기업들은 클라우드로 전환한 후 운영 효율성이 향상되었으며, 이는 중소기업들도 클라우드 솔루션을 도입하도록 영감을 주었습니다. 클라우드 사용 기업이 증가함에 따라 클라우드에 존재하는 자산의 보안에 대한 필요성도 대두되었습니다. 클라우드 워크로드 보호 플랫폼(CWPP)은 모든 환경에서 워크로드를 보호하는 데 도움이 되는 보안 기능을 제공합니다. 이 클라우드 환경은 VM, 컨테이너 및 서버리스 기능으로 구성됩니다.
클라우드는 종종 진화된 사이버 위협의 온상이 되기도 하는데, 이는 조직의 보안 및 규정 준수 요구 사항의 품질을 유지하기 위해 CWPP를 훨씬 더 많이 채택할 필요성을 부추깁니다. Microsoft Azure CWPP는 본질적으로 다양성을 지니고 있어 채택의 주요 이유 중 하나가 됩니다. 현재 Azure의 시장 점유율은 24%이며 매년 꾸준히 증가하고 있습니다.
이 블로그 게시물은 Azure CWPP의 아키텍처와 조직에 제공하는 기능 및 이점을 이해하는 데 도움이 될 것입니다. 또한 네트워크 및 데이터 보호에서 Azure CWPP의 역할에 대해서도 논의할 것입니다. Azure CWPP를 최대한 활용하기 위해 따라야 할 모범 사례에 대해서도 논의할 예정입니다.
Azure CWPP의 일반적인 우려 사항은 무엇인가요?
Azure CWPP에 대한 이해를 더 깊이 탐구하기 전에, 조직이 자체 환경에 이를 구현하는 과정에서 직면할 수 있는 문제들을 다루는 것이 중요합니다.
- 복잡성: Azure CWPP는 본질적으로 복잡하며, Azure나 클라우드 보안을 다뤄본 적이 없는 조직에게는 구현이 어려울 수 있습니다. CWPP에는 여러 구성 요소가 포함되어 있어 클라우드 여정을 시작할 때 이해하기 상당히 어려울 수 있습니다.
- 구성 관리: 보안 침해는 매우 흔하며, 여러분도 자주 접하게 될 것입니다. 현재까지 보안 침해의 주요 원인 중 하나는 보안 시스템의 잘못된 구성입니다. 이 문제를 방지하기 위해 클라우드를 관리하는 담당자에게 교육을 제공해야 합니다.
- 비용 고려 사항: 클라우드 워크로드 보호 플랫폼은 다양한 보안 기능을 제공하지만, 조직은 해당 도구의 비용을 고려해야 합니다. 조직은 예산 범위 내에서 보안 요구 사항을 충족하는 적합한 솔루션을 찾는 것이 중요합니다.
- 데이터 프라이버시 및 규정 준수: CWPP는 처리를 위해 데이터를 활용합니다. 워크로드 데이터를 수집하고 모니터링합니다. 데이터는 모든 조직에서 가장 중요하고 민감한 부분입니다. 따라서 CWPP 솔루션을 사용하기 전에 데이터 보호법을 위반하지 않고 데이터를 전송 및 분석할 수 있는지 확인해야 합니다.
- 통합 과제: 조직은 인프라에 다양한 보안 도구를 사용하므로, CWPP 솔루션을 기존 도구와 통합하는 것이 어렵고 비용이 많이 듭니다.
- 클라우드 진화 속도 따라잡기: 클라우드 네이티브 보안 도구를 구현하는 데 필요한 기술과 인프라를 갖추기 위해서는 조직 측의 철저한 준비가 필요합니다.
Azure CWPP의 핵심 아키텍처
Azure CWPP는 아키텍처와 기능을 기반으로 조직에 완벽한 보안을 제공합니다. 고급 아키텍처의 주요 구성 요소에 대해 살펴보겠습니다.
주요 구성 요소 개요
Azure CWPP에는 클라우드 워크로드 보호에 도움이 되는 여러 구성 요소가 있습니다. Azure Sentinel은 조직에 SIEM 및 SOAR 시스템을 제공하여 머신 러닝을 통한 보안 분석을 지원합니다.
네트워크는 올바르게 구성되지 않으면 인터넷을 통해 접근될 수 있으므로 보호가 중요합니다. 이러한 시나리오에서는 Azure 가상 네트워크 리소스 보호에 도움이 되는 Azure 방화벽이 활용됩니다. Azure DDoS 보호 서비스는 대량 및 프로토콜 공격으로부터 서비스를 보호합니다. 이러한 모든 서비스의 접근 관리를 위해 Azure Key Vault를 사용하여 암호화 키, 시크릿 및 인증서를 저장할 수 있습니다.
통합 포인트 및 데이터 흐름
Azure CWPP는 여러 Azure 서비스 및 타사 보안 솔루션과 원활하게 통합됩니다. 조직은 Azure CWPP를 도입하기 전에 이미 인프라에 통합된 보안 도구를 보유하고 있을 수 있습니다. 따라서 운영이 원활하게 진행되도록 Azure CWPP는 Azure 서비스 및 타사 보안 솔루션과의 원활한 통합을 제공합니다. 모든 보안 관련 정보는 Azure 리소스, 온프레미스 시스템 및 기타 클라우드 플랫폼에서 수집됩니다.&
이렇게 수집된 정보는 Azure Security Center 및 Azure Sentinel에서 활용할 수 있도록 처리 및 정규화됩니다. 위협이 탐지되면 Microsoft의 글로벌 위협 인텔리전스 네트워크를 통해 처리됩니다. Azure CWPP는 다른 보안 도구 및 자동화 시스템과의 통합을 위한 Restful API를 제공합니다. 모든 보안 관련 정보는 Log Analytics에 저장되어 적절한 저장 및 손쉬운 검색이 보장됩니다.
통합 관리 및 모니터링
Azure CWPP는 중앙 집중식 콘솔을 제공하여 리소스 관리 및 모니터링을 지원합니다. Microsoft Defender for Cloud 대시보드는 모든 환경에 구현된 보안 상태를 시각화할 수 있습니다.
Azure Policy 통합을 통한 정책 관리도 중앙 집중화되어 규정 준수 관리에도 도움이 됩니다. 경보 관리 시스템은 중앙 집중식 도구를 제공하여 보안 경보의 우선순위 지정 및 조사를 지원함으로써 더 나은 사고 대응 계획을 수립할 수 있도록 합니다.
확장성 및 성능 고려 사항
Azure CWPP는 확장성으로 보안 팀에 가장 큰 이점을 제공합니다. 비즈니스와 함께 확장될 수 있도록 설계되었습니다. Azure CWPP는 탄력적인 아키텍처 특성을 지녀 비즈니스 데이터 및 워크로드에 따른 자동 확장 기능을 제공합니다.
이 플랫폼은 위치에 구애받지 않고 전 세계 어디에서나 배포 가능하여 해당 지역의 데이터 법규를 준수하면서 데이터에 신속하게 접근할 수 있도록 지원합니다. 계층형 스토리지를 활용하여 조직이 예산과 요구 사항에 따라 유연하게 선택할 수 있도록 합니다. 로드 밸런싱을 구현하여 워크로드를 여러 서버나 노드에 고르게 분산시켜 리소스 성능을 향상시킬 수도 있습니다.
SIEM 및 SOAR 기능을 갖춘 Azure Sentinel
Azure Sentinel은 CWPP의 도구로, 두 가지 주요 기능을 제공합니다. 하나는 보안 정보 및 이벤트 관리(SIEM)>이며, 다른 하나는 보안 오케스트레이션, 자동화 및 대응 (SOAR)입니다. 이 도구는 보안 분석을 지원하고 보안 팀의 사고 대응 및 계획 수립을 돕습니다.
1. 데이터 수집 및 정규화 전략
Sentinel이 사용하는 두 가지 기술은 데이터 수집과 데이터 정규화입니다. 이는 클라우드가 처리하기 위해 여러 데이터 소스를 사용하기 때문에 중요합니다. 이 도구에는 Azure 서비스, Microsoft 365, 타사 보안 솔루션 또는 사용자 지정 애플리케이션과 같은 다양한 서비스에서 데이터를 원활하게 수집하는 데 도움이 되는 데이터 커넥터가 포함되어 있습니다.
2. Kusto 쿼리 언어(KQL)를 활용한 위협 헌팅
위협 헌팅 는 Kusto Query Language를 기반으로 하며, 이는 조직이 로그 데이터를 분석하는 데 도움이 됩니다. 이 분석 프로세스는 보안 침해를 유발할 수 있는 다양한 종류의 취약점을 드러낼 수 있습니다.
3. 인시던트 관리 및 조사
이 플랫폼의 헌팅 기능은 Microsoft의 위협 인텔리전스 플랫폼과의 통합으로 보완됩니다. 이 프로세스는 텔레메트리 데이터를 비교하고 사건을 생성하는 규칙 상관관계에 의해 주도됩니다.
각 사건에는 공격 타임라인과 영향을 받은 리소스에 대한 정보가 포함됩니다. 조사 그래프는 특정 사건에 관련된 엔터티 간의 관계를 보여줍니다. 보안 팀은 이 그래프를 통해 위협 행위자가 어떻게 영향을 받은 리소스에 접근했는지 확인할 수 있습니다.
4. 플레이북을 통한 자동화된 대응 오케스트레이션
Azure Sentinel에서는 인시던트 대응 과정의 조치가 Azure Logic Apps를 기반으로 개발된 플레이북에 의해 결정됩니다. 플레이북은 분석가가 수동으로 시작하거나 특정 조건에 의해 트리거될 수 있습니다. 이메일 전송이나 티켓 생성 같은 간단한 작업부터, 영향을 받은 사용자의 계정 비활성화나 시스템을 이전 정상 상태로 완전히 복원하는 복잡한 작업 체인까지 포함할 수 있습니다.
Azure CWPP의 네트워크 및 데이터 보호
Azure CWPP는 통신 인프라와 전송 중인 데이터 모두에 대해 높은 수준의 보호 기능을 제공합니다. 이러한 기능들은 통합적으로 작동하여 다양한 위협에 대해 상당히 견고한 방어벽을 제공합니다.
네트워크 보안
Azure CWPP의 네트워크 보안>은 클라우드 워크로드를 보호하기 위해 여러 고급 기술을 활용합니다:
- 동적 매핑 및 시각화: Azure CWPP와 함께 실시간 네트워크 시각화 기술도 설치됩니다. 이는 클라우드 네트워크 토폴로지에 대한 매우 상세하고 직관적인 개요를 제공하며, 모든 리소스를 표시합니다. 시각적 맵은 지속적으로 업데이트되어 현재 클라우드 환경에 복제된 리소스의 실시간 위치를 보여줍니다.
- JIT(Just-In-Time) VM 액세스 구현: Azure CWPP의 JIT VM 액세스 구현은 VM으로의 인바운드 트래픽을 차단하여 공격 가능성을 최소화함으로써 공격 표면을 축소합니다.
- 적응형 네트워크 강화 기술: 적응형 네트워크 강화는 머신 러닝을 활용하여 트래픽 패턴을 분석합니다. 분석 보고서를 기반으로 Azure CWPP는 네트워크 보안 그룹(NSG)에 대한 규칙을 제안할 수 있습니다. 이는 서비스나 리소스로 유입 및 유출되는 트래픽을 모니터링하여 사용 패턴을 형성하는 방식으로 작동합니다. 이를 통해 최소 권한 접근 모델을 구현하여 공격 표면을 줄일 수 있습니다.
- DDoS 보호 메커니즘: Azure CWPP는 Azure DDoS 보호 서비스를 제공하여 기업이 분산 서비스 거부(DDoS) 공격으로부터 보호합니다. 이 서비스는 Microsoft 글로벌 네트워크의 규모와 탄력성을 활용하여 DDoS 공격을 방어합니다.
데이터 보호
Azure CWPP의 데이터 보호는 저장 중인 데이터와 전송 중인 데이터를 보호하기 위한 다양한 전략을 구현합니다:
- SQL 인젝션 탐지 및 방지: Azure CWPP에 포함된 또 다른 보안 서비스는 고급 위협 방지(ATP)로, SQL 인젝션 공격과 같은 웹 공격을 탐지하고 방지하는 기능을 포함합니다.. 이는 머신 러닝을 사용하여 데이터베이스 활동을 실시간으로 모니터링하여 이상 징후를 탐지하고 자동화된 위협 대응을 활용함으로써 달성됩니다.
- 스토리지 보안 모범 사례: Azure CWPP는 스토리지 보안 및 안전한 액세스 관리를 구현하기 위한 지침과 도구를 제공합니다. 스토리지 모범 사례와 관련된 일반적인 권장 사항에는 정기적인 보안 평가, 안전한 전송 옵션, 안전한 액세스 관리 구현 후 고급 암호화, 네트워크 격리 등이 포함됩니다.
- 전송 중 및 저장된 데이터에 대한 암호화 전략: Azure CWPP 플랫폼은 다양한 암호화 옵션을 지원합니다. 저장된 데이터의 암호화는 Azure Storage, Azure SQL Database, Azure Virtual Machines와 같은 클라우드 기반 스토리지로 데이터를 전송할 때 Azure CWPP의 직접적인 조치입니다. 데이터 전송은 최신 TLS 버전(전송 계층 보안)을 사용하여 암호화되어야 합니다.
- Azure Key Vault를 통한 안전한 키 관리: 안전한 키 관리는 Azure CWPP의 기능에 필수적이며 Azure Key Vault를 통해 유지됩니다. Azure Key Vault는 암호화 키 및 암호, 인증서 등 기타 비밀 정보를 저장하는 보안 서비스입니다. Key Vault는 액세스 로그 활용 및 키 자동 회전을 통해 간소화된 키 관리 프로세스를 제공합니다.
Azure CWPP의 컨테이너 및 쿠버네티스 보호
컨테이너화와 쿠버네티스의 보급이 증가함에 따라, Azure CWPP는 컨테이너화된 워크로드와 쿠버네티스 환경이 지속적으로 보호받을 수 있도록 강력한 보안 서비스를 제공합니다.
-
Azure Container Registry의 이미지 스캔
Azure Container Registry(ACR)는 Azure CWPP와 통합되어 사용자가 이미지 스캔 서비스를 활용할 수 있게 합니다. 특히, 이미지가 저장소로 푸시될 때 취약점에 대한 이미지 스캔 기능이 자동으로 적용됩니다. 이 도구는 관련 운영 체제의 패키지와 애플리케이션 종속성에서 알려진 취약점을 검색합니다.
이 도구는 포괄적인 커버리지를 보장하기 위해 여러 취약점 데이터베이스를 사용합니다. 데이터베이스를 사용함으로써 플랫폼은 취약점이 감지될 때 상세한 보고서를 생성할 수 있습니다. 보고서에는 해당 취약점의 심각도, 영향을 받는 구성 요소, 문제 해결을 위한 권장 조치에 대한 정보가 포함됩니다. 이미지 보안 접근 방식을 통해 조직은 컨테이너 배포 전에 잠재적 문제를 탐지하고 해결할 수 있습니다. 그 결과, 프로덕션 환경에서 손상된 애플리케이션을 실행할 위험이 크게 감소합니다.
-
컨테이너화된 애플리케이션에 대한 런타임 보호
Azure CWPP의 컨테이너화된 애플리케이션용 런타임 보호는 보안 기능을 실행 중인 컨테이너까지 확장하여 위협으로부터 실시간 보호를 제공합니다. 런타임 보호를 보장하기 위해 다음과 같은 조치를 제공합니다:
- 행동 모니터링: 플랫폼은 실행 중인 컨테이너의 행동을 지속적으로 모니터링하며, 보안 침해나 악성 활동을 의미할 수 있는 비정상적인 행동이나 정상 행동과의 편차를 감지하여 경고합니다.
- 네트워크 세분화: 시스템은 조직이 네트워크 정책을 시행하여 불가능하거나 원하지 않는 컨테이너 간 통신을 차단함으로써 공격 표면을 줄일 수 있도록 지원합니다.
- 권한 관리: 플랫폼을 활용하면 조직이 실행 중인 컨테이너의 권한을 관리하고 최소 권한 원칙이 준수되도록 보장할 수 있습니다.
- 실시간 위협 대응: 위협이 탐지되면 플랫폼은 영향을 받은 컨테이너 격리 또는 조직 보안팀 통보와 같은 즉각적인 대응 조치를 취할 수 있습니다.
Kubernetes 전용 보안 강화 기능
Azure CWPP는 Kubernetes 환경의 보안을 강화하는 여러 기능을 제공합니다:
- Kubernetes 위협 탐지: 시스템에는 의심스러운 API 호출이나 민감한 네임스페이스 내 Pod 생성 등 Kubernetes 환경에 특화된 위협에 대한 내장 탐지 기능이 포함되어 있습니다.
- Kubernetes 보안 상태 관리: 플랫폼은 조직의 Kubernetes 구성을 정기적으로 스캔하여 모범 사례 및 규정 준수 표준에 대한 보안 상태를 평가하고 개선을 위한 권장 사항을 제공합니다.
- 입장 제어:&
- 입장 컨트롤러를 사용하면 시스템이 Kubernetes 구성 수준에서 보안 정책을 시행하고 규정 미준수 리소스의 배포를 방지할 수 있습니다.
- Kubernetes 인식 네트워크 정책: 이 시스템은 조직이 Kubernetes에 특화된 네트워크 정책을 생성하고 시행할 수 있도록 지원합니다. 예를 들어, 포드 간 통신과 포드-외부 통신을 모두 제어할 수 있습니다.
Azure에서 컨테이너 보안을 위한 모범 사례
이 섹션에서는 Azure CWPP를 활용한 컨테이너 보안을 위한 여러 모범 사례를 논의합니다:&
- 최소 기본 이미지 사용: 조직은 잠재적 공격 표면을 줄이기 위해 최소한의 공식 기본 이미지를 사용할 것을 권장합니다.
- 최소 권한 구현: 조직은 컨테이너가 기능을 수행하는 데 필요한 최소한의 권한으로 컨테이너를 실행해야 합니다.
Azure CWPP 모범 사례
Azure CWPP를 최대한 활용하기 위해 기업이 구현해야 할 일반적인 모범 사례는 다음과 같습니다:
#1. 초기 설정 및 구성 지침
Azure CWPP의 초기 설정 및 구성은 성공적인 구현에 중요합니다. 조직은 모든 구독 및 리소스에서 Azure Defender를 활성화해야 합니다. Azure CWPP는 환경과 통합된 모든 필수 Azure 서비스 및 타사 보안 도구로부터 보안 정보를 수집하기 위한 다양한 도구(Azure Security Center용 데이터 커넥터)를 제공합니다.
#2. 효과적인 경고 관리 및 분류
보안 팀은 위협 관리를 개선하기 위해 경보 메커니즘을 설정해야 합니다. 이를 구현하려면 심각도 수준과 발생 가능한 피해 정도에 따라 위협을 분류하는 적절한 계획을 수립해야 합니다. 이후 경보를 활용하여 의심스러운 활동을 상관관계 분석하기 위해 인과관계를 식별해야 합니다.
#3. 지속적인 모니터링 및 보안 상태 개선
잠재적 취약점을 발견하기 위해 보안 팀의 지속적인 모니터링이 필요합니다. 기업은 Azure Security Center에 표시되는 보안 점수를 확인해야 합니다. 이는 권장 사항을 제공하며 위협 해결 시 활용할 수 있습니다.
#4. 사고 대응 계획 수립 및 실행
사고 대응 계획은 보안 사고나 데이터 유출 발생 시 보안 팀이 대비할 수 있도록 돕습니다. 사고 대응 계획에는 보안 사고 발생 시 다양한 이해 관계자의 역할과 책임이 명시되어 있어야 합니다.
#5. 성능 최적화 기법
Azure CWPP 구현의 성능 최적화는 조직의 리소스를 소모하지 않도록 하기 위해 필요합니다. 정기적인 성능 검토와 CWPP 설정의 미세 조정을 통해 포괄적인 보안 범위를 보장하면서 최적의 효율성을 유지할 수 있습니다.
CNAPP 마켓 가이드Conclusion
Azure CWPP는 클라우드 보안의 중요한 부분입니다. Azure CWPP는 조직의 자산을 보호하는 데 도움이 되는 여러 보안 도구로 구성됩니다. Azure Security Center, Azure Sentinel, Azure Defender와 같은 일부 도구는 네트워크 및 데이터 보호와 함께 컨테이너 보안에도 도움이 됩니다.
Azure CWPP는 클라우드 특화 솔루션으로 현대적 취약점 문제를 해결하는 Azure의 솔루션입니다. Azure 환경과 하이브리드 환경 전반에 걸친 포괄적인 가시성을 제공합니다. CWPP는 조직 내 언제든지 고급 위협 보호 및 규정 준수 관리를 제공합니다.
"FAQs
Azure 클라우드 워크로드 보호 플랫폼(CWPP)은 단일 도구가 아닙니다. 다양한 도구의 기능을 한 곳에 통합하여 통합된 보안 조합을 제공합니다. 이 기능은 Azure Security Center, Azure Defender, Azure Sentinel 및 Azure Firewall로 구성되며, 이들은 동시에 작동하여 Azure 클라우드 워크로드를 보호하고 조직을 다양한 위협으로부터 안전하게 지킵니다.
"Azure 클라우드 보안 상태 관리(CSPM)는 두 가지 가격 정책을 제공하여 조직이 요구 사항에 따라 더 나은 모델을 결정할 수 있도록 지원합니다. 첫 번째 플랜은 Foundational CSPM로, 무료로 제공되며 클라우드 여정을 막 시작하여 학습 단계에 있는 조직에서 사용합니다. 두 번째 플랜은 유료 버전인 Defender CSPM으로, 리소스당 요금이 부과되는 고급 기능을 제공합니다. 일반적으로 요구 사항을 잘 알고 클라우드에 익숙한 조직이 선택합니다.
