Microsoft Defender for Cloud Apps에 대해 설명하기

  • 6분

SaaS(Software as a Service) 앱은 하이브리드 작업 환경 어디에나 있습니다. SaaS 앱과 SaaS 앱이 저장하는 중요한 데이터를 보호하는 것은 조직에 중요한 과제입니다. 앱 사용량이 증가하고 직원이 회사 경계 외부에서 회사 리소스에 액세스함에 따라 새로운 공격 벡터도 도입되었습니다. 이러한 공격에 효과적으로 대처하기 위해 보안 팀에게는 기존의 CASB(클라우드 액세스 보안 브로커) 범위를 넘어 클라우드 앱 내에서 데이터를 보호하는 접근 방식이 필요합니다.

Microsoft Defender for Cloud Apps는 SaaS 애플리케이션에 대한 완전한 보호를 제공하여 다음 기능 영역에서 클라우드 앱 데이터를 모니터링하고 보호할 수 있도록 지원합니다.

  • 기본 CASB(클라우드 액세스 보안 브로커) 기능. CASB는 엔터프라이즈 사용자와 이들이 사용하는 클라우드 리소스 간에 실시간 액세스를 중개하는 문지기 역할을 합니다. CASB는 클라우드 앱 사용 및 섀도 IT 검색, 클라우드 내 모든 곳으로부터의 앱 기반 위협에 대한 보호, 정보 보호, 규정 준수 등 주요 기능 영역에서 광범위한 기능을 제공하여 조직이 환경을 보호할 수 있도록 지원합니다.

  • 보안 팀이 조직 보안 태세를 개선할 수 있도록 하는 SaaS SSPM(SaaS Security Posture Management) 기능

  • 지능형 공격의 킬 체인 전체에서 신호와 가시성의 강력한 상관 관계를 보여 주는 Microsoft XDR(Extended Detection and Response) 솔루션의 일부인 고급 위협 보호

  • 핵심 위협 시나리오를 중요한 데이터 및 리소스에 대한 권한이 있는 OAuth 지원 앱으로 확장하는 앱 간 보호

SaaS 애플리케이션 검색

Defender for Cloud Apps는 SaaS 앱 사용 및 리소스로 인한 환경의 위험도를 전체적으로 보여주고, 사용 중인 항목과 시기를 제어할 수 있도록 해줍니다.

  • 식별: Defender for Cloud Apps는 네트워크 트래픽 평가 및 광범위한 앱 카탈로그를 기반으로 데이터를 사용하여 조직의 사용자가 액세스하는 앱을 식별합니다.

  • 평가: 90개 이상의 위험 지표에 대해 검색된 앱을 평가하여 검색된 앱을 정렬하고 조직 보안 및 규정 준수 상태를 알아볼 수 있습니다.

  • 관리: 24시간 앱을 모니터링하는 정책을 설정합니다. 예를 들어 비정상적인 사용량 급증과 같은 비정상 동작이 발생하면 자동으로 경고를 받고 조치를 취하라는 안내를 받을 수 있습니다.

정보 보호

Defender for Cloud Apps는 SaaS 앱에 연결하여 어떤 데이터가 어디에 저장되고 누가 액세스하고 있는지를 파악하는 중요한 데이터가 포함된 파일을 검사합니다. 조직은 이 데이터를 보호하기 위해 다음과 같은 컨트롤을 구현할 수 있습니다.

  • 민감도 레이블 적용
  • 비관리형 디바이스에 대한 다운로드 차단
  • 기밀 파일에서 외부 공동 작업자 제거

또한 보안 팀은 Microsoft Purview와의 Defender for Cloud Apps 통합을 통해 정보 보호 정책에서 기본 제공 데이터 분류 유형을 활용하고 DLP(데이터 손실 보호) 기능을 사용하여 중요한 정보를 제어할 수 있습니다.

SSPM(SaaS 보안 태세 관리)

조직의 보안 태세를 최적화하는 것은 중요하지만 보안 팀은 각 앱에 대한 모범 사례를 개별적으로 조사해야 하는 과제를 안고 있습니다. Defender for Cloud Apps는 잘못된 구성을 표시하고 연결된 각 앱의 보안 태세를 강화하기 위한 특정 작업을 권장하여 도움을 줍니다. 권장 사항은 Center for Internet Security와 같은 업계 표준을 기반으로 하며 특정 앱 공급자가 설정한 모범 사례를 따릅니다.

Defender for Cloud Apps는 지원되는 연결된 모든 앱에 대해 Microsoft Secure Score의 SSPM 데이터를 자동으로 제공합니다.

Advanced Threat Protection

클라우드 앱은 계속해서 기업 데이터를 빼내려는 공격자의 표적이 됩니다. 정교한 공격은 종종 여러 방식을 함께 사용합니다. 공격은 이메일에서 시작된 후 측면으로 이동하여 엔드포인트와 ID를 손상시킨 후 최종적으로는 인앱 데이터 액세스 권한을 확보합니다.

Defender for Cloud Apps는 기본 제공 AAC(적응형 액세스 제어)와 UEBA(사용자 및 엔터티 동작 분석)을 제공하고 이런 유형의 공격을 완화할 수 있도록 지원합니다.

또한 Defender for Cloud Apps는 Microsoft Defender XDR에 직접 통합되어 Microsoft Defender 제품군에서 가져온 XDR(eXtended Detection and Response) 신호의 상관 관계를 지정하고 인시던트 수준 감지, 조사, 강력한 대응 기능을 제공합니다. SaaS 보안을 Microsoft의 XDR 환경에 통합하면 SOC 팀에 전체 킬 체인 가시성을 제공하고 운영 효과성과 효율성을 향상시킬 수 있습니다.

앱 거버넌스를 통한 앱 간 보호

토큰 기반 인증 및 권한 부여를 위한 개방형 표준인 OAuth를 사용하면 사용자의 암호를 노출하지 않고 타사 서비스에서 사용자의 계정 정보를 사용할 수 있습니다. OAuth를 사용하는 앱에는 사용자를 대신하여 다른 앱의 데이터에 액세스할 수 있는 광범위한 권한이 있는 경우가 많으므로 OAuth 앱이 손상되기 쉽습니다.

Microsoft Defender for Cloud Apps는 OAuth 앱 보안의 격차를 해소하여 애플리케이션 거버넌스를 통해 앱 간 데이터 교환을 보호하도록 돕습니다. 클라우드용 Defender 앱을 사용하여 사용하지 않는 앱을 감시하고 현재 자격 증명과 만료된 자격 증명을 모두 모니터링하여 조직에서 사용되는 앱을 관리하고 앱 보안을 유지할 수 있습니다.

Microsoft Defender 포털의 Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps는 Microsoft Defender 포털을 통해 경험할 수 있습니다. Defender 포털은 Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반의 보안을 모니터링하고 관리하는 곳으로, 보안 관리자가 한곳에서 보안 작업을 수행할 수 있도록 합니다.

Microsoft Defender for Cloud Apps 기능은 Microsoft Defender 포털의 왼쪽 탐색 패널에 있는 클라우드 앱 노드에서 찾을 수 있습니다. 다음 목록은 지원되는 기능의 하위 집합입니다.

  • 클라우드 검색 - 사용자 환경에서 클라우드 앱 사용량을 식별합니다.
  • 클라우드 앱 카탈로그 - 알려진 클라우드 앱에 대한 참조 정보입니다.
  • 앱 거버넌스 - Microsoft Entra ID, Google 및 Salesforce와 통합된 OAuth 앱에 대한 심층적인 가시성 및 제어를 가져옵니다.
  • 활동 로그 - 연결된 앱과 관련된 모든 활동을 봅니다.
  • 거버넌스 로그 - 클라우드 앱을 보호하기 위해 수행된 작업을 검토합니다.
  • 정책 - 클라우드 앱에 대한 보안 정책을 구성합니다.

설정, 권한, 인시던트 및 경고, 보고서 및 기타 기능도 Microsoft Defender 포털을 통해 사용할 수 있습니다. 자세한 내용은 이 모듈에 포함된 "Microsoft Defender 포털 설명" 단원에서 다룹니다.