azure security centerredis cache azure search storage tables sql data warehouse azure ad health...

www.cloudsec.com | #cloudsec

Azure Security Center로클라우드인프라및어플리케이션보안강화하기

김현동 | Cloud Solution Architect, Microsoft

Platform Services

Infrastructure Services

Compute Storage

Datacenter Infrastructure

Application Platform

WebApps

MobileApps

API Apps

Notification Hubs

HybridCloud

Backup

StorSimple

Azure SiteRecovery

Import/Export

Networking

Data

SQL Database DocumentDB

Redis Cache

AzureSearch

StorageTables

SQL DataWarehouse

Azure AD Health Monitoring

Virtual Network

ExpressRoute

Blob Files DisksVirtual Machines

AD PrivilegedIdentity Management

Traffic Manager

AppGateway

OperationalAnalytics

Compute Services

Cloud Services

BatchRemoteApp

ServiceFabric

Developer Services

Visual Studio

ApplicationInsights

VS Team Services

Containers DNSVPN Gateway

Load Balancer

Domain Services

Analytics & IoT

HDInsight MachineLearning Stream Analytics

Data Factory

EventHubs

Data LakeAnalytics Service

IoT Hub

Data Catalog

Security & Management

Azure ActiveDirectory

Multi-FactorAuthentication

Automation

Portal

Key Vault

Store/Marketplace

VM Image Gallery& VM Depot

Azure ADB2C

Scheduler

Xamarin

HockeyApp

Power BI Embedded

SQL Server Stretch Database

MobileEngagement

Functions

Intelligence

Cognitive Services Bot Framework Cortana

Security Center

KubernetesService

Queues

VM Scale Sets

Data Lake Store

Dev/Test Lab

Integration

BizTalkServices

Service Bus

Logic Apps

API Management

Media & CDN

Content DeliveryNetwork

Media Services

Media Analytics

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiy6vj9mtDNAhVB4mMKHUztCUcQjRwIBw&url=https://developer.microsoft.com/en-us/app-middleware-partners&psig=AFQjCNFdctU6OJlviMmzVX3AK3wCAgJKIw&ust=1467391908422760

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwijrpzbm9DNAhVU52MKHRcjAxMQjRwIBw&url=https://azure.microsoft.com/en-gb/services/power-bi-embedded/&psig=AFQjCNGAz6ASOEuOFwrvcGbgivFPur_t7w&ust=1467392103935851

#cloudsec

Hybrid Cloud 환경에서의보안특징

분산된 인프라On-premises의인프라와 Public 클라우드상의인프라에대한통합된가시성과쉬운 제어가필요

빠르게 변화하는 클라우드 리소스Cloud가 주는 Agility와발전 속도에맞추어 보안대응이 필요

고도화된 위협최신의위협에빠르게 대처하기위해 고도의 threat

intelligence와전문 분석 능력이필요

#cloudsec

클라우드보안정책

보안팀의 고민 – 실무 팀들에게 어떻게 클라우드 서비스를제공할 것인가?

• 클라우드포탈접근 권한은?

• 클라우드리소스의비용 제어는?

• VM에방화벽 룰을어떻게 강제할것인지?

• 데이타보호를위한 정책 준수여부를어떻게감시할것인지?

• 방화벽이설정된특정 서브넷만사용할수 있도록강제하는방법은?

• 네트워크설정이나리소스설정을 변경에대한 추적, 감사 방법은?

• 보안팀에서설정한네트워크설정과리소스설정 변경을금지하는방법은?

• 어떻게 보안이 강화된 custom VM 이미지만을 사용하도록 강제할 것인가?

• 리소스생성시생성한 사용자 ID 및 부서를 반드시 tag으로표기하도록...

• 데이타규제를준수하기위해 특정 국가의스토리지서비스만허용하려면?

• 각 팀에서 사용하는 리소스들의 보안 환경을 어떻게 모니터링 할 것인지?

• VM에서의인터넷접근은 어떻게통제할것인지?

• VM에서실행되는어플리케이션들을어떻게제한할것인지?

• Compliance 준수 여부를어떻게확인할 것인지?

#cloudsec

Azure Policy

Azure Policy를 통해 각 팀에서 사용하는 Azure 구독에대해 Azure 리소스를 생성하고 구성하는 규칙을 정의

보안, 규제/컴플라이언스 요구사항을 준수하고,

비용통제 및 인프라 설계의 일관성있는 방법을 제공

Azure 상의 리소스들이 구독에 정의된 Policy에위배되지 않는지 검사. 위반 감지시 강제로 Policy에정의된 규칙을 적용• 특정 resource type 또는 VM type들로사용을제한• 사용할수있는 Azure region을제한• VM 생성시특정 Custom Image만을사용하도록제한• Resource에필수로 tag, value를지정하도록요구

Build-in Policy 제공 및 custom Policy 정의 지원

#cloudsec

Azure Policy 동작

Azu

re P

olic

y사용자

코드 (SDK)

AR

M(A

zure

Reso

urc

e M

an

ag

er)

일관된

리소스

관리 관리 그룹

구독 구독

Azure Portal

CLI

PowerShell

Template

Terraform

SDKs

...

리소스그룹 리소스그룹 리소스그룹

조직 구조

#cloudsec

Azure 보안모델의 3가지핵심요소

Microsoft Azure

보안 인텔리전스

Azure 보안기능

데이타센터 보안

#cloudsec

1. Azure 데이타센터보안

데이타센터 관리를Microsoft 가 수행

Microsoft Azure

#cloudsec

2. Azure 가제공하는보안기능

Defense-in-depth strategies

Identity & Access Management (IAM)

Microsoft Azure

데이타 보호

네트워크 보안

Advanced threat protection

통합된 파트너 솔루션

보안 통합 관리

#cloudsec


Identity & access management (IAM)

고객 on-premises의 AD를 클라우드로 확장.

동일한 sign-on 및 single sign-on(SSO) 경험을제공• Azure AD

• Azure Active Directory Connect

최소 권한 원칙 (Principle of least privilege)• Azure Role Based Access Control(RBAC)

• Azure Active Directory Conditional Access based policy

보다 강력한 Identity 보호• Multi-factor 인증 (MFA)

• Azure AD PIM을이용한 privileged accounts

• Azure AD Identity Protection Management

#cloudsec


데이타보호

VIRTUAL MACHINES APPLICATIONS STORAGE & DATABASES

built-in encryption across resources• Azure Storage 암호화• Azure Disk 암호와• SQL TDE/Always Encrypted

방화벽• Azure SQL database firewall

• Azure Storage Firewall

• 호스트기반 파트너방화벽솔루션 (트랜드마이크로)

• 가상 appliance 기반 파트너방화벽솔루션

스토리지 접근 위임 (Shared Access Signature)• 접근 권한 부여시접근 허용기간, write/delete/list 허용여부,

허용 IP (대역), HTTP/HTTPS 여부를명시

Azure Key Vault를 이용한 Key 관리• 고객 Application에서사용하는암호, 토큰, 인증서, API Key를

안전하게저장. (don’t put the key in the app)

• HW Security Module(HSM) 지원 (FIPS 140-2)

• 인증서를생성, 관리

#cloudsec


네트워크보호

Network Security Group(NSG)로 Azure 내 가상네트워크에 대한 접근 제어• Application Security Group

• Azure Firewall (preview)

• 파트너방화벽솔루션(e.g. 트랜드마이크로)을이용하여고도의필터링적용. On-premises 방화벽과의통합관리

고객 데이타센터와의 안전한 연결• Azure VPN Gateway를 이용한사이트간 VPN 연결• Azure ExpressRoute (전용선연결)

어플리케이션의 가용성 보장을 위한 추가적인 보호• Azure Application Gateway with Web Application Firewall(WAF)

• Azure DDoS Protection Standard

#cloudsec


Advanced Threat ProtectionVIRTUAL

MACHINESAPPLICATIONS STORAGE & DATABASES

보안 위협에 대해 사전 방어• VM에대한 보안 패치 권고• VM에대해 Anti-Malware을적용 (e.g. Microsoft Windows

Defender, 트랜드마이크로)

공격에 대한 노출을 최소화• “Just-in-Time 접근 기능”을이용한 관리포트 접속• “Application Whitelisting” 기능을이용하여말웨어의실행을

차단

위협을 일찍 감지하여 빠르게 대응• Azure Security Center를 통한 알람 및 보안 issue 감지• “Investigate” 기능 및 위협 대응을위한 “playbook” 기능

NETWORK

#cloudsec


Hybrid 환경에대한통합보안관리VIRTUAL

MACHINESAPPLICATIONS STORAGE & DATABASES

클라우드와 온프라미스 보안 상태를 통합하여관리• Azure VM들에대해 자동으로 agent가 설치되도록구성• 온프라미스서버에 agent를 설치하여보안 event 통합 수집

가능

Compliance를 준수 여부를 한눈에 확인

• Azure Policy에 대한 통합된관리 기능 제공

기존 보안 프로세스와의 통합• 보안 정책에따른 보안 감사및 로깅 옵션제공• 보안 데이타를로그 Analytics 또는 기존 SIEM 솔루션에전달

NETWORK

#cloudsec

Azure Security Center

각각의 구독에 대해 Security Center 적용 여부및 Policy 준수 여부를 통합 관리• Basic Tier vs. Standard Tier

상시적으로 보안 취약점 여부를 점검. 발견된취약점에 대해 개선 방법들을 권고

기본 탑재된수백개의보안검사 요소를대상으로보안취약점검사 수행.

Custom 검사 항목 추가 가능

Azure 리소스들에 대한 공격 내역 및 Alert을한눈에 제공

#cloudsec


Just-in-Time Access

• 인터넷 노출된 관리 포트로의 Brute Force

Attack을 방어

• 인터넷에 노출된 VM은 RDP, SSH 관리포트를 대상으로 1달 평균 10만번의 brute

force 공격을 받음

• 제한된 시간동안 특정 관리자 IP에대해서만 접근을 허용하여 공격에 노출을최소화

#cloudsec


Application Whitelisting

• 말웨어 및 의도하지 않은 어플리케이션의실행을 방지하고 안전한 어플리케이션만허용

• Adaptive Whitelisting 기능으로 자동으로VM의 어플리케이션 실행 패턴을 파악하여Whitelist 대상 어플리케이션들을 선정

#cloudsec


Application Whitelisting

Machine Learning 적용으로 Application Whitelisting 관리를 간단히 수행

Powered by Microsoft Intelligent Security Graph

3. 보안인텔리젼스

Threat intelligence

Microsoft의 글로벌 Threat intelligence를활용하여알려진 위협 인자를 발견

이상징후(Anomaly) 감지

통계적 프로파일링을통해 과거 패턴에대한 베이스라인을구축

베이스라인에서이탈하고 false Positive 검사를 통과하면알람을 생성

행위분석

알려진 공격 패턴 및 위협 행위 감지

Fusion

위협 이벤트 및 알람들의 연관관계를분석하여 Incident를 생성

파트너솔루션

파트너 솔루션의알람과 로그 정보를Security Center와 연동하여분석

Source of Threat Intelligent

180+ 억

4.2억

350억 messages / month

2억5천만

수백만

수십억

7억

400 억번

수백만대

Microsoft Azure

#cloudsec

3. 보안인텔리전스

Security Incident Investigation

Security Alert이 실제 보안 침해를 의미하는지 침해의 범위를 파악하기 위한 “Investigation” 기능

공격에 대한 범위 및 피해 상황을 빠르게 평가

특정 공격 활동에 대한 일련의 알람을연관시켜 “Incident”를 생성• “Investigate”를통해노드간의관계 그래프를도시• 사용자, Compute 노드, 알람 노드간의관계를도시.

• Time range를 변경하며시간에따른 공격활동을 조사

활동에 대한 상세 내역 제공• 로그인실패• 공격자가흔히사용하는명령어들의실행내역• 윈도우레지스트리의값이변경되거나사용자가

추가되는의심스런활동• 배치 파일을다운받기위한 PowerShell 실행

#cloudsec

3. 보안인텔리전스

보안대응워크플로우(workflow) 연동

Security Center가 인지한 위협에 대해 자동된 워크플로우로 빠르게 대처

Azure Logic App을 이용하여 플레이북(Playbook)을빠르게 생성. Alert에 따른 워크플로우 수행 과정에서조건에 따라 맞춤형 대응을 수행

워크플로우 예제

• Ticketing 시스템으로일람을전달• 추가적인정보 취합• 추가적인보안 제어를적용• 추가적인대응 방안을취할 것인지를관리자에게확인 요청• 의심스런계정을차단• 특정 IP주소로부터의 트래픽을제한

Microsoft AzureTrusted Cloud for your business

www.cloudsec.com | #cloudsec

THANK YOU

김현동 | Cloud Solution Architect, Microsoft

azure security centerredis cache azure search storage tables sql data warehouse azure ad health...

Documents