다음을 통해 공유

Azure 및 AWS(Amazon Web Services)를 통한 다중 클라우드 보안 및 ID

  • 아티클

많은 조직이 의도적인 전략적 의도가 아니더라도 사실상의 다중 클라우드 전략을 사용하고 있습니다. 다중 클라우드 환경에서는 보안 격차를 활용하는 사이버 공격으로 인한 개발자 마찰 증가, 비즈니스 이니셔티브 및 조직 위험 증가를 방지하기 위해 일관된 보안 및 ID 환경을 보장하는 것이 중요합니다.

클라우드 전반에 걸쳐 보안 및 ID 일관성을 유지하려면 다음이 포함되어야 합니다.

  • 다중 클라우드 ID 통합
  • 강력한 인증 및 명시적 신뢰 유효성 검사
  • 클라우드 플랫폼 보안(다중 클라우드)
  • Microsoft Defender for Cloud
  • Privileged Identity Management(Azure)
  • 일관된 엔드투엔드 ID 관리

다중 클라우드 ID 통합

Azure 및 AWS 클라우드 플랫폼을 모두 사용하는 고객은 Microsoft Entra ID 및 SSO(Single Sign-On) 서비스를 사용하여 이러한 두 클라우드 간에 ID 서비스를 통합하는 이점을 누릴 수 있습니다. 이 모델을 통해 두 클라우드의 서비스에 대한 액세스를 일관되게 액세스하고 관리할 수 있는 통합된 ID 플레인을 사용할 수 있습니다.

이 방법을 사용하면 Microsoft Entra ID의 특성 및 특성을 IAM 권한에 연결하는 user.userprincipalname user.assignrole 규칙을 사용하여 AWS의 IAM(ID 및 액세스 관리) 서비스에서 Microsoft Entra ID의 풍부한 역할 기반 액세스 제어를 사용하도록 설정할 수 있습니다. 이 방법을 통해 AWS가 사용하는 계정별 ID 통합을 포함하여 두 클라우드 모두에서 사용자와 관리자가 유지 관리해야 하는 고유 ID의 수를 줄입니다. AWS IAM 솔루션Microsoft Entra ID를 고객을 위한 페더레이션 및 인증 원본으로 허용하고 구체적으로 식별합니다.

이 통합의 전체 연습은 자습서: AWS(Amazon Web Services)와 Microsoft Entra SSO(Single Sign-On) 통합에서 찾을 수 있습니다.

강력한 인증 및 명시적 신뢰 유효성 검사

많은 고객이 Active Directory 서비스에 대한 하이브리드 ID 모델을 계속 지원하기 때문에 보안 엔지니어링 팀이 강력한 인증 솔루션을 구현하고 주로 온-프레미스 및 레거시 Microsoft 기술과 관련된 레거시 인증 방법을 차단하는 것이 점점 더 중요해지고 있습니다.

다단계 인증 및 조건부 액세스 정책의 조합은 조직의 최종 사용자에 대한 일반적인 인증 시나리오에 대한 보안 강화를 가능하게 합니다. 다단계 인증 자체는 인증을 확인하기 위한 보안 수준을 향상하지만, 조건부 액세스 제어를 사용하여 추가 제어를 적용하여 Azure 및 AWS 클라우드 환경 모두에 대한 레거시 인증 을 차단할 수 있습니다. 최신 인증 클라이언트만 사용하는 강력한 인증은 다단계 인증 및 조건부 액세스 정책의 조합에서만 가능합니다.

클라우드 플랫폼 보안(다중 클라우드)

다중 클라우드 환경에서 공통 ID가 설정되면 Microsoft Defender for Cloud AppsCPS(Cloud Platform Security) 서비스를 사용하여 검색, 모니터링, 평가, 이러한 서비스를 보호합니다. Cloud Discovery 대시보드를 사용하여 보안 운영 담당자는 AWS 및 Azure 클라우드 플랫폼에서 사용 중인 앱과 리소스를 검토할 수 있습니다. 서비스를 검토하고 사용하도록 승인하면 서비스를 Microsoft Entra ID의 엔터프라이즈 애플리케이션으로 관리하여 사용자의 편의를 위해 SAML(Security Assertion Markup Language), 암호 기반 및 연결된 Single Sign-On 모드를 사용하도록 설정할 수 있습니다.

CPS는 또한 공급업체별 권장 보안 및 구성 제어를 사용하여 잘못된 구성 및 규정 준수를 위해 연결된 클라우드 플랫폼을 평가하는 기능을 제공합니다. 이 설계를 통해 조직은 모든 클라우드 플랫폼 서비스 및 규정 준수 상태에 대한 단일 통합 보기를 유지할 수 있습니다.

CPS는 또한 데이터 반출 또는 악성 파일이 해당 플랫폼에 도입될 때 위험한 엔드포인트 또는 사용자로부터 환경을 방지하고 보호하기 위한 액세스 및 세션 제어 정책을 제공합니다.

Microsoft Defender for Cloud

클라우드용 Microsoft Defender는 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 워크로드를 비롯한 하이브리드 및 다중 클라우드 워크로드 전반에 걸쳐 통합 보안 관리 및 위협 방지 기능을 제공합니다. Defender for Cloud를 사용하면 보안 취약성을 찾아서 수정하고, 액세스 및 애플리케이션 제어를 적용하여 악성 활동을 차단하고, 분석 및 인텔리전스를 사용하여 위협을 검색하고, 공격을 받을 때 신속하게 대응할 수 있습니다.

Microsoft Defender for Cloud에서 AWS 기반 리소스를 보호하려면 클래식 클라우드 커넥터 환경 또는 권장되는 환경 설정 페이지(미리 보기)에 계정을 연결할 수 있습니다.

Privileged Identity Management(Azure)

Microsoft Entra ID 에서 가장 높은 권한 있는 계정에 대한 액세스를 제한하고 제어하기 위해 PIM(Privileged Identity Management) 을 사용하도록 설정하여 Azure 서비스에 대한 Just-In-Time 액세스를 제공할 수 있습니다. 배포되면 PIM을 사용하여 역할 할당 모델을 사용하여 액세스를 제어 및 제한하고, 이러한 권한 있는 계정에 대한 영구 액세스를 제거하고, 이러한 계정 유형을 사용하는 사용자에 대한 추가 검색 및 모니터링을 제공할 수 있습니다.

Microsoft Sentinel과 결합하면 통합 문서 및 플레이북을 설정하여 손상된 계정의 측면 이동이 있을 때 모니터링하고 보안 운영 센터 직원에게 경고를 보낼 수 있습니다.

일관된 엔드투엔드 ID 관리

모든 프로세스에 모든 클라우드와 온-프레미스 시스템에 대한 엔드투엔드 보기가 포함되고 보안 및 ID 담당자가 이러한 프로세스에 대해 학습을 받았는지 확인합니다.

Microsoft Entra ID에서 단일 ID를 사용하면 AWS 계정 및 온-프레미스 서비스를 통해 이 엔드투엔드 전략을 사용할 수 있으며 권한 있는 계정 및 권한 없는 계정에 대한 계정의 보안 및 보호를 강화할 수 있습니다. 현재 다중 클라우드 전략에서 여러 ID를 유지 관리하는 부담을 줄이려는 고객은 Microsoft Entra ID를 채택하여 환경에서 변칙 및 ID 남용에 대한 일관되고 강력한 제어, 감사 및 탐지를 제공합니다.

Microsoft Entra 에코시스템에서 새로운 기능이 지속적으로 증가하면 다중 클라우드 환경에서 ID를 일반적인 제어 평면으로 사용하여 환경에 대한 위협을 미리 파악할 수 있습니다.

다음 단계