GCP 프로젝트를 클라우드용 Microsoft Defender에 연결
워크로드는 일반적으로 여러 클라우드 플랫폼에 걸쳐 있습니다. 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다. 클라우드용 Microsoft Defender는 GCP(Google Cloud Platform)에서 워크로드를 보호하는 데 도움이 되지만, AWS 클라우드용 Defender 간의 연결을 설정해야 합니다.
다음은 클라우드용 Defender의 개요 대시보드에 표시된 GCP 계정을 보여주는 스크린샷
GCP 권한 부여 디자인
클라우드용 Microsoft Defender와 GCP 간의 인증 프로세스는 페더레이션 인증 프로세스입니다.
클라우드용 Defender에 온보딩하면 인증 프로세스의 일부로 GCloud 템플릿을 사용하여 다음 리소스를 만듭니다.
워크로드 ID 풀 및 공급자
서비스 계정 및 정책 바인딩
인증 프로세스는 다음과 같이 작동합니다.
클라우드용 Microsoft Defender의 CSPM 서비스는 Microsoft Entra 토큰을 획득합니다. 토큰은 RS256 알고리즘을 사용하여 Microsoft Entra ID로 서명되며 1시간 동안 유효합니다.
Microsoft Entra 토큰은 Google의 STS 토큰으로 교환됩니다.
Google STS는 워크로드 ID 공급자를 통해 토큰의 유효성을 검사합니다. Microsoft Entra 토큰은 워크로드 ID 공급자를 통해 토큰의 유효성을 검사하는 Google STS로 전송됩니다. 그런 다음 대상 그룹 유효성 검사가 수행되고 토큰이 서명됩니다. 그러면 Google STS 토큰이 클라우드용 Defender의 CSPM 서비스로 반환됩니다.
클라우드용 Defender의 CSPM 서비스는 Google STS 토큰을 사용하여 서비스 계정을 가장합니다. 클라우드용 Defender의 CSPM은 프로젝트를 검사하는 데 사용되는 서비스 계정 자격 증명을 받습니다.
필수 조건
이 문서의 절차를 완료하려면 다음이 필요합니다.
Microsoft Azure 구독. Azure 구독이 없으면 무료로 구독할 수 있습니다.
Azure 구독에 클라우드용 Microsoft Defender가 설정되어 있습니다.
GCP 프로젝트에 액세스합니다.
관련 Azure 구독에 대한 기여자 수준 권한.
가격 책정 페이지에서 클라우드용 Defender 가격 책정에 대해 자세히 알아볼 수 있습니다.
GCP 프로젝트를 특정 Azure 구독에 연결할 때 Google Cloud 리소스 계층 구조와 다음 가이드라인을 고려합니다.
- 프로젝트 수준에서 GCP 프로젝트를 클라우드용 Microsoft Defender에 연결할 수 있습니다.
- 여러 프로젝트를 하나의 Azure 구독에 연결할 수 있습니다.
- 여러 프로젝트를 여러 Azure 구독에 연결할 수 있습니다.
GCP 프로젝트 연결
GCP 프로젝트와 클라우드용 Microsoft Defender 간에 보안 연결을 만들 때 발생하는 온보딩 프로세스에는 네 부분이 있습니다.
프로젝트 세부 정보
첫 번째 섹션에서는 GCP 프로젝트와 클라우드용 Defender 간의 연결에 대한 기본 속성을 추가해야 합니다.
여기에서 커넥터 이름을 지정하고, 보안 커넥터라는 ARM 템플릿 리소스를 만드는 데 사용되는 구독 및 리소스 그룹을 선택합니다. 보안 커넥터는 프로젝트 설정을 보유하는 구성 리소스를 나타냅니다.
또한 위치를 선택하고 프로젝트의 조직 ID를 추가합니다.
4시간, 6시간, 12시간 또는 24시간마다 GCP 환경을 검사하도록 간격을 설정할 수도 있습니다.
일부 데이터 수집기는 고정 검사 간격으로 실행되며 사용자 지정 간격 구성의 영향을 받지 않습니다. 다음 표에서는 제외된 각 데이터 수집기의 고정 검사 간격을 보여줍니다.
Data collector name | Scan interval |
---|---|
ComputeInstance ArtifactRegistryRepositoryPolicy ArtifactRegistryImage ContainerCluster ComputeInstanceGroup ComputeZonalInstanceGroupInstance ComputeRegionalInstanceGroupManager ComputeZonalInstanceGroupManager ComputeGlobalInstanceTemplate |
1시간 |
조직을 온보딩할 때 프로젝트 번호와 폴더 ID를 제외하도록 선택할 수도 있습니다.
프로젝트에 대한 계획 선택
조직의 세부 정보를 입력한 후 사용하도록 설정할 계획을 선택할 수 있습니다.
여기에서 받으려는 보안 값에 따라 보호할 리소스를 결정할 수 있습니다.
프로젝트에 대한 액세스 구성
계획을 선택한 후에는 클라우드용 Defender와 GCP 프로젝트 간에 액세스를 구성해야 하는 및 보호하려는 리소스를 사용하도록 설정하려고 합니다.
이 단계에서는 온보딩할 GCP 프로젝트에서 실행해야 하는 GCloud 스크립트를 찾을 수 있습니다. GCloud 스크립트는 온보딩하기 위해 선택한 계획을 기반으로 생성됩니다.
GCloud 스크립트는 클라우드용 Defender가 작동하고 다음 보안 값을 제공할 수 있도록 GCP 환경에 필요한 모든 리소스를 만듭니다.
- 워크로드 ID 풀
- 워크로드 ID 공급자(계획별)
- 서비스 계정
- 프로젝트 수준 정책 바인딩(서비스 계정은 특정 프로젝트에만 액세스할 수 있음)
프로젝트에 대한 커넥터 검토 및 생성
온보딩의 마지막 단계는 모든 선택 사항을 검토하고 커넥터를 만드는 것입니다.
참고 항목
GCP 리소스를 검색하고 인증 프로세스가 수행되도록 하려면 다음 API를 사용하도록 설정해야 합니다.
iam.googleapis.com
sts.googleapis.com
cloudresourcemanager.googleapis.com
iamcredentials.googleapis.com
compute.googleapis.com
현재 이러한 API를 사용하도록 설정하지 않으면 GCloud 스크립트를 실행하여 온보딩 프로세스 중에 사용하도록 설정할 수 있습니다.
커넥터를 만든 후 GCP 환경에서 검사가 시작됩니다. 새로운 권장 사항은 최대 6시간 후에 클라우드용 Defender에 나타납니다. 자동 프로비전을 사용하도록 설정한 경우 Azure Arc 및 사용하도록 설정된 확장이 새롭게 검색된 각 새 리소스에 대해 자동으로 설치됩니다.
GCP 조직 연결
단일 프로젝트 온보딩과 유사하게, GCP 조직을 온보딩할 때 클라우드용 Defender는 조직의 각 프로젝트에 대한 보안 커넥터를 만듭니다(특정 프로젝트가 제외되지 않는 한).
조직 정보
첫 번째 섹션에서는 GCP 조직과 클라우드용 Defender 간의 연결에 대한 기본 속성을 추가해야 합니다.
여기에서 커넥터 이름을 지정하고 보안 커넥터라는 ARM 템플릿 리소스를 만드는 데 사용되는 구독 및 리소스 그룹을 선택합니다. 보안 커넥터는 프로젝트 설정을 보유하는 구성 리소스를 나타냅니다.
또한 위치를 선택하고 프로젝트의 조직 ID를 추가합니다.
조직을 온보딩할 때 프로젝트 번호와 폴더 ID를 제외하도록 선택할 수도 있습니다.
조직에 대한 계획 선택
조직의 세부 정보를 입력한 후 사용하도록 설정할 계획을 선택할 수 있습니다.
여기에서 받으려는 보안 값에 따라 보호할 리소스를 결정할 수 있습니다.
조직에 대한 액세스 구성
계획을 선택한 후에는 리소스를 사용하고 보호하기 위해 클라우드용 Defender와 GCP 조직 간에 액세스를 구성해야 합니다.
조직을 온보딩하면 관리 프로젝트 세부 정보가 포함된 섹션이 있습니다. 다른 GCP 프로젝트와 마찬가지로 조직도 프로젝트로 간주되며 클라우드용 Defender에서 조직을 클라우드용 Defender에 연결하는 데 필요한 모든 리소스를 만드는 데 활용됩니다.
관리 프로젝트 세부 정보 섹션에서 다음을 선택할 수 있습니다.
- GCloud 스크립트에 포함할 클라우드용 Defender 전용 관리 프로젝트를 지정합니다.
- 클라우드용 Defender를 사용하여 관리 프로젝트로 사용할 기존 프로젝트의 세부 정보를 제공합니다.
조직의 아키텍처에 가장 적합한 옵션이 무엇인지 결정해야 합니다. 클라우드용 Defender에 대한 전용 프로젝트를 만드는 것이 좋습니다.
GCloud 스크립트는 온보딩하기 위해 선택한 계획을 기반으로 생성됩니다. 스크립트는 클라우드용 Defender가 작동하고 다음과 같은 보안 이점을 제공할 수 있도록 GCP 환경에 필요한 모든 리소스를 만듭니다.
- 워크로드 ID 풀
- 각 계획의 워크로드 ID 공급자
- 온보딩된 조직에서 프로젝트를 발견하고 가져올 수 있도록 클라우드용 Defender 액세스 권한을 부여하는 사용자 지정 역할
- 각 계획에 대한 서비스 계정
- 자동 프로비전 서비스를 위한 서비스 계정
- 각 서비스 계정에 대한 조직 수준 정책 바인딩
- 관리 프로젝트 수준의 API 사용
일부 API는 관리 프로젝트에서 직접 사용되지 않습니다. 대신 API는 이 프로젝트를 통해 인증하고 다른 프로젝트의 API 중 하나를 사용합니다. API는 관리 프로젝트에서 사용하도록 설정되어야 합니다.
조직에 대한 커넥터 검토 및 생성
온보딩의 마지막 단계는 모든 선택 사항을 검토하고 커넥터를 만드는 것입니다.
참고 항목
GCP 리소스를 검색하고 인증 프로세스가 수행되도록 하려면 다음 API를 사용하도록 설정해야 합니다.
iam.googleapis.com
sts.googleapis.com
cloudresourcemanager.googleapis.com
iamcredentials.googleapis.com
compute.googleapis.com
현재 이러한 API를 사용하도록 설정하지 않으면 GCloud 스크립트를 실행하여 온보딩 프로세스 중에 사용하도록 설정할 수 있습니다.
커넥터를 만든 후 GCP 환경에서 검사가 시작됩니다. 새로운 권장 사항은 최대 6시간 후에 클라우드용 Defender에 나타납니다. 자동 프로비전을 사용하도록 설정한 경우 Azure Arc 및 사용하도록 설정된 확장이 새롭게 검색된 각 새 리소스에 대해 자동으로 설치됩니다.
선택 사항: 선택한 플랜 구성
기본적으로는 모든 플랜은 켜짐 상태입니다. 필요하지 않은 플랜을 끌 수 있습니다.
서버용 Defender 플랜 구성
서버용 Microsoft Defender는 GCP VM(가상 머신) 인스턴스에 위협 탐지 및 고급 방어 기능을 제공합니다. 서버용 Microsoft Defender 보안 콘텐츠를 모두 보려면 GCP VM 인스턴스를 Azure Arc에 연결합니다. 서버용 Microsoft Defender 플랜을 선택하는 경우 다음이 필요합니다.
구독에서 사용하도록 설정된 서버용 Microsoft Defender. 강화된 보안 기능 사용에서 플랜을 사용하도록 설정하는 방법을 알아봅니다.
VM 인스턴스에 설치된 서버용 Azure Arc.
자동 프로비전 프로세스를 사용하여 VM 인스턴스에 Azure Arc를 설치하는 것이 좋습니다. 자동 프로비전은 온보딩 프로세스에서 기본적으로 사용하도록 설정되며 구독에 대한 소유자 권한이 필요합니다. Azure Arc 자동 프로비전 프로세스는 GCP 끝의 OS 구성 에이전트를 사용합니다. GCP 컴퓨터의 OS 구성 에이전트 가용성에 대해 자세히 알아보세요.
Azure Arc 자동 프로비전 프로세스는 GCP에서 VM 관리자를 사용하여 OS 구성 에이전트를 통해 VM에 정책을 적용합니다. 활성 OS 구성 에이전트가 있는 VM은 GCP에 따라 비용이 발생합니다. 이 비용이 계정에 미치는 영향을 확인하려면 GCP 기술 설명서를 참조하세요.
서버용 Microsoft Defender는 설치되지 않은 VM에는 OS 구성 에이전트를 설치하지 않습니다. 그러나 에이전트가 이미 설치되었지만 서비스와 통신하지 않는 경우에는 서버용 Microsoft Defender가 OS 구성 에이전트와 OS 구성 서비스 간의 통신을 사용하도록 설정합니다. 이 통신은 OS 구성 에이전트를 inactive
에서 active
로 변경하여, 그 결과로 더 많은 비용이 발생할 수 있습니다.
또는 VM 인스턴스를 서버용 Azure Arc에 수동으로 연결할 수 있습니다. Azure Arc에 연결되지 않은 서버용 Defender 계획이 사용하도록 설정된 프로젝트의 인스턴스는 GCP VM 인스턴스는 Azure Arc에 연결되어야 함 권장 사항에 의해 표시됩니다. 이 권장 사항의 수정 옵션을 선택하여 선택된 컴퓨터에 Azure Arc를 설치합니다.
더 이상 존재하지 않는 GCP 가상 머신용 해당 Azure Arc 서버(및 연결 끊김 또는 만료됨 상태의 해당 Azure Arc 서버)는 7일 후에 제거됩니다. 이 프로세스는 관련 없는 Azure Arc 엔터티를 제거하여 기존 인스턴스와 관련된 Azure Arc 서버만 표시되도록 합니다.
Azure Arc의 네트워크 요구 사항을 충족했는지 확인합니다.
Azure Arc 연결 컴퓨터에서 다음과 같은 다른 확장을 사용하도록 설정합니다.
- 엔드포인트에 대한 Microsoft Defender
- 취약성 평가 솔루션(Microsoft Defender 취약성 관리 또는 Qualys)
서버용 Defender는 Azure Arc GCP 리소스에 태그를 할당하여 자동 프로비전 프로세스를 관리합니다. 서버용용 Defender가 Cloud
, InstanceName
, MDFCSecurityConnector
, MachineId
, ProjectId
, ProjectNumber
등의 리소스를 관리할 수 있도록 이러한 태그를 리소스에 올바르게 할당해야 합니다.
서버용 Defender 플랜을 구성하려면:
GCP 프로젝트 연결 단계를 따릅니다.
플랜 선택 탭에서 구성을 선택합니다.
자동 프로비전 구성 창에서 필요에 따라 토글을 켜기 또는 끄기로 설정합니다.
Azure Arc 에이전트가 꺼짐인 경우 앞에서 설명한 수동 설치 프로세스를 따라야 합니다.
저장을 선택합니다.
GCP 프로젝트 연결 지침의 8단계부터 계속합니다.
데이터베이스용 Defender 플랜 구성
데이터베이스용 Microsoft Defender 보안 콘텐츠를 모두 보려면 GCP VM 인스턴스를 Azure Arc에 연결합니다.
데이터베이스용 Defender 플랜을 구성하려면:
GCP 프로젝트 연결 단계를 따릅니다.
계획 선택 탭의 데이터베이스에서 설정을 선택합니다.
계획 구성 창에서 필요에 따라 토글을 켜기 또는 끄기전환합니다.
Azure Arc 토글이 꺼짐인 경우 앞에서 설명한 수동 설치 프로세스를 따라야 합니다.
저장을 선택합니다.
GCP 프로젝트 연결 지침의 8단계부터 계속합니다.
컨테이너용 Defender 플랜 구성
컨테이너용 Microsoft Defender는 GCP GKE(Google Kubernetes Engin) 표준 클러스터에 위협 탐지 및 고급 방어 기능을 제공합니다. 컨테이너용 Defender에서 완전한 보안 가치를 얻고 GCP 클러스터를 완전히 보호하려면 다음 요구 사항을 충족해야 합니다.
참고 항목
- 사용 가능한 구성 옵션을 사용하지 않도록 설정하도록 선택하면 에이전트 또는 구성 요소가 클러스터에 배포되지 않습니다. 사용 가능한 기능에 대해 자세히 알아봅니다.
- GCP에 배포될 때 컨테이너용 Defender에서 로깅 비용, pub/sub 비용 및 송신 비용과 같은 외부 비용이 발생할 수 있습니다.
Kubernetes 감사 로그를 클라우드용 Defender: 기본적으로 사용하도록 설정합니다. 이 구성은 GCP 프로젝트 수준에서만 사용할 수 있습니다. 이는 추가 분석을 위해 GCP Cloud Logging을 통해 클라우드용 Microsoft Defender 백 엔드에 에이전트 없는 감사 로그 데이터 컬렉션을 제공합니다. 컨테이너용 Defender에는 런타임 위협 방지를 제공하기 위해 컨트롤 플레인 감사 로그가 필요합니다. Kubernetes 감사 로그를 Microsoft Defender로 보내려면 설정을 켜기로 전환합니다.
참고 항목
이 구성을 사용하지 않도록 설정하면
Threat detection (control plane)
기능이 사용하지 않도록 설정됩니다. 사용 가능한 기능에 대해 자세히 알아봅니다.Azure Arc용 Defender 센서 자동 프로비전 및 Azure Arc용 Azure Policy 확장 자동 프로비전: 기본적으로 사용 설정됩니다. 다음 세 가지 방법으로 Azure Arc 지원 Kubernetes 및 해당 확장을 GKE 클러스터에 설치할 수 있습니다.
- 이 섹션의 지침에 설명된 대로 프로젝트 수준에서 컨테이너용 Defender 자동 프로비전을 사용하도록 설정합니다. 이 방법을 권장합니다.
- 클러스터별 설치에는 클라우드용 Defender 권장 사항을 사용합니다. 이는 클라우드용 Microsoft Defender 권장 사항 페이지에 표시됩니다. 특정 클러스터에 솔루션을 배포하는 방법을 알아봅니다.
- Arc 지원 Kubernetes 및 확장을 수동으로 설치합니다.
Kubernetes용 에이전트 없는 검색은 Kubernetes 클러스터의 API 기반 검색을 제공합니다. Kubernetes용 에이전트 없는 검색 기능을 사용하려면 설정을 켜기로 전환합니다.
에이전트 없는 컨테이너 취약성 평가는 GCR(Google Container Registry) 및 GAR(Google Artifact Registry)에 저장된 이미지와 GKE 클러스터에서 실행 중인 이미지에 대한 취약성 관리를 제공합니다. 에이전트 없는 컨테이너 취약성 평가 기능을 사용하려면 설정을 켜기로 전환합니다.
컨테이너용 Defender 플랜을 구성하려면:
GCP 프로젝트 연결 단계를 따릅니다.
플랜 선택 탭에서 구성을 선택합니다. 그런 다음, 컨테이너용 Defender 구성 창에서 토글을 켜기로 설정합니다.
저장을 선택합니다.
GCP 프로젝트 연결 지침의 8단계부터 계속합니다.
Defender CSPM 플랜 구성
Microsoft Defender CSPM 계획을 선택하는 경우 다음이 필요합니다.
- Microsoft Azure 구독. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
- Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
- CSPM 계획에서 제공되는 모든 기능에 액세스하려면 구독 소유자가 해당 계획을 사용하도록 설정해야 합니다.
- CIEM(클라우드 인프라 권한 관리) 기능을 사용하도록 설정하려면 온보딩 프로세스에 사용되는 Entra ID 계정에는 테넌트에 대한 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 디렉터리 역할(또는 앱 온보딩을 만들기 위한 동등한 관리자 권한)이 있어야 합니다. 이 요구 사항은 온보딩 과정에서만 필요합니다.
Defender CSPM을 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.
Defender CSPM 플랜을 구성하려면:
GCP 프로젝트 연결 단계를 따릅니다.
플랜 선택 탭에서 구성을 선택합니다.
플랜 구성 창에서 토글을 켜기 또는 끄기로 설정합니다. Defender CSPM의 전체 값을 얻으려면 모든 토글을 켜기로 설정하는 것이 좋습니다.
저장을 선택합니다.
GCP 프로젝트 연결 지침의 8단계부터 계속합니다.
GCP 리소스 모니터링
클라우드용 Defender의 보안 권장 사항 페이지에는 Azure 및 AWS 리소스와 GCP 리소스가 함께 표시되어 진정한 다중 클라우드 보기를 구현합니다.
리소스 종류별로 리소스에 대한 모든 활성 권장 사항을 보려면 클라우드용 Defender의 자산 인벤토리 페이지를 사용하고 관심 있는 GCP 리소스 종류로 필터링합니다.
참고 항목
Log Analytics 에이전트(MMA라고도 함)가 2024년 8월에 사용 중지되도록 설정되어 있으므로 이 페이지에 설명된 기능을 포함하여 현재 여기에 의존하는 모든 서버용 Defender 기능 맟 보안 기능은 사용 중지 날짜 전에 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 사용할 수 있습니다. 현재 Log Analytics 에이전트에 의존하는 각 기능의 로드맵에 대한 자세한 내용은 이 공지를 참조하세요.
Microsoft Defender XDR과 통합
클라우드용 Defender를 사용하도록 설정하면 클라우드용 Defender의 경고가 자동으로 Microsoft Defender 포털에 통합됩니다. 추가 단계는 필요하지 않습니다.
클라우드용 Microsoft Defender와 Microsoft Defender XDR의 통합은 클라우드 환경을 Microsoft Defender XDR로 가져옵니다. 클라우드용 Defender의 경고 및 클라우드 상관 관계가 Microsoft Defender XDR에 통합되어 SOC 팀은 이제 단일 인터페이스에서 모든 보안 정보에 액세스할 수 있습니다.
클라우드용 Defender의 Microsoft Defender XDR 경고에 대해 자세히 알아봅니다.
다음 단계
GCP 프로젝트 연결은 클라우드용 Microsoft Defender에서 사용할 수 있는 다중 클라우드 환경의 일부입니다.
- 워크로드 소유자에게 액세스 권한을 할당합니다.
- 클라우드용 Defender로 모든 리소스를 보호합니다.
- 온-프레미스 컴퓨터 및 AWS 계정을 설정합니다.
- 다중 클라우드 커넥터 문제 해결
- GCP 프로젝트 연결에 대한 일반적인 질문에 대한 답변을 얻습니다.