제로 트러스트 및 클라우드용 Defender

이 문서에서는 제로 트러스트 인프라 솔루션을 클라우드용 Microsoft Defender 통합하기 위한 전략 및 지침을 제공합니다. 지침에는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동화 응답), EDR(엔드포인트 감지 및 응답), ITSM(IT 서비스 관리) 솔루션을 비롯한 다른 솔루션과의 통합이 포함됩니다.

인프라는 조직의 IT 서비스를 지원하는 데 필요한 하드웨어, 소프트웨어, 마이크로 서비스, 네트워킹 인프라 및 시설로 구성됩니다. 온-프레미스든 다중 클라우드든 인프라는 중요한 위협 벡터를 나타냅니다.

제로 트러스트 인프라 솔루션은 인프라에 대한 보안 위협을 평가, 모니터링 및 예방합니다. 솔루션은 인프라 리소스에 대한 액세스가 명시적으로 확인되고 최소 권한 액세스 원칙을 사용하여 부여되도록 하여 제로 트러스트 원칙을 지원합니다. 메커니즘은 위반을 가정하고 인프라에서 보안 위협을 찾아 수정합니다.

제로 트러스트란?

제로 트러스트는 다음 보안 원칙 집합을 디자인하고 구현하기 위한 보안 전략입니다.

명시적으로 확인	최소 권한 액세스 사용	위반 가정
항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다.	JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.	미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.

제로 트러스트 및 클라우드용 Defender

제로 트러스트 인프라 배포 지침은 제로 트러스트 인프라 전략의 주요 단계를 제공합니다.

1. 선택한 표준 및 정책으로 규정 준수 평가.
2. 격차가 발견될 때마다 구성 강화.
3. JIT(Just-In-Time) VM 액세스와 같은 다른 강화 도구 사용.
4. 위협 방지를 설정합니다.
5. 위험한 동작을 자동으로 차단하고 플래그를 지정하며 보호 조치를 취합니다.

이러한 단계가 클라우드용 Defender에 매핑되는 방식은 다음과 같습니다.

목표	Defender for Cloud
규정 준수 평가	클라우드용 Defender에서 모든 구독에는 자동으로 MCSB(Microsoft 클라우드 보안 벤치마크) 보안 이니셔티브가 할당됩니다. 보안 점수 도구와 규정 준수 대시보드를 사용하면 보안 태세를 깊이 있게 이해할 수 있습니다.
구성 강화	인프라 및 환경 설정은 준수 표준에 따라 평가되고 해당 평가를 기반으로 권장 사항이 제시됩니다. 시간이 지남에 따라 보안 권장 사항을 검토 및 수정하고 [보안 점수 개선 사항을 추적](secure-score-access-and-track.md)을 수행할 수 있습니다. 잠재적인 공격 경로를 기반으로 어떤 권장 사항을 수정할지 우선 순위를 정할 수 있습니다.
강화 메커니즘 사용	최소 권한 액세스는 제로 트러스트 원칙입니다. 클라우드용 Defender는 다음과 같은 기능을 통해 이 원칙을 사용하여 VM 및 네트워크 설정을 강화하는 데 도움이 됩니다. JIT(Just-In-Time) VM 액세스.
위협 방지 설정	클라우드용 Defender는 Azure 및 하이브리드 리소스와 워크로드에 대한 고급 지능형 보호를 제공하는 CWPP(클라우드 워크로드 보호 플랫폼)입니다. 자세히 알아보기.
위험한 동작 자동 차단	클라우드용 Defender의 많은 강화 권장 사항은 정의된 강화 기준을 충족하지 않는 리소스 만들기를 방지하기 위해 거부 옵션을 제공합니다. 자세히 알아보기.
의심스러운 동작에 자동으로 플래그 지정	Defenders for Cloud 보안 경고는 위협 감지에 의해 트리거됩니다. 클라우드용 Defender는 조사에 도움이 되는 정보와 함께 경고의 우선 순위를 지정하고 나열합니다. 또한 공격을 수정하는 데 도움이 되는 세부 단계도 제공합니다. 보안 경고 전체 목록을 검토합니다.

하이브리드 및 다중 클라우드 시나리오에 제로 트러스트 적용

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다. 클라우드용 Defender는 실행되는 위치에 관계없이 워크로드를 보호합니다. Azure, 온-프레미스, AWS 또는 GCP에서.

• AWS: AWS 컴퓨터를 보호하려면 AWS 계정을 클라우드용 Defender에 온보딩합니다. 이 통합은 클라우드용 Defender 권장 사항 및 AWS Security Hub 결과에 대한 통합 보기를 제공합니다. AWS 계정을 클라우드용 Microsoft Defender에 연결하는 방법에 대해 자세히 알아봅니다.
• GCP: GCP 컴퓨터를 보호하려면 GCP 계정을 클라우드용 Defender에 온보딩합니다. 이 통합은 클라우드용 Defender 권장 사항 및 GCP Security Command Center 결과에 대한 통합 보기를 제공합니다. GCP 계정을 클라우드용 Microsoft Defender에 연결하는 방법에 대해 자세히 알아봅니다.
• 온-프레미스 머신. 온-프레미스 컴퓨터를 Azure Arc 지원 서버에 연결하여 클라우드용 Defender 보호를 확장할 수 있습니다. 온-프레미스 컴퓨터를 클라우드용 Defender에 연결하는 방법에 대해 자세히 알아봅니다.

Azure PaaS 서비스 보호

Azure 구독에서 클라우드용 Defender를 사용할 수 있고 사용 가능한 모든 리소스 종류에 대해 클라우드용 Defender 계획이 사용하도록 설정된 경우 Microsoft 위협 인텔리전스를 기반으로 하는 지능형 위협 방지 계층은 Azure Key Vault, Azure Storage, Azure DNS 등을 포함한 Azure PaaS 서비스의 리소스를 보호합니다. 클라우드용 Defender가 보호할 수 있는 리소스 종류에 대해 자세히 알아봅니다.

Azure Logic Apps로 응답 자동화

Azure Logic Apps를 사용하면 자동화된 확장 가능한 워크플로, 비즈니스 프로세스 및 엔터프라이즈 오케스트레이션을 빌드하여 클라우드 서비스 및 온-프레미스 시스템의 앱과 데이터를 통합할 수 있습니다.

클라우드용 Defender의 워크플로 자동화 기능을 사용하면 클라우드용 Defender 트리거에 대한 응답을 자동화할 수 있습니다.

위협이 발견될 때 자동화된 일관적인 방식으로 정의하고 대응할 수 있는 좋은 방법입니다. 예를 들어 관련자에게 알리려면 변경 관리 프로세스를 시작하고, 위협이 감지되면 특정 수정 단계를 적용합니다.

SIEM, SOAR 및 ITSM 솔루션과 통합

클라우드용 Defender는 보안 경고를 가장 널리 사용되는 SIEM, SOAR 및 ITSM 솔루션으로 스트리밍할 수 있습니다. 다음을 포함하여 오늘날 가장 널리 사용되는 모든 솔루션에서 경고 데이터를 볼 수 있도록 하는 Azure 네이티브 도구가 있습니다.

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• IBM의 QRadar
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel과 통합

클라우드용 Defender는 Microsoft의 SIEM/SOAR 솔루션인 Microsoft Sentinel과 기본적으로 통합됩니다.

다음과 같은 두 가지 방법으로 클라우드용 Defender 데이터를 Microsoft Sentinel에 표시할 수 있습니다.

• Sentinel 커넥터 - Microsoft Sentinel에는 구독 및 테넌트 수준에서 클라우드용 Microsoft Defender를 위한 기본 제공 커넥터가 포함되어 있습니다.

  • 구독 수준에서 Microsoft Sentinel에 경고 스트리밍
  • 테넌트의 모든 구독을 Microsoft Sentinel에 연결

  팁

  클라우드용 Microsoft Defender의 보안 경고 연결을 통해 자세히 알아보세요.

• 감사 로그 스트리밍 - Microsoft Sentinel에서 클라우드용 Defender 경고를 조사하기 위한 또 다른 대안은 감사 로그를 Microsoft Sentinel로 스트림하는 것입니다.

  • Windows 보안 이벤트 연결
  • Syslog를 사용하여 Linux 기반 소스에서 데이터 수집
  • Azure 활동 로그에서 데이터 연결

Microsoft Graph Security API를 사용하여 경고 스트리밍

클라우드용 Defender는 기본적으로 Microsoft Graph Security API와 통합되어 있습니다. 구성이 필요하지 않으며 추가 비용이 없습니다.

이 API를 사용하여 전체 테넌트 및 기타 여러 Microsoft 보안 제품의 데이터에서 타사 SIEM 및 기타 인기 있는 플랫폼으로 경고를 스트리밍할 수 있습니다.

• Splunk Enterprise 및 Splunk Cloud - Splunk용 Microsoft Graph 보안 API 추가 기능 사용
• Power BI - Power BI Desktop에서 Microsoft Graph 보안 API에 연결
• ServiceNow - 지침에 따라 ServiceNow Store에서 Microsoft Graph 보안 API 애플리케이션을 설치 및 구성
• QRadar - Microsoft Graph API를 통해 IBM의 클라우드용 Defender용 디바이스 지원 모듈 사용
• Palo Alto Networks, Anomali, Lookout, InSpark 등 Microsoft Graph 보안 API에 대해 자세히 알아봅니다.

Azure Monitor를 사용하여 경고 스트리밍

클라우드용 Defender의 연속 내보내기 기능을 사용하여 Azure Event Hubs를 통해 Azure Monitor에 연결하고 경고를 ArcSight, SumoLogic, Syslog 서버, LogRhythm, Logz.io Cloud Observability Platform 및 기타 모니터링 솔루션으로 스트리밍합니다.

• Azure Policy를 사용하여 관리 그룹 수준에서 이 작업을 수행할 수도 있습니다. 대규모 연속 내보내기 자동화 구성 만들기에 대해 알아봅니다.
• 내보낸 데이터 형식의 이벤트 스키마를 보려면 Event Hubs 이벤트 스키마를 검토합니다.

모니터링 솔루션으로 경고 스트리밍에 대해 자세히 알아봅니다.

EDR 솔루션과 통합

엔드포인트에 대한 Microsoft Defender

엔드포인트용 Defender는 포괄적인 클라우드 제공 엔드포인트 보안 솔루션입니다. 클라우드용 Defender 서버 워크로드 계획(서버용 Defender)에는 엔드포인트용 Defender에 대한 통합 라이선스가 포함되어 있습니다. 이들은 함께 포괄적인 EDR 기능을 제공합니다. 엔드포인트 보호에 대해 자세히 알아봅니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. 클라우드용 Defender에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수 있습니다.

기타 EDR 솔루션

클라우드용 Defender는 지원되는 EDR 솔루션 버전의 상태 평가를 제공합니다.

클라우드용 Defender는 Microsoft 보안 벤치마크를 기반으로 권장 사항을 제공합니다. 벤치마크의 컨트롤 중 하나는 엔드포인트 보안: ES-1: EDR(엔드포인트 검색 및 대응)과 관련이 있습니다. 엔드포인트 보호를 사용하도록 설정하고 잘 실행되도록 하는 두 가지 권장 사항이 있습니다. 클라우드용 Defender의 지원되는 EDR 솔루션 평가에 대해 자세히 알아봅니다.

다음 단계

다중 클라우드 보호 계획을 시작합니다.