자습서: 조직에서 중요한 정보 검색 및 보호
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
이상적인 환경에서 모든 직원은 정보 보호의 중요성을 이해하고 정책 범위 내에서 작업합니다. 실제 세계에서 회계 정보를 자주 사용하는 바쁜 파트너가 잘못된 권한으로 Box 리포지토리에 중요한 문서를 실수로 업로드하는 일이 발생할 수 있습니다. 일주일 후 여러분은 기업의 기밀 정보가 경쟁업체에 유출되었다는 것을 알게 됩니다.
이러한 문제를 방지하기 위해 Microsoft Defender for Cloud Apps 조직에 존재하는 다양한 데이터 누수 지점을 다루는 광범위한 DLP 기능 제품군을 제공합니다.
이 자습서에서는 클라우드용 Defender 앱을 사용하여 잠재적으로 노출된 중요한 데이터를 검색하고 컨트롤을 적용하여 노출을 방지하는 방법을 알아봅니다.
조직에서 중요한 정보를 검색하고 보호하는 방법
정보 보호에 대한 Microsoft의 접근 방식은 여러 위치 및 디바이스에서 전체 수명 주기 동안 데이터를 보호할 수 있는 다음 단계로 나눌 수 있습니다.
1단계: 데이터 검색
커넥트 앱: 조직에서 사용되는 데이터를 검색하는 첫 번째 단계는 조직에서 사용되는 클라우드 앱을 클라우드용 Defender 앱에 연결하는 것입니다. 연결되면 클라우드용 Defender 앱은 데이터를 검색하고, 분류를 추가하고, 정책 및 제어를 적용할 수 있습니다. 앱이 연결된 방법은 검사와 제어가 적용되는 방법과 시기에 영향을 줍니다. 다음 방법 중 하나로 앱을 연결할 수 있습니다.
- 앱 커넥터 사용: 앱 커넥터는 앱 공급자가 제공하는 API를 사용합니다. 앱 커넥터는 조직에서 사용되는 앱을 더 잘 파악하고 제어할 수 있게 해줍니다. 검사는 주기적(12시간마다) 및 실시간으로(변경 내용이 감지될 때마다 트리거됨) 수행됩니다. 앱을 추가하는 방법에 대한 자세한 내용과 지침은 앱 연결을 참조하세요.
- 조건부 액세스 앱 제어 사용: 조건부 액세스 앱 제어 솔루션은 AD(Azure Active Directory) 조건부 액세스와 고유하게 통합되는 역방향 프록시 아키텍처를 사용합니다. Azure AD 구성되면 사용자는 액세스 및 세션 정책이 적용되는 클라우드용 Defender 앱으로 라우팅되어 앱이 사용하려는 데이터 앱을 보호합니다. 이 연결 방법을 사용하면 모든 앱에 제어를 적용할 수 있습니다. 자세한 내용은 클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.
조사: API 커넥터를 사용하여 앱을 클라우드용 Defender 앱에 연결한 후 클라우드용 Defender 앱은 사용하는 모든 파일을 검색합니다. 그런 다음, 파일 조사 페이지(조사>파일)로 이동하여 클라우드 앱에서 공유되는 파일, 해당 접근성과 상태에 대한 개요를 확인할 수 있습니다. 자세한 내용은 파일 조사를 참조하세요.
2단계: 중요한 정보 분류
중요한 정보 정의: 파일에서 중요한 정보를 찾기 전에 먼저 조직에서 중요한 것으로 간주하는 항목을 정의해야 합니다. Microsoft는 데이터 분류 서비스의 일환으로 기본 제공되는 100개 이상의 중요한 정보 유형을 제공하며, 사용자가 회사 정책에 맞게 직접 만들 수도 있습니다. 클라우드용 Defender 앱은 기본적으로 Microsoft Purview Information Protection 통합되며 두 서비스 모두에서 동일한 중요한 형식과 레이블을 사용할 수 있습니다. 따라서 중요한 정보를 정의하려면 Microsoft Purview Information Protection 포털로 이동하여 정보를 만들고 정의되면 클라우드용 Defender 앱에서 사용할 수 있습니다. 지문 또는 EDM(정확한 데이터 일치) 같은 고급 분류 형식을 사용할 수도 있습니다.
중요한 정보를 식별하고 적절한 민감도 레이블을 적용하는 어려운 작업을 이미 수행한 경우 콘텐츠를 다시 검사할 필요 없이 정책에서 해당 레이블을 사용할 수 있습니다.
Microsoft Purview Information Protection 통합 사용
- 클라우드용 Defender 앱의 설정 코그 아래에서 시스템 제목 아래의 설정 페이지를 선택합니다.
- Microsoft Purview Information Protection 아래에서 Microsoft Purview Information Protection 민감도 레이블에 대한 새 파일 자동 검색을 선택합니다.
자세한 내용은 Microsoft Purview Information Protection 통합을 참조하세요.
파일에서 중요한 정보를 식별하는 정책 만들기: 보호할 정보의 종류를 알고 있으므로 이제 해당 정보를 검색하는 정책을 만들어야 합니다. 다음 정책을 만들어 시작합니다.
파일 정책
이 정책 유형을 사용하여 API로 연결된 클라우드 앱에 저장된 파일의 콘텐츠를 근 실시간으로 검사하고 미사용 데이터를 검사합니다. 파일은 클라우드용 Defender 앱과의 네이티브 통합 덕분에 암호화된 콘텐츠를 Microsoft Purview Information Protection 포함하여 지원되는 검사 방법 중 하나를 사용하여 검색됩니다.제어>정책으로 이동하여 정책 만들기를 선택한 다음 파일 정책을 선택합니다.
검사 방법에서 다음 분류 서비스 중 하나를 선택하고 구성합니다.
- 데이터 분류 서비스: Office 365, Microsoft Purview Information Protection 및 클라우드용 Defender 앱에서 수행한 분류 결정을 사용하여 통합 레이블 지정 환경을 제공합니다. Microsoft 제품 간에 일관된 통합 환경을 제공하므로 선호되는 콘텐츠 검사 방법입니다.
- 기본 제공 DLP : 기본 제공 DLP 콘텐츠 검사 엔진을 사용하여 중요한 정보가 있는지 파일을 검사합니다.
- 외부 DLP 통합: 자체 타사 DLP 솔루션을 사용하려는 기업의 경우 클라우드용 Defender 앱 파일 정책은 ICAP 서버를 통해 검사를 위해 파일을 외부 DLP 솔루션으로 안전하게 보낼 수 있습니다.
매우 중요한 파일의 경우 조직에 보호되지 않는 중요한 정보가 포함된 파일이 있는 경우 알림을 받을 수 있도록 경고 만들기를 선택하고 필요한 경고를 선택합니다.
만들기를 선택합니다.
세션 정책
이 정책 유형을 사용하여 액세스 시 실시간으로 파일을 검사하고 보호하여 다음과 같이 합니다.- 데이터 반출 방지: 관리되지 않는 디바이스 등에서 중요한 문서의 다운로드, 잘라내기, 복사 및 인쇄를 차단합니다.
- 다운로드 시 파일 보호: 문서에 레이블을 지정하고 Microsoft Purview Information Protection 보호해야 합니다. 이 작업을 수행하면 문서가 보호되고 잠재적으로 위험한 세션에서 사용자 액세스가 제한됩니다.
- 레이블이 지정되지 않은 파일 업로드 방지: 중요한 파일을 업로드하거나, 배포하거나, 다른 사용자가 사용하도록 하기 전에 파일에 올바른 레이블 및 보호를 적용해야 합니다. 이 작업을 사용하면 사용자가 콘텐츠를 분류하기 전까지 중요한 콘텐츠가 포함된, 레이블이 지정되지 않은 파일이 업로드되지 않도록 할 수 있습니다.
제어>정책으로 이동하여 정책 만들기를 선택한 다음 세션 정책을 선택합니다.
세션 컨트롤 형식에서 DLP 사용 옵션 중 하나를 선택합니다.
검사 방법에서 다음 분류 서비스 중 하나를 선택하고 구성합니다.
- 데이터 분류 서비스: Office 365, Microsoft Purview Information Protection 및 클라우드용 Defender 앱에서 수행한 분류 결정을 사용하여 통합 레이블 지정 환경을 제공합니다. Microsoft 제품 간에 일관된 통합 환경을 제공하므로 선호되는 콘텐츠 검사 방법입니다.
- 기본 제공 DLP : 기본 제공 DLP 콘텐츠 검사 엔진을 사용하여 중요한 정보가 있는지 파일을 검사합니다.
매우 중요한 파일의 경우 조직에 보호되지 않는 중요한 정보가 포함된 파일이 있는 경우 알림을 받을 수 있도록 경고 만들기를 선택하고 필요한 경고를 선택합니다.
만들기를 선택합니다.
회사 정책을 준수하는 중요한 데이터를 검색하는 데 필요한 만큼 정책을 만들어야 합니다.
3단계: 데이터 보호
이제 중요한 정보가 포함된 파일을 검색할 수 있지만, 정말 필요한 것은 잠재적 위협으로부터 해당 정보를 보호하는 것입니다. 인시던트를 알게 되면 상황을 수동으로 수정하거나 파일 보안을 위해 클라우드용 Defender 앱에서 제공하는 자동 거버넌스 작업 중 하나를 사용할 수 있습니다. 작업에는 Microsoft Purview Information Protection 네이티브 컨트롤, API 제공 작업 및 실시간 모니터링이 포함됩니다. 적용할 수 있는 거버넌스의 종류는 다음과 같이 구성하는 정책의 유형에 따라 달라집니다.
파일 정책 거버넌스 작업: 클라우드 앱 공급자의 API와 Microsoft의 네이티브 통합을 사용하여 다음과 같이 파일을 보호합니다.
- 경고 트리거 및 인시던트에 대한 메일 알림 보내기
- 네이티브 Microsoft Purview Information Protection 컨트롤을 적용하기 위해 파일에 적용된 레이블 관리
- 파일에 대한 공유 액세스 변경
- 파일 격리
- Office 365에서 특정 파일 또는 폴더 권한 제거
- 파일을 휴지통 폴더로 이동
세션 정책 제어: 역방향 프록시 기능을 사용하여 다음과 같이 파일을 보호합니다.
- 경고 트리거 및 인시던트에 대한 메일 알림 보내기
- 모든 활동 모니터링: 파일의 다운로드 또는 업로드를 명시적으로 허용하고 모든 관련 작업을 모니터링합니다.
- 차단: 파일의 다운로드 또는 업로드를 명시적으로 차단합니다. 관리되지 않는 디바이스를 비롯한 모든 디바이스에서 조직의 중요한 파일을 반출 또는 침투로부터 보호하려면 이 옵션을 사용합니다.
- 보호: 정책의 파일 필터와 일치하는 파일에 민감도 레이블을 자동으로 적용합니다. 중요한 파일의 다운로드를 보호하려면 이 옵션을 사용합니다.
4단계: 데이터 모니터링 및 데이터에 대한 보고
데이터를 검사하고 보호하기 위한 정책이 모두 제자리에 적용되었습니다. 이제 매일 대시보드를 확인하여 트리거된 새 경고를 확인할 수 있습니다. 대시보드에서는 클라우드 환경의 상태를 계속 모니터링할 수 있습니다. 대시보드에서는 현재 발생하고 있는 상황을 파악하고 필요한 경우 조사를 시작할 수 있습니다.
중요한 파일 인시던트를 모니터링하는 가장 효과적인 방법 중 하나는 정책 페이지로 이동하고 구성한 정책과 일치하는 항목을 검토하는 것입니다. 또한 경고를 구성한 경우 경고 페이지로 이동하고 범주를 DLP로 지정한 후 트리거되는 파일 관련 정책을 검토하여 파일 경고를 정기적으로 모니터링하는 것도 고려해야 합니다. 해당 인시던트를 검토하면 조직에서 문제가 되는 위협에 집중하도록 정책을 세밀하게 조정하는 데 도움이 될 수 있습니다.
마지막으로, 이 방법으로 중요한 정보를 관리하면 클라우드에 저장된 데이터가 악의적인 반출 및 침투로부터 최대한 보호되도록 할 수 있습니다. 또한 파일이 공유되거나 손실된 경우 권한 있는 사용자만 해당 파일에 액세스할 수 있습니다.
추가 정보
문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.