Azure Security Center 로클라우드인프라및어플리케이션보안강화하기 김현동 Cloud Solution Architect, Microsoft www.cloudsec.com
Security & Management Security Center Portal Azure Active Directory Azure AD B2C Multi-Factor Authentication Media Services Logic Apps Media & CDN API Management Media Analytics Integration BizTalk Services Service Bus Content Delivery Network Platform Services Application Platform Web Apps API Apps Service Fabric Mobile Apps Cloud Services Notification Hubs Functions SQL Database SQL Server Stretch Database Data SQL Data Warehouse Redis Cache Intelligence Storage Tables DocumentDB Cognitive Services Bot Framework Cortana Azure Search Hybrid Cloud Azure AD Health Monitoring AD Privileged Identity Management Domain Services Backup Automation Scheduler Key Vault Store/ Marketplace VM Image Gallery & VM Depot Compute Services Kubernetes Service Batch Dev/Test Lab VM Scale Sets RemoteApp Developer Services Visual Studio VS Team Services Application Insights Mobile Engagement Xamarin HockeyApp Infrastructure Services HDInsight IoT Hub Data Catalog Analytics & IoT Event Hubs Machine Learning Data Lake Analytics Service Data Factory Stream Analytics Data Lake Store Power BI Embedded Operational Analytics Import/Export Azure Site Recovery StorSimple Compute Storage Networking Virtual Machines Containers Blob Queues Files Disks Virtual Network Load Balancer DNS Express Route Traffic Manager VPN Gateway App Gateway Datacenter Infrastructure
Hybrid Cloud 환경에서의보안특징 분산된인프라 On-premises 의인프라와 Public 클라우드상의인프라에대한통합된가시성과쉬운제어가필요 빠르게변화하는클라우드리소스 Cloud 가주는 Agility 와발전속도에맞추어보안대응이필요 고도화된위협최신의위협에빠르게대처하기위해고도의 threat intelligence 와전문분석능력이필요
클라우드보안정책 보안팀의고민 실무팀들에게어떻게클라우드서비스를제공할것인가? 클라우드포탈접근권한은? 클라우드리소스의비용제어는? VM 에방화벽룰을어떻게강제할것인지? 데이타보호를위한정책준수여부를어떻게감시할것인지? 방화벽이설정된특정서브넷만사용할수있도록강제하는방법은? 네트워크설정이나리소스설정을변경에대한추적, 감사방법은? 보안팀에서설정한네트워크설정과리소스설정변경을금지하는방법은? 어떻게보안이강화된 custom VM 이미지만을사용하도록강제할것인가? 리소스생성시생성한사용자 ID 및부서를반드시 tag 으로표기하도록... 데이타규제를준수하기위해특정국가의스토리지서비스만허용하려면? 각팀에서사용하는리소스들의보안환경을어떻게모니터링할것인지? VM 에서의인터넷접근은어떻게통제할것인지? VM 에서실행되는어플리케이션들을어떻게제한할것인지? Compliance 준수여부를어떻게확인할것인지?
Azure Policy Azure Policy 를통해각팀에서사용하는 Azure 구독에대해 Azure 리소스를생성하고구성하는규칙을정의 보안, 규제 / 컴플라이언스요구사항을준수하고, 비용통제및인프라설계의일관성있는방법을제공 Azure 상의리소스들이구독에정의된 Policy 에위배되지않는지검사. 위반감지시강제로 Policy 에정의된규칙을적용 특정 resource type 또는 VM type 들로사용을제한 사용할수있는 Azure region 을제한 VM 생성시특정 Custom Image 만을사용하도록제한 Resource 에필수로 tag, value 를지정하도록요구 Build-in Policy 제공및 custom Policy 정의지원
Azure Policy 동작 사용자 코드 (SDK) Azure Portal CLI PowerShell Template Terraform SDKs... ARM(Azure Resource Manager) 일관된리소스관리 Azure Policy 조직구조 관리그룹구독구독리소스그룹리소스그룹리소스그룹
Azure 보안모델의 3 가지핵심요소 보안인텔리전스 Microsoft Azure Azure 보안기능 데이타센터보안
1. Azure 데이타센터보안 Microsoft Azure 데이타센터관리를 Microsoft 가수행
2. Azure 가제공하는보안기능 Identity & Access Management (IAM) 데이타보호 네트워크보안 Microsoft Azure 통합된파트너솔루션 Advanced threat protection 보안통합관리 Defense-in-depth strategies
2. Azure 가제공하는보안기능 Identity & access management (IAM) 고객 on-premises 의 AD 를클라우드로확장. 동일한 sign-on 및 single sign-on(sso) 경험을제공 Azure AD Azure Active Directory Connect 최소권한원칙 (Principle of least privilege) Azure Role Based Access Control(RBAC) Azure Active Directory Conditional Access based policy 보다강력한 Identity 보호 Multi-factor 인증 (MFA) Azure AD PIM 을이용한 privileged accounts Azure AD Identity Protection Management
2. Azure 가제공하는보안기능데이타보호 built-in encryption across resources Azure Storage 암호화 Azure Disk 암호와 SQL TDE/Always Encrypted VIRTUAL MACHINES APPLICATIONS STORAGE & DATABASES 방화벽 Azure SQL database firewall Azure Storage Firewall 호스트기반파트너방화벽솔루션 ( 트랜드마이크로 ) 가상 appliance 기반파트너방화벽솔루션 스토리지접근위임 (Shared Access Signature) 접근권한부여시접근허용기간, write/delete/list 허용여부, 허용 IP ( 대역 ), HTTP/HTTPS 여부를명시 Azure Key Vault 를이용한 Key 관리 고객 Application 에서사용하는암호, 토큰, 인증서, API Key 를안전하게저장. (don t put the key in the app) HW Security Module(HSM) 지원 (FIPS 140-2) 인증서를생성, 관리
2. Azure 가제공하는보안기능네트워크보호 Network Security Group(NSG) 로 Azure 내가상네트워크에대한접근제어 Application Security Group Azure Firewall (preview) 파트너방화벽솔루션 (e.g. 트랜드마이크로 ) 을이용하여고도의필터링적용. On-premises 방화벽과의통합관리 고객데이타센터와의안전한연결 Azure VPN Gateway 를이용한사이트간 VPN 연결 Azure ExpressRoute ( 전용선연결 ) 어플리케이션의가용성보장을위한추가적인보호 Azure Application Gateway with Web Application Firewall(WAF) Azure DDoS Protection Standard
2. Azure 가제공하는보안기능 Advanced Threat Protection VIRTUAL MACHINES APPLICATIONS STORAGE & DATABASES NETWORK 보안위협에대해사전방어 VM 에대한보안패치권고 VM 에대해 Anti-Malware 을적용 (e.g. Microsoft Windows Defender, 트랜드마이크로 ) 공격에대한노출을최소화 Just-in-Time 접근기능 을이용한관리포트접속 Application Whitelisting 기능을이용하여말웨어의실행을차단 위협을일찍감지하여빠르게대응 Azure Security Center 를통한알람및보안 issue 감지 Investigate 기능및위협대응을위한 playbook 기능
2. Azure 가제공하는보안기능 Hybrid 환경에대한통합보안관리 VIRTUAL MACHINES APPLICATIONS STORAGE & DATABASES NETWORK 클라우드와온프라미스보안상태를통합하여관리 Azure VM 들에대해자동으로 agent 가설치되도록구성 온프라미스서버에 agent 를설치하여보안 event 통합수집가능 Compliance 를준수여부를한눈에확인 Azure Policy 에대한통합된관리기능제공 기존보안프로세스와의통합 보안정책에따른보안감사및로깅옵션제공 보안데이타를로그 Analytics 또는기존 SIEM 솔루션에전달
Azure Security Center 각각의구독에대해 Security Center 적용여부및 Policy 준수여부를통합관리 Basic Tier vs. Standard Tier 상시적으로보안취약점여부를점검. 발견된취약점에대해개선방법들을권고 기본탑재된수백개의보안검사요소를대상으로보안취약점검사수행. Custom 검사항목추가가능 Azure 리소스들에대한공격내역및 Alert 을한눈에제공
Azure Security Center Just-in-Time Access 인터넷노출된관리포트로의 Brute Force Attack 을방어 인터넷에노출된 VM 은 RDP, SSH 관리포트를대상으로 1 달평균 10 만번의 brute force 공격을받음 제한된시간동안특정관리자 IP 에대해서만접근을허용하여공격에노출을최소화
Azure Security Center Application Whitelisting 말웨어및의도하지않은어플리케이션의실행을방지하고안전한어플리케이션만허용 Adaptive Whitelisting 기능으로자동으로 VM 의어플리케이션실행패턴을파악하여 Whitelist 대상어플리케이션들을선정
Azure Security Center Application Whitelisting Machine Learning 적용으로 Application Whitelisting 관리를간단히수행
3. 보안인텔리젼스 Threat intelligence Microsoft 의글로벌 Threat intelligence 를활용하여알려진위협인자를발견 이상징후 (Anomaly) 감지 통계적프로파일링을통해과거패턴에대한베이스라인을구축 베이스라인에서이탈하고 false Positive 검사를통과하면알람을생성 행위분석 알려진공격패턴및위협행위감지 파트너솔루션 파트너솔루션의알람과로그정보를 Security Center 와연동하여분석 Fusion 위협이벤트및알람들의연관관계를분석하여 Incident 를생성 Powered by Microsoft Intelligent Security Graph
Source of Threat Intelligent 2 억 5 천만 수백만수십억 7 억 400 억번 350 억 messages / month 180+ 억 수백만대 4.2 억 Microsoft Azure
3. 보안인텔리전스 Security Incident Investigation Security Alert 이실제보안침해를의미하는지침해의범위를파악하기위한 Investigation 기능 공격에대한범위및피해상황을빠르게평가 특정공격활동에대한일련의알람을연관시켜 Incident 를생성 Investigate 를통해노드간의관계그래프를도시 사용자, Compute 노드, 알람노드간의관계를도시. Time range 를변경하며시간에따른공격활동을조사 활동에대한상세내역제공 로그인실패 공격자가흔히사용하는명령어들의실행내역 윈도우레지스트리의값이변경되거나사용자가추가되는의심스런활동 배치파일을다운받기위한 PowerShell 실행
3. 보안인텔리전스보안대응워크플로우 (workflow) 연동 Security Center 가인지한위협에대해자동된워크플로우로빠르게대처 Azure Logic App 을이용하여플레이북 (Playbook) 을빠르게생성. Alert 에따른워크플로우수행과정에서조건에따라맞춤형대응을수행 워크플로우예제 Ticketing 시스템으로일람을전달 추가적인정보취합 추가적인보안제어를적용 추가적인대응방안을취할것인지를관리자에게확인요청 의심스런계정을차단 특정 IP 주소로부터의트래픽을제한
Microsoft Azure Trusted Cloud for your business
THANK YOU 김현동 Cloud Solution Architect, Microsoft www.cloudsec.com