CSPM(Cloud Security Posture Management)은 클라우드용 Microsoft Defender의 핵심 기능입니다. CSPM은 클라우드 자산 및 워크로드의 보안 상태에 대한 지속적인 가시성을 제공하여 Azure, AWS 및 GCP에서 보안 상태를 개선하기 위한 실행 가능한 지침을 제공합니다.
Defender for Cloud는 Azure 구독, AWS(Amazon Web Service) 계정 및 GCP(Google Cloud Platform) 프로젝트에 대해 정의된 보안 표준에 따라 클라우드 인프라를 지속적으로 평가합니다. 클라우드용 Defender는 클라우드 구성 오류 및 보안 위험을 식별하고 줄이는 데 도움이 되는 보안 권장 사항을 발급합니다.
기본적으로 Azure 구독에서 클라우드용 Defender를 사용하도록 설정하면 MCSB(Microsoft Cloud Security Benchmark) 표준이 사용하도록 설정되며 다중 클라우드 환경을 보호하기 위한 권장 사항을 제공합니다. MCSB 권장 사항 중 일부를 기반으로 하는 보안 점수를 통해 클라우드 규정 준수를 모니터링할 수 있습니다. 점수가 높을수록 식별된 위험 수준이 낮습니다.
CSPM 플랜
Defender for Cloud는 다음 두 가지 CSPM 계획을 제공합니다.
- 기본 CSPM (무료): 온보딩된 모든 구독 및 계정에 대해 기본적으로 사용하도록 설정됩니다.
- Defender CSPM (유료): 클라우드 가시성 및 규정 준수 모니터링을 위한 고급 CSPM 도구를 포함하여 기본 CSPM 계획 이외의 추가 기능을 제공합니다. 이 버전의 계획은 AI 보안 상태, 공격 경로 분석, 위험 우선 순위 지정 등과 같은 고급 보안 태세 기능을 제공합니다.
플랜 이용 가능 여부
Defender CSPM은 여러 배포 모델 및 클라우드 환경에서 사용할 수 있습니다.
- 상용 클라우드: 모든 Azure 상용 지역에서 사용 가능
- 정부 클라우드: Azure Government 및 Azure Government 비밀에서 사용 가능
- 다중 클라우드: Azure, AWS 및 GCP 환경 지원
- 하이브리드: Azure Arc를 통한 온-프레미스 리소스
- DevOps: GitHub 및 Azure DevOps 통합
특정 지역 가용성 및 정부 클라우드 지원 세부 정보는 클라우드 환경에 대한 지원 매트릭스를 참조하세요.
| 기능 | 기본 CSPM: | 디펜더 CSPM | 클라우드 가용성 |
|---|---|---|---|
| 자산 인벤토리 | 
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| 데이터 내보내기 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| Azure 통합 문서를 사용하여 데이터 시각화 및 보고 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| Microsoft 클라우드 보안 벤치마크 |
|
|
Azure, AWS, GCP |
| 보안 점수 |
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| 보안 권장 사항 |
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| 수정 도구 |
|
|
Azure, AWS, GCP, 온-프레미스, Docker 허브, JFrog Artifactory |
| 워크플로 자동화 |
|
|
Azure, AWS, GCP, 온-프레미스 |
| 에이전트 없는 코드 투 클라우드 컨테이너 취약성 평가 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Kubernetes에 대한 에이전트 없는 검색 | - |
|
Azure, AWS, GCP |
| 에이전트 없는 VM 비밀 검사. | - |
|
Azure, AWS, GCP |
| 에이전트 없는 VM 취약성 검사 | - |
|
Azure, AWS, GCP |
| AI 보안 태세 관리 | - |
|
Azure, AWS |
| API 보안 태세 관리 | - |
|
애저 (Azure) |
| 공격 경로 분석 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Azure Kubernetes Service 보안 대시보드(미리 보기) | - |
|
애저 (Azure) |
| 컨테이너에 대한 코드 투 클라우드 매핑 | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| IaC에 대한 코드 투 클라우드 매핑 | - |
|
Azure DevOps2, Docker Hub, JFrog Artifactory |
| 중요 자산 보호 | - |
|
Azure, AWS, GCP |
| 사용자 지정 권장 사항 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| DSPM(데이터 보안 태세 관리), 중요한 데이터 검사 | - |
|
Azure, AWS, GCP1 |
| 외부 공격 표면 관리 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 대규모 시정을 주도하는 거버넌스 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 인터넷 노출 분석 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| PR 주석 | - |
|
GitHub, Azure DevOps2 |
| 규정 준수 평가 | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| 보안 탐색기를 사용하여 위험 헌팅 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 위험 우선 순위 | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 서버리스 보안 | - |
|
Azure, AWS |
| ServiceNow 통합 | - |
|
Azure, AWS, GCP |
1: GCP 중요한 데이터 검색은 클라우드 스토리지만 지원합니다. 2: 코드-클라우드 컨텍스트화 기반 보안 탐색기, 공격 경로 및 코드 기반 인프라 보안 결과에 대한 끌어오기 요청 주석과 같은 DevOps 보안 기능은 유료 Defender CSPM 계획을 사용하도록 설정한 경우에만 사용할 수 있습니다. DevOps 보안 지원 및 필수 구성 요소에 대해 자세히 알아봅니다.
특정 지역 가용성 및 정부 클라우드 지원 세부 정보는 클라우드 환경에 대한 지원 매트릭스를 참조하세요.
요금제 가격 책정
- Defender for Cloud 가격 책정을 참조하고 비용 계산기를 사용하여 비용을 예측합니다.
- 고급 DevOps 보안 상태 기능(끌어오기 요청 주석, 코드-클라우드 매핑, 공격 경로 분석, 보안 탐색기)에는 유료 Defender CSPM 계획이 필요합니다. 무료 플랜은 기본 Azure DevOps 권장 사항을 제공합니다. DevOps 보안 기능을 참조하세요.
- Defender CSPM 청구는 특정 리소스를 기반으로 합니다. Azure, AWS 및 GCP에 대한 청구 가능 리소스에 대한 자세한 내용은 가격 책정 페이지를 참조하세요.
통합
Defender for Cloud는 인시던트 관리 및 티켓팅을 위해 파트너 시스템과의 통합을 지원합니다. 현재 ServiceNow 통합을 사용할 수 있습니다(미리 보기). 설치는 ServiceNow와 클라우드용 Microsoft Defender 통합을 참조하세요.
지원되는 클라우드 및 리소스
끌어오기 요청 주석, 코드-클라우드 매핑, 공격 경로 분석 및 클라우드 보안 탐색기와 같은 DevOps 보안 상태 기능은 유료 Defender CSPM 계획을 통해서만 사용할 수 있습니다. 무료 기본 보안 태세 관리 계획은 Azure DevOps 권장 사항을 제공합니다. Azure DevOps 보안 기능에서 제공하는 기능에 대해 자세히 알아봅니다.
Defender CSPM은 모든 다중 클라우드 워크로드를 보호하지만 청구는 특정 리소스에만 적용됩니다. 다음 표에서는 Azure 구독, AWS 계정 또는 GCP 프로젝트에서 Defender CSPM을 사용하도록 설정할 때 청구 가능한 리소스를 나열합니다.
애저 (Azure)
| 서비스 | 리소스 종류 | 제외 |
|---|---|---|
| 컴퓨팅 | 가상 머신, VM 확장 집합, 클래식 VM | 할당 해제된 VM, Databricks VM |
| 스토리지 | 스토리지 계정 | Blob 컨테이너 또는 파일 공유가 없는 계정 |
| Databases | SQL 서버, PostgreSQL/MySQL/MariaDB 서버, Synapse 작업 영역 | – |
AWS
| 서비스 | 리소스 종류 | 제외 |
|---|---|---|
| 컴퓨팅 | EC2 인스턴스 | 할당 취소된 VM |
| 스토리지 | S3 버킷 | – |
| Databases | RDS 인스턴스 | – |
GCP
| 서비스 | 리소스 종류 | 제외 |
|---|---|---|
| 컴퓨팅 | 컴퓨팅 인스턴스, 인스턴스 그룹 | 실행하지 않는 인스턴스 |
| 스토리지 | 스토리지 버킷 | 근거리/콜드라인/보관 클래스, 지원되지 않는 지역 |
| Databases | 클라우드 SQL 인스턴스 | – |
Azure 클라우드 지원
상용 및 국가별 클라우드 적용 범위는 Azure 클라우드 환경 지원 매트릭스를 참조하세요.
다음 단계
- Microsoft Defender를 사용하여 Cloud Security Posture Management 시청
- 보안 표준 및 권장 사항에 대해 알아보기
- 보안 점수에 대해 알아보기