하이브리드 클라우드 및 다중 클라우드 환경을 클라우드용 Microsoft Defender에 연결

  • 7분

다양한 IT 환경에서 통합 보안 태세를 유지하려면 하이브리드 클라우드 및 다중 클라우드 환경을 클라우드용 Microsoft Defender에 연결해야 합니다. 비 Azure 컴퓨터용 Azure Arc 지원 서버, Naive Cloud Connector 및 Classic Connector를 사용하면 클라우드용 Microsoft Defender의 기능을 비 Azure 리소스로 확장할 수 있습니다. 이러한 통합을 통해 보안 위협을 포괄적으로 모니터링, 검색 및 대응할 수 있습니다. 여기에서는 성공적인 연결을 위한 세부 요구 사항과 함께 프로세스에 대한 정보를 포함하여 간략하게 설명합니다.

비 Azure 머신을 Microsoft Defender for Cloud에 연결

클라우드용 Microsoft Defender는 Azure가 아닌 컴퓨터의 보안 태세를 모니터링할 수 있지만 먼저 Azure에 연결해야 합니다.

다음과 같은 방법으로 비 Azure 컴퓨터를 연결할 수 있습니다.

  • Azure Arc로 온보딩:
    • Azure Arc 지원 서버 사용(권장)
    • Azure Portal 사용
  • 엔드포인트용 Microsoft Defender로 직접 온보딩

Azure Arc를 사용하여 온-프레미스 컴퓨터 연결

Azure Arc 지원 서버가 있는 컴퓨터는 Azure 리소스가 됩니다. Log Analytics 에이전트를 설치하면 다른 Azure 리소스와 마찬가지로 클라우드용 Defender에 권장 사항이 표시됩니다.

Azure Arc 지원 서버는 컴퓨터에서 게스트 구성 정책을 사용하도록 설정하고 다른 Azure 서비스를 사용한 배포를 간소화하는 등 향상된 기능을 제공합니다. Azure Arc 지원 서버의 이점에 대한 개요는 지원되는 클라우드 작업을 참조하세요.

한 컴퓨터에 Azure Arc를 배포하려면 빠른 시작: Azure Arc 지원 서버와 하이브리드 컴퓨터 연결의 지침을 따릅니다.

Azure Arc를 여러 컴퓨터에 대규모로 배포하려면 대규모로 Azure에 하이브리드 컴퓨터 연결의 지침을 따릅니다.

Log Analytics 에이전트를 자동으로 배포하기 위한 클라우드용 Defender 도구는 Azure Arc를 실행하는 컴퓨터에서 작동합니다. 그러나 이 기능은 현재 미리 보기 상태입니다. Azure Arc를 사용하여 컴퓨터를 연결하는 경우 관련 클라우드용 Defender 권장 사항을 사용하여 에이전트를 배포하고 클라우드용 Defender가 제공하는 전체 범위의 보호 기능을 활용합니다.

  • Linux 기반 Azure Arc 컴퓨터에 Log Analytics 에이전트를 설치해야 합니다.
  • Windows 기반 Azure Arc 컴퓨터에 Log Analytics 에이전트를 설치해야 합니다.

클라우드용 Microsoft Defender에 AWS 계정 연결

워크로드는 일반적으로 여러 클라우드 플랫폼에 걸쳐 있습니다. 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다. 클라우드용 Microsoft Defender는 AWS(Amazon Web Services)에서 워크로드를 보호하는 데 도움이 되지만, AWS 클라우드용 Defender 간의 연결을 설정해야 합니다.

이전에 클래식 커넥터를 사용하여 연결한 AWS 계정을 연결하는 경우 먼저 삭제해야 합니다. 클래식 커넥터와 네이티브 커넥터 모두에 연결된 AWS 계정을 사용하면 중복 권장 사항이 생성될 수 있습니다.

필수 조건

이 문서의 절차를 완료하려면 다음이 필요합니다.

  • Microsoft Azure 구독. Azure 구독이 없으면 무료로 구독할 수 있습니다.
  • Azure 구독에 클라우드용 Microsoft Defender가 설정되어 있습니다.
  • AWS 계정에 대한 액세스 권한이 필요합니다.
  • 관련 Azure 구독에 대한 기여자 권한 및 AWS 계정에 대한 관리자 권한.

컨테이너용 Defender

Microsoft 컨테이너용 Defender 계획을 선택하는 경우 다음이 필요합니다.

  • EKS Kubernetes API 서버에 대한 액세스 권한이 있는 하나 이상의 Amazon EKS 클러스터.
  • 클러스터 지역에서 새로운 Amazon SQS(Simple Queue Service) 큐, Kinesis Data Firehose 전송 스트림 및 Amazon S3 버킷을 만들기 위한 리소스 용량.

SQL용 Defender

Microsoft Defender for SQL 계획을 선택하는 경우 다음이 필요합니다.

  • 구독에서 SQL용 Microsoft Defender가 사용하도록 설정되었습니다. 데이터베이스를 보호하는 방법을 알아봅니다.
  • SQL Server 또는 SQL Server용 RDS(관계형 데이터베이스 서비스) 사용자 지정을 실행하는 EC2 인스턴스가 있는 활성 AWS 계정.
  • SQL Server용 EC2 인스턴스 또는 RDS Custom에 설치된 서버용 Azure Arc.

자동 프로비전 프로세스를 사용하여 기존 EC2 인스턴스 및 향후 EC2 인스턴스 모두에 Azure Arc를 설치하는 것이 좋습니다. Azure Arc 자동 프로비전을 사용하도록 설정하려면 관련 Azure 구독에 대한 소유자 권한이 필요합니다.

SSM(AWS Systems Manager)은 SSM 에이전트를 사용하여 자동 프로비전을 관리합니다. 일부 Amazon 컴퓨터 이미지에는 이미 SSM 에이전트가 사전 설치되어 있습니다. EC2 인스턴스에 SSM 에이전트가 없는 경우 Amazon의 하이브리드 및 다중 클라우드 환경용 SSM 에이전트 설치(Windows) 지침을 사용하여 설치합니다.

SSM 에이전트에 관리 정책 AmazonSSMManagedInstanceCore가 있는지 확인합니다. AWS Systems Manager 서비스의 핵심 기능을 사용하도록 설정합니다.

Azure Arc 연결 컴퓨터에서 다음과 같은 다른 확장을 사용하도록 설정합니다.

  • 엔드포인트에 대한 Microsoft Defender
  • 취약성 평가 솔루션(위협 및 취약성 관리 또는 Qualys)
  • Azure Arc 연결 컴퓨터의 Log Analytics 에이전트 또는 Azure Monitor 에이전트

선택한 Log Analytics 작업 영역에 보안 솔루션이 설치되어 있는지 확인합니다. Log Analytics 에이전트와 Azure Monitor 에이전트는 현재 구독 수준에서 구성되어 있습니다. 동일한 구독에 있는 모든 AWS 계정 및 GCP(Google Cloud Platform) 프로젝트는 Log Analytics 에이전트 및 Azure Monitor 에이전트에 대한 구독 설정을 상속합니다.

서버용 Defender

서버용 Microsoft Defender 계획을 선택하는 경우 다음이 필요합니다.

  • 구독에서 사용하도록 설정된 서버용 Microsoft Defender. 강화된 보안 기능 사용에서 플랜을 사용하도록 설정하는 방법을 알아봅니다.
  • EC2 인스턴스가 있는 활성 AWS 계정.
  • EC2 인스턴스에 설치된 서버용 Azure Arc.

자동 프로비전 프로세스를 사용하여 기존 EC2 인스턴스 및 향후 EC2 인스턴스 모두에 Azure Arc를 설치하는 것이 좋습니다. Azure Arc 자동 프로비전을 사용하도록 설정하려면 관련 Azure 구독에 대한 소유자 권한이 필요합니다.

AWS Systems Manager는 SSM 에이전트를 사용하여 자동 프로비전을 관리합니다. 일부 Amazon 컴퓨터 이미지에는 이미 SSM 에이전트가 사전 설치되어 있습니다. EC2 인스턴스에 SSM 에이전트가 없는 경우 Amazon의 다음 지침 중 하나를 사용하여 설치합니다.

  • 하이브리드 및 다중 클라우드 환경용 SSM 에이전트 설치(Windows)
  • 하이브리드 및 다중 클라우드 환경용 SSM 에이전트 설치(Linux)

SSM 에이전트에 AWS Systems Manager 서비스의 핵심 기능을 사용하도록 설정하는 관리 정책 AmazonSSMManagedInstanceCore가 있는지 확인합니다.

기존 및 미래의 EC2 인스턴스에 Azure Arc를 수동으로 설치하려면 EC2 인스턴스를 Azure Arc에 연결해야 합니다 권장 사항을 사용하여 Azure Arc에 설치되지 않은 인스턴스를 확인해야 합니다.

Azure Arc 연결 컴퓨터에서 다음과 같은 다른 확장을 사용하도록 설정합니다.

  • 엔드포인트에 대한 Microsoft Defender
  • 취약성 평가 솔루션(위협 및 취약성 관리 또는 Qualys)
  • Azure Arc 연결 컴퓨터의 Log Analytics 에이전트 또는 Azure Monitor 에이전트

선택한 Log Analytics 작업 영역에 보안 솔루션이 설치되어 있는지 확인합니다. Log Analytics 에이전트와 Azure Monitor 에이전트는 현재 구독 수준에서 구성되어 있습니다. 동일한 구독에 있는 모든 AWS 계정 및 GCP 프로젝트는 Log Analytics 에이전트 및 Azure Monitor 에이전트에 대한 구독 설정을 상속합니다.

서버용 Defender는 AWS 리소스에 태그를 할당하여 자동 프로비전 프로세스를 관리합니다. 클라우드용 Defender가 리소스를 관리할 수 있도록 AccountId, Cloud, InstanceIdMDFCSecurityConnector 태그를 리소스에 올바르게 할당해야 합니다.

Defender CSPM

Microsoft Defender 클라우드 보안 태세 관리 계획을 선택하는 경우 다음이 필요합니다.

  • Azure 구독 Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
  • Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
  • Azure가 아닌 컴퓨터, AWS 계정을 연결합니다.
  • CSPM 계획에서 제공되는 모든 기능에 액세스하려면 구독 소유자가 해당 계획을 사용하도록 설정해야 합니다.