업로드 시 맬웨어 검사
Microsoft Defender for Storage의 온-업로드 맬웨어 검색은 Blob이 업로드 또는 수정될 때 자동으로 검색되어 악의적인 콘텐츠에 대해 거의 실시간으로 검색됩니다. 이 클라우드 네이티브 SaaS 기반 솔루션은 Microsoft Defender 바이러스 백신 사용하여 포괄적인 맬웨어 검사를 수행하여 추가 인프라 또는 유지 관리 없이 스토리지 계정을 안전하게 유지합니다.
업로드 중인 검사를 스토리지 계정에 통합하면 다음을 수행할 수 있습니다.
- 악성 업로드 방지: 업로드 시점에 맬웨어가 스토리지 환경에 들어가지 않도록 합니다.
- 보안 관리 간소화: 에이전트를 배포하거나 관리하지 않고도 자동 검색을 활용할 수 있습니다.
- 규정 준수 향상: 업로드된 모든 데이터가 맬웨어를 검사하도록 하여 규정 요구 사항을 충족합니다.
악성 파일이 클라우드 스토리지 서비스를 통해 조직 내에서 입력되고 확산 될 수 있으므로 맬웨어 업로드는 클라우드 스토리지에 가장 큰 위협입니다. 스토리지용 Microsoft Defender는 포괄적인 맬웨어 방지 기능을 사용하여 이러한 위험을 완화하는 기본 제공 솔루션을 제공합니다.
업로드 시 맬웨어 검사에 대한 일반적인 사용 사례
웹 애플리케이션: 세금 앱, CV 업로드 사이트 및 영수증 업로드와 같은 웹 애플리케이션에서 사용자 생성 콘텐츠 업로드를 보호합니다.
콘텐츠 배포: 일반적인 맬웨어 배포 지점일 수 있는 콘텐츠 허브 또는 CDN(콘텐츠 배달 네트워크)을 통해 대규모로 공유되는 이미지 및 비디오와 같은 자산을 보호합니다.
규정 준수 요구 사항: 신뢰할 수 없는 콘텐츠, 특히 규제된 산업에 대해 검사하여 NIST, SWIFT 및 GDPR과 같은 규제 표준을 충족합니다.
타사 통합: 보안 위험을 방지하기 위해 비즈니스 파트너 또는 계약자의 콘텐츠와 같은 타사 데이터를 검사합니다.
공동 작업 플랫폼: 공유 콘텐츠를 검사하여 팀과 조직 간에 안전한 공동 작업을 보장합니다.
데이터 파이프라인: 여러 데이터 원본을 통해 맬웨어가 들어오지 않도록 하여 ETL(추출, 변환, 로드) 프로세스에서 데이터 무결성을 유지합니다.
기계 학습 학습 데이터: 특히 사용자가 생성한 콘텐츠가 포함된 경우 데이터 집합이 깨끗하고 안전한지 확인하여 학습 데이터의 품질을 보호합니다.
참고 항목
맬웨어 검사는 거의 실시간 서비스입니다. 검색 시간은 파일 크기, 파일 형식, 서비스 로드 및 스토리지 계정 활동에 따라 달라질 수 있습니다.
업로드 중인 맬웨어 검사 사용
필수 조건
- 사용 권한: 구독 또는 스토리지 계정에 대한 소유자 또는 기여자 역할 또는 필요한 권한이 있는 특정 역할
- 스토리지용 Defender: 구독 또는 개별 스토리지 계정에서 사용하도록 설정해야 합니다.
개별 스토리지 계정에 대한 자세한 제어를 유지하면서 구독 전체에서 맬웨어 검사를 사용하도록 설정하고 구성하려면 다음 방법 중 하나를 사용할 수 있습니다.
- Azure 기본 제공 정책 사용 = Terraform, Bicep 및 ARM 템플릿을 비롯한 코드 템플릿으로 인프라를 프로그래밍 방식으로 사용
- Azure Portal 사용
- PowerShell 사용
- REST API를 사용하여 직접
맬웨어 검사를 사용하도록 설정하면 Event Grid 시스템 토픽 리소스가 스토리지 계정과 동일한 리소스 그룹에 자동으로 만들어집니다. 이는 맬웨어 검색 서비스에서 Blob 업로드 트리거를 수신 대기하는 데 사용됩니다.
자세한 지침은 스토리지용 Microsoft Defender 배포를 참조 하세요.
업로드 중인 맬웨어 검색에 대한 비용 제어
맬웨어 검사는 검사된 용량(GB)을 기준으로 청구됩니다. 비용 예측 가능성을 제공하기 위해 맬웨어 검색은 스토리지 계정당 한 달에 검색된 GB의 양에 대한 한도 설정을 지원합니다.
Important
Defender for Storage의 맬웨어 검색은 처음 30일 평가판에 무료로 포함되지 않으며 클라우드용 Defender 가격 책정 페이지에서 사용할 수 있는 가격 책정 체계에 따라 첫날부터 요금이 청구됩니다.
상한 메커니즘은 각 스토리지 계정에 대해 기가바이트(GB)로 측정된 월별 검색 제한을 설정합니다. 이는 효과적인 비용 제어 측정값으로 사용됩니다. 한 달 내에 스토리지 계정에 대해 미리 정의된 검사 제한에 도달하면 검색 작업이 자동으로 중지됩니다. 이 중지는 임계값에 도달하면 최대 20GB 편차로 발생합니다. 이 시점 이후의 맬웨어에 대한 파일은 검색되지 않습니다. 상한은 매월 자정 UTC에 다시 설정됩니다. 상한을 업데이트하는 작업은 일반적으로 적용되는 데 최대 1시간이 걸립니다.
기본적으로 특정 상한 메커니즘이 정의되지 않은 경우 5TB(5,000GB) 한도가 설정됩니다.
팁
개별 스토리지 계정 또는 전체 구독에서 상한 메커니즘을 설정할 수 있습니다(구독의 모든 스토리지 계정에는 구독 수준에 정의된 한도가 할당됨).
맬웨어 검사 작동 방식
맬웨어 검사 흐름 업로드
업로드 시 검사는 Event Grid 원본 설명서로 Azure Blob Storage에 지정된 대로 이벤트를 발생 BlobCreated
시키는 모든 작업에 의해 트리거됩니다. 다음과 같은 작업이 여기에 포함됩니다.
- 새 Blob 업로드: 새 Blob이 컨테이너에 추가되는 경우
- 기존 Blob 덮어쓰기: 기존 Blob이 새 콘텐츠로 대체되는 경우
- Blob에 대한 변경 내용 완료: Blob에 대한 변경 내용과 유사
PutBlockList
하거나FlushWithClose
커밋하는 작업
참고 항목
Azure Data Lake Storage Gen2 및 Azure BlockBlob과 PutBlock
같은 AppendFile
증분 작업은 맬웨어 검사를 독립적으로 트리거하지 않습니다. 맬웨어 검사는 커밋 작업(예 PutBlockList
: 또는 FlushWithClose
.)을 통해 이러한 추가가 완료된 경우에만 발생합니다. 각 커밋은 새 검사를 시작할 수 있으며, 증분 업데이트로 인해 동일한 데이터를 여러 번 검색하는 경우 비용이 증가할 수 있습니다.
검사 프로세스
- 이벤트 검색:
BlobCreated
이벤트가 발생하면 맬웨어 검사 서비스에서 변경 사항을 검색합니다. - Blob 검색: 서비스는 스토리지 계정과 동일한 지역 내에서 Blob 콘텐츠를 안전하게 읽습니다.
- 메모리 내 검색: 콘텐츠는 최신 맬웨어 정의가 있는 Microsoft Defender 바이러스 백신 사용하여 메모리 내 검색됩니다.
- 결과 생성: 검사 결과가 생성되고 결과에 따라 적절한 작업이 수행됩니다.
- 콘텐츠 삭제: 스캔한 콘텐츠는 보존되지 않으며 검사 후 즉시 삭제됩니다.
업로드 중인 맬웨어 검사에 대한 처리량 및 용량
온-업로드 맬웨어 검색에는 대규모 작업에서 성능 및 효율성을 보장하기 위한 특정 처리량 및 용량 제한이 있습니다. 이러한 제한은 분당 처리할 수 있는 데이터의 볼륨을 제어하여 거의 실시간 보호와 시스템 부하 간의 균형을 보장하는 데 도움이 됩니다.
- 검사 처리량 속도 제한: 업로드 중인 맬웨어 검색은 스토리지 계정당 분당 최대 50GB를 처리할 수 있습니다. Blob 업로드 속도가 이 임계값을 일시적으로 초과하면 시스템에서 파일을 큐에 대기시키고 검색을 시도합니다. 그러나 업로드 속도가 지속적으로 제한을 초과하는 경우 일부 Blob은 검색되지 않을 수 있습니다.
주문형 검사와 공유된 측면
다음 섹션은 주문형 및 업로드 시 맬웨어 검사 모두에 적용할 수 있습니다.
- Azure Storage 읽기 작업, Blob 인덱싱 및 Event Grid 알림을 비롯한 추가 비용 입니다.
- 검사 결과 보기 및 사용: Blob 인덱스 태그, 클라우드용 Defender 보안 경고, Event Grid 이벤트 및 Log Analytics와 같은 메서드
- 응답 자동화: 검사 결과에 따라 파일 차단, 삭제 또는 이동과 같은 작업을 자동화합니다.
- 지원되는 콘텐츠 및 제한 사항: 지원되는 파일 형식, 크기, 암호화 및 지역 제한 사항을 다룹니다.
- 액세스 및 데이터 개인 정보: 개인 정보 고려 사항을 포함하여 서비스에서 데이터에 액세스하고 처리하는 방법에 대한 세부 정보입니다.
- 가양성 및 거짓 부정 처리: 검토를 위해 파일을 제출하고 제거 규칙을 만드는 단계입니다.
- Blob 검색 및 IOPS에 미치는 영향: 검색이 추가 읽기 작업을 트리거하고 Blob 인덱스 태그를 업데이트하는 방법을 알아봅니다.
이러한 항목에 대한 자세한 내용은 맬웨어 검색 소개 페이지를 참조하세요.
모범 사례 및 팁
- 비용을 효과적으로 관리하고 최적화하기 위해 스토리지 계정, 특히 업로드 트래픽이 높은 계정에 대한 비용 제어 한도를 설정합니다.
- Log Analytics를 사용하여 준수 및 감사 목적으로 검사 기록을 추적합니다.
- 사용 사례에 응답 메커니즘이 필요한 경우 Event Grid 및 Logic Apps를 사용하여 자동화된 응답(예: 격리 또는 삭제 작업)을 설정하는 것이 좋습니다. 자세한 설정 지침은 맬웨어 검사에서 응답 설정을 참조 하세요.
팁
실습 랩을 통해 Storage용 Defender의 맬웨어 검색 기능을 살펴보는 것이 좋습니다. 설치, 테스트 및 응답 구성에 대한 자세한 가이드는 Ninja 교육 지침을 따릅니다.