Microsoft Defender for Cloud에 대해 설명하기

---

클라우드용 Defender는 보안 태세 관리 및 위협 방지를 위한 모니터링 도구입니다. 클라우드, 온-프레미스, 하이브리드, 다중 클라우드 환경을 모니터링하여 보안 태세를 강화하기 위한 지침 및 알림을 제공합니다.

Defender for Cloud는 리소스를 강화하고, 보안 상태를 추적하고, 사이버 공격으로부터 보호하고, 보안 관리를 간소화하는 데 필요한 도구를 제공합니다. 클라우드용 Defender는 쉽게 배포할 수 있으며, 이미 기본적으로 Azure에 통합되어 있습니다.

배포된 모든 곳에서 보호

---

Defender for Cloud는 Azure 네이티브 서비스이므로 배포 없이도 많은 Azure 서비스를 모니터링하고 보호합니다. 그러나 온-프레미스 데이터 센터가 있거나 다른 클라우드 환경에서도 운영 중인 경우 Azure 서비스의 모니터링만으로 보안 상황을 완전히 파악하지 못할 수도 있습니다.

필요한 경우 Defender for Cloud는 Log Analytics 에이전트를 자동으로 배포하여 보안 관련 데이터를 수집할 수 있습니다. Azure 컴퓨터의 경우 배포가 직접 처리됩니다. 하이브리드 및 다중 클라우드 환경의 경우 Microsoft Defender 요금제는 Azure Arc의 도움을 통해 비 Azure 머신으로 확장됩니다. CSPM(클라우드 보안 태세 관리) 기능은 에이전트가 필요 없이 다중 클라우드 머신으로 확장됩니다.

Azure 네이티브 보호

---

• Azure PaaS 서비스 - Azure App Service, Azure SQL, Azure Storage 계정 및 기타 데이터 서비스를 포함한 Azure 서비스를 대상으로 하는 위협을 탐지합니다. 또한 Microsoft Defender for Cloud Apps(이전의 Microsoft Cloud App Security)와의 네이티브 통합을 사용하여 Azure 활동 로그에서 변칙 검색을 수행할 수 있습니다.

• Azure 데이터 서비스 - 클라우드용 Defender에는 Azure SQL에서 데이터를 자동으로 분류하는 데 도움이 되는 기능이 포함되어 있습니다. Azure SQL 및 Storage 서비스 전체의 잠재적 취약성 평가 및 취약성을 완화하는 방법에 대한 권장 사항을 확인할 수도 있습니다.

• 네트워크 - 클라우드용 Defender를 사용하면 무차별 암호 대입 공격(brute force attack)에 대한 노출을 제한할 수 있습니다. Just-In-Time VM 액세스를 통해 가상 머신 포트에 대한 액세스를 줄이면 불필요한 액세스를 방지하여 네트워크를 강화할 수 있습니다. 권한 있는 사용자, 허용된 원본 IP 주소 범위 또는 IP 주소에 대해서만, 제한된 시간 동안 선택한 포트에 보안 액세스 정책을 설정할 수 있습니다.

하이브리드 리소스 방어

---

Azure 환경을 방어하는 것 외에도 Defender for Cloud 기능을 하이브리드 클라우드 환경에 추가하여 비 Azure 서버를 보호할 수 있습니다. 가장 중요한 것에 집중할 수 있도록 특정 환경에 따라 사용자 지정된 위협 인텔리전스와 우선 순위가 지정된 경고를 받게 됩니다.

보호를 온-프레미스 컴퓨터로 확장하려면 Azure Arc를 배포하고 Defender for Cloud의 향상된 보안 기능을 사용하도록 설정합니다.

다른 클라우드에서 실행되는 리소스 방어

---

또한 클라우드용 Defender는 다른 클라우드(예: AWS 및 GCP)의 리소스를 보호할 수도 있습니다.

• Defender for Cloud의 CSPM 기능은 AWS 리소스로 확장됩니다. 이 에이전트 없는 플랜은 AWS 관련 보안 권장 사항에 따라 AWS 리소스를 평가하며, 보안 점수에 결과가 포함됩니다. 또한 리소스가 AWS(AWS CIS, AWS PCI DSS 및 AWS Foundational 보안 모범 사례)와 관련된 기본 제공 표준을 준수하는지 여부도 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리하는 데 도움이 되는 다중 클라우드 지원 기능입니다.

• Microsoft Defender for Kubernetes는 컨테이너 위협 탐지 및 고급 방어를 Amazon EKS Linux 클러스터로 확장합니다.

• 서버용 Microsoft Defender는 위협 탐지 및 고급 방어를 Windows 및 Linux EC2 인스턴스로 확장합니다.

평가, 보안 및 방어

---

Defender for Cloud는 클라우드 및 온-프레미스에서 리소스 및 워크로드의 보안을 관리할 때 세 가지 중요한 요구 사항을 충족합니다.

• 지속적인 평가 – 보안 태세를 파악합니다. 취약성을 식별하고 추적합니다.
• 보안 – Azure Security Benchmark를 사용하여 리소스 및 서비스를 강화합니다.
• 방어 - 리소스, 워크로드 및 서비스에 대한 위협을 탐지하고 해결합니다.

지속적인 평가

---

클라우드용 Defender를 사용하면 환경을 지속적으로 평가할 수 있습니다. 클라우드용 Defender에는 가상 머신, 컨테이너 레지스트리 및 SQL 서버에 대한 취약성 평가 솔루션이 포함되어 있습니다.

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender와의 자동 네이티브 통합이 포함되어 있습니다. 이 통합이 사용하도록 설정되면 Microsoft 위협 및 취약성 관리의 취약성 결과에 액세스할 수 있습니다.

이러한 평가 도구 사이에 컴퓨팅, 데이터 및 인프라를 다루는 일반적이고 자세한 취약성 검사가 있습니다. 클라우드용 Defender 내에서 이러한 검사의 결과를 검토하고 응답할 수 있습니다.

보안

---

클라우드에서 보안을 유지하려면 워크로드가 안전한지 확인해야 합니다. 워크로드를 보호하려면 환경 및 상황에 맞게 조정된 보안 정책을 마련해야 합니다. Defender for Cloud의 정책은 Azure Policy 제어를 기반으로 하여 빌드되므로 세계 최고 수준의 정책 솔루션의 전체 범위와 유연성을 얻을 수 있습니다. Defender for Cloud에서는 관리 그룹, 구독 전체 및 테넌트 전체에 대해 실행되는 정책을 설정할 수 있습니다.

클라우드로 전환할 때의 이점 중 하나는 필요에 따라 새 서비스 및 리소스를 추가하여 필요에 따라 확장하고 스케일링할 수 있다는 것입니다. 클라우드용 Defender는 워크로드 전체에 배포되는 새 리소스를 지속적으로 모니터링하고 있습니다. 클라우드용 Defender는 새 리소스가 보안 모범 사례에 따라 구성되었는지 평가합니다. 그렇지 않은 경우 플래그가 지정되고 수정해야 하는 항목에 대해 우선 순위가 지정된 권장 사항 목록이 표시됩니다. 권장 사항은 각 리소스에서 공격 표면을 줄이는 데 도움이 됩니다.

권장 사항 목록은 Azure Security Benchmark에서 사용하도록 설정되고 지원됩니다. Microsoft에서 작성한 이 Azure 관련 벤치마크는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대한 일단의 지침을 제공합니다.

Defender for Cloud를 이 방식으로 사용하면 보안 정책을 설정할 뿐만 아니라 리소스 전체에 보안 구성 표준을 적용할 수도 있습니다.

각 권장 사항이 전체 보안 상태에 중요한 정도를 이해하는 데 도움이 되도록 Defender for Cloud는 권장 사항을 보안 제어로 그룹화하고 보안 점수 값을 각 제어에 추가합니다. 보안 점수는 보안 태세의 상태를 한눈에 볼 수 있는 지표를 제공하고, 제어는 보안 점수와 전반적인 보안 태세를 개선하기 위해 고려해야 할 작업 목록을 제공합니다.

방어

---

처음 두 영역은 환경에 대한 평가, 모니터링 및 유지 관리에 집중했습니다. 또한 클라우드용 Defender는 보안 경고 및 고급 위협 방지 기능을 제공하여 환경을 방어하는 데에도 도움이 됩니다.

보안 경고

---

클라우드용 Defender가 환경의 모든 영역에서 위협을 탐지하면 보안 경고가 생성됩니다. 보안 경고:

• 영향을 받는 리소스의 세부 정보 설명
• 수정 단계 제안
• 일부 경우에는 응답으로 논리 앱을 트리거하는 옵션을 제공합니다.

클라우드용 Defender에서 경고를 생성하거나 클라우드용 Defender가 통합 보안 제품에서 경고를 수신하는 경우 내보낼 수 있습니다. 클라우드용 Defender의 위협 보호 기능에는 사이버 킬체인 분석을 기반으로 환경 내 경고의 상관관계를 자동으로 파악하는 퓨전 킬체인 분석이 포함되어 있어 공격 캠페인의 전체 내용, 시작 지점, 리소스에 미치는 영향 등을 더욱 잘 파악할 수 있습니다.

Advanced Threat Protection

---

클라우드용 Defender는 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션 및 네트워크를 포함하여 배포된 많은 리소스에 대한 고급 위협 방지 기능을 제공합니다. 보호 기능에는 Just-In-Time 액세스 및 머신에서 실행되어야 하는 앱과 실행되면 안 되는 앱의 허용 목록을 작성하는 적응형 애플리케이션 제어를 사용하여 VM의 관리 포트를 보호하는 기능이 포함됩니다.