GCP 프로젝트를 클라우드용 Microsoft Defender에 연결

워크로드는 일반적으로 여러 클라우드 플랫폼에 걸쳐 있습니다. 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다. 클라우드용 Microsoft Defender는 GCP(Google Cloud Platform)에서 워크로드를 보호하는 데 도움이 되지만, AWS 클라우드용 Defender 간의 연결을 설정해야 합니다.

다음은 클라우드용 Defender의 개요 대시보드에 표시된 GCP 계정을 보여주는 스크린샷.

GCP 권한 부여 디자인

클라우드용 Microsoft Defender와 GCP 간의 인증 프로세스는 페더레이션 인증 프로세스입니다.

클라우드용 Defender에 온보딩하면 인증 프로세스의 일부로 GCloud 템플릿을 사용하여 다음 리소스를 만듭니다.

워크로드 ID 풀 및 공급자
서비스 계정 및 정책 바인딩

인증 프로세스는 다음과 같이 작동합니다.

클라우드용 Microsoft Defender의 CSPM 서비스는 Microsoft Entra 토큰을 획득합니다. Microsoft Entra ID는 RS256 알고리즘을 사용하여 토큰에 서명합니다. 토큰은 1시간 동안 유효합니다.
Microsoft Entra 토큰은 Google의 STS 토큰으로 교환됩니다.
Google STS는 워크로드 ID 공급자를 사용하여 토큰의 유효성을 검사합니다. Microsoft Entra 토큰은 워크로드 ID 공급자를 사용하여 토큰의 유효성을 검사하는 Google의 STS로 전송됩니다. 그런 다음 대상 그룹 유효성 검사가 수행되고 토큰이 서명됩니다. 그러면 Google STS 토큰이 클라우드용 Defender의 CSPM 서비스로 반환됩니다.
클라우드용 Defender의 CSPM 서비스는 Google STS 토큰을 사용하여 서비스 계정을 가장합니다. Defender for Cloud의 CSPM은 프로젝트를 검색하는 데 사용하는 서비스 계정 자격 증명을 받습니다.

필수 구성 요소

이 문서의 절차를 완료하려면 다음이 필요합니다.

Microsoft Azure 구독. Azure 구독이 없으면 무료로 구독할 수 있습니다.
Azure 구독에 클라우드용 Microsoft Defender가 설정되어 있습니다.
GCP 프로젝트에 액세스합니다.
관련 Azure 구독에 대한 기여자 수준 권한.
CSPM용 Defender의 일부로 CIEM을 사용하도록 설정하는 경우 커넥터를 온보딩하는 사용자에게는 테넌트에 대한 보안 관리자 역할 및 Application.ReadWrite.All 권한 도 필요합니다.
Pub/Sub 항목을 사용하여 GCP 클라우드 로깅을 수집하려면 배포 선택에 따라 필수 구성 요소를 충족하는지 확인합니다.
- 새 클라우드 로깅 및 Pub/Sub 리소스를 만드는 경우:
  - GCP에서 클라우드 로깅 싱크, Pub/Sub 토픽 및 구독을 만들고 관리할 수 있는 권한입니다.
  - Pub/Sub를 구성하고 서비스 계정을 관리하기 위한 IAM 권한입니다.
- 기존 클라우드 로깅 및 Pub/Sub 리소스를 사용하려는 경우:
  - 기존 클라우드 로깅 및 Pub/Sub 리소스에 액세스합니다.
  - 조직의 기존 로그 보존 및 Pub/Sub 구성에 대한 이해

가격 책정 페이지에서 클라우드용 Defender 가격 책정에 대해 자세히 알아볼 수 있습니다. Defender for Cloud 비용 계산기를 사용하여 비용을 예측할 수도 있습니다.

GCP 프로젝트를 특정 Azure 구독에 연결할 때 Google Cloud 리소스 계층 구조와 다음 가이드라인을 고려합니다.

프로젝트 수준에서 GCP 프로젝트를 Microsoft Defender for Cloud에 연결합니다.
여러 프로젝트를 하나의 Azure 구독에 연결할 수 있습니다.
여러 프로젝트를 여러 Azure 구독에 연결할 수 있습니다.

GCP 프로젝트 연결

Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender를 검색하여 선택합니다.
환경 설정>으로 이동환경 Google Cloud Platform>합니다.

다음 정보를 입력합니다.

커넥터 이름
조직 또는 단일 프로젝트를 선택합니다.
구독.
리소스 그룹.
Location.
스캔 간격: 4, 6, 12 또는 24.
(조직만 해당) 조직 ID입니다.
(선택 사항 - 조직만 해당) 프로젝트 번호를 제외합니다.
(선택 사항 - 조직만 해당) 폴더 ID를 제외합니다.
(단일 프로젝트만 해당) GCP 프로젝트 번호입니다.
(단일 프로젝트만 해당) GCP 프로젝트 ID입니다.

참고

일부 데이터 수집기는 고정된 검사 간격으로 실행되며 사용자 지정 간격 구성의 영향을 받지 않습니다. 다음 표에서는 제외된 각 데이터 수집기의 고정 검사 간격을 보여줍니다.

데이터 수집기 이름	스캔 간격
ComputeInstance 아티팩트 레지스트리 저장소 정책 아티팩트 레지스트리 이미지 컨테이너 클러스터 ComputeInstanceGroup ComputeZonalInstanceGroupInstance 컴퓨트 지역 인스턴스 그룹 관리자 ComputeZonalInstanceGroupManager (컴퓨트 지역 인스턴스 그룹 관리자) ComputeGlobalInstanceTemplate	1시간

다음 선택: 계획을 선택합니다.

참고

Log Analytics 에이전트(MMA라고도 함)가 2024년 8월에 사용 중지됨에 따라 이 페이지에 설명된 기능을 포함하여 현재 종속된 모든 서버용 Defender 기능 및 보안 기능은 사용 중지 날짜 전에 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 사용할 수 있습니다. 현재 Log Analytics 에이전트에 의존하는 각 기능의 로드맵에 대한 자세한 내용은 이 공지를 참조하세요.
필요에 따라 설정을 켜기 모드로 또는 끄기 모드로 설정합니다.
다음: 액세스 구성을 선택합니다.
사용 권한 유형, 기본 액세스 또는 최소 권한 액세스를 선택합니다.
화면의 지침에 따라 Defender for Cloud와 GCP 프로젝트 간의 액세스를 구성합니다.

스크립트는 클라우드용 Defender가 작동하고 다음 보안 값을 제공할 수 있도록 GCP 환경에 필요한 모든 리소스를 만듭니다.
- 워크로드 ID 풀
- 워크로드 ID 공급자(계획별)
- 서비스 계정
- 프로젝트 수준 정책 바인딩(서비스 계정은 특정 프로젝트에만 액세스할 수 있음)
참고

온보딩 스크립트를 실행하여 GCP 리소스를 검색하고 인증 프로세스가 수행되도록 허용하는 프로젝트에서 다음 API를 사용하도록 설정해야 합니다.
- iam.googleapis.com
- sts.googleapis.com
- cloudresourcemanager.googleapis.com
- iamcredentials.googleapis.com
- compute.googleapis.com
조직 수준에서 온보딩하는 경우 조직 내의 모든 프로젝트에서 리소스에 액세스하는 데 사용하더라도 관리 프로젝트에서 이러한 API를 사용하도록 설정합니다.

이러한 API를 사용하도록 설정하지 않으면 GCP Cloud Shell 스크립트를 실행하여 온보딩 프로세스 중에 사용하도록 설정할 수 있습니다.
다음: 검토 및 생성을 선택합니다.
정확도에 대한 정보를 검토합니다.
선택하고생성합니다.

커넥터를 만든 후 GCP 환경에서 검사가 시작됩니다. 최대 6시간 후에 Defender for Cloud에 새로운 권장 사항이 표시됩니다. 자동 프로비전을 사용하도록 설정한 경우 Azure Arc 및 사용하도록 설정된 확장이 새롭게 검색된 각 새 리소스에 대해 자동으로 설치됩니다.

현재 적용 범위 보기

Defender for Cloud는 Azure 통합 문서를 통해 워크북에 대한 액세스를 제공합니다. 통합 문서는 보안 태세에 대한 인사이트를 제공하는 사용자 정의 가능한 보고서입니다.

적용 범위 통합 문서는 구독 및 리소스에서 사용할 수 있는 계획을 보여 줌으로써 현재 범위를 이해하는 데 도움이 됩니다.

다음 단계

GCP 프로젝트 연결은 클라우드용 Microsoft Defender에서 사용할 수 있는 다중 클라우드 환경의 일부입니다.

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-01-14