조건부 액세스 앱 컨트롤을 사용하여 데이터 및 앱 보호

  • 4분

Cloud Discovery는 사건 발생 후 클라우드 환경에서 벌어지는 일을 이해할 수 있게 해 줍니다. 프로세스도 물론 중요하지만 우리의 주된 목표는 조직이 위험에 처하기 전에 위반과 누출을 실시간으로 방지하는 것입니다. 조직을 데이터 누출과 데이터 도난에서 지키는 동시에 사용자가 본인 장치를 업무에 사용하는 것을 허용하기 위한 방법도 필요합니다. Microsoft Defender for Cloud Apps는 IdP(ID 공급 업체)와 통합하여 조건부 액세스 앱 제어를 통해 액세스와 세션을 컨트롤함으로써 데이터와 장치를 보호합니다. Microsoft Entra ID를 IdP로 사용하는 경우 이러한 컨트롤은 Defender for Cloud Apps에 직접 통합됩니다.

조건부 액세스 앱 컨트롤을 사용하면 사용자 앱 액세스와 세션을 실시간으로 모니터링할 수 있습니다. Microsoft Entra 조건부 액세스와 통합하면 조건부 액세스 앱 제어와 작동하도록 앱을 쉽게 구성할 수 있습니다. 조건부 액세스의 모든 조건에 기반하여 조직 앱에 액세스와 세션 컨트롤을 선택적으로 적용할 수 있게 해 줍니다. 조건을 사용해 조건부 액세스 정책을 누구(사용자 또는 사용자 그룹)와 무엇(어떤 클라우드 앱에), 어디(어떤 위치와 네트워크에서)에 적용할지를 정할 수 있습니다. 조건을 정하고 난 후 조건부 액세스 앱 제어로 액세스와 세션 컨트롤을 적용해 데이터를 보호하는 Defender for Cloud Apps로 사용자 경로를 지정합니다.

Microsoft Entra ID에는 쉽게 배포할 수 있도록 구성할 수 있는 기본 제공 정책이 포함되어 있습니다. Microsoft Entra ID에서 조건부 액세스 정책의 조건을 구성한 후 액세스 제어에서 세션을 선택하고 조건부 액세스 앱 컨트롤 사용을 클릭합니다. 사용자 지정 컨트롤을 사용하기로 선택한 경우 Defender for Cloud Apps 포털에서 해당 컨트롤을 정의합니다.

Defender for Cloud Apps 포털의 액세스와 세션 정책을 사용해서 필터를 더 상세 지정하고 사용자에게 취해질 조치를 설정할 수 있습니다. 액세스와 세션 정책의 기대 효과는 다음과 같습니다.

  • 데이터 반출 방지: 관리되지 않는 장치 등에 있는 중요 문서의 다운로드, 자르기, 복사, 인쇄를 차단합니다.
  • 다운로드 보호: 중요 문서 다운로드를 차단하는 대신 Azure Information Protection으로 레이블을 지정을 요하거나 보호할 수 있습니다. 이 작업은 문서를 보호하고 위험도가 높은 세션에 대한 사용자 액세스를 제한합니다.
  • 레이블이 지정되지 않은 파일 업로드 방지: 레이블 지정을 강제합니다. 중요 파일을 업로드하거나 배포하거나 다른 사람이 사용할 수 있게 하기 전에 파일이 올바른 레이블과 보안 상태를 갖추고 있는지 반드시 확인해야 합니다. 콘텐츠가 기밀로 지정되기 전에 파일을 업로드하지 못하게 차단할 수도 있습니다.
  • 규정 준수를 위한 사용자 세션 모니터링: 위험도가 높은 사용자가 앱에 로그인하거나 해당 세션 내에서 작업을 로그할 때 이를 모니터링하세요. 사용자 행동을 조사하고 분석해서 향후 어느 위치에서 어떤 조건 하에 세션 정책을 적용해야 할지를 이해할 수 있습니다.
  • 액세스 차단: 다양한 위험 요소에 기반하여 특정 앱과 사용자 액세스를 차단할 수 있습니다. 예를 들어 사용자가 클리이언트 인증서를 장치 관리 양식으로 사용할 경우 사용자를 차단할 수 있죠.
  • 사용자 지정 활동 차단: 일부 앱은 위험성이 존재하는 고유 시나리오를 사용합니다. 예를 들어 Microsoft Teams나 Slack과 같은 앱에서 중요 콘텐츠를 담은 메시지를 보내는 경우가 여기 해당하죠. 이러한 시나리오의 경우 메시지의 중요 콘텐츠를 스캔하여 실시간으로 이를 차단할 수 있습니다.

그 예로 중요 콘텐츠를 포함한 메신저 대화를 차단하는 Microsoft Teams의 세션 정책을 만들어 보겠습니다. 조건부 액세스 앱 제어 사용 아래에 사용자 지정 컨트롤 사용이 설정된 조건부 액세스 정책을 만들었다는 가정 하에 Microsoft Defender for Cloud Apps에서 새 세션 정책을 만드는 것으로 시작합니다.

새 세션 정책에는 기존 템플릿을 사용합니다. 실시간 콘텐츠 검사에 기반해 메시지 전송 차단 정책 템플릿을 선택합니다.

세션 정책의 활동 원본 아래 애플리케이션으로 Teams 메시지 보내기를 선택합니다.

그다음 콘텐츠 검사를 사용 설정하고, 여기에서 현재 표현식, 사용자 지정 표현식, 또는 모든 정규표현식에 일치하는 중요 정보를 정의합니다. 표현식을 정의하고 나면 작업 아래 차단을 선택해서 메시지를 차단하고 관리자에게 이를 알리기 위한 경고를 만듭니다.

이제 사용자가 Teams에서 중요 메시지를 보내려고 하면 관리자에게 알림이 전송됩니다.