MS Learn 파트 4-1-1 :: Azure에서 보안 위협으로부터 보호 (AZ-900)
-
Azure Security Center를 사용하여 보안 위협으로부터 보호
Azure Security Center란?
Azure와 온-프레미스에서 전체 서비스의 보안 태세를 확인할 수 있는 모니터링 서비스
ID, 데이터, 앱, 디바이스 및 인프라와 같은 Azure 리소스의 보안을 모니터링하고 작업할 수 있음
** 보안 태세: 사이버 보안 정책 및 제어뿐 아니라 보안 위협을 제대로 예측 및 방지하고 이에 대응할 수 있는 정도
기능
온-프레미스 및 클라우드 워크로드에서 보안 설정을 모니터링합니다.
온라인 상태로 전환되면 필요한 보안 설정을 새 리소스에 자동으로 적용합니다.
구성, 리소스, 네트워크에 기반한 보안 권장 사항을 제공합니다.
리소스를 지속적으로 모니터링하면서 자동 보안 평가를 수행하여 잠재적 취약성이 악용되기 전에 미리 식별합니다.
기계 학습을 사용하여 맬웨어를 탐지하고 맬웨어가 VM(가상 머신)과 기타 리소스에 설치되는 것을 차단합니다. ‘적응형 애플리케이션 제어’를 사용하여 허용하는 애플리케이션만 실행할 수 있도록 허용되는 애플리케이션을 나열하는 규칙을 정의할 수도 있습니다.
잠재적 인바운드 공격을 탐지 및 분석하고, 발생했을 수 있는 위협과 위반 후 활동을 조사합니다.
네트워크 포트에 대한 Just-In-Time 액세스 제어를 제공합니다. 이렇게 하면 필요할 때 필요한 트래픽만 네트워크에서 허용하여 공격 노출 영역이 감소합니다.
허용하는 애플리케이션만 실행할 수 있도록 허용되는 애플리케이션 목록 정의 가능
보안 태세 이해
회사에서 할당한 거버넌스 정책의 보안 컨트롤을 기준으로 분석되기 때문에 한 장소에서 보안과 관련된 전체 규정 준수 여부를 볼 수 있음
리소스 보안 예방 조치 섹션에서 보안 관점의 리소스 상태를 확인 가능
보안 점수
조직의 보안 태세를 측정한 것
‘보안 컨트롤’ 또는 관련된 보안 권장 사항 그룹을 기반으로 함
점수는 충족하는 보안 컨트롤의 백분율 기반 (충족하는 보안 컨트롤이 많을 수록 점수가 높음)
보안 점수로 다음 수행 가능
조직 보안 태세의 현재 상태를 보고합니다.
검색 기능, 가시성, 지침 및 제어를 제공하여 보안 태세를 개선합니다.
벤치마크와 비교하고 KPI(핵심 성과 지표)를 설정합니다.
위협으로부터 보호
Security Center에는 VM, 네트워크 보안 및 파일 무결성을 위한 고급 클라우드 방어 기능이 포함
Just-in-time VM 액세스
기본적으로 VM의 특정 네트워크 포트에 대한 트래픽을 차단하지만, 관리자가 요청하고 승인하면 지정된 시간 동안 트래픽을 허용합니다.
적응 애플리케이션 컨트롤
VM에서 실행할 수 있는 애플리케이션을 제어 가능. Security Center는 백그라운드에서 기계 학습을 사용하여 VM에서 실행되는 프로세스를 확인합니다. VM을 유지하는 각 리소스 그룹에 대한 예외 규칙을 만들고 권장 사항을 제공합니다. 이 프로세스는 VM에서 실행 중인 권한 없는 애플리케이션에 대해 회사에 알리는 경고를 제공합니다.
적응형 네트워크 강화
Security Center는 VM의 인터넷 트래픽 패턴을 모니터링하고 해당 패턴을 회사의 현재 NSG(네트워크 보안 그룹) 설정과 비교할 수 있습니다. 여기에서 Security Center는 NSG를 추가로 잠가야 할지에 관한 권장 사항을 만들고 수정 단계를 제공할 수 있습니다.
파일 무결성 모니터링
Windows 및 Linux의 중요한 파일, 레지스트리 설정, 애플리케이션 및 보안 공격을 나타낼 수 있는 기타 측면에 관련된 변경 내용을 모니터링하도록 구성할 수 있습니다.
보안 경고에 대응
워크플로 자동화를 통해 자동화된 응답을 사용 가능
워크플로 자동화는 Azure Logic Apps 및 Security Center 커넥터를 사용
Logic App은 위협 탐지 경고에 따라 트리거되거나 이름이나 심각도별로 필터링된 Security Center 권장 사항에 따라 트리거될 수 있음