클라우드용 Microsoft Defender 워크로드 보호 설명
Defender for Cloud는 보안 상태 관리 및 위협 방지를 위한 도구입니다. 클라우드 리소스의 보안 상태를 강화하고, 통합된 Microsoft Defender 계획을 통해 Defender for Cloud에서 Azure, 하이브리드 및 기타 클라우드 플랫폼에서 실행되는 워크로드를 보호합니다.
Defender for Cloud는 리소스를 강화하고, 보안 상태를 추적하고, 사이버 공격으로부터 보호하고, 보안 관리를 간소화하는 데 필요한 도구를 제공합니다. Defender for Cloud는 기본적으로 통합되어 있으므로 쉽게 배포할 수 있으며, 기본적으로 리소스를 보호하는 간단한 자동 프로비전을 제공합니다. Defender for Cloud는 클라우드 및 온-프레미스에서 리소스 및 워크로드의 보안을 관리할 때 세 가지 중요한 요구 사항을 충족합니다.
지속적으로 평가 – 현재 보안 상황을 이해합니다.
보안 - 연결된 모든 리소스와 서비스를 강화합니다.
방어 - 해당 리소스와 서비스에 대한 위협을 탐지하고 해결합니다.
이러한 문제 완화에 도움이 되도록 클라우드용 Microsoft Defender는 다음과 같은 도구를 제공합니다.
보안 점수: 현재 보안 상황을 한눈에 파악할 수 있는 단일 점수입니다. 점수가 높을수록 식별된 위험 수준이 낮습니다.
보안 권장 사항: 상황을 개선하기 위해 사용자 지정되고 우선 순위가 지정된 강화 작업입니다. 권장 사항에서 제공하는 자세한 수정 단계에 따라 권장 사항을 구현합니다. Defender for Cloud는 많은 권장 사항에서 자동화된 구현에 대한 "수정" 단추를 제공합니다!
보안 경고: 향상된 보안 기능을 사용하도록 설정하면 클라우드용 Defender가 리소스 및 워크로드에 대한 위협을 탐지합니다. 이러한 경고는 Azure Portal에 표시되며, Defender for Cloud에서 조직의 관련 담당자에게 이메일로 보낼 수도 있습니다. 또한 경고는 필요에 따라 SIEM, SOAR 또는 IT Service Management 솔루션으로 스트림할 수 있습니다.
Architecture
클라우드용 Defender는 기본적으로 Azure의 일부이므로 Azure의 PaaS 서비스(Service Fabric, SQL Database, SQL Managed Instance 및 스토리지 계정 포함)는 다른 배포 없이도 클라우드용 Defender에서 모니터링되고 보호됩니다.
또한 클라우드용 Defender는 Log Analytics 에이전트를 설치하여 Windows 및 Linux 서버 모두에서 클라우드 또는 온-프레미스의 비 Azure 서버 및 가상 머신을 보호합니다. Azure 가상 머신은 클라우드용 Microsoft Defender에서 자동으로 프로비저닝됩니다.
에이전트 및 Azure에서 수집한 이벤트는 보안 분석 엔진에서 상관관계가 파악되어, 워크로드 안전하게 보호하기 위해 따라야 하는 맞춤형 권장 사항(강화 작업)을 제공합니다. 워크로드에서 악의적인 공격이 발생하지 않도록 가능한 한 빨리 이러한 경고를 조사해야 합니다.
클라우드용 Defender를 사용하도록 설정하면 클라우드용 Defender에 기본 제공되는 보안 정책이 Azure Policy에서 클라우드용 Defender 범주 아래에 기본 제공 이니셔티브로 표시됩니다. 기본 제공 이니셔티브는 클라우드용 Defender 사용 여부에 관계없이 모든 클라우드용 Defender 등록 구독에 자동으로 할당됩니다. 기본 제공 이니셔티브에는 감사 정책만 포함되어 있습니다. Azure Policy의 클라우드용 Defender 정책에 대한 자세한 내용은 보안 정책 작업을 참조하세요.
보안 상태 강화
클라우드용 Defender를 사용하면 보안 상황을 강화할 수 있습니다. 즉, 보안 모범 사례로 권장되는 강화 작업을 식별 및 수행하고 머신, 데이터 서비스 및 앱에서 구현하는 데 도움이 됩니다. 보안 정책을 관리 및 적용하고 Azure Virtual Machines, 비 Azure 서버, Azure PaaS 서비스가 규정을 준수하는지 확인하는 작업이 포함됩니다. 클라우드용 Defender는 네트워크 보안 자산을 집중적으로 표시하는 워크로드에 대한 조감도를 제공하는 데 필요한 도구를 제공합니다.
조직 보안 정책 및 준수 관리
워크로드가 안전한지 알고 확인하는 것이 보안의 기본 사항이며, 이는 맞춤화된 보안 정책을 구현하는 것에서 시작됩니다. 클라우드용 Defender의 모든 정책은 Azure Policy 제어를 기반으로 빌드되므로, 세계 최고 수준의 정책 솔루션의 전체 서비스와 그 유연성의 혜택을 누릴 수 있습니다. Defender for Cloud에서는 관리 그룹, 구독 전체 및 테넌트 전체에 대해 실행되는 정책을 설정할 수 있습니다.
클라우드용 Defender를 사용하면 섀도 IT 구독을 식별할 수 있습니다. 대시보드에서 “검사되지 않음” 레이블이 표시된 구독을 검토하면 새로 생성된 구독이 있을 때 즉시 알 수 있으며 해당 구독이 관련 정책에 포함되고 클라우드용 Defender에서 보호되도록 할 수 있습니다.
연속 평가
클라우드용 Defender는 워크로드 전체에 배포되는 새로운 리소스를 지속적으로 검색하여 보안 모범 사례를 기반으로 구성되었는지 여부를 평가합니다. 보안 모범 사례를 준수하지 않은 경우, 해당 리소스는 플래그되고 머신을 보호하기 위해 수정해야 할 항목에 대한 권장 사항의 우선 순위 목록이 제공됩니다.
각 권장 사항이 전체 보안 상태에 중요한 정도를 이해하는 데 도움이 되도록 Defender for Cloud는 권장 사항을 보안 제어로 그룹화하고 보안 점수 값을 각 제어에 추가합니다. 이 점수는 보안 작업의 우선 순위를 지정하는 데 중요합니다.
네트워크 맵
클라우드용 Defender에서 네트워크의 보안 상태를 지속적으로 모니터링하기 위해 제공하는 가장 강력한 도구 중 하나는 네트워크 맵입니다. 맵을 사용하여 워크로드의 토폴로지를 살펴보고 각 노드가 제대로 구성되었는지 확인할 수 있습니다. 노드가 연결된 방식을 확인할 수 있으며, 이 정보를 통해 공격자가 네트워크를 쉽게 탐색할 수 있게 하는 원치 않는 연결을 차단할 수 있습니다.
권장 제어를 구성하여 보안 최적화 및 개선
클라우드용 Defender 가치의 핵심은 권장 사항에 있습니다. 권장 사항은 워크로드에 있는 특정 보안 문제에 맞게 조정됩니다. 클라우드용 Defender는 취약성을 찾을 뿐 아니라 해당 취약성을 제거하는 방법에 대한 특정 지침을 제공하여 보안 관리 작업을 합니다.
이러한 방식으로 운영되는 클라우드용 Defender를 통해 보안 정책을 설정하는 것은 물론, 리소스 전체에 보안 구성 표준을 적용할 수도 있습니다.
권장 사항은 Azure Virtual Machines, 비 Azure 서버, Azure PaaS 서비스(예: SQL 및 스토리지 계정 등)의 각 리소스에서 공격 노출 영역을 줄이는 데 도움이 됩니다. 각 리소스 유형은 다르게 평가되며 자체 표준을 가집니다.
위협으로부터 보호
클라우드용 Defender의 위협 보호 기능을 사용하면 Azure의 PaaS(Platforms as a Service)와 IaaS(Infrastructure as a Service) 레이어 및 비 Azure 서버에서도 위협을 탐지하고 방지할 수 있습니다.
클라우드용 Defender의 위협 보호에는 사이버 킬 체인 분석을 기반으로 환경의 경고를 자동으로 연관시키는 융합 킬 체인 분석이 포함됩니다. 분석을 통해 공격 캠페인의 전체 스토리, 시작 위치, 리소스에 미치는 영향을 더 잘 이해할 수 있습니다.
엔드포인트용 Microsoft Defender와 통합
클라우드용 Defender에는 엔드포인트용 Microsoft Defender와의 자동 네이티브 통합이 포함됩니다. 이 기본 제공 통합은 구성 없이도 Windows 및 Linux 시스템이 클라우드용 Defender의 권장 사항 및 평가와 완전히 통합된다는 것을 의미합니다.
또한 클라우드용 Defender를 사용하면 서버 환경에서 애플리케이션 제어 정책을 자동화할 수 있습니다. 클라우드용 Defender의 적응형 애플리케이션 제어를 통해 Windows 서버에서 엔드투엔드 앱 승인 목록을 사용할 수 있습니다. 규칙을 만들고 위반을 확인할 필요가 없습니다. 모든 작업이 자동으로 수행됩니다.
PaaS 보호
클라우드용 Defender는 Azure PaaS 서비스 전체의 위협을 탐지하는 데 도움이 됩니다. Azure App Service, Azure SQL, Azure Storage 계정, 기타 데이터 서비스를 비롯한 Azure 서비스를 대상으로 하는 위협을 탐지할 수 있습니다. 클라우드용 Microsoft Defender 앱의 UEBA(사용자 및 엔터티 동작 분석)와의 네이티브 통합을 활용하여 Azure 활동 로그에서 변칙 검색을 수행할 수도 있습니다.
무차별 암호 대입 공격(brute force attack) 차단
클라우드용 Defender를 사용하면 무차별 암호 대입 공격(brute force attack)에 대한 노출을 제한할 수 있습니다. Just-In-Time VM 액세스를 통해 가상 머신 포트에 대한 액세스를 줄이면 불필요한 액세스를 방지하여 네트워크를 강화할 수 있습니다. 권한 있는 사용자, 허용된 원본 IP 주소 범위 또는 IP 주소에 대해서만, 선택한 포트에 보안 액세스 정책을 제한된 시간 동안 설정할 수 있습니다.
데이터 서비스 보호
클라우드용 Defender에는 Azure SQL의 데이터를 자동으로 분류하는 데 도움이 되는 기능이 포함되어 있습니다. Azure SQL 및 Azure Storage 서비스 전체의 잠재적 취약성을 평가받고 해당 취약성을 완화하는 방법에 대한 권장 사항을 확인할 수도 있습니다.
보다 신속한 보안 설정
클라우드용 Microsoft Defender 앱, 엔드포인트용 Microsoft Defender 등 다른 Microsoft 보안 솔루션과의 원활한 통합 및 네이티브 Azure 통합(Azure Policy 및 Azure Monitor 로그 포함)이 결합하여 포괄적이면서도 온보딩 및 롤아웃이 간단한 보안 솔루션을 만들 수 있습니다.
또한 Azure 외부의 다른 클라우드 및 온-프레미스 데이터 센터에서 실행되는 워크로드까지 전체 솔루션을 확장할 수 있습니다.
자동 프로비저닝을 사용하여 Azure 리소스를 자동으로 검색 및 온보딩
클라우드용 Defender는 Azure 및 Azure 리소스와의 원활한 네이티브 통합을 제공합니다. 통합을 통해 모든 Azure 리소스에 걸쳐 Azure Policy 및 기본 제공 클라우드용 Defender 정책과 관련된 완전한 보안 스토리를 통합하고 Azure에서 만들 때 새로 검색된 리소스에 모든 것이 자동으로 적용되도록 할 수 있습니다.