Azure Security Center에 AWS 계정 연결Connect your AWS accounts to Azure Security Center

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.With cloud workloads commonly spanning multiple cloud platforms, cloud security services must do the same.

Azure Security Center는 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 워크로드를 보호합니다.Azure Security Center protects workloads in Azure, Amazon Web Services (AWS), and Google Cloud Platform (GCP).

AWS 계정을 Security Center에 온보딩하면 AWS Security Hub와 Azure Security Center가 통합됩니다.Onboarding your AWS account into Security Center, integrates AWS Security Hub and Azure Security Center. 따라서 Security Center는 이러한 클라우드 환경 모두에서 가시성과 보호를 지원하여 다음을 제공합니다.Security Center thus provides visibility and protection across both of these cloud environments to provide:

  • 자동 에이전트 프로비저닝(Security Center에서는 Azure Arc를 사용하여 AWS 인스턴스에 Log Analytics 에이전트 배포)Automatic agent provisioning (Security Center uses Azure Arc to deploy the Log Analytics agent to your AWS instances)
  • 정책 관리Policy management
  • 취약점 관리Vulnerability management
  • 포함된 EDR(엔드포인트 검색 및 응답)Embedded Endpoint Detection and Response (EDR)
  • 잘못된 보안 구성 검색Detection of security misconfigurations
  • Security Center 권장 사항 및 AWS Security Hub 검사 결과를 보여주는 단일 보기A single view showing Security Center recommendations and AWS Security Hub findings
  • Security Center의 보안 점수 계산에 AWS 리소스 통합Incorporation of your AWS resources into Security Center's secure score calculations
  • AWS 리소스의 규정 준수 평가Regulatory compliance assessments of your AWS resources

아래 스크린샷에서는 Security Center의 개요 대시보드에 표시되는 AWS 계정을 볼 수 있습니다.In the screenshot below you can see AWS accounts displayed in Security Center's overview dashboard.

Security Center의 개요 대시보드에 나열된 3개의 GCP 프로젝트

가용성Availability

양상Aspect 세부 정보Details
릴리스 상태:Release state: GA(일반 공급)General Availability (GA)
가격 책정:Pricing: 서버용 Azure Defender 필요Requires Azure Defender for servers
필요한 역할 및 권한:Required roles and permissions: 관련 Azure 구독의 소유자Owner on the relevant Azure subscription
소유자가 서비스 주체 세부 정보를 제공하는 경우에는 기여자 를 AWS 계정에 연결할 수도 있습니다.Contributor can also connect an AWS account if an owner provides the service principal details
클라우드:Clouds: 예 상용 클라우드Commercial clouds
아니요 국가/소버린(미국 정부, 중국 정부, 기타 정부)National/Sovereign (US Gov, China Gov, Other Gov)

AWS 계정 연결Connect your AWS account

아래 단계에 따라 AWS 클라우드 커넥터를 만듭니다.Follow the steps below to create your AWS cloud connector.

1단계:Step 1. AWS Security Hub 설정:Set up AWS Security Hub:

  1. 여러 영역에 대한 보안 권장 사항을 보려면 관련된 각 지역에 대해 다음 단계를 반복합니다.To view security recommendations for multiple regions, repeat the following steps for each relevant region.

    중요

    AWS 마스터 계정을 사용하는 경우 다음 세 단계를 반복하여 모든 관련 지역에서 마스터 계정 및 연결된 모든 구성원 계정을 구성합니다.If you're using an AWS master account, repeat the following three steps to configure the master account and all connected member accounts across all relevant regions

    1. AWS Config를 사용하도록 설정합니다.Enable AWS Config.

    2. AWS Security Hub를 사용하도록 설정합니다.Enable AWS Security Hub.

    3. Security Hub로 흐르는 데이터가 있는지 확인합니다.Verify that there is data flowing to the Security Hub.

      처음으로 Security Hub를 사용하도록 설정하는 경우 데이터를 사용할 수 있기까지 몇 시간이 걸릴 수 있습니다.When you first enable Security Hub, it might take several hours for data to be available.

2단계.Step 2. AWS에서 Security Center 인증 설정Set up authentication for Security Center in AWS

Security Center에서 AWS에 인증하도록 허용하는 두 가지 방법이 있습니다.There are two ways to allow Security Center to authenticate to AWS:

  • Security Center에 대한 IAM 역할 만들기 - 가장 안전한 방법이며 이 방법을 권장합니다.Create an IAM role for Security Center - This is the most secure method and is recommended
  • Security Center에 대한 AWS 사용자 - IAM을 사용하도록 설정하지 않을 경우 덜 안전한 옵션입니다.AWS user for Security Center - A less secure option if you don't have IAM enabled

Security Center에 대한 IAM 역할 만들기Create an IAM role for Security Center

  1. Amazon Web Services 콘솔의 보안, ID 및 규정 준수 에서 IAM 을 선택합니다.From your Amazon Web Services console, under Security, Identity & Compliance, select IAM. AWS 서비스

  2. 역할 을 선택하고 역할 만들기 를 선택합니다.Select Roles and Create role.

  3. 다음 페이지에서 다른 AWS 계정 을 선택합니다.Select Another AWS account.

  4. 다음 세부 정보를 입력합니다.Enter the following details:

    • 계정 ID - Security Center의 AWS 커넥터 페이지에 표시된 것처럼 Microsoft 계정 ID(158177204117)를 입력합니다.Account ID - enter the Microsoft Account ID (158177204117) as shown in the AWS connector page in Security Center.
    • 필요한 외부 ID - 선택해야 합니다.Require External ID - should be selected
    • 외부 ID - Security Center의 AWS 커넥터 페이지에 표시된 것처럼 구독 ID를 입력합니다.External ID - enter the subscription ID as shown in the AWS connector page in Security Center
  5. 다음 을 선택합니다.Select Next.

  6. 권한 정책 연결 섹션에서 다음 정책을 선택합니다.In the Attach permission policies section, select the following policies:

    • SecurityAuditSecurityAudit
    • AmazonSSMAutomationRoleAmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccessAWSSecurityHubReadOnlyAccess
  7. 필요에 따라 태그를 추가합니다.Optionally add tags. 사용자에게 태그를 추가해도 연결에 영향을 주지 않습니다.Adding Tags to the user doesn't affect the connection.

  8. 다음 을 선택합니다.Select Next.

  9. 역할 목록에서, 이전에 생성된 역할을 선택합니다.In The Roles list, choose the role you created

  10. 나중에 사용할 수 있도록 ARN(Amazon Resource Name)을 저장합니다.Save the Amazon Resource Name (ARN) for later.

Security Center에 대한 AWS 사용자 만들기Create an AWS user for Security Center

  1. 사용자 탭을 열고 사용자 추가 를 선택합니다.Open the Users tab and select Add user.

  2. 세부 정보 단계에서 Security Center의 사용자 이름을 입력하고 AWS 액세스 형식으로 프로그래밍 방식 액세스 를 선택합니다.In the Details step, enter a username for Security Center and ensure that you select Programmatic access for the AWS Access Type.

  3. Next Permissions(다음: 권한)를 클릭합니다.Select Next Permissions.

  4. 기존 정책 직접 연결 을 선택하고 다음 정책을 적용합니다.Select Attach existing policies directly and apply the following policies:

    • SecurityAuditSecurityAudit
    • AmazonSSMAutomationRoleAmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccessAWSSecurityHubReadOnlyAccess
  5. 완료되면 다음: 태그 를 선택합니다.Select Next: Tags. 필요에 따라 태그를 추가합니다.Optionally add tags. 사용자에게 태그를 추가해도 연결에 영향을 주지 않습니다.Adding Tags to the user doesn't affect the connection.

  6. 검토 를 선택합니다.Select Review.

  7. 나중에 사용할 수 있도록 자동으로 생성된 액세스 키 ID비밀 액세스 키 CSV 파일을 저장합니다.Save the automatically generated Access key ID and Secret access key CSV file for later.

  8. 요약 정보를 검토하고 사용자 만들기 를 클릭합니다.Review the summary and click Create user.

3단계:Step 3. SSM 에이전트 구성Configure the SSM Agent

AWS Systems Manager는 AWS 리소스의 작업을 자동화하는 데 필요합니다.AWS Systems Manager is required for automating tasks across your AWS resources. EC2 인스턴스에 SSM 에이전트가 없는 경우 다음과 같은 Amazon의 관련 지침을 따르세요.If your EC2 instances don't have the SSM Agent, follow the relevant instructions from Amazon:

4단계.Step 4. Azure Arc 사전 요구 사항 완료Complete Azure Arc prerequisites

  1. 적절한 Azure 리소스 공급자가 등록되었는지 확인합니다.Make sure the appropriate Azure resources providers are registered:

    • Microsoft.HybridComputeMicrosoft.HybridCompute
    • Microsoft.GuestConfigurationMicrosoft.GuestConfiguration
  2. 대규모 온보딩을 위한 서비스 주체를 만듭니다.Create a Service Principal for onboarding at scale. 온보딩에 사용하려는 구독의 소유자 로서, 대규모 온보딩을 위한 서비스 주체 만들기에 설명된 대로 Azure Arc 온보딩의 서비스 주체를 만듭니다.As an Owner on the subscription you want to use for the onboarding, create a service principal for Azure Arc onboarding as described in Create a Service Principal for onboarding at scale.

5단계.Step 5. Security Center에 AWS 연결Connect AWS to Security Center

  1. Security Center 메뉴에서 다중 클라우드 커넥터 를 선택합니다.From Security Center's menu, select Multi cloud connectors.

  2. AWS 계정 추가 를 선택합니다.Select Add AWS account. Security Center의 다중 클라우드 커넥터 페이지에 표시되는 [AWS 계정 추가] 단추

  3. 다음과 같이 AWS 인증 탭에서 옵션을 구성합니다.Configure the options in the AWS authentication tab:

    1. 커넥터의 표시 이름 을 입력합니다.Enter a Display name for the connector.
    2. 구독이 올바른지 확인합니다.Confirm that the subscription is correct. 커넥터 및 AWS Security Hub 권장 사항을 포함할 구독입니다.It is the subscription that will include the connector and AWS Security Hub recommendations.
    3. 인증 옵션에 따라 2단계. AWS에서 Security Center 인증 설정에서 선택했습니다.Depending on the authentication option, you chose in Step 2. Set up authentication for Security Center in AWS:
  4. 다음 을 선택합니다.Select Next.

  5. Azure Arc 구성 탭에서 옵션을 구성합니다.Configure the options in the Azure Arc Configuration tab:

    Security Center는 연결된 AWS 계정에서 EC2 인스턴스를 검색하고 SSM을 사용하여 Azure Arc에 온보딩합니다.Security Center discovers the EC2 instances in the connected AWS account and uses SSM to onboard them to Azure Arc.

    지원되는 운영 체제 목록은 FAQ에서 내 EC2 인스턴스에 어떤 운영 체제가 지원되나요?를 참조하세요.For the list of supported operating systems, see What operating systems for my EC2 instances are supported? in the FAQ.

    1. 선택한 구독에서 검색된 AWS EC2를 온보딩할 리소스 그룹Azure 지역 을 선택합니다.Select the Resource Group and Azure Region that the discovered AWS EC2s will be onboarded to in the selected subscription.

    2. 대규모 온보딩을 위한 서비스 주체 만들기에 설명된 대로 서비스 주체 ID 및 Azure Arc에 대한 서비스 주체 클라이언트 암호 를 입력합니다.Enter the Service Principal ID and Service Principal Client Secret for Azure Arc as described here Create a Service Principal for onboarding at scale

    3. 머신이 프록시 서버를 통해 인터넷에 연결하는 경우 해당 머신이 프록시 서버와 통신하는 데 사용할 프록시 서버 IP 주소 또는 이름과 포트 번호를 지정합니다.If the machine is connecting to the internet via a proxy server, specify the proxy server IP address or the name and port number that the machine uses to communicate with the proxy server. 해당 값을 http://<proxyURL>:<proxyport> 형식으로 입력합니다.Enter the value in the format http://<proxyURL>:<proxyport>

    4. 검토 + 만들기 를 선택합니다.Select Review + create.

      요약 정보 검토Review the summary information

      Azure에서 쉽게 알아볼 수 있도록 태그 섹션에는 온보딩된 각 EC2에 대해 자동으로 생성되는 모든 Azure 태그와 관련 세부 정보가 나열됩니다.The Tags sections will list all Azure Tags that will be automatically created for each onboarded EC2 with its own relevant details to easily recognize it in Azure.

      Azure 태그에 대한 자세한 내용은 태그를 사용하여 Azure 리소스 및 관리 계층 구조 구성을 참조하세요.Learn more about Azure Tags in Use tags to organize your Azure resources and management hierarchy.

6단계.Step 6. 확인Confirmation

커넥터가 성공적으로 생성되고 AWS Security Hub가 올바르게 구성된 경우:When the connector is successfully created, and AWS Security Hub has been configured properly:

  • Security Center는 환경에서 AWS EC2 인스턴스를 검색하여 Azure Arc에 온보딩함으로써 Log Analytics 에이전트를 설치할 수 있게 해주고 위협 방지 및 보안 권장 사항을 제공합니다.Security Center scans the environment for AWS EC2 instances, onboarding them to Azure Arc, enabling to install the Log Analytics agent and providing threat protection and security recommendations.
  • ASC 서비스는 6시간마다 새 AWS EC2 인스턴스를 검색하고 구성에 따라 온보딩합니다.The ASC service scans for new AWS EC2 instances every 6 hours and onboards them according to the configuration.
  • AWS CIS 표준이 Security Center의 규정 준수 대시보드에 표시됩니다.The AWS CIS standard will be shown in the Security Center's regulatory compliance dashboard.
  • Security Hub 정책을 사용하도록 설정하면 온보딩이 완료되고 5~10분 후에 Security Center 포털과 규정 준수 대시보드에 권장 사항이 표시됩니다.If Security Hub policy is enabled, recommendations will appear in the Security Center portal and the regulatory compliance dashboard 5-10 minutes after onboard completes. Security Center의 권장 사항 페이지에 표시되는 AWS 리소스 및 권장 사항

AWS 리소스 모니터링Monitoring your AWS resources

위와 같이 Azure Security Center의 보안 권장 사항 페이지에는 Azure 및 GCP 리소스와 AWS 리소스가 함께 표시되어 진정한 다중 클라우드 보기를 구현합니다.As shown above, Azure Security Center's security recommendations page displays your AWS resources together with your Azure and GCP resources for a true multi-cloud view.

리소스 종류별로 리소스에 대한 모든 활성 권장 사항을 보려면 Security Center의 자산 인벤토리 페이지를 사용하여 관심 있는 AWS 리소스 종류로 필터링합니다.To view all the active recommendations for your resources by resource type, use Security Center's asset inventory page and filter to the AWS resource type in which you're interested:

AWS 옵션을 보여주는 자산 인벤토리 페이지의 리소스 종류 필터

Security Center의 AWS 관련 FAQAWS in Security Center FAQ

EC2 인스턴스를 지원하는 운영 체제는 무엇인가요?What operating systems for my EC2 instances are supported?

AWS 머신용 Azure Arc에 자동 온보딩을 지원하는 OSSupported OS for automatic onboarding to Azure Arc for AWS Machines

  • Ubuntu 16.04 - SSM 에이전트는 기본적으로 미리 설치됩니다.Ubuntu 16.04 - SSM Agent is preinstalled, by default
  • Ubuntu 18.04 - SSM 에이전트는 기본적으로 미리 설치됩니다.Ubuntu 18.04 - SSM Agent is preinstalled, by default
  • Windows 서버 - SSM 에이전트는 기본적으로 미리 설치됩니다.Windows server - SSM Agent is preinstalled, by default
  • CentOS Linux 7 – SSM을 수동으로 설치하거나 별도로 온보딩해야 합니다.CentOS Linux 7 – SSM should be installed manually or onboard separately
  • SLES(SUSE Linux Enterprise Server) 15(x64) - SSM을 수동으로 설치하거나 별도로 온보딩해야 합니다.SUSE Linux Enterprise Server (SLES) 15 (x64) -SSM should be installed manually or onboarded separately
  • RHEL(Red Hat Enterprise Linux) 7(x64) - SSM을 수동으로 설치하거나 별도로 온보딩해야 합니다.Red Hat Enterprise Linux (RHEL) 7 (x64) - SSM should be installed manually or onboarded separately

다음 단계Next steps

AWS 계정 연결은 Azure Security Center에서 사용할 수 있는 다중 클라우드 환경의 일부입니다.Connecting your AWS account is part of the multi-cloud experience available in Azure Security Center. 관련 정보는 다음 페이지를 참조하세요.For related information, see the following page: