Azure Security Center를 사용하여 보안 위협으로부터 보호
Azure Security Center란?
- Azure와 온-프레미스에서 전체 서비스의 보안 태세를 확인할 수 있는 모니터링 서비스
- ID, 데이터, 앱, 디바이스 및 인프라와 같은 Azure 리소스의 보안을 모니터링하고 작업할 수 있음
** 보안 태세: 사이버 보안 정책 및 제어뿐 아니라 보안 위협을 제대로 예측 및 방지하고 이에 대응할 수 있는 정도
기능
- 온-프레미스 및 클라우드 워크로드에서 보안 설정을 모니터링합니다.
- 온라인 상태로 전환되면 필요한 보안 설정을 새 리소스에 자동으로 적용합니다.
- 구성, 리소스, 네트워크에 기반한 보안 권장 사항을 제공합니다.
- 리소스를 지속적으로 모니터링하면서 자동 보안 평가를 수행하여 잠재적 취약성이 악용되기 전에 미리 식별합니다.
- 기계 학습을 사용하여 맬웨어를 탐지하고 맬웨어가 VM(가상 머신)과 기타 리소스에 설치되는 것을 차단합니다. ‘적응형 애플리케이션 제어’를 사용하여 허용하는 애플리케이션만 실행할 수 있도록 허용되는 애플리케이션을 나열하는 규칙을 정의할 수도 있습니다.
- 잠재적 인바운드 공격을 탐지 및 분석하고, 발생했을 수 있는 위협과 위반 후 활동을 조사합니다.
- 네트워크 포트에 대한 Just-In-Time 액세스 제어를 제공합니다. 이렇게 하면 필요할 때 필요한 트래픽만 네트워크에서 허용하여 공격 노출 영역이 감소합니다.
- 허용하는 애플리케이션만 실행할 수 있도록 허용되는 애플리케이션 목록 정의 가능
보안 태세 이해
- 회사에서 할당한 거버넌스 정책의 보안 컨트롤을 기준으로 분석되기 때문에 한 장소에서 보안과 관련된 전체 규정 준수 여부를 볼 수 있음
- 리소스 보안 예방 조치 섹션에서 보안 관점의 리소스 상태를 확인 가능
보안 점수
- 조직의 보안 태세를 측정한 것
- ‘보안 컨트롤’ 또는 관련된 보안 권장 사항 그룹을 기반으로 함
- 점수는 충족하는 보안 컨트롤의 백분율 기반 (충족하는 보안 컨트롤이 많을 수록 점수가 높음)
보안 점수로 다음 수행 가능
- 조직 보안 태세의 현재 상태를 보고합니다.
- 검색 기능, 가시성, 지침 및 제어를 제공하여 보안 태세를 개선합니다.
- 벤치마크와 비교하고 KPI(핵심 성과 지표)를 설정합니다.
위협으로부터 보호
Security Center에는 VM, 네트워크 보안 및 파일 무결성을 위한 고급 클라우드 방어 기능이 포함
- Just-in-time VM 액세스
- 기본적으로 VM의 특정 네트워크 포트에 대한 트래픽을 차단하지만, 관리자가 요청하고 승인하면 지정된 시간 동안 트래픽을 허용합니다.
- 적응 애플리케이션 컨트롤
- VM에서 실행할 수 있는 애플리케이션을 제어 가능. Security Center는 백그라운드에서 기계 학습을 사용하여 VM에서 실행되는 프로세스를 확인합니다. VM을 유지하는 각 리소스 그룹에 대한 예외 규칙을 만들고 권장 사항을 제공합니다. 이 프로세스는 VM에서 실행 중인 권한 없는 애플리케이션에 대해 회사에 알리는 경고를 제공합니다.
- 적응형 네트워크 강화
- Security Center는 VM의 인터넷 트래픽 패턴을 모니터링하고 해당 패턴을 회사의 현재 NSG(네트워크 보안 그룹) 설정과 비교할 수 있습니다. 여기에서 Security Center는 NSG를 추가로 잠가야 할지에 관한 권장 사항을 만들고 수정 단계를 제공할 수 있습니다.
- 파일 무결성 모니터링
- Windows 및 Linux의 중요한 파일, 레지스트리 설정, 애플리케이션 및 보안 공격을 나타낼 수 있는 기타 측면에 관련된 변경 내용을 모니터링하도록 구성할 수 있습니다.
보안 경고에 대응
워크플로 자동화를 통해 자동화된 응답을 사용 가능
워크플로 자동화는 Azure Logic Apps 및 Security Center 커넥터를 사용
Logic App은 위협 탐지 경고에 따라 트리거되거나 이름이나 심각도별로 필터링된 Security Center 권장 사항에 따라 트리거될 수 있음