하이브리드 클라우드 환경의 보안
Tailwind Traders은 하이브리드 클라우드 환경을 채택할 계획입니다. 이렇게 하면 워크로드가 온-프레미스에만 배포된 경우보다 환경이 복잡해집니다. 또한 이러한 워크로드의 보안 구성 및 원격 분석은 점점 더 복잡해집니다.
이 단원에서는 Tailwind Traders가 온-프레미스 및 클라우드 워크로드의 구성을 모니터링하고 의심스러운 활동에 대한 알림을 받을 수 있는 방법을 알아봅니다. 또한 Tailwind Traders가 온-프레미스 및 클라우드 서버 운영 체제에 대한 업데이트를 간소화할 수 있는 방법을 알아봅니다.
클라우드용 Microsoft Defender란?
클라우드용 Microsoft Defender를 사용하면 다양한 워크로드의 보안 구성을 평가할 수 있습니다. 클라우드용 Microsoft Defender를 사용하여 다음을 수행할 수 있습니다.
- IaaS(Infrastructure as a Service), PaaS(Platform as a Service), 데이터 및 온-프레미스 리소스에 대한 보안 모범 사례를 구현합니다.
- 규정 표준에 대한 보안 구성 준수를 추적합니다.
- 데이터 반출과 관련된 패턴과 같은 의심스러운 활동을 식별하여 데이터를 보호합니다.
- SQL 데이터베이스에서 호스트되는 데이터를 분류합니다.
하이브리드 환경에서는 이벤트 로그 이벤트, 이벤트 추적 원격 분석 및 크래시 덤프 파일을 수집하기 위해 클라우드용 Defender가 Log Analytics 에이전트와 통합될 수 있습니다. 그런 다음, 클라우드용 Defender는 해당 데이터를 분석하여 권장 사항을 작성하거나 조직의 SIEM(보안 인시던트 및 이벤트 관리) 시스템으로 전달할 수 있는 경고를 생성할 수 있습니다.
현재 Tailwind Traders는 다양한 도구를 사용하여 Windows Server 및 Linux 워크로드의 보안 구성이 게시된 타사 표준을 준수하는지 여부를 평가합니다. 클라우드용 Microsoft Defender를 채택함으로써 Tailwind Traders는 온-프레미스 서버 운영 체제의 보안 구성도 포함하여 하이브리드 기술 채택 확대로 증가하는 클라우드 워크로드 배포를 모니터링하고 수정할 수 있습니다.
Microsoft Sentinel이란?
하이브리드 클라우드 솔루션을 사용하는 조직은 Microsoft Sentinel을 사용하여 온-프레미스와 클라우드 둘 다의 보안 이벤트 로그에서 원격 분석을 수집할 수 있습니다. Microsoft Sentinel은 SIEM 솔루션이자 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다.
SIEM 솔루션은 외부 소스에서 수집하는 로그 데이터 및 이벤트 원격 분석을 저장하고 분석합니다. Microsoft Sentinel은 다른 SIEM 시스템을 포함하여 온-프레미스, Azure 및 타사 클라우드 위치에서의 데이터 수집을 지원합니다. SOAR 솔루션을 사용하면 데이터 분석을 오케스트레이션할 수 있습니다. SOAR 솔루션은 알려진 위협에 대한 자동화된 응답을 만드는 데 도움이 됩니다.
다음 이미지는 Sentinel 하이브리드 아키텍처를 보여 줍니다.
Microsoft Sentinel은 하이브리드 환경을 지원할 때 다음 작업을 수행할 수 있습니다.
- 클라우드 기반 및 온-프레미스 사용자, 디바이스, 애플리케이션 및 인프라에서 데이터를 수집합니다.
- AI 및 딥 러닝을 사용하여 이벤트 데이터에서 잠재적으로 악의적인 활동을 식별합니다.
- Microsoft의 보안 연구를 통해 생성된 공격 서명을 기반으로 이벤트 데이터를 분석하여 위협을 탐지합니다.
- 보안 플레이북을 사용하여 알려진 특성을 가진 인시던트에 대한 응답을 자동화합니다.
Sentinel에는 데이터 분석을 지원하고 권장 사항을 제공할 수 있는 기본 제공 통합 문서가 포함되어 있습니다. 그러면 해당 의미를 이해하기 위해 정렬하는 대신 의심스러운 보안 원격 분석을 신속하게 이해할 수 있습니다. Sentinel에 포함된 것과는 다른 효과적인 보안 원격 분석 방법을 발견한 다른 보안 연구자의 경험을 기반으로 한 사용자 지정 통합 문서를 가져오거나 사용할 수도 있습니다.
현재 Tailwind Traders는 다양한 컴퓨터 및 디바이스에서 이벤트 로그 데이터를 수집하고 분석하는 온-프레미스 SIEM 시스템을 보유하고 있습니다. Tailwind Traders에서 온-프레미스 배포만 사용하는 경우에는 이 SIEM 시스템이 적절했지만, Microsoft Sentinel을 채택하면 Tailwind Traders가 이 용량을 하이브리드 클라우드로 확장할 수 있습니다.
Tailwind Traders는 기존 SIEM 솔루션을 Sentinel에 연결할 수도 있습니다. 이 연결을 통해 기존 온-프레미스 구성을 크게 수정하지 않고도 Sentinel의 AI 및 딥 러닝의 이점을 누릴 수 있습니다.
Azure Automation 업데이트 관리란 무엇일까요?
Azure Automation 업데이트 관리를 사용하면 클라우드에서 단일 콘솔을 사용하여 온-프레미스 및 클라우드 서버 운영 체제에 대한 업데이트를 관리할 수 있습니다. 업데이트 관리는 Microsoft Windows Server 워크로드 및 물리적으로 또는 가상으로 실행되는 지원되는 Linux 운영 체제 워크로드에서 작동합니다.
업데이트 관리는 Windows Server 운영 체제의 업데이트 원본으로 Microsoft Update 또는 WSUS(Windows Server Update Services)를 사용할 수 있습니다. 업데이트 관리는 Linux 운영 체제 업데이트에 퍼블릭 또는 사용자 지정 Linux 패키지 리포지토리를 사용할 수도 있습니다. 업데이트 관리를 사용하여 등록된 운영 체제에 현재 존재하지 않는 업데이트를 확인할 수 있습니다.
다음 다이어그램은 업데이트 관리가 Azure Automation 및 Log Analytics 작업 영역에 통합되는 방식을 보여 줍니다.
업데이트 배포를 구성할 때 다음을 지정합니다.
- 업데이트 배포가 Windows 또는 Linux 컴퓨터를 대상으로 하는지 여부. 두 유형을 동시에 대상으로 지정할 수 없습니다.
- 배포 대상으로 지정하려는 특정 등록된 서버.
- 설치해야 하는 업데이트 분류.
- 특정 업데이트를 포함 또는 제외할지 여부.
- 정기적으로 배포를 수행할지 여부를 포함하여 배포 일정.
- 실행해야 하는 모든 사전 업데이트 및 사후 업데이트 스크립트.
- 최대 유지 관리 기간, 마지막 20분은 시스템 다시 시작에 사용.
- 업데이트 설치를 완료하기 위해 필요한 경우 시스템을 다시 시작할지 여부를 결정하는 다시 시작 옵션입니다.
현재 Tailwind Traders는 WSUS 및 기타 도구를 사용하여 온-프레미스 Windows 및 Linux 운영 체제에 대한 업데이트를 관리합니다. Tailwind Traders는 온-프레미스 및 클라우드의 IaaS 가상 머신 운영 체제 워크로드를 구성하여 Azure 소프트웨어 업데이트에 연결함으로써 중요한 워크로드를 호스트하는 모든 운영 체제가 최신 상태로 유지되도록 할 수 있습니다.