클라우드용 Defender 앱이 AWS(Amazon Web Services) 환경을 보호하는 방법
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
Amazon Web Services는 조직이 클라우드에서 전체 워크로드를 호스트하고 관리할 수 있도록 하는 IaaS 공급자입니다. 클라우드에서 인프라를 활용하는 이점과 함께 조직의 가장 중요한 자산이 위협에 노출될 수 있습니다. 노출된 자산에는 잠재적으로 중요한 정보가 있는 스토리지 인스턴스, 가장 중요한 애플리케이션, 포트 및 조직에 액세스할 수 있는 가상 사설망을 작동하는 컴퓨팅 리소스가 포함됩니다.
AWS를 클라우드용 Defender 앱에 연결하면 관리 및 로그인 활동을 모니터링하고, 가능한 무차별 암호 대입 공격, 권한 있는 사용자 계정의 악의적인 사용, VM의 비정상적인 삭제 및 공개적으로 노출된 스토리지 버킷을 알리며 자산을 보호하고 잠재적 위협을 감지할 수 있습니다.
주요 위협
- 클라우드 리소스 남용
- 손상된 계정 및 내부자 위협
- 데이터 유출
- 리소스 구성이 잘못되고 액세스 제어가 부족합니다.
클라우드용 Defender 앱이 환경을 보호하는 방법
- 클라우드 위협, 손상된 계정 및 악의적인 내부자 검색
- 공유된 데이터의 노출을 제한하고 협업 정책 적용
- 최신 보안 구성 권장 사항을 최신 상태로 유지
- 법정 조사를 위한 활동의 감사 로그 사용
- 보안 구성 권장 사항 검토
기본 제공 정책 및 정책 템플릿을 사용하여 AWS 제어
다음 기본 제공 정책 템플릿을 사용하여 잠재적인 위협을 감지하고 알릴 수 있습니다.
| Type | Name |
|---|---|
| 활동 정책 템플릿 | 관리 콘솔 로그인 실패 CloudTrail 구성 변경 EC2 인스턴스 구성 변경 IAM 정책 변경 위험한 IP 주소에서 로그온 ACL(네트워크 액세스 제어 목록) 변경 내용 네트워크 게이트웨이 변경 내용 S3 구성 변경 내용 보안 그룹 구성 변경 가상 사설망 변경 내용 |
| 기본 제공 변칙 검색 정책 | 익명 IP 주소에서의 활동 자주 사용되지 않는 국가에서의 활동 의심스러운 IP 주소에서의 활동 불가능한 이동 종료된 사용자가 수행한 작업(IdP로 Azure Active Directory 필요) 여러 번의 로그인 시도 실패 비정상적인 관리 활동 비정상적인 여러 스토리지 삭제 작업 (미리 보기) 복수 삭제 VM 작업 비정상적인 여러 VM 만들기 작업 (미리 보기) 클라우드 리소스에 대한 비정상적인 지역 (미리 보기) |
| 파일 정책 템플릿 | S3 버킷은 공개적으로 액세스할 수 있습니다. |
정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.
거버넌스 제어 자동화
잠재적인 위협에 대한 모니터링 외에도 다음 AWS 거버넌스 작업을 적용하고 자동화하여 감지된 위협을 수정할 수 있습니다.
| 형식 | 작업 |
|---|---|
| 사용자 거버넌스 | - 사용자에게 경고 알림(Azure AD 통해) - 사용자가 다시 로그인하도록 요구(Azure AD 통해) - 사용자 일시 중단(Azure AD 통해) |
| 데이터 거버넌스 | - S3 버킷을 비공개로 만들기 - S3 버킷에 대한 협력자 제거 |
앱의 위협 해결에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.
보안 권장 사항
클라우드용 Defender 앱은 AWS에 대한 CIS(인터넷 보안 센터) 벤치마크를 기반으로 모든 AWS 계정에 대한 AWS 플랫폼 구성 규정 준수에 대한 개요를 제공합니다.
보안 권장 사항을 지속적으로 검토하여 플랫폼의 보안 상태의 현재 상태를 평가 및 평가하고 중요한 구성 차이를 식별해야 합니다. 그런 다음 AWS 플랫폼의 문제를 완화하는 계획을 만들어야 합니다.
자세한 내용은 AWS 보안 권장 사항을 참조하세요.
실시간으로 AWS 보호
관리되지 않거나 위험한 디바이스에 대한 중요한 데이터의 다운로드를 차단하고 보호하는 모범 사례를 검토합니다.