자세히 알아봅니다.
의심스러운 동작에 자동으로 플래그 지정 고급 검색은 클라우드용 Microsoft Defender의 보안 경고를 트리거합니다. Defender for Cloud는 문제를 신속하게 조사하는 데 필요한 정보와 함께 경고의 우선 순위를 지정하고 나열합니다. 또한 Defender for Cloud는 공격을 수정하는 데 도움이 되는 자세한 단계를 제공합니다. 사용 가능한 경고의 전체 목록은 보안 경고 - 참조 가이드를 참조하세요.

Defender for Cloud를 사용하여 Azure PaaS 서비스 보호

구독에서 Defender for Cloud를 사용하도록 설정하고 사용 가능한 모든 리소스 종류에 대해 Defender 워크로드 보호 계획을 사용하도록 설정하면 Azure Key Vault, Azure Storage, Azure DNS 및 기타 Azure PaaS 서비스에서 리소스를 보호하는 지능형 위협 방지 계층이 있습니다. 전체 목록은 지원 매트릭스에 나열된 PaaS 서비스를 참조하세요.

Azure 논리 앱

Azure Logic Apps를 사용하여 자동화된 확장성 있는 워크플로, 비즈니스 프로세스 및 엔터프라이즈 오케스트레이션을 빌드하여 클라우드 서비스 및 온-프레미스 시스템에 앱과 데이터를 통합합니다.

Defender for Cloud의 워크플로 자동화 기능을 사용하면 Defender for Cloud 트리거에 대한 응답을 자동화할 수 있습니다.

이 방법은 위협이 검색될 때 자동화되고 일관된 방식으로 정의하고 대응하는 좋은 방법입니다. 예를 들어 관련 관련자에게 알리려면 변경 관리 프로세스를 시작하고 위협이 감지되면 특정 수정 단계를 적용합니다.

SIEM, SOAR 및 ITSM 솔루션과 클라우드용 Defender 통합

클라우드용 Microsoft Defender는 가장 인기 있는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동화 응답) 및 ITSM(IT 서비스 관리) 솔루션으로 보안 경고를 스트리밍할 수 있습니다.

다음을 포함하여 현재 사용 중인 가장 인기 있는 모든 솔루션에서 경고 데이터를 볼 수 있도록 하기 위한 Azure 네이티브 도구가 있습니다.

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM의 QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender for Cloud는 기본적으로 Microsoft의 클라우드 네이티브 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션인 Microsoft Sentinel과 통합됩니다.

클라우드용 Defender 데이터가 Microsoft Sentinel에 표시되도록 하는 두 가지 방법이 있습니다.

Microsoft Graph 보안 API를 사용하여 경고 스트리밍

Defender for Cloud는 Microsoft Graph Security API와 기본 통합을 제공합니다. 구성이 필요하지 않으며 추가 비용이 없습니다.

이 API를 사용하여 전체 테넌트 (및 다른 많은 Microsoft 보안 제품의 데이터)의 경고를 타사 SIEM 및 기타 인기 있는 플랫폼으로 스트리밍할 수 있습니다.

Microsoft Graph 보안 API에 대해 자세히 알아봅니다.

Azure Monitor를 사용하여 경고 스트리밍

Defender for Cloud의 연속 내보내기 기능을 사용하여 Azure Event Hubs를 통해 Azure Monitor와 Defender for Cloud를 연결하고 경고를 ArcSight, SumoLogic, Syslog 서버, LogRhythm, Logz.io Cloud Observability Platform 및 기타 모니터링 솔루션으로 스트리밍합니다.

Azure Monitor를 사용하여 Stream 경고에 대해 자세히 알아봅니다.

Azure Policy를 사용하여 관리 그룹 수준에서 이 작업을 수행할 수도 있습니다. 대규모로 연속 내보내기 자동화 구성 만들기를 참조하세요.

팁 (조언)

내보낸 데이터 형식의 이벤트 스키마를 보려면 Event Hubs 이벤트 스키마를 방문하세요.

엔드포인트 검색 및 응답(EDR) 솔루션과 클라우드용 Defender 통합

엔드포인트용 Microsoft Defender

엔드포인트용 Microsoft Defender 는 전체적인 클라우드 제공 엔드포인트 보안 솔루션입니다.

서버용 Microsoft Defender 에는 엔드포인트용 Microsoft Defender에 대한 통합 라이선스가 포함되어 있습니다. 함께 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다. 자세한 내용은 엔드포인트 보호를 참조하세요.

엔드포인트용 Defender가 위협을 감지하면 경고가 트리거됩니다. 경고는 Defender for Cloud에 표시되며 엔드포인트용 Defender 콘솔로 피벗하여 자세한 조사를 수행하고 공격 범위를 파악할 수 있습니다. 엔드포인트용 Microsoft Defender에 대해 자세히 알아보세요.

기타 EDR 솔루션

Defender for Cloud는 MCSB(Microsoft 클라우드 보안 벤치마크)의 지침에 따라 조직의 리소스를 보호하도록 강화된 권장 사항을 제공합니다. 벤치마크의 컨트롤 중 하나는 엔드포인트 보안과 관련이 있습니다. ES-1: EDR(엔드포인트 검색 및 응답) 사용.

Defender for Cloud에는 엔드포인트 보호를 사용하도록 설정하고 잘 실행되도록 하는 두 가지 권장 사항이 있습니다. 이러한 권장 사항은 다음에서 EDR 솔루션의 현재 상태 및 작동 상태를 확인합니다.

  • Trend Micro
  • 시만텍 시만텍
  • McAfee
  • Sophos

클라우드용 Microsoft Defender의 Endpoint Protection 평가 및 권장 사항에 대해 자세히 알아보세요.

하이브리드 및 다중 클라우드 시나리오에 제로 트러스트 전략 적용

클라우드 워크로드는 일반적으로 여러 클라우드 플랫폼에 걸쳐 있으므로 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

클라우드용 Microsoft Defender는 Azure, 온-프레미스, AWS(Amazon Web Services) 또는 GCP(Google Cloud Platform)에서 실행되는 모든 워크로드를 보호합니다.

온-프레미스 머신과 클라우드용 Defender 통합

하이브리드 클라우드 워크로드를 보호하기 위해 온-프레미스 컴퓨터를 Azure Arc 지원 서버에 연결하여 클라우드용 Defender의 보호를 확장할 수 있습니다.

비 Azure 머신을 Cloud용 Defender에 연결에서 머신을 연결하는 방법에 대해 알아봅니다.

Defender for Cloud를 다른 클라우드 환경과 통합

Defender for Cloud에서 Amazon Web Services 머신의 보안 상태를 보려면 AWS 계정을 Defender for Cloud에 온보딩합니다. 이 방법은 클라우드용 Defender 권장 사항 및 AWS Security Hub 결과에 대한 통합 보기를 위해 AWS Security Hub와 클라우드용 Microsoft Defender를 통합하고 AWS 계정을 클라우드용 Microsoft Defender에 연결에 설명된 대로 다양한 이점을 제공합니다.

Defender for Cloud에서 Google Cloud Platform 머신의 보안 상태를 보려면 GCP 계정을 Defender for Cloud에 온보딩합니다. 이 방법은 클라우드용 Defender 권장 사항 및 GCP 보안 명령 센터 결과에 대한 통합 보기를 위해 GCP 보안 명령과 클라우드용 Microsoft Defender를 통합하고 GCP 계정을 클라우드용 Microsoft Defender에 연결에 설명된 대로 다양한 이점을 제공합니다.

다음 단계

클라우드용 Microsoft Defender에 대한 자세한 내용은 전체 Defender for Cloud 설명서를 참조하세요.

  • Last updated on