SaaS 거버넌스를 위한 MCAS(Microsoft Cloud App Security) 구성

SaaS 거버넌스를 위한 MCAS(Microsoft Cloud App Security) 구성

2024년 7월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 SaaS(Software as a Service) 애플리케이션의 거버넌스를 위해 현재 MDCA(Microsoft Defender for Cloud Apps)의 일부인 MCAS(Microsoft Cloud App Security)를 구성하고 사용하도록 안내하는 것을 목표로 합니다. MDCA는 클라우드 애플리케이션에 대한 가시성, 데이터 제어 및 위협 보호를 제공하여 끊임없이 확장되는 클라우드 환경에서 보안 및 규정 준수를 보장하는 데 도움이 되는 포괄적인 CASB(클라우드 액세스 보안 브로커) 솔루션입니다[1].

소개

SaaS 애플리케이션의 대량 채택은 수많은 생산성 이점을 가져왔지만 새로운 보안 문제도 야기했습니다. 조직은 클라우드 애플리케이션 전반에 걸쳐 저장되고 공유되는 데이터에 대한 가시성과 제어력을 상실하여 "Shadow IT"라고 알려진 것을 생성하는 경우가 많습니다. 또한 실시간 위협으로부터 보호하고 이러한 애플리케이션에 대한 규정 준수를 보장하는 것도 복잡합니다. 클라우드 앱용 Microsoft Defender는 기업이 클라우드 앱 사용을 검색 및 제어하고, 중요한 데이터를 보호하고, 위협을 나타낼 수 있는 비정상적인 동작을 감지할 수 있도록 하여 이러한 문제를 해결합니다[2].

이 실무 가이드에서는 Shadow IT 검색 및 애플리케이션 연결부터 액세스, 세션, 활동 및 이상 탐지 정책 생성에 이르기까지 MDCA 설정을 다룹니다. 독자가 강력한 SaaS 거버넌스 전략을 구현하여 클라우드 애플리케이션에서 데이터와 사용자를 보호하고 조직의 보안 태세를 강화할 수 있도록 단계별 지침, 구성 예 및 검증 방법이 제공됩니다.

Microsoft Cloud App Security가 중요한 이유는 무엇입니까?

  • Shadow IT Discovery: 조직에서 사용 중인 모든 클라우드 애플리케이션을 식별하고 해당 애플리케이션의 위험을 평가하며 이를 제어할 수 있습니다.
  • 데이터 보호: 기밀 데이터의 유출을 방지하고 클라우드 애플리케이션에서 DLP(데이터 손실 방지) 정책을 준수하도록 보장합니다.
  • 액세스 및 세션 제어: 세분화된 액세스 제어를 시행하고 연결된 애플리케이션에 대한 실시간 세션 활동을 모니터링할 수 있습니다.
  • 위협 감지: 행동 분석과 머신 러닝을 사용하여 클라우드 애플리케이션에서 비정상적인 활동과 사이버 위협을 감지합니다.
  • 애플리케이션 거버넌스: SaaS 애플리케이션에 대한 애플리케이션 권한, 사용자 활동 및 보안 설정을 관리하는 데 도움이 됩니다.
  • Microsoft 365 Defender와의 통합: 사건에 대한 통합 보기를 위해 MDCA 신호를 다른 Defender 솔루션과 상호 연결합니다.

전제조건

Microsoft Cloud App Security를 구현하려면 다음 항목이 필요합니다.

  1. 라이선스: 클라우드 앱용 Microsoft Defender를 포함하는 라이선스(예: Microsoft 365 E5, Microsoft 365 E5 Security, Enterprise Mobility + Security E5 또는 MDCA 독립 실행형 라이선스)[3].
  2. 관리 액세스: Microsoft 365 Defender 포털('https://security.microsoft.com')에서 '전역 관리자', '보안 관리자' 또는 'Cloud App Security 관리자' 역할을 가진 계정입니다.
  3. 로그 소스(섀도우 IT용): 섀도우 IT 검색을 위한 방화벽 및 프록시 로그입니다. 더 심층적인 통합을 위해 특정 SaaS 애플리케이션(예: Office 365, Salesforce, Box)용 API 커넥터.
  4. Microsoft Defender for Endpoint(선택 사항이지만 권장됨): 관리 장치에 대한 심층적인 섀도우 IT 검색 및 애플리케이션 제어가 필요합니다.

단계별: 클라우드 앱을 위한 Microsoft 보안 구성

SaaS 거버넌스를 위한 MDCA 설정을 살펴보겠습니다.

1. Microsoft 365 Defender 포털에 액세스

  1. 브라우저를 열고 https://security.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 왼쪽 탐색 창에서 클라우드 앱을 선택합니다.

2. 애플리케이션 검색(Shadow IT)

애플리케이션 검색은 조직의 SaaS 사용량에 대한 가시성을 확보하기 위한 첫 번째 단계입니다.

  1. MDCA 왼쪽 탐색 창에서 검색 > 로그 스냅샷 또는 로그 수집기를 선택합니다.

  2. 로그 스냅샷: 빠른 평가용을 사용하면 방화벽 또는 프록시 트래픽 로그를 수동으로 로드할 수 있습니다.

    • 로그 스냅샷 만들기를 클릭하고 지침에 따라 로그 파일을 업로드합니다.

  3. 로그 수집기: 지속적이고 자동화된 검색을 위해 환경에 로그 수집기를 구성합니다.

    • 로그 수집기 추가를 클릭하고 지침에 따라 수집기(일반적으로 MDCA에 로그를 전달하는 가상 머신 또는 컨테이너)를 구성합니다.

  4. Defender for Endpoint 통합: Defender for Endpoint가 있는 경우 섀도우 IT 검색이 자동으로 활성화되어 엔드포인트에서 직접 클라우드 앱 사용 데이터를 제공합니다.

  5. 데이터 수집 후 검색 > 검색된 애플리케이션으로 이동하여 클라우드 애플리케이션 목록, 해당 위험 수준 및 사용 통계를 확인하세요.

3. 애플리케이션 연결(API 커넥터)

더 심층적인 거버넌스와 보호를 위해 API를 통해 SaaS 애플리케이션을 직접 연결하세요.

  1. MDCA 왼쪽 탐색 창에서 설정 > 애플리케이션 커넥터를 선택합니다.
  2. + 애플리케이션 연결을 클릭합니다.
  3. 연결하려는 애플리케이션을 선택하세요(예: Office 365, Salesforce, Box).
  4. 각 애플리케이션에 대한 특정 지침에 따라 필요한 권한을 부여합니다. 여기에는 일반적으로 응용 프로그램 관리자로 로그인하고 MDCA를 인증하는 작업이 포함됩니다.

4. 액세스 및 세션 정책 생성

액세스 및 세션 정책을 사용하면 사용자 액세스 및 활동을 실시간으로 제어할 수 있습니다.

  1. MDCA 왼쪽 탐색 창에서 제어 > 정책을 선택합니다.
  2. 정책 생성 > 액세스 정책 또는 세션 정책을 클릭합니다.

예: 민감한 데이터의 다운로드를 차단하는 세션 정책

이 정책은 사용자가 관리되지 않는 장치에서 SaaS 애플리케이션에 액세스할 때 중요한 파일을 다운로드하지 못하도록 방지할 수 있습니다.

  1. 정책 유형: '세션 정책'.
  2. 이름: '관리되지 않는 장치로의 민감한 데이터 다운로드 차단'.
  3. 심각도: '높음'.
  4. 카테고리: '데이터 손실 방지'.
  5. 활동 필터: 조건을 구성합니다.
    • 애플리케이션: 대상 SaaS 애플리케이션(예: 'SharePoint Online')을 선택합니다.
    • 사용자: 대상 사용자 또는 그룹을 선택합니다.
    • 장치: '장치 브랜드' = '지원되지 않음' 또는 '하이브리드 Azure AD에 조인되지 않음'을 선택합니다.
    • 활동 유형: '다운로드'.
    • 콘텐츠 검사: 기밀 데이터(예: '신용카드 번호', 'CPF')를 탐지하도록 구성합니다.
  6. 작업: '차단'(다운로드용) 및 '모니터링'을 선택합니다.
  7. 만들기를 클릭합니다.

5. 활동 정책 생성

활동 정책을 사용하면 연결된 앱에서 특정 사용자 작업을 감지하고 제어할 수 있습니다.

  1. MDCA 왼쪽 탐색 창에서 제어 > 정책을 선택합니다.
  2. 정책 생성 > 활동 정책을 클릭합니다.
  3. 이름: 'OneDrive의 파일 대량 삭제 경고'.
  4. 심각도: '보통'.
  5. 카테고리: 위협 감지.
  6. 활동 필터: 조건을 구성합니다.
    • 애플리케이션: '비즈니스용 OneDrive'.
    • 활동 유형: 파일 삭제.
    • 활동 횟수: '10'보다 큼('5'분 기간 내).
  7. 작업: 관리자에게 '알림 생성' 및 '이메일 알림 보내기'를 선택합니다.
  8. 만들기를 클릭합니다.

6. 이상 탐지 정책 생성

변칙 검색 정책은 기계 학습을 사용하여 공격을 나타낼 수 있는 비정상적인 동작을 식별합니다.

  1. MDCA 왼쪽 탐색 창에서 제어 > 정책을 선택합니다.
  2. 정책 생성 > 이상 탐지 정책을 클릭합니다.
  3. MDCA는 사전 정의된 여러 가지 이상 정책(예: '비정상적인 파일 다운로드 활동', '의심스러운 IP 주소에서의 로그온 활동', '거의 접근하지 않는 국가/지역에서의 로그온 활동')을 제공합니다.
  4. 이러한 정책에 대한 설정을 활성화하고 조정할 수 있습니다.

검증 및 테스트

정책이 예상대로 작동하는지 확인하려면 MDCA 구현을 검증하는 것이 중요합니다.

1. 세션 및 액세스 정책 테스트

  1. 시나리오 시뮬레이션: 관리되지 않는 장치 또는 로컬 장치에서 SaaS 애플리케이션(예: SharePoint Online)에 액세스해 봅니다.난 믿을 수 없어요.
  2. 정책에 의해 제한된 작업(예: 기밀 파일 다운로드)을 수행해 보십시오.
  3. 세션 정책이 해당 작업을 차단하고 사용자에게 알림을 표시하는지 확인합니다.

2. 활동 경고 및 이상 징후 확인

  1. 활동 시뮬레이션: 테스트 환경에서 경고를 생성하도록 구성한 활동을 실행합니다(예: OneDrive에서 여러 파일을 빠르게 삭제).
  2. 몇 분 정도 기다리십시오.
  3. Microsoft 365 Defender 포털에서 사건 및 경고 > 경고로 이동합니다.
  4. '서비스' = '클라우드 앱용 Microsoft Defender'로 필터링하고 경고가 생성되었는지 확인합니다.

3. 활동 로그 검토

MDCA 활동 로그는 연결된 애플리케이션에서 감지된 모든 작업을 기록합니다.

  1. MDCA 왼쪽 탐색 창에서 로그 > 활동 로그를 선택합니다.
  2. 사용자, 애플리케이션 또는 활동 유형별로 필터링하여 예상되는 작업이 기록되고 정책이 적용되는지 확인합니다.

보안 팁 및 모범 사례

  • 가시성부터 시작: 엄격한 제어를 구현하기 전에 조직의 클라우드 애플리케이션 환경을 이해하기 위해 섀도우 IT 검색에 우선순위를 둡니다.
  • 점진적 구현: '모니터링' 또는 '감사 전용' 모드에서 정책을 시작하여 차단 조치를 적용하기 전에 영향을 이해하고 조정합니다.
  • 완전 통합: MDCA를 Microsoft Defender for Endpoint와 통합하여 섀도우 IT 검색 및 엔드포인트 보호를 강화합니다.
  • 포괄적인 정책: 다계층 보호를 위해 액세스, 세션, 활동 및 이상 탐지를 다루는 정책을 만듭니다.
  • 데이터 분류: MIP(Microsoft Information Protection)를 사용하여 중요한 데이터를 분류하고 레이블을 지정하며 MDCA DLP 정책에서 이러한 레이블을 사용합니다.
  • 사용자 교육: MDCA 정책과 기업 데이터에 승인되고 안전한 애플리케이션을 사용하는 것의 중요성에 대해 사용자에게 알립니다.
  • 지속적인 검토: MDCA 정책을 정기적으로 검토하고 조정하여 애플리케이션 사용량, 위협 환경 및 규정 준수 요구 사항의 변화에 ​​적응합니다.

일반적인 문제 해결

  • 검색에 앱이 표시되지 않음: 방화벽/프록시 로그가 올바르게 로드되고 있는지 또는 Defender for Endpoint와의 통합이 활성화되어 있는지 확인하세요. 관련 트래픽이 캡처되고 있는지 확인하세요.
  • 애플리케이션 커넥터 실패: SaaS 애플리케이션에서 MDCA에 부여된 권한을 확인하세요. 오류 메시지가 있는지 MDCA의 연결 로그를 확인하세요. 커넥터를 다시 인증해야 할 수도 있습니다.
  • 정책이 적용되지 않음: 정책이 활성화되어 있고 사용자와 애플리케이션이 정책 범위 내에 있는지 확인하세요. 활동 필터를 확인하여 조건이 충족되는지 확인하세요. 세션 정책의 경우 트래픽이 MDCA 조건부 액세스 제어 프록시를 통해 라우팅되는지 확인하세요.
  • 오탐지: 변칙 검색 정책의 민감도를 조정하거나 합법적인 활동에 대한 제외를 추가합니다. 활동 정책의 경우 필터를 더욱 구체적으로 구체화하세요.
  • 성능 문제: 조건부 액세스 제어 프록시를 사용하면 약간의 대기 시간이 발생할 수 있습니다. 성능을 모니터링하고 필요한 경우 정책을 최적화합니다.

결론

MDCA(클라우드 앱용 Microsoft Defender)는 SaaS 애플리케이션 환경에서 데이터와 사용자를 보호하려는 모든 조직에 없어서는 안될 도구입니다. MDCA는 섀도우 IT에 대한 가시성, 세분화된 액세스 및 세션 제어, 고급 위협 탐지를 제공함으로써 기업이 보안 상태를 클라우드까지 효과적으로 확장할 수 있도록 지원합니다. SaaS 거버넌스 모범 사례 및 다른 Microsoft 365 Defender 솔루션과의 통합과 결합된 MDCA 정책의 신중한 구현은 조직의 사이버 탄력성을 크게 강화합니다. 이 실용적인 가이드를 통해 보안 전문가는 MDCA를 구성하고 관리하여 클라우드 애플리케이션이 안전하고 규정을 준수하며 제어되도록 할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. 클라우드 앱용 Microsoft Defender란 무엇인가요?. 사용 가능: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] 마이크로소프트 런. Shadow IT의 발견. 사용 가능: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] 마이크로소프트 런. 클라우드 앱용 Microsoft Defender 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements