클라우드용 Microsoft Defender는 AWS(Amazon Web Services)에서 실행되는 워크로드를 보호합니다. AWS 리소스를 평가하고 보안 권장 사항을 표시하려면 AWS 계정을 Defender for Cloud에 연결해야 합니다. 커넥터는 AWS 서비스에서 구성 및 보안 신호를 수집하여 Defender for Cloud가 자세를 분석하고 권장 사항을 생성하며 경고를 표시할 수 있도록 합니다.
Defender for Cloud in the Field 비디오 시리즈의 클라우드용 Defender의 새 AWS 커넥터 비디오를 시청하여 자세히 알아볼 수 있습니다.
중요합니다
AWS 계정이 이미 Microsoft Sentinel에 연결된 경우 배포 또는 수집 문제를 방지하기 위해 클라우드용 Defender에 연결하려면 추가 구성이 필요할 수 있습니다. Sentinel에 연결된 AWS 계정을 Defender for Cloud에 연결의 지침을 따릅니다.
필수 구성 요소
AWS 계정을 연결하기 전에 다음이 있는지 확인합니다.
Microsoft Azure 구독 구독이 없는 경우 무료 구독에 등록합니다.
AWS 계정에 대한 액세스 권한이 필요합니다.
Azure에서의 리소스를 만들 수 있는 권한(컨트리뷰터 이상)
특정 Defender 계획을 사용하도록 설정할 때 추가 요구 사항이 적용됩니다. 네이티브 커넥터 플랜 요구 사항을 검토하십시오.
참고
AWS 커넥터는 국가 정부 클라우드(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)에서 사용할 수 없습니다.
네이티브 커넥터 계획 요구 사항
각 Defender 계획에는 특정 설정 요구 사항이 있습니다.
- Kubernetes API 서버에 액세스할 수 있는 Amazon EKS 클러스터가 하나 이상 있습니다. 클러스터가 없으면 새 EKS 클러스터를 생성하십시오.
- 클러스터와 동일한 지역에 Amazon SQS 큐, Kinesis Data Firehose 배달 스트림 및 Amazon S3 버킷을 만들 수 있는 용량입니다.
AWS 계정 연결
Azure Portal에 로그인 합니다.
Defender for Cloud>Environment 설정으로 이동합니다.
환경> 추가Amazon Web Services를 선택합니다.
커넥터 리소스를 만들 Azure 지역을 포함하여 AWS 계정 세부 정보를 입력합니다.
AWS 지역 드롭다운을 사용하여 클라우드용 Defender 모니터 지역을 선택합니다. 선택 취소한 지역은 Defender for Cloud에서 API 호출을 받지 않습니다.
검사 간격(4, 6, 12 또는 24시간)을 선택합니다.
이 선택은 대부분의 자세 검사에 대한 표준 간격을 정의합니다. 고정 간격이 있는 일부 데이터 수집기는 이 설정에 관계없이 더 자주 실행됩니다.
스캔 간격 데이터 수집기 1시간 EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup 12시간 EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration 다음: 계획 선택을 선택하고, 사용하려는 Defender 계획을 선택합니다.
구성에 따라 일부 계획이 자동으로 사용하도록 설정될 수 있으므로 기본 계획 선택을 검토합니다. 예를 들어 데이터베이스 계획은 DEFENDER for SQL 적용 범위를 AWS EC2, RDS Custom for SQL Server 및 RDS의 오픈 소스 관계형 데이터베이스로 확장합니다.
각 플랜에 요금이 부과될 수 있습니다. Defender for Cloud 가격 책정에 대해 자세히 알아봅니다.
중요합니다
Defender CSPM은 최신 권장 사항을 제공하기 위해 AWS 리소스 API에 하루에 여러 번 질의합니다. 이러한 읽기 전용 API 호출에는 AWS 요금이 부과되지 않습니다. 그러나 읽기 이벤트 로깅을 사용하도록 설정하면 CloudTrail에서 기록할 수 있습니다. 이 데이터를 외부 SIEM 시스템으로 내보내면 수집 비용이 증가할 수 있습니다. 필요한 경우 다음에서 읽기 전용 호출을 필터링합니다.
arn:aws:iam::<accountId>:role/CspmMonitorAws액세스 구성을 선택하고 다음을 선택합니다.
- 기본 액세스: 현재 및 이후 기능에 필요한 권한을 부여합니다.
- 최소 권한 액세스: 현재 필요한 권한만 부여합니다. 나중에 추가 액세스가 필요한 경우 알림을 받을 수 있습니다.
배포 방법을 선택합니다.
- AWS CloudFormation
- Terraform.
참고
관리 계정을 온보딩할 때 Defender for Cloud는 AWS StackSets를 사용하고 자식 계정에 대한 커넥터를 자동으로 만듭니다. 자동 프로비전은 새로 검색된 계정에 대해 사용하도록 설정됩니다.
참고
관리 계정에 대한 커넥터를 만들기 위해 관리 계정을 선택하면, Terraform을 사용한 온보딩 탭이 UI에 표시되지 않습니다. Terraform 온보딩은 여전히 지원됩니다. 지침은 Terraform을 사용하여 클라우드용 Microsoft Defender에 AWS/GCP 환경 온보딩을 참조하세요.
화면의 지침에 따라 CloudFormation 템플릿을 배포합니다. Terraform을 선택하는 경우 포털에 제공된 동일한 배포 지침을 따릅니다.
다음: 검토 및 생성을 선택합니다.
만들기를 선택합니다.
Defender for Cloud는 AWS 리소스 검사를 시작합니다. 보안 권장 사항은 몇 시간 내에 나타납니다. 온보딩 후 Defender for Cloud에서 AWS 상태, 경고 및 리소스 인벤토리를 모니터링할 수 있습니다. 연결된 AWS 리소스 모니터링에 대해 자세히 알아봅니다.
AWS 계정에 CloudFormation 템플릿 배포
온보딩의 일부로 생성된 CloudFormation 템플릿을 배포합니다.
- 스택으로(단일 계정)
- StackSet(관리 계정)로서
템플릿 배포 옵션
Amazon S3 URL: 자체 보안 구성을 사용하여 다운로드한 CloudFormation 템플릿을 사용자 고유의 S3 버킷에 업로드합니다. AWS 배포 마법사에서 S3 URL을 제공합니다.
템플릿 파일 업로드: AWS는 템플릿을 저장할 S3 버킷을 자동으로 만듭니다. 이 구성은
S3 buckets should require requests to use Secure Socket Layer권장 사항을 트리거할 수 있습니다. 다음 버킷 정책을 적용하여 수정할 수 있습니다.
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"<S3_Bucket_ARN>",
"<S3_Bucket_ARN>/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
참고
AWS 관리 계정을 온보딩할 때 CloudFormation StackSets를 실행할 때 다음과 같은 오류 메시지가 나타날 수 있습니다. You must enable organizations access to operate a service managed stack set
이 오류는 AWS 조직에 대해 신뢰할 수 있는 액세스를 사용하도록 설정하지 않았음을 나타냅니다.
이 오류 메시지를 해결하기 위해 CloudFormation StackSets 페이지에는 신뢰할 수 있는 액세스를 사용하도록 선택할 수 있는 단추가 있는 프롬프트가 있습니다. 신뢰할 수 있는 액세스를 사용하도록 설정한 후 CloudFormation Stack을 다시 실행해야 합니다.
AWS CloudTrail 로그 수집 사용(미리 보기)
AWS CloudTrail 관리 이벤트 수집은 CIEM 평가, 활동 기반 위험 지표 및 구성 변경 검색에 대한 컨텍스트를 추가하여 ID 및 구성 인사이트를 향상시킬 수 있습니다.
AWS CloudTrail 로그를 Microsoft Defender for Cloud(미리 보기)와 통합하는 방법에 대해 자세히 알아봅니다.
자세한 정보
다음 블로그를 확인합니다.
다음 단계
- 워크로드 소유자에게 액세스 권한을 할당합니다.
- Defender for Cloud를 사용하여 모든 리소스를 보호합니다.
- 연결된 AWS 리소스 모니터링
- 온-프레미스 머신 및 GCP 프로젝트를 설정합니다.
- AWS 계정 온보딩에 대한 일반적인 질문에 대한 답변을 얻습니다.
- 다중 클라우드 커넥터 문제를 해결합니다.