이 가이드에서는 Microsoft 보안 솔루션이 AWS(Amazon Web Services) 계정 액세스 및 환경을 보호하고 보호하는 방법을 설명합니다.
이 다이어그램에서는 AWS 설치가 주요 Microsoft 보안 구성 요소의 이점을 활용할 수 있는 방법을 요약합니다.
이 다이어그램의 PowerPoint 파일을 다운로드합니다.
Microsoft Entra
중앙 집중식 ID 및 액세스 관리
Microsoft Entra ID는 AWS 계정 및 환경을 보호하고 보호하는 데 도움이 되는 포괄적인 클라우드 기반 중앙 집중식 ID 및 액세스 관리 솔루션입니다.
Microsoft Entra ID는 AWS를 비롯한 일반적인 웹 인증 표준을 따르는 거의 모든 앱 또는 플랫폼에 강력한 SSO 인증을 제공합니다. 중요한 워크로드 및 매우 중요한 정보를 지원하는 AWS 계정에는 강력한 ID 보호 및 액세스 제어가 필요합니다. AWS ID 관리는 Microsoft Entra ID와 결합하면 향상됩니다.
Microsoft 365 또는 하이브리드 클라우드 ID 및 액세스 보호에 Microsoft Entra ID를 사용하는 AWS 조직은 종종 추가 비용 없이 AWS 계정에 대한 Microsoft Entra ID를 빠르고 쉽게 배포할 수 있습니다. Microsoft Entra ID는 AWS와 직접 통합하기 위한 몇 가지 기능을 제공합니다.
레거시, 기존 및 최신 인증 솔루션에서 보안 강화, 향상된 사용자 환경, 중앙 집중식 액세스 제어 및 SSO를 위해 AWS IAM ID 센터와 통합합니다.
Microsoft Intelligent Security Association 파트너의 여러 타사 솔루션과의 통합을 포함하여 Microsoft Entra 다단계 인증
강력한 인증 및 엄격한 거버넌스를 위한 강력한 조건부 액세스 기능입니다. Microsoft Entra ID는 조건부 액세스 정책 및 위험 기반 평가를 사용하여 AWS 관리 콘솔 및 AWS 리소스에 대한 사용자 액세스를 인증하고 권한을 부여합니다.
위험한 로그인 및 비정상적인 사용자 동작의 실시간 검색 및 수정을 통해 ID 기반 공격에 대한 보호를 개선했습니다.
PIM(Privileged Identity Management)을 사용하여 특정 리소스의 Just-In-Time 프로비저닝을 사용하도록 설정합니다. AWS 역할에 액세스하기 위해 만든 그룹과 같은 사용자 지정 그룹에 대한 액세스를 제어하여 PIM을 위임된 권한으로 확장할 수 있습니다.
자세한 내용과 자세한 지침은 AWS용 Microsoft Entra ID 및 액세스 관리를 참조 하세요.
Microsoft Entra 사용 권한 관리
권한 관리는 Azure, AWS 및 Google Cloud Platform의 다중 클라우드 인프라에서 ID, 작업 및 리소스에 대한 권한을 포괄적으로 파악하고 제어할 수 있는 클라우드 인프라 권한 관리 솔루션입니다. 권한 관리를 사용하여 다음을 수행할 수 있습니다.
ID, 권한 및 리소스의 다차원 보기를 통해 위험을 식별하기 위해 모든 AWS 계정에서 사용되지 않거나 과도한 권한의 수를 검색합니다.
모든 AWS 계정에서 최소 권한 원칙을 적용하여 권한을 수정하고 적절한 크기를 조정합니다.
잘못된 활동을 모니터링하고 경고하여 사용 권한의 오용 및 악의적인 악용으로 인한 데이터 위반을 방지합니다.
자세한 내용 및 자세한 온보딩 지침은 AWS(Amazon Web Services) 계정 온보딩을 참조하세요.
Microsoft Defender for Cloud 앱
여러 사용자 또는 역할이 관리 변경을 수행하면 구성 이 의도한 보안 아키텍처에서 벗어나 표준이 발생할 수 있습니다. 보안 표준은 시간이 지남에 따라 변경 될 수도 있습니다. 보안 담당자는 새로운 위험을 지속적으로 지속적으로 감지하고, 완화 옵션을 평가하고, 보안 아키텍처를 업데이트하여 잠재적인 위반을 방지해야 합니다. 여러 퍼블릭 클라우드 및 프라이빗 인프라 환경에 걸친 보안 관리는 부담이 될 수 있습니다.
클라우드용 Defender 앱은 SaaS(Software as a Service) 애플리케이션에 대한 향상된 보호를 제공합니다. 클라우드 앱 데이터를 모니터링하고 보호하는 데 도움이 되는 다음 기능을 제공합니다.
섀도 IT 검색, 클라우드 앱 사용에 대한 가시성, 클라우드 내 어디에서나 앱 기반 위협에 대한 향상된 보호, 정보 보호 및 규정 준수 평가를 비롯한 기본 클라우드 액세스 보안 브로커 기능
보안 팀이 조직의 보안 상태를 개선할 수 있도록 하는 SaaS 보안 상태 관리 기능 입니다.
고급 위협 방지는 Microsoft 확장 탐지 및 대응 솔루션의 일부로, 고급 공격의 전체 사이버 공격 체인에서 신호와 가시성의 강력한 상관 관계를 가능하게 합니다.
중요한 데이터 및 리소스에 대한 권한과 권한이 있는 OAuth 지원 앱으로 핵심 위협 시나리오를 확장하는 앱-앱 보호.
AWS를 클라우드용 Defender 앱에 연결하면 관리 및 로그인 활동을 모니터링하여 자산을 보호하고 잠재적인 위협을 감지할 수 있습니다. 무차별 암호 대입 공격, 권한 있는 사용자 계정의 악의적인 사용, 비정상적인 VM 삭제 및 공개적으로 노출된 스토리지 버킷에 대한 알림을 받습니다. 클라우드용 Defender 앱은 클라우드 리소스, 손상된 계정 및 내부자 위협, 데이터 유출 및 리소스 잘못된 구성 및 부족한 액세스 제어로부터 AWS 환경을 보호하는 데 도움이 됩니다. 다음 클라우드용 Defender 앱 기능은 AWS 환경에서 작업할 때 특히 유용합니다.
클라우드 위협, 손상된 계정, 악의적인 내부자 및 랜섬웨어를 검색합니다. 클라우드용 Defender AWS에서 사용자가 수행하는 비정상적인 활동이 있는 경우 앱 변칙 검색 정책이 트리거됩니다. 클라우드용 Defender 앱은 사용자의 활동을 지속적으로 모니터링하고 UEBA 및 기계 학습을 사용하여 사용자의 일반적인 동작을 알아보고 이해하고 편차에 대한 경고를 트리거합니다.
공유 데이터의 노출을 제한하고 공동 작업 정책을 적용합니다. 경고에 대해 사용자에게 알리거나, 다시 인증을 요구하거나, 사용자를 일시 중단하거나, S3 버킷을 비공개로 만들거나, S3 버킷에서 협력자를 제거하는 등의 작업을 통해 거버넌스 제어를 자동화합니다.
감사 활동. AWS 감사를 클라우드용 Defender 앱에 연결하여 사용자, 관리자 및 로그인 활동에 대한 가시성을 얻습니다.
AWS에 대한 향상된 실시간 보호를 가져옵니다. 클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하여 위험한 사용자가 중요한 AWS 데이터의 다운로드를 차단하고 보호할 수 있습니다.
AWS 환경을 클라우드용 Defender 앱에 연결하는 방법에 대한 자세한 내용은 Amazon Web Services 환경 보호를 참조하세요.
Microsoft Defender for Cloud
클라우드용 Defender 다양한 사이버 위협 및 취약성으로부터 클라우드 기반 애플리케이션을 보호하도록 설계된 보안 조치 및 사례로 구성된 클라우드 네이티브 애플리케이션 보호 플랫폼입니다. 클라우드용 Defender 다음과 같은 기능을 제공합니다.
다중 클라우드 및 다중 파이프라인 환경에서 코드 수준에서 보안 관리를 통합하는 개발 보안 운영 솔루션
위반을 방지하기 위해 수행할 수 있는 작업을 표시하는 CSPM(클라우드 보안 상태 관리) 솔루션
서버, 컨테이너, 스토리지, 데이터베이스 및 기타 워크로드에 대한 보호를 제공하는 CWPP(클라우드 워크로드 보호 플랫폼)
클라우드용 Defender 네이티브 AWS 지원은 다음과 같은 몇 가지 이점을 제공합니다.
AWS 리소스에 대한 기본 CSPM
AWS 리소스용 Defender CSPM
Amazon EKS 클러스터에 대한 CWPP 지원
AWS EC2 인스턴스에 대한 CWPP 지원
AWS EC2에서 실행되는 SQL 서버 및 SQL Server용 RDS 사용자 지정에 대한 CWPP 지원
기본 CPSM과 Defender CSPM은 모두 완전히 에이전트가 없습니다. 기본 CSPM은 AWS 리소스를 가장 잘 강화하고 잘못된 구성을 수정하는 방법에 대한 권장 사항을 제공합니다. 클라우드용 Defender는 기본 다중 클라우드 CSPM 기능을 무료로 제공합니다.
Defender CSPM은 공격 경로 분석, 클라우드 보안 탐색기, 고급 위협 헌팅 및 보안 거버넌스 기능과 같은 고급 상태 관리 기능을 제공합니다. 또한 광범위한 벤치마크, 규정 표준 및 조직, 산업 또는 지역에 필요한 사용자 지정 보안 정책을 사용하여 보안 규정 준수를 평가하는 도구를 제공합니다.
AWS EC2 인스턴스에 대한 CWPP 지원은 기존 및 새 머신에 대한 필수 구성 요소 자동 프로비전, 취약성 평가, 엔드포인트용 Microsoft Defender 통합 라이선스, 파일 무결성 모니터링 등의 기능을 제공합니다.
Amazon EKS 클러스터에 대한 CWPP 지원은 보호되지 않는 클러스터 검색, 제어 평면 및 워크로드 수준에 대한 고급 위협 탐지, Kubernetes 데이터 평면 권장 사항(Azure Policy 확장을 통해) 등의 기능을 제공합니다.
AWS EC2 및 AWS RDS Custom for SQL Server에서 실행되는 SQL 서버에 대한 CWPP 지원은 고급 위협 방지, 취약성 평가 검사 등의 기능을 제공합니다.
보안 표준은 CIS(인터넷 보안 센터) 및 PCI(결제 카드 산업) 표준 및 AWS Foundational Security 모범 사례 표준과 같은 규정 준수 표준에 따라 AWS의 리소스 및 워크로드를 평가하기 위한 지원을 제공합니다.
AWS에서 워크로드를 보호하는 방법에 대한 자세한 내용은 AWS 계정 연결 및 클라우드용 Microsoft Defender 규정 준수 표준 할당을 참조하세요.
Microsoft Sentinel
Microsoft Sentinel은 SIEM 및 보안 오케스트레이션, 자동화 및 응답을 위한 지능적이고 포괄적인 솔루션을 제공하는 확장 가능한 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 시스템입니다. Microsoft Sentinel은 사이버 위협 탐지, 조사, 대응 및 사전 예방적 헌팅을 제공합니다. 기업 전체에서 조감도를 볼 수 있습니다.
AWS 커넥터를 사용하여 AWS 서비스 로그를 Microsoft Sentinel로 끌어올 수 있습니다. 해당 커넥터는 AWS 리소스 로그에 대한 액세스 권한을 Microsoft Sentinel에 부여하여 작동합니다. 커넥터를 설정하면 AWS와 Microsoft Sentinel 간에 트러스트 관계가 설정됩니다. AWS 로그에 액세스할 수 있는 권한을 Microsoft Sentinel에 부여하는 역할을 만들어 AWS에서 이 관계를 만듭니다.
커넥터는 S3 버킷에서 로그를 끌어서 다음 AWS 서비스에서 로그를 수집할 수 있습니다.
| 서비스 | 데이터 원본 |
|---|---|
| Amazon VPC(Virtual Private Cloud) | VPC 흐름 로그 |
| Amazon GuardDuty | GuardDuty 결과 |
| AWS CloudTrail | 관리 및 데이터 이벤트 |
| AWS CloudWatch | CloudWatch 로그 |
Microsoft Sentinel에서 AWS 커넥터를 설치하고 구성하는 방법에 대한 자세한 내용은 Microsoft Sentinel을 Amazon Web Services에 연결하여 AWS 서비스 로그 데이터를 수집하는 방법을 참조 하세요.
권장 사항
Microsoft 보안 솔루션 및 기본 AWS 보안 권장 사항을 사용하여 AWS 계정을 보호합니다.
기본 AWS 계정 보안
AWS 계정 및 리소스에 대한 기본 보안 위생에 대한 자세한 내용은 AWS 계정 및 리소스 보안을 위한 모범 사례에서 AWS 보안 지침을 검토하세요.
AWS 관리 콘솔을 통해 모든 데이터 전송을 적극적으로 검사하여 맬웨어 및 기타 악성 콘텐츠를 업로드하고 다운로드할 위험을 줄입니다. 웹 서버 또는 데이터베이스와 같은 AWS 플랫폼 내의 리소스에 직접 업로드하거나 다운로드하는 콘텐츠는 추가적인 보호가 필요할 수 있습니다.
키를 주기적으로 회전하여 액세스 키에 대한 보안을 제공합니다. 코드에 포함하지 마세요. 가능한 경우 장기 액세스 키 대신 IAM 역할을 사용합니다.
보안 그룹 및 네트워크 ACL을 사용하여 리소스에 대한 인바운드 및 아웃바운드 트래픽을 제어합니다. VPC를 구현하여 리소스를 격리합니다.
AWS 키 관리 서비스 사용하여 미사용 및 전송 중인 중요한 데이터를 암호화합니다.
관리자와 개발자가 AWS 관리 콘솔에 액세스하는 데 사용하는 디바이스를 보호합니다.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 이 문서를 처음에 작성한 기여자는 다음과 같습니다.
보안 주체 작성자:
- 라바냐 머티 | 주요 클라우드 솔루션 설계자
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.
다음 단계
- AWS 관리 및 로그인 활동 모니터링 및 보호
- AWS에서 워크로드 보호
- Microsoft Sentinel을 Amazon Web Services에 연결하여 AWS 서비스 로그 데이터 수집