클라우드용 Microsoft Defender에 사용자 지정 이니셔티브 추가

  • 7분

보안 정책 및 이니셔티브는 무엇인가요?

클라우드용 Microsoft Defender는 구독에 보안 이니셔티브를 적용합니다. 이 이니셔티브에는 하나 이상의 보안 정책이 포함됩니다. 각 정책에서는 보안 상태를 개선하기 위한 보안 권장 사항이 생성됩니다.

보안 이니셔티브란?

보안 이니셔티브는 특정 목표 및 용도에 맞게 그룹화되는 Azure Policy 정의 또는 규칙의 컬렉션입니다. 보안 이니셔티브는 정책 세트를 단일 항목으로 논리적으로 그룹화하여 정책 관리를 간소화합니다.

보안 이니셔티브는 원하는 워크로드 구성을 정의하며 회사 또는 규제 당국의 보안 요구 사항을 준수하는지 확인하는 데 도움이 됩니다.

보안 정책처럼 클라우드용 Defender 이니셔티브도 Azure Policy에서 생성됩니다. Azure Policy를 사용하여 정책을 관리하고, 이니셔티브를 빌드하고, 이니셔티브를 여러 구독에 할당하거나 전체 관리 그룹용으로 할당할 수 있습니다.

클라우드용 Microsoft Defender의 모든 구독에 자동으로 할당되는 기본 이니셔티브는 Microsoft 클라우드 보안 벤치마크입니다. 이 벤치마크는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 관해 Microsoft에서 작성한 지침 세트입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security) 및 NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

클라우드용 Defender는 보안 이니셔티브 및 정책을 사용하기 위한 다음 옵션을 제공합니다.

  • 기본 제공 기본 이니셔티브 보기 및 편집 - 클라우드용 Defender를 사용하는 경우 'Microsoft 클라우드 보안 벤치마크'라는 이니셔티브가 모든 클라우드용 Defender 등록된 구독에 자동으로 할당됩니다. 이 이니셔티브를 사용자 지정하기 위해 정책의 매개 변수를 편집하여 이니셔티브 내에서 개별 정책을 사용하거나 사용하지 않도록 설정할 수 있습니다.
  • 자체 사용자 지정 이니셔티브 추가 - 구독에 적용되는 보안 이니셔티브는 클라우드용 Defender 내에서 사용자 지정할 수 있습니다. 이후 머신이 사용자가 만든 정책을 준수하지 않으면 권장 사항이 제공됩니다.
  • 규정 준수 표준을 이니셔티브로 추가 - 클라우드용 Defender의 규정 준수 대시보드는 특정 표준 또는 규정(예: Azure CIS(인터넷 보안 센터), NIST(미국 국립표준기술원) SP(특별 간행물) SP 800-53 Rev.4, Swift의 CSP(고객 보안 프로그램) CSCF(Call Session Control Function) v2020)와 같은 특정 표준 또는 규정의 컨텍스트에서 환경 내의 모든 평가 상태를 보여 줍니다.

예: 기본 제공 보안 이니셔티브

CIS Microsoft Azure Foundations 벤치마크의 예를 보여주는 스크린샷

보안 정책이란?

Azure Policy에서 만든 Azure Policy 정의는 제어하려는 특정 보안 조건에 관한 규칙입니다. 기본 제공 정의에는 배포할 수 있는 리소스 종류를 제어하거나 모든 리소스에서 태그 사용을 적용하는 등의 작업이 포함됩니다. 자체적인 사용자 지정 정책 정의를 만들 수도 있습니다.

기본 제공 또는 사용자 지정인지 여부에 관계없이 정책 정의를 구현하려면 해당 정책 정의를 할당해야 합니다. Azure Portal, PowerShell 또는 Azure CLI를 통해 이러한 정책 중 하나를 할당할 수 있습니다. 정책을 사용하지 않도록 설정하거나 Azure Policy에서 사용하도록 설정할 수 있습니다.

Azure Policy에는 다양한 유형의 정책이 있습니다. 클라우드용 Defender는 주로 특정 조건 및 구성을 확인한 다음, 규정 준수에 관해 보고하는 ‘감사’ 정책을 사용합니다. 보안 설정을 적용하는 데 사용할 수 있는 ‘적용’ 정책도 있습니다.

예: 기본 제공 보안 정책

관리 디스크가 없는 VM을 감사하는 기본 정책 정의의 예를 보여주는 스크린샷

클라우드용 Defender는 Azure에서 사용자, 그룹, 서비스에 할당할 수 있는 기본 제공 역할을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용합니다. 사용자가 클라우드용 Defender를 열면 액세스 권한이 있는 리소스와 관련된 정보만 표시됩니다. 사용자에게는 리소스의 구독에 대한 owner, contributor, 또는 reader 역할이 할당됩니다.

클라우드용 Defender에는 다음 두 가지 특정 역할이 있습니다.

  1. 보안 관리자: 보안 읽기 권한자와 동일한 보기 권한을 가집니다. 보안 정책을 업데이트하고 경고를 해제할 수도 있습니다.
  2. 보안 읽기 권한자: 권장 사항, 경고, 정책, 상태와 같은 클라우드용 Defender 항목을 볼 수 있는 권한을 가집니다. 변경할 수 없습니다.

경고를 보고 업데이트하고 해제할 수 있는 보안 역할을 보여주는 다이어그램.

Windows PowerShell을 사용하거나 REST API(Representational State Transfer Application Programming Interface)를 거쳐 Azure Policy 포털을 통해 보안 정책을 편집할 수 있습니다.

보안 정책 화면에는 선택한 구독 또는 관리 그룹에 할당된 정책에서 수행된 동작이 표시됩니다.

  • 위에서 구독 또는 관리 그룹에 적용된 각 정책 할당을 열기 위해 제공된 링크를 사용합니다. 해당 링크를 사용하여 할당에 액세스하고 정책을 편집하거나 사용하지 않도록 설정할 수 있습니다. 예를 들어 특정 정책 할당이 Endpoint Protection을 효과적으로 거부하는 것으로 확인되면 이 링크를 사용하여 정책을 편집 하거나 사용하지 않도록 설정합니다.
  • 정책 목록에서 구독 또는 관리 그룹에 정책을 효과적으로 적용하는 것을 확인할 수 있습니다. 범위에 적용되는 각 정책의 설정이 고려되고 정책에서 수행되는 작업의 누적 결과가 제공됩니다. 예를 들어 하나의 할당에서 정책이 사용하지 않도록 설정되지만 기타 할당에서 정책이 AuditIfNotExist로 설정되는 경우 누적 효과는 AuditIfNotExist로 적용됩니다. 더 활성화된 효과가 항상 우선합니다.
  • 정책의 효과는 Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists 또는 Disabled일 수 있습니다.