Amazon Web Services에서 IaaS 애플리케이션에 제로 트러스트 원칙 적용
참고 항목
예정된 Livestream 은 이 문서에 대해 논의하면서 Azure FastTrack 팀에 합류합니다. 2024년 10월 16일 | 오전 10:00 - 오전 11:30(UTC-07:00) 태평양 표준시(미국 및 캐나다). 여기에서 등록하세요.
이 문서에서는 AWS(Amazon Web Services)의 IaaS 애플리케이션에 제로 트러스트 원칙을 적용하는 단계를 제공합니다.
제로 트러스트 원칙 | 정의 | Met by |
---|---|---|
명시적으로 확인 | 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. | GitHub 고급 보안 및 DevOps를 사용하는 DevOps(DevSecOps)의 보안은 인프라를 코드로 검사하고 보호합니다. |
최소 권한 액세스 사용 | JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. |
|
위반 가정 | 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. |
|
Azure IaaS 환경에서 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 Azure IaaS에 제로 트러스트 원칙 적용 개요를 참조하세요.
AWS 및 AWS 구성 요소
AWS는 Microsoft Azure, Google Cloud Platform 등과 함께 시장에서 사용할 수 있는 퍼블릭 클라우드 공급자 중 하나입니다. 회사에서는 둘 이상의 클라우드 공급자로 구성된 다중 클라우드 아키텍처를 사용하는 것이 일반적입니다. 이 문서에서는 다음과 같은 다중 클라우드 아키텍처를 중점으로 설명합니다.
- Azure와 AWS는 워크로드 및 IT 비즈니스 솔루션을 실행하기 위해 통합되어 있습니다.
- Microsoft 제품을 사용하여 AWS IaaS 워크로드를 보호합니다.
Amazon EC2(Amazon Elastic Compute Cloud)라고 하는 AWS 가상 머신은 Amazon VPC(Amazon Virtual Private Cloud)라는 AWS 가상 네트워크를 기반으로 실행됩니다. 사용자 및 클라우드 관리자는 AWS 환경에서 Amazon VPC를 설정하고 Amazon EC2 가상 머신을 추가합니다.
AWS CloudTrail은 AWS 환경에서 AWS 계정 활동을 기록합니다. Amazon EC2, Amazon VPC 및 AWS CloudTrail은 AWS 환경에서 일반적입니다. 이러한 서비스에서 로그를 수집하는 것은 AWS 환경에서 발생하는 작업과 공격을 방지하거나 완화하기 위해 수행할 작업을 이해하는 데 필수적입니다.
Amazon GuardDuty는 악의적인 활동 및 무단 동작에 대한 AWS 환경을 모니터링하여 AWS 워크로드를 보호하는 데 도움이 되는 위협 탐지 서비스입니다.
이 문서에서는 이러한 AWS 리소스 및 서비스의 모니터링 및 로깅을 Azure의 모니터링 솔루션 및 Microsoft 보안 스택과 통합하는 방법에 대해 알아봅니다.
참조 아키텍처
다음 아키텍처 다이어그램은 AWS 환경에서 IaaS 워크로드를 실행하는 데 필요한 일반적인 서비스 및 리소스를 보여 줍니다. 또한 이 다이어그램은 AWS 환경에서 Azure로 로그 및 데이터를 수집하고 위협 모니터링 및 보호를 제공하는 데 필요한 Azure 서비스를 보여 줍니다.
이 다이어그램은 AWS 환경에서 다음 리소스 및 서비스에 대한 로그를 Azure에 수집하는 방법을 보여 줍니다.
- Amazon EC2(Amazon Elastic Compute Cloud)
- Amazon Virtual Private Cloud(Amazon VPC)
- Amazon Web Services CloudTrail(AWS CloudTrail)
- Amazon GuardDuty
AWS 환경의 리소스 및 서비스에 대한 Azure로 로그를 수집하려면 Amazon Simple Storage 서비스(Amazon S3) 및 Amazon SQS(Simple Queue Service)가 정의되어 있어야 합니다.
로그 및 데이터는 Azure Monitor의 Log Analytics에 수집됩니다.
다음 Microsoft 제품은 수집된 데이터를 사용하여 모니터링합니다.
- Microsoft Defender for Cloud
- Microsoft Sentinel
- 엔드포인트에 대한 Microsoft Defender
참고 항목
AWS 리소스 및 서비스를 모니터링하기 위해 나열된 모든 Microsoft 제품에 로그를 수집할 필요는 없습니다. 하지만 모든 Microsoft 제품을 함께 사용하면 AWS 로그 및 Azure로의 데이터 수집을 통해 더 큰 이점을 얻을 수 있습니다.
이 문서에서는 아키텍처 다이어그램을 따르고 다음 방법을 설명합니다.
- AWS 리소스에서 로그를 수집하도록 Microsoft 제품을 설치하고 구성합니다.
- 모니터링하려는 보안 데이터에 대한 메트릭을 구성합니다.
- 전반적인 보안 태세를 개선하고 AWS 워크로드를 보호합니다.
- 코드로 인프라를 보호합니다.
1단계: 로그 및 데이터 수집에 Microsoft 제품 설치 및 연결
이 섹션에서는 AWS 및 Amazon 서비스 및 리소스에서 로그를 수집하기 위해 참조된 아키텍처에서 Microsoft 제품을 설치하고 연결하는 방법을 안내합니다. 제로 트러스트 명시적 원칙을 준수하려면 Microsoft 제품을 설치하고 AWS 환경에 연결하여 공격 전에 사전 조치를 취해야 합니다.
단계 | 작업 |
---|---|
A | Amazon EC2(Amazon Elastic Compute Cloud) 가상 머신에 Azure Connected Machine 에이전트를 설치하여 운영 체제 데이터 및 로그를 Azure에 수집합니다. |
B | Log Analytics 작업 영역으로 로그를 보내려면 Amazon EC2 가상 머신에 Azure Monitor 에이전트를 설치합니다. |
C | AWS 계정을 클라우드용 Microsoft Defender 연결합니다. |
D | AWS에 Microsoft Sentinel을 연결하여 AWS 로그 데이터를 수집합니다. |
E | AWS 커넥터를 사용하여 AWS 서비스 로그를 Microsoft Sentinel로 끌어올 수 있습니다. |
A. Amazon EC2 가상 머신에 Azure Connected Machine 에이전트를 설치하여 운영 체제 데이터 및 Azure에 로그인 수집
Azure Arc 지원 서버를 사용하면 Azure 외부, 회사 네트워크 또는 기타 클라우드 공급자에서 호스트되는 Windows 및 Linux 물리적 서버 및 가상 머신을 관리할 수 있습니다. Azure Arc의 목적을 위해 Azure 외부에서 호스트되는 컴퓨터는 하이브리드 머신으로 간주됩니다. Amazon EC2 가상 머신(하이브리드 머신이라고도 함)을 Azure에 연결하려면 각 컴퓨터에 Azure Connected Machine 에이전트를 설치합니다.
자세한 내용은 Azure에 하이브리드 머신 연결을 참조하세요.
B. Log Analytics 작업 영역에 로그를 보내려면 Amazon EC2 가상 머신에 Azure Monitor 에이전트 설치
Azure Monitor 는 AZURE 및 AWS를 포함한 다른 클라우드에서 실행되는 리소스 및 애플리케이션에 대한 완전한 모니터링을 제공합니다. Azure Monitor는 클라우드 및 온-프레미스 환경에서 원격 분석을 수집, 분석 및 작동합니다. Azure Monitor의 VM 인사이트는 Azure Arc 지원 서버를 사용하여 Azure 가상 머신과 Amazon EC2 가상 머신 간에 일관된 환경을 제공합니다. Azure 가상 머신과 함께 Amazon EC2 가상 머신을 바로 볼 수 있습니다. 동일한 방법을 사용하여 Amazon EC2 가상 머신을 온보딩할 수 있습니다. 여기에는 Azure Policy와 같은 표준 Azure 구문을 사용하고 태그를 적용하는 것이 포함됩니다.
컴퓨터에 대해 VM 인사이트를 사용하도록 설정하면 AMA(Azure Monitor 에이전트 )가 설치됩니다. AMA는 Amazon EC2 가상 머신에서 모니터링 데이터를 수집하고 기능, 인사이트 및 Microsoft Sentinel 및 클라우드용 Microsoft Defender 같은 기타 서비스에서 사용하기 위해 Azure Monitor에 제공합니다.
Important
Log Analytics는 Azure Monitor 로그 저장소의 데이터에 대한 로그 쿼리를 편집하고 실행하는 데 사용하는 Azure Portal의 도구입니다. Log Analytics가 자동으로 설치됩니다.
Amazon EC2 가상 머신에는 레거시 Log Analytics 에이전트가 설치되어 있을 수 있습니다. 이 에이전트는 2024년 9월에 더 이상 사용되지 않습니다. 새 Azure Monitor 에이전트를 설치하는 것이 좋습니다.
Windows 및 Linux용 Log Analytics 에이전트 또는 Azure Monitor 에이전트는 다음을 수행해야 합니다.
- 컴퓨터에서 실행되는 운영 체제 및 워크로드를 사전에 모니터링합니다.
- Automation Runbook 또는 업데이트 관리와 같은 솔루션을 사용하여 머신을 관리합니다.
- Microsoft Defender for Cloud와 같은 다른 Azure 서비스를 사용하는 경우
로그 및 데이터를 수집하면 정보가 Log Analytics 작업 영역에 저장됩니다. 구독의 Azure 리소스에서 데이터를 수집하는 경우 Log Analytics 작업 영역이 필요합니다.
Azure Monitor 통합 문서는 Azure Portal에서 사용할 수 있는 시각화 도구입니다. 통합 문서는 텍스트, 로그 쿼리, 메트릭 및 매개 변수를 풍부한 대화형 보고서로 결합합니다. 통합 문서를 설정하면 분석을 사용하여 위반 원칙을 제로 트러스트 준수할 수 있습니다.
통합 문서는 Amazon VPC(Amazon Virtual Private Cloud), AWS CloudTrail 및 Amazon GuardDuty의 Microsoft Sentinel 로그의 모니터 아래에 있는 다음 문서에서 설명합니다.
자세한 내용은 다음을 참조하세요.
C. AWS 계정을 클라우드용 Microsoft Defender 연결
클라우드용 Microsoft Defender AWS를 포함한 모든 Azure, 온-프레미스 및 다중 클라우드 리소스에 대한 CSPM(Cloud Security Posture Management) 및 CWPP(클라우드 워크로드 보호 플랫폼)입니다. 클라우드용 Defender는 클라우드와 온-프레미스에서 리소스 및 워크로드의 보안을 관리할 때 필요한 세 가지 요구 사항을 충족합니다.
- 지속적으로 평가 - 보안 상태를 파악합니다. 취약성을 식별하고 추적합니다.
- 보안 - MCSB(Microsoft 클라우드 보안 벤치마크) 및 AWS Foundational Security 모범 사례 표준을 사용하여 리소스 및 서비스를 강화합니다.
- 방어 - 리소스 및 서비스에 대한 위협을 감지하고 해결합니다.
서버용 Microsoft Defender는 클라우드용 Microsoft Defender 제공하는 유료 플랜 중 하나입니다. 서버용 Defender는 Azure, AWS, Google Cloud Platform 및 온-프레미스에서 실행되는 Windows 및 Linux 머신으로 보호를 확장합니다. 서버용 Defender는 엔드포인트용 Microsoft Defender와 통합되어 EDR(엔드포인트 감지 및 응답) 및 기타 위협 방지 기능을 제공합니다.
자세한 내용은 다음을 참조하세요.
- AWS 계정을 클라우드용 Microsoft Defender 연결하여 AWS 리소스를 보호합니다.
- 클라우드용 Microsoft Defender 서버용 Defender 계획을 선택하여 서버용 Defender에서 제공하는 다양한 계획을 비교합니다. 서버용 Defender는 클라우드용 Defender에 연결된 모든 지원되는 컴퓨터에 엔드포인트용 Defender 센서를 자동으로 프로비저닝합니다.
참고 항목
서버에 AMA를 아직 배포하지 않은 경우 서버용 Defender를 사용하도록 설정할 때 서버에 Azure Monitor 에이전트를 배포할 수 있습니다.
D. AWS에 Microsoft Sentinel을 연결하여 AWS 로그 데이터 수집
Microsoft Sentinel은 다음 서비스를 제공하는 확장 가능한 클라우드 네이티브 솔루션입니다.
- SIEM(보안 정보 및 이벤트 관리)
- SOAR(보안 오케스트레이션, 자동화 및 응답)
Microsoft Sentinel은 기업 전체에 보안 분석 및 위협 인텔리전스를 제공합니다. Microsoft Sentinel을 사용하면 공격 검색, 위협 표시 유형, 자동 관리 헌팅 및 위협 응답을 위한 단일 솔루션을 얻을 수 있습니다.
설치 지침은 Microsoft Sentinel 온보딩을 참조 하세요.
E. AWS 커넥터를 사용하여 AWS 서비스 로그를 Microsoft Sentinel로 끌어오기
AWS 서비스 로그를 Microsoft Sentinel로 끌어오려면 Microsoft Sentinel AWS 커넥터를 사용해야 합니다. 커넥터는 AWS 리소스 로그에 대한 Microsoft Sentinel 액세스 권한을 부여하여 작동합니다. 커넥터를 설정하면 AWS와 Microsoft Sentinel 간에 트러스트 관계가 설정됩니다. AWS에서 AWS 로그에 액세스할 수 있는 권한을 Microsoft Sentinel에 부여하는 역할이 만들어집니다.
AWS 커넥터는 Amazon S3 버킷에서 로그를 가져와서 수집하는 새로운 Amazon Simple Storage 서비스(Amazon S3) 커넥터와 CloudTrail 관리 및 데이터 로그를 위한 레거시 커넥터의 두 가지 버전으로 제공됩니다. Amazon S3 커넥터는 Amazon VPC(Amazon Virtual Private Cloud), AWS CloudTrail 및 Amazon GuardDuty에서 로그를 수집할 수 있습니다. Amazon S3 커넥터는 미리 보기로 제공됩니다. Amazon S3 커넥터를 사용하는 것이 좋습니다.
Amazon S3 커넥터 를 사용하여 Amazon VPC, AWS CloudTrail 및 Amazon GuardDuty에서 로그를 수집하려면 MICROSOFT Sentinel을 AWS에 연결하세요.
참고 항목
자동 설치 스크립트를 사용하여 Amazon S3 커넥터를 배포하는 것이 좋습니다. 각 단계를 수동으로 수행하려면 수동 설정에 따라 Microsoft Sentinel을 AWS에 연결합니다.
2단계: 보안 데이터에 대한 메트릭 구성
Azure가 AWS 리소스에서 로그를 수집했으므로 사용자 환경에서 위협 탐지 규칙을 만들고 경고를 모니터링할 수 있습니다. 이 문서에서는 로그 및 데이터를 수집하고 의심스러운 활동을 모니터링하는 단계를 안내합니다. 제로 트러스트 위협 및 취약성에 대한 환경을 모니터링하여 위반 원칙을 달성했다고 가정합니다.
단계 | 작업 |
---|---|
A | Azure Monitor에서 Amazon Elastic Compute Cloud(Amazon EC2) 로그를 수집합니다. |
B | Amazon EC2에 대한 클라우드용 Microsoft Defender 보안 경고 및 권장 사항을 보고 관리합니다. |
C | 클라우드용 Defender 엔드포인트용 Microsoft Defender 통합합니다. |
D | Microsoft Sentinel에서 Amazon EC2 데이터를 모니터링합니다. |
E | Amazon VPC(Amazon Virtual Private Cloud), AWS CloudTrail 및 Amazon GuardDuty에서 Microsoft Sentinel 로그를 모니터링합니다. |
F | Microsoft Sentinel 기본 제공 검색 규칙을 사용하여 사용자 환경에서 위협 탐지 규칙을 만들고 조사합니다. |
A. Azure Monitor에서 Amazon Elastic Compute Cloud(Amazon EC2) 로그 수집
Amazon EC2 VM에 설치된 Azure Connected Machine 에이전트를 사용하면 AWS 리소스가 Azure 리소스인 것처럼 모니터링할 수 있습니다. 예를 들어 Azure 정책을 사용하여 Amazon EC2 VM에 대한 업데이트를 제어하고 관리할 수 있습니다.
Amazon EC2 VM에 설치된 AMA(Azure Monitor 에이전트)는 모니터링 데이터를 수집하여 Azure Monitor에 전달합니다. 이러한 로그는 Microsoft Sentinel 및 클라우드용 Defender 대한 입력이 됩니다.
Amazon EC2 VM에서 로그를 수집하려면 데이터 수집 규칙 만들기를 참조하세요.
B. Amazon EC2에 대한 클라우드용 Microsoft Defender 보안 경고 및 권장 사항 보기 및 관리
클라우드용 Microsoft Defender 리소스 로그를 사용하여 보안 경고 및 권장 사항을 생성합니다. 클라우드용 Defender Amazon EC2 VM의 가능한 위협에 대해 경고하는 경고를 제공할 수 있습니다. 경고는 심각도에 따라 우선 순위가 지정됩니다. 각 경고는 영향을 받는 리소스, 문제 및 수정 권장 사항에 대한 세부 정보를 제공합니다.
Azure Portal에서 권장 사항을 보는 방법에는 두 가지가 있습니다. 클라우드용 Defender 개요 페이지에서 개선하려는 환경에 대한 권장 사항을 볼 수 있습니다. 클라우드용 Defender 자산 인벤토리 페이지에서 영향을 받는 리소스에 따라 권장 사항이 표시됩니다.
Amazon EC2 경고 및 권장 사항을 보고 관리하려면 다음을 수행합니다.
- 클라우드용 Defender 사용할 수 있는 다양한 유형의 경고와 경고에 대응하는 방법에 대해 알아봅니다.
- 클라우드용 Defender 권장 사항을 구현하여 보안 태세를 개선합니다.
- 클라우드용 Defender 자산 인벤토리 페이지에 액세스하는 방법을 알아봅니다.
참고 항목
MCSB(Microsoft 클라우드 보안 벤치마크 )에는 단일 또는 다중 클라우드 환경에서 클라우드 서비스를 보호하는 데 사용할 수 있는 강력한 보안 권장 사항 모음이 포함되어 있습니다. 클라우드 배포를 신속하게 보호할 수 있도록 보안 벤치마크를 사용하는 것이 좋습니다. MCSB에 대해 자세히 알아봅니다.
C. 엔드포인트용 Microsoft Defender와 클라우드용 Defender 통합
엔드포인트용 Microsoft Defender 클라우드용 Defender 통합 엔드포인트 감지 및 응답 솔루션으로 엔드포인트를 보호합니다. 엔드포인트용 Microsoft Defender Azure, 온-프레미스 또는 다중 클라우드 환경에서 호스트되는지 여부에 관계없이 Windows 및 Linux 머신을 보호합니다. 엔드포인트용 Microsoft Defender는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 주요 기능은 다음과 같습니다.
- 위험 기반 취약성 관리 및 평가
- 공격 표면 감소
- 동작 기반 및 클라우드 기반 보호
- EDR(엔드포인트 검색 및 응답)
- 자동 조사 및 수정
- 관리되는 헌팅 서비스
자세한 내용은 엔드포인트용 Microsoft Defender 통합 사용을 참조하세요.
D. Microsoft Sentinel에서 Amazon EC2 데이터 모니터링
Azure Connected Machine 에이전트 및 AMA를 설치하면 Amazon EC2 운영 체제는 Microsoft Sentinel에서 자동으로 사용할 수 있는 Azure Log Analytics 테이블로 로그를 보내기 시작합니다.
다음 이미지는 Microsoft Sentinel에서 Amazon EC2 운영 체제 로그를 수집하는 방법을 보여 줍니다. Azure Connected Machine 에이전트는 Amazon EC2 VM을 Azure의 일부로 만듭니다. AMA 데이터 커넥터를 통한 Windows 보안 이벤트는 Amazon EC2 VM에서 데이터를 수집합니다.
참고 항목
Amazon EC2에서 로그를 수집하기 위해 Microsoft Sentinel이 필요하지는 않지만 이전에 Log Analytics 작업 영역을 설정해야 합니다.
단계별 지침은 GitHub의 문서인 Arc 및 AMA를 사용하는 Amazon EC2 Sentinel 수집을 참조하세요. 이 솔루션 가이드의 앞부분에서 AMA를 설치했기 때문에 건너뛸 수 있는 AMA 설치에 대한 GitHub 문서 주소입니다.
E. Amazon VPC(Amazon Virtual Private Cloud), AWS CloudTrail 및 Amazon GuardDuty에서 Microsoft Sentinel 로그 모니터링
이전에 Amazon S3(Amazon Simple Storage Service) 커넥터를 사용하여 Microsoft Sentinel을 AWS에 연결했습니다. Amazon S3 버킷은 로그를 쿼리하는 데 사용되는 기본 도구인 Log Analytics 작업 영역으로 로그를 보냅니다. 다음 테이블은 작업 영역에 만들어집니다.
- AWSCloudTrail - AWS CloudTrail 로그는 AWS 계정의 모든 데이터 및 관리 이벤트를 보유합니다.
- AWSGuardDuty - Amazon GuardDuty 검색 결과는 네트워크 내에서 검색된 잠재적인 보안 문제를 나타냅니다. Amazon GuardDuty는 AWS 환경에서 예기치 않은 악의적인 활동을 감지할 때마다 검색 결과를 생성합니다.
- AWSVPCFlow - Amazon VPC(Amazon Virtual Private Cloud) 흐름 로그를 사용하면 Amazon VPC 네트워크 인터페이스로 이동하는 IP 트래픽을 캡처할 수 있습니다.
Microsoft Sentinel에서 Amazon VPC Flow 로그, AWS CloudTrail 및 Amazon GuardDuty를 쿼리할 수 있습니다. 다음은 Log Analytics의 각 서비스 및 해당 테이블에 대한 쿼리 예제입니다.
Amazon GuardDuty 로그의 경우:
AWSGuardDuty | 여기서 심각도 > 7 | ActivityType별 count() 요약
Amazon VPC Flow 로그의 경우:
AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | take 10
AWS CloudTrail 로그의 경우:
AWSCloudTrail | where EventName == "CreateUser" | AWSRegion별 summarize count()
Microsoft Sentinel에서는 Amazon S3 통합 문서를 활용하여 자세한 내용을 분석합니다.
AWS CloudTrail의 경우 다음을 분석할 수 있습니다.
- 시간에 따른 데이터 흐름
- 계정 ID
- 이벤트 원본 목록
Amazon GuardDuty의 경우 다음을 분석할 수 있습니다.
- 지도별 Amazon GuardDuty
- 지역별 Amazon GuardDuty
- IP별 Amazon GuardDuty
F. Microsoft Sentinel 기본 제공 검색 규칙을 사용하여 사용자 환경에서 위협 탐지 규칙을 만들고 조사합니다.
이제 데이터 원본을 Microsoft Sentinel에 연결했으므로 Microsoft Sentinels 기본 제공 검색 규칙 템플릿을 사용하여 사용자 환경에서 위협 탐지 규칙을 만들고 조사할 수 있습니다. Microsoft Sentinel은 위협 탐지 규칙을 만드는 데 도움이 되는 기본 제공 템플릿을 제공합니다.
Microsoft의 보안 전문가 및 분석가 팀은 알려진 위협, 일반적인 공격 벡터 및 의심스러운 활동 에스컬레이션 체인을 기반으로 규칙 템플릿을 디자인합니다. 이러한 템플릿에서 생성된 규칙은 사용자 환경 전체에서 의심스러운 활동을 자동으로 검색합니다. 많은 템플릿을 사용자 지정하여 활동을 검색하거나, 필요하다면 필터를 지정할 수 있습니다. 이러한 규칙에서 생성하는 경고는 사용자 환경에서 할당하고 조사할 수 있는 인시던트를 만듭니다.
자세한 내용은 Microsoft Sentinel에서 기본 제공 분석 규칙을 사용하여 위협 감지를 참조하세요.
3단계: 전반적인 보안 상태 개선
이 섹션에서는 Microsoft Entra 사용 권한 관리 사용하지 않고 과도한 사용 권한을 모니터링하는 데 어떻게 도움이 되는지 알아봅니다. 키 데이터를 구성, 온보딩 및 보는 방법을 단계별로 안내합니다. 제로 트러스트 최소 권한 액세스 원칙은 리소스에 대한 액세스를 관리, 제어 및 모니터링하여 달성됩니다.
단계 | 작업 |
---|---|
A | 권한 관리 및 Privileged Identity Management를 구성합니다. |
B | AWS 계정을 온보딩합니다. |
C | 주요 통계 및 데이터를 봅니다. |
권한 관리 구성
권한 관리는 다중 클라우드 인프라 전체에서 사용되지 않고 과도한 권한을 자동으로 검색하고, 크기를 적절하게 조정하고, 지속적으로 모니터링하는 CIEM(클라우드 인프라 권한 관리) 솔루션입니다.
사용 권한 관리는 사용 최소 권한 액세스 원칙을 보강하여 고객이 다음을 수행할 수 있도록 하여 제로 트러스트 보안 전략을 강화합니다.
- 포괄적인 가시성 확보: 어떤 ID가 무엇을, 어디서, 언제 수행하는지 알아봅니다.
- 최소 권한 액세스 자동화: 액세스 분석을 사용하여 ID에 적절한 권한이 적시에 있는지 확인합니다.
- IaaS 플랫폼 간 액세스 정책 통합: 클라우드 인프라에서 일관된 보안 정책을 구현합니다.
권한 관리는 AWS 및 Azure에 대한 주요 통계 및 데이터의 요약을 제공합니다. 데이터에는 피할 수 있는 위험과 관련된 메트릭이 포함됩니다. 이러한 메트릭을 사용하면 권한 관리 관리자가 최소 권한 액세스 원칙을 사용하는 제로 트러스트 관련된 위험을 줄일 수 있는 영역을 식별할 수 있습니다.
추가 분석 및 자동화를 위해 Microsoft Sentinel에 데이터를 공급할 수 있습니다.
작업을 구현하려면 다음을 참조하세요.
4단계: 코드로 인프라 보호
이 섹션에서는 코드로 인프라를 검사하고 보호하는 DevSecOps의 주요 핵심 요소를 다룹니다. 코드로서의 인프라의 경우 보안 및 DevOps 팀은 인프라 배포의 취약성으로 이어질 수 있는 잘못된 구성을 모니터링해야 합니다.
ARM(Azure Resource Manager), Bicep 또는 Terraform 템플릿에 대한 지속적인 검사를 구현하여 개발 초기에 위반 및 악용을 방지합니다. 이 경우 비용이 적게 드는 문제를 해결할 수 있습니다. 또한 Microsoft Entra ID 및 DevOps 도구에서 관리자 및 서비스 계정 그룹을 엄격하게 제어하려고 합니다.
다음을 통해 최소 권한 액세스 원칙을 사용하는 제로 트러스트 구현합니다.
- 최소 권한 ID 액세스 및 네트워킹 설정으로 인프라 구성에 대한 강력한 검토를 수행합니다.
- 리포지토리 수준, 팀 수준 또는 조직 수준의 리소스에 사용자 RBAC(역할 기반 액세스 제어)를 할당합니다.
필수 구성 요소:
- 코드 리포지토리는 Azure DevOps 또는 GitHub에 있습니다.
- 파이프라인은 Azure DevOps 또는 GitHub에서 호스트됩니다.
단계 | 작업 |
---|---|
A | IaC(Infrastructure as Code)에 DevSecOps를 사용하도록 설정합니다. |
B | DevOps 도구에 대한 RBAC를 구현합니다. |
C | GitHub Advanced Security를 사용하도록 설정합니다. |
D | 코드 및 비밀 검사 결과를 봅니다. |
A. IaC에 DevSecOps 사용
Defender for DevOps는 코드와 파이프라인이 Azure DevOps 또는 GitHub에 있는지 여부에 관계없이 다중 파이프라인 환경의 보안 상태에 대한 가시성을 제공합니다. 보안 및 DevOps 팀이 하나의 대시보드에서 모든 리포지토리의 검사 결과를 볼 수 있는 단일 창의 유리 창을 구현하고 문제를 해결하기 위한 끌어오기 요청 프로세스를 설정할 수 있는 추가적인 이점이 있습니다.
자세한 내용은 다음을 참조하세요.
B. DevOps 도구에 대한 RBAC 구현
역할 기반 액세스 제어 권한과 같은 팀에 대한 건전한 거버넌스 사례를 관리하고 구현해야 합니다. DevOps 자동화를 위해 이 모델을 미러링하지 않으면 조직에서 보안 백도어를 열어 둘 수 있습니다. 개발자가 ARM 템플릿을 통해 액세스할 수 없는 예를 생각해 보세요. 개발자는 여전히 애플리케이션 코드 또는 인프라를 코드로 변경하고 자동화 워크플로를 트리거할 수 있는 충분한 권한이 있을 수 있습니다. 개발자는 DevOps 통해 간접적으로 ARM 템플릿에 액세스하고 파괴적인 변경을 수행할 수 있습니다.
인프라 구축을 위한 클라우드 기반 솔루션을 배포하는 경우 보안이 항상 가장 중요한 관심사여야 합니다. Microsoft는 기본 클라우드 인프라를 안전하게 유지합니다. Azure DevOps 또는 GitHub에서 보안을 구성합니다.
보안을 구성하려면 다음을 수행합니다.
- Azure DevOps에서는 조직/컬렉션, 프로젝트 또는 개체 수준에서 보안 그룹, 정책 및 설정을 사용할 수 있습니다.
- GitHub에서 리포지토리 수준, 팀 수준 또는 조직 수준에서 사용자에게 역할을 부여하여 리소스에 대한 액세스 권한을 할당할 수 있습니다.
C. GitHub Advanced Security를 사용하도록 설정
환경을 사전에 보호하려면 DevOps 보안을 지속적으로 모니터링하고 강화하는 것이 중요합니다. GitHub Advanced Security는 파이프라인에서 검사를 자동화하여 노출된 비밀, 종속성 취약성 등을 찾습니다. GitHub는 Advanced Security 라이선스에 따라 고객에게 추가 보안 기능을 제공합니다.
기본적으로 GitHub Advanced Security는 공용 리포지토리에 대해 사용하도록 설정됩니다. 프라이빗 리포지토리의 경우 GitHub Advanced Security 라이선스를 사용해야 합니다. 사용하도록 설정하면 GitHub Advanced Security 제품군과 함께 제공되는 많은 기능을 사용할 수 있습니다.
- 코드 검사
- 종속성 검사
- 비밀 검사
- Access Control
- 취약성 경고
- 감사 로그
- 분기 보호 규칙
- 끌어오기 요청 검토
이러한 기능을 사용하면 코드가 안전하고 업계 표준을 준수하는지 확인할 수 있습니다. 자동화된 워크플로를 만들어 코드의 보안 문제를 신속하게 감지하고 해결할 수도 있습니다. 또한 분기 보호 규칙을 사용하여 코드베이스에 대한 무단 변경을 방지할 수 있습니다.
자세한 내용은 GitHub 고급 보안 사용을 참조 하세요.
D. 코드 및 비밀 검사 결과 보기
클라우드용 Defender 사용할 수 있는 서비스인 DevOps용 Defender를 사용하면 보안 팀이 다중 파이프라인 환경에서 DevOps 보안을 관리할 수 있습니다. DevOps용 Defender는 중앙 콘솔을 사용하여 GitHub 및 Azure DevOps와 같은 다중 파이프라인 환경에서 코드에서 클라우드까지 애플리케이션과 리소스를 보호할 수 있는 기능을 보안 팀에 제공합니다.
DevOps용 Defender는 PR(끌어오기 요청)에서 보안 결과를 주석으로 노출합니다. 보안 운영자는 클라우드용 Microsoft Defender PR 주석을 사용하도록 설정할 수 있습니다. 노출된 문제는 개발자가 해결할 수 있습니다. 이 프로세스는 프로덕션 단계에 들어가기 전에 잠재적인 보안 취약성 및 잘못된 구성을 방지하고 수정할 수 있습니다. Azure DevOps에서 PR 주석을 구성할 수 있습니다. GitHub Advanced Security 고객인 경우 GitHub에서 PR 주석을 가져올 수 있습니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Security DevOps GitHub 작업 구성
- Microsoft Security DevOps Azure DevOps 확장을 구성합니다.
- GitHub 및 Azure DevOps에서 끌어오기 요청 주석 사용
다음 단계
이 문서에서 설명하는 Azure 서비스에 대해 자세히 알아봅니다.
이 문서에서 설명하는 AWS 및 Amazon 서비스 및 리소스에 대해 자세히 알아보세요.
- Amazon Elastic Compute Cloud (Amazon EC2)
- AWS CloudTrail
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon GuardDuty
- Amazon Simple Storage 서비스 (Amazon S3)
- Amazon SQS(Simple Queue Service )
- AWS ID 및 액세스 관리 (IAM)