다음을 통해 공유


클라우드용 Defender의 보안 정책

클라우드용 Microsoft Defender의 보안 정책은 클라우드 보안 태세를 개선하는 데 도움이 되는 보안 표준 및 권장 사항으로 구성됩니다.

보안 표준은 규칙, 해당 규칙의 준수 조건, 규칙이 충족되지 않는 경우 수행할 작업(효과)을 정의합니다. 클라우드용 Defender는 Azure 구독, AWS(Amazon Web Services) 계정 및 GCP(Google Cloud Platform) 프로젝트에서 설정된 보안 표준에 따라 리소스 및 워크로드를 평가합니다. 이러한 평가에 따라 보안 권장 사항은 보안 문제를 수정하기 위한 실질적인 단계를 제공합니다.

보안 표준

클라우드용 Defender의 보안 표준은 다음 소스에서 제공됩니다.

  • MCSB(Microsoft 클라우드 보안 벤치마크): 클라우드 계정을 Defender에 온보딩하면 MCSB 표준이 기본적으로 적용됩니다. 보안 점수는 일부 MCSB 권장 사항에 대한 평가를 기반으로 합니다.

  • 규정 준수 표준: 하나 이상의 클라우드용 Defender 플랜을 활성화하면 사전 정의된 광범위한 규정 준수 프로그램의 표준을 추가할 수 있습니다.

  • 사용자 지정 표준: 클라우드용 Defender에서 사용자 지정 보안 표준을 만든 다음 필요에 따라 해당 사용자 지정 표준에 기본 제공 및 사용자 지정 권장 사항을 추가할 수 있습니다.

클라우드용 Defender의 보안 표준은 Azure Policy이니셔티브 또는 클라우드용 Defender 네이티브 플랫폼을 기반으로 합니다. 현재, Azure 표준은 Azure Policy를 기반으로 합니다. AWS 및 GCP 표준은 클라우드용 Defender를 기반으로 합니다.

보안 표준 작업

클라우드용 Defender의 보안 표준으로 수행할 수 있는 작업은 다음과 같습니다.

사용자 지정 표준

사용자 지정 표준은 규정 준수 대시보드에서 기본 제공 표준과 함께 표시됩니다.

사용자 지정 표준에 대한 평가에서 파생된 권장 사항은 기본 제공 표준의 권장 사항과 함께 표시됩니다. 사용자 지정 표준에는 기본 제공 및 사용자 지정 권장 사항이 포함될 수 있습니다.

사용자 지정 권장 사항

KQL(Kusto 쿼리 언어) 기반의 사용자 지정 권장 사항을 사용하는 것이 권장되는 방법이며 모든 클라우드에서 지원되지만, Defender CSPM 플랜을 사용하도록 설정해야 합니다. 이러한 권장 사항을 통해 고유한 이름, 설명, 수정 단계, 심각도 및 관련 표준을 지정합니다. KQL을 사용하여 권장 사항 논리를 추가합니다. 쿼리 편집기는 사용자가 조정할 수 있는 기본 제공 쿼리 템플릿을 제공하며, KQL 쿼리를 직접 작성할 수도 있습니다.

또는 모든 Azure 고객은 Azure Policy 사용자 지정 이니셔티브를 사용자 지정 권장 사항(레거시 방식)으로 온보딩할 수 있습니다.

자세한 내용은 클라우드용 Microsoft Defender에서 사용자 지정 보안 표준 및 권장 사항 만들기를 참조하세요.

보안 권장 사항

클라우드용 Defender는 정의된 보안 표준에 대해 보호된 리소스의 보안 상태를 주기적으로 또한 지속적으로 분석하고 평가하여 잠재적인 보안 구성 오류 및 약점을 식별합니다. 그런 다음 클라우드용 Defender는 평가 결과에 따라 권장 사항을 제공합니다.

각 권장 사항은 다음 정보를 제공합니다.

  • 문제의 간단한 설명
  • 권장 사항을 구현하기 위한 수정 단계
  • 영향을 받는 리소스
  • 위험 수준
  • 위험 요소
  • 공격 경로

클라우드용 Defender의 모든 권장 사항에는 보안 문제가 사용자 환경에 얼마나 악용될 수 있고 영향을 미치는지를 나타내는 관련 위험 수준이 있습니다. 위험 평가 엔진은 인터넷 노출, 데이터의 민감도, 횡적 이동 가능성, 공격 경로 수정과 같은 요소를 고려합니다. 위험 수준에 따라 권장 사항의 우선 순위를 지정할 수 있습니다.

Important

위험 우선 순위는 보안 점수에 영향을 미치지 않습니다.

예시

MCSB 표준은 여러 규정 준수 제어를 포함하는 Azure Policy 이니셔티브입니다. 이러한 컨트롤 중 하나는 “스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함”입니다.

클라우드용 Defender는 리소스를 지속적으로 평가합니다. 이 제어를 충족하지 않는 항목을 찾은 경우 비준수로 표시하고 권장 사항을 트리거합니다. 이 경우 지침은 가상 네트워크 규칙으로 보호되지 않는 Azure Storage 계정을 강화하는 것입니다.

다음 단계