인터넷 노출 분석은 조직에서 의도적으로 또는 의도치 않게 퍼블릭 인터넷에 노출되는 클라우드 리소스를 식별하고 해당 노출의 위험 및 범위에 따라 수정의 우선 순위를 지정하는 데 도움이 되는 주요 기능입니다.
Defender for Cloud는 인터넷 노출을 사용하여 공격 경로, 위험 기반 상태 평가 및 Defender for Cloud 상태 전반의 신호 우선 순위 지정을 통해 고품질의 자세 인사이트를 가능하게 하는 잘못된 구성의 위험 수준을 결정합니다.
클라우드용 Defender가 인터넷 노출을 검색하는 방법
Defender for Cloud는 다음을 모두 분석하여 리소스가 인터넷에 노출되는지 여부를 확인합니다.
- 컨트롤 플레인 구성(예: 공용 IP, 부하 분산 장치)
- 네트워크 경로 연결 가능성(라우팅, 보안 및 방화벽 규칙 분석)
인터넷 노출 검색은 VM(가상 머신)에 공용 IP 주소가 있는지 확인하는 것만큼 간단할 수 있습니다. 하지만 그 프로세스는 좀 더 복잡할 수 있습니다. 클라우드용 Defender는 복잡한 다중 클라우드 아키텍처에서 인터넷에 노출된 리소스를 찾으려고 시도합니다. 예를 들어, VM은 인터넷에 직접 노출되지 않을 수 있지만 부하 분산 장치 뒤에 있을 수 있습니다. 부하 분산 장치는 네트워크 트래픽을 여러 서버에 분산하여 단일 서버에 과부하가 걸리지 않도록 보장합니다.
다음 테이블에는 클라우드용 Defender가 인터넷 노출을 평가하는 리소스가 나열됩니다.
| 범주 | 서비스/리소스 |
|---|---|
| 가상 머신 | Azure VM Amazon 웹 서비스(AWS) EC2 GCP(Google Cloud Platform) 컴퓨팅 인스턴스 |
| 가상 머신 클러스터 | Azure Virtual Machine Scale Set GCP 인스턴스 그룹 |
| DB(데이터베이스) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL Managed Instance Azure MariaDB Azure Cosmos DB Azure Synapse AWS RDS(관계형 데이터베이스 서비스) DB GCP SQL 관리자 인스턴스 |
| 스토리지 | Azure Storage AWS S3 버킷 GCP 스토리지 버킷 |
| AI | Azure OpenAI Service Azure AI 서비스 Azure Cognitive Search |
| 컨테이너 | AKS(Azure Kubernetes Service) AWS EKS GCP GKE |
| API | Azure API Management 작업 |
다음 테이블에는 클라우드용 Defender가 인터넷 노출을 평가하는 네트워크 구성 요소가 나열됩니다.
| 범주 | 서비스/리소스 |
|---|---|
| Azure | 프런트 엔드 부하 분산기 Azure Firewall 네트워크 보안 그룹 vNet/서브넷 |
| AWS | 탄력적 부하 분산 장치 |
| GCP | 부하 분산 장치 |
신뢰할 수 있는 노출(공개 미리 보기)
비고
신뢰할 수 있는 노출은 현재 Azure VM/VMSS, AWS EC2 및 GCP 컴퓨팅 인스턴스를 포함하여 다중 클라우드 가상 머신만 지원합니다.
이제 공개 미리 보기에서 사용할 수 있는 신뢰할 수 있는 노출을 사용하면 조직에서 알려진 신뢰할 수 있는 CIDR(IP 범위/블록) 및 개별 IP 주소를 정의할 수 있습니다. 리소스가 이러한 신뢰할 수 있는 IP에만 노출되는 경우 인터넷 연결로 간주되지 않습니다. Defender CSPM에서 이러한 리소스는 내부 전용 클라우드 리소스에 해당하는 인터넷 노출 위험이 없는 것으로 처리됩니다.
신뢰할 수 있는 IP가 구성되면 클라우드용 Defender는 다음을 수행합니다.
- 신뢰할 수 있는 IP(예: 내부 스캐너, VPN, 허용 목록 IP)에만 노출되는 컴퓨터에서 발생하는 공격 경로를 표시하지 않습니다.
- 이제 보안 권장 사항의 우선 순위는 노이즈를 줄이는 데 도움이 되는 모든 신뢰할 수 있는 원본을 제외합니다.
작동 방식
테넌트 범위에 적용된 Azure Policy 를 사용하여 신뢰할 수 있는 IP 주소를 정의하고 적용합니다.
새 정책은 CIDR/IP 주소를 포함하는 IP 그룹을 만듭니다.
Defender for Cloud는 정책을 읽고 지원되는 리소스 유형(현재 다중 클라우드 가상 머신)에 적용합니다.
공격 경로는 "신뢰할 수 있는" IP 주소에만 노출되는 가상 머신에서 발생하는 노출에 대해 생성되지 않습니다.
리소스가 신뢰할 수 있는 IP에만 노출되는 경우 보안 권장 사항의 우선순위가 낮아집니다.
클라우드 보안 탐색기에서 새로운 "신뢰할 수 있는 노출" 인사이트를 사용할 수 있으므로 사용자는 신뢰할 수 있는 것으로 플래그가 지정된 지원되는 모든 리소스를 쿼리할 수 있습니다.
인터넷 노출 너비
비고
위험 요소를 포함한 인터넷 노출 너비는 Azure VM/VMSS, AWS EC2 및 GCP 컴퓨팅 인스턴스를 포함하는 다중 클라우드 컴퓨팅 인스턴스에만 적용됩니다.
인터넷 노출 너비는 리소스(예: 가상 머신)가 공용 인터넷에 얼마나 광범위하게 노출되는지에 따라 위험을 나타냅니다. 보안 팀이 리소스가 인터넷에 노출되는지 여부뿐만 아니라 노출 범위가 얼마나 넓거나 좁은지 파악하여 공격 경로 및 보안 권장 사항에 제시된 보안 인사이트의 중요도 및 우선 순위 지정에 영향을 주는 중요한 역할을 합니다.
작동 방식
클라우드용 Defender는 자동으로 인터넷 연결 리소스를 분석하고 네트워킹 규칙에 따라 광범위한 노출 또는 좁은 노출 로 태그를 지정합니다. 출력은 광범위한 노출로 태그됨
- 널리 노출된 리소스를 포함하는 공격 경로는 이제 타이틀에서 이를 명확하게 나타냅니다(예: "널리 인터넷에 노출된 가상 머신에는 스토리지 계정에 대한 높은 권한이 있습니다.").
- 그런 다음, 계산된 노출 너비는 다음 환경에 특정 레이블을 추가하여 결과의 심각도를 올바르게 우선 순위를 지정하는 데 도움이 되는 공격 경로 생성 및 위험 기반 권장 사항을 결정하는 데 사용됩니다.
- 클라우드 보안 탐색기에서 새로운 "노출 너비" 인사이트를 사용할 수 있으므로 사용자는 널리 노출되는 지원되는 모든 리소스를 쿼리할 수 있습니다.
인터넷에 노출된 리소스를 보는 방법
Defender for Cloud는 인터넷 연결 리소스를 보는 몇 가지 다른 방법을 제공합니다.
클라우드 보안 탐색기 - 클라우드 보안 탐색기를 사용하면 그래프 기반 쿼리를 실행할 수 있습니다. Cloud Security Explorer 페이지에서 쿼리를 실행하여 인터넷에 노출된 리소스를 식별할 수 있습니다. 쿼리는 인터넷에 노출된 연결된 모든 리소스를 반환하고 관련 세부 정보를 검토용으로 제공합니다.
공격 경로 분석 - 공격 경로 분석 페이지를 통해 공격자가 특정 리소스에 도달하기 위해 취할 수 있는 공격 경로를 볼 수 있습니다. 공격 경로 분석을 사용하면 공격 경로의 시각적 표현을 보고 인터넷에 노출되는 리소스를 확인할 수 있습니다. 인터넷 노출은 특히 리소스에 취약성이 있는 경우 공격 경로의 진입점 역할을 하는 경우가 많습니다. 인터넷 연결 리소스는 중요한 데이터가 있는 대상이 되는 경우가 많습니다.
권장 사항 - 클라우드용 Defender는 인터넷 노출에 따라 권장 사항의 우선 순위를 지정합니다.
Defender 외부 공격 표면 관리 통합
클라우드용 Defender는 Defender 외부 공격 표면 관리와도 통합되어 외부 원본에서 해당 리소스에 접근하여 인터넷에 노출되었는지 평가하고 응답하는지 확인합니다.
Defender 외부 공격 표면 관리 통합에 대해 자세히 알아봅니다.