이 문서에서는 Microsoft 보안 서비스와 통합 시스템으로 함께 작동하여 ID, 디바이스, 애플리케이션, 데이터, AI 및 인프라를 포함하는 기술 핵심 요소 간에 보호를 제공하는 방법을 설명합니다.
최신 엔터프라이즈 보안이 경계 기반 보호에서 ID 기반 클라우드 통합 모델로 전환되었습니다. 조직은 진화하는 위협에 지속적으로 적응하면서 하이브리드 및 다중 클라우드 환경에서 사용자, 디바이스, 애플리케이션 및 데이터를 보호해야 합니다.
Microsoft 함께 작동하여 신호를 공유하고, 일관된 정책을 적용하고, 제어를 적용하고, 환경 전체에서 검색 및 응답을 조정하는 통합 클라우드 기반 서비스 집합을 제공합니다.
보안 결과
통합 Microsoft 보안은 다음과 같은 결과를 제공합니다.
- 통합 신호 가시성: 원격 분석은 ID, 디바이스, 애플리케이션, 데이터 및 인프라에서 지속적으로 수집되고 중앙 집중화되며, 실행 가능한 중앙 집중식 신호로 변환됩니다.
- ID 기반 의사 결정: 액세스 및 적용 결정은 ID, 디바이스 상태, 위험 신호 및 세션 컨텍스트를 기반으로 합니다.
- 일관된 적용: 제로 트러스트 통제는 액세스 시점과 사용 중에 엔드포인트, 클라우드 서비스 및 애플리케이션 전반에 걸쳐 적용됩니다.
- 통합 검색 및 응답: 신호 및 경고는 도메인 간에 상호 연결되어 위협을 통합 작업으로 감지하고 대응합니다.
- 지속적인 유효성 검사 및 개선: 검색 및 위험 신호는 시간이 지남에 따라 보호를 강화하기 위한 정책 결정에 다시 공급됩니다.
핵심 보안 서비스
핵심 보안 서비스는 플랫폼 전체에서 신호, 컨텍스트 및 적용에 기여하는 여러 기술 핵심 요소에 걸쳐 있습니다.
|
기둥 기본 서비스 |
보호 | 기본 포털 |
|---|---|---|
|
ID 및 액세스 Microsoft Entra Microsoft Defender for Identity |
Microsoft Entra 사용자, 워크로드 및 애플리케이션에 대한 액세스를 제어합니다. ID, 디바이스 및 세션 신호를 평가하여 액세스 결정을 내립니다. Defender for Identity는 하이브리드 ID 인프라를 모니터링하여 공격을 탐지합니다. |
Microsoft Entra 관리 센터 Microsoft Defender 포털 |
|
디바이스/엔드포인트 엔드포인트용 Microsoft Defender (마이크로소프트 디펜더 포 엔드포인트) 마이크로소프트 Intune |
Defender for Endpoint는 엔드포인트 원격 분석 데이터를 수집하고 위협을 탐지합니다. Microsoft Intune 디바이스 규정 준수를 평가하고 정책을 적용합니다. |
Microsoft Defender 포털 Microsoft Intune 관리 센터 |
|
전자 메일 및 공동 작업 Office 365용 Defender |
맬웨어, 악성 링크/첨부 파일 및 비즈니스 전자 메일 손상으로부터 Exchange 및 공동 작업 서비스(Microsoft Teams, SharePoint, OneDrive)를 보호합니다. | Microsoft Defender 포털 |
|
데이터 Microsoft Purview |
엔드포인트 및 클라우드 서비스에서 데이터 보호 및 DLP(데이터 손실 방지) 정책을 적용합니다. | Microsoft Purview 포털 |
|
인프라/클라우드 워크로드 클라우드용 Microsoft Defender |
보안 상태를 개선하고 클라우드 및 하이브리드 워크로드에서 위협 탐지를 제공합니다. |
Microsoft Azure Portal Microsoft Defender 포털 |
|
Networks Azure 네트워킹 서비스 |
네트워크를 분할하고 보호합니다. | Microsoft Azure Portal |
|
SaaS/클라우드 앱 Microsoft Defender for Cloud Apps (클라우드 앱용 디펜더) |
클라우드 앱 사용에 대한 가시성을 제공하고 사용자 활동을 모니터링하여 위험한 동작을 감지합니다. | Microsoft Defender 포털 |
|
자세/위험 Microsoft 보안 노출 관리 |
ID, 디바이스, 클라우드 리소스 및 애플리케이션에 대한 노출을 식별, 우선 순위 지정 및 줄입니다. | Microsoft Defender 포털 |
|
위협 탐지/대응 Microsoft Defender XDR |
Defender 서비스에서 신호를 상호 연결하고 조사 및 대응을 위한 통합 인시던트가 생성됩니다. | Microsoft Defender 포털 |
|
보안 작업 Microsoft Sentinel |
중앙 집중식 분석, 조사 및 응답을 위해 Microsoft 및 타사 원본의 원격 분석을 집계합니다. |
Microsoft Azure Portal Microsoft Defender 포털 |
|
개발자/앱 보안 DevOps용 Defender(클라우드용 Defender) GitHub 고급 보안 |
코드, 종속성 및 빌드 파이프라인을 보호하고 DevOps 워크플로 전체에서 보안 거버넌스를 적용합니다. |
Microsoft Defender 포털 GitHub 인터페이스 |
네트워크 보호 서비스
이 표에는 Azure 네트워킹 기능과 다른 보안 서비스와 직접 통합하는 방법이 요약되어 있습니다. 서비스는 Microsoft Azure portal 구성됩니다.
| 서비스 | 보호 | 통합 |
|---|---|---|
| Azure Firewall | IP, 포트 및 애플리케이션 규칙을 적용하여 서브넷, 인터넷 및 온-프레미스 네트워크에서 인바운드 및 아웃바운드 트래픽을 제어합니다. Microsoft 위협 인텔리전스를 사용하여 알려진 악성 트래픽을 차단합니다. | 클라우드용 Defender 구성 상태를 평가합니다. 진단 로그는 Azure Monitor/Log Analytics로 수집되어 Microsoft Sentinel에서 탐지 및 상관 분석을 위해 분석됩니다. |
| Azure DDoS 방지 | 볼륨, 프로토콜 및 애플리케이션 계층 공격을 완화합니다. 대규모 홍수 공격으로부터 VNet(가상 네트워크)의 인터넷 연결 리소스를 보호합니다. | 메트릭 및 공격 텔레메트리는 Azure Monitor/Log Analytics에 수집되고 Microsoft Sentinel에서 분석할 수 있습니다. 클라우드용 Defender 자세 권장 사항을 제공합니다. |
| Azure VNet | Azure 리소스에 대한 네트워크 격리, 구분 및 개인 IP 주소를 제공합니다. 서비스 간에 제어된 연결을 사용하도록 설정합니다. | 클라우드용 Defender 공용 액세스 경로와 같은 노출을 포함하여 구성 상태를 평가합니다. |
| NSG(네트워크 보안 그룹) | 허용/거부 규칙을 사용하여 서브넷 및 네트워크 인터페이스 수준에서 트래픽을 필터링합니다. 원치 않는 트래픽을 리소스로 제한합니다. | NSG 흐름 로그(Azure Monitor를 통해 수집)는 트래픽 가시성 및 탐지를 위해 Microsoft Sentinel에서 분석할 수 있습니다. 클라우드용 Defender NSG 규칙 구성을 평가합니다. |
| Azure WAF(Web Application Firewall) | OWASP 규칙 집합을 사용하여 HTTP/HTTPS 애플리케이션을 보호합니다. SQL 삽입 및 XSS(교차 사이트 스크립팅)와 같은 일반적인 웹 공격을 방지하는 데 도움이 됩니다. | WAF 로그는 Azure Monitor/Log Analytics 수집되고 Microsoft Sentinel 분석됩니다. 클라우드용 Defender WAF 구성 상태를 평가합니다. |
| Azure Front Door | 라우팅, 가속 및 에지 보안 기능을 사용하여 웹 애플리케이션에 대한 전역 진입점을 제공합니다. 애플리케이션 보호를 위해 WAF와 통합됩니다. | 진단 로그(Front Door/WAF)는 Log Analytics로 수집되어 Microsoft Sentinel에서 분석됩니다. 클라우드용 Defender 구성 상태를 평가합니다. |
| Azure Application Gateway | 애플리케이션 트래픽을 보호하고 라우팅하는 기본 제공 웹 애플리케이션 방화벽 기능을 사용하여 지역 부하 분산을 제공합니다. | 액세스 및 WAF 로그는 Log Analytics 수집되고 Microsoft Sentinel 분석됩니다. 클라우드용 Defender 구성 상태 및 노출 설정을 평가합니다. |
| Azure VPN Gateway | 온-프레미스 환경과 Azure VNet 간에 암호화된 IPsec/IKE 연결을 제공합니다. 공용 네트워크를 통해 전송 중인 데이터를 보호합니다. | 연결 및 터널 로그는 Log Analytics 수집되며 Microsoft Sentinel 분석할 수 있습니다. 클라우드용 Defender 암호화 설정을 포함하여 구성 상태를 평가합니다. |
| Azure ExpressRoute | 온-프레미스 환경과 Microsoft 백본을 통해 Azure 간의 프라이빗 전용 연결을 제공하여 공용 인터넷을 방지합니다. | 운영 원격 분석(예: BGP, 회로 상태)은 Azure Monitor를 통해 사용할 수 있으며 Microsoft Sentinel에서 분석할 수 있습니다. 클라우드용 Defender 높은 수준의 구성 상태를 평가합니다. |
| Azure Bastion | 브라우저를 통해 가상 머신에 대한 보안 RDP 및 SSH 액세스를 제공하므로 공용 IP 노출이 필요하지 않습니다. | 진단 로그는 Log Analytics 수집되고 Microsoft Sentinel 분석됩니다. 클라우드용 Defender는 축소된 VM은 평가하지만 Azure Bastion 구성은 직접 평가하지 않습니다. |
| Azure Private Link | 개인 IP 주소를 사용하여 Azure PaaS 서비스 및 고객 서비스에 대한 프라이빗 연결을 제공하여 공개 노출을 제거합니다. | 서비스 수준 로그(Storage, SQL, Key Vault 같은 Private Link 통해 액세스되는 서비스의 경우)는 Log Analytics 수집되고 Microsoft Sentinel 분석됩니다. 클라우드용 Defender 개인 링크가 노출을 줄이는 데 사용되는지 여부를 평가합니다. |
| Azure Network Watcher | Azure 리소스에서 네트워크 진단, 모니터링 및 흐름 수준 가시성을 제공합니다. | NSG 흐름 로그 및 진단은 Log Analytics에 수집되며 Microsoft Sentinel에서 분석할 수 있습니다. 클라우드용 Defender 직접 Network Watcher 대신 NSG 설정과 같은 기본 리소스 구성 상태를 평가합니다. |
보안 워크플로
보안 서비스는 연속 파이프라인으로 작동합니다. 신호는 검색 및 응답을 구동하기 위해 지속적으로 수집, 평가, 적용 및 사용됩니다.
| 파이프라인 | 조치 | 키 작업 |
|---|---|---|
| 1단계: 신호 수집 | 보안 서비스는 ID, 디바이스, 애플리케이션 및 인프라 전반에서 텔레메트리 데이터를 생성합니다. | - Defender for Endpoint는 디바이스 원격 분석 데이터를 수집합니다. - Microsoft Intune 디바이스 준수를 평가합니다. - Defender for Identity는 온-프레미스 ID 관련 활동을 모니터링합니다. - Defender for Cloud Apps SaaS 활동을 모니터링합니다. - 클라우드용 Defender 인프라/워크로드 구성 및 활동을 모니터링합니다. |
| 2단계: 정책 결정 | 신호는 액세스 조건 및 제어 작업을 결정하기 위해 평가됩니다. | Microsoft Entra 조건부 액세스 ID 위험, 디바이스 신뢰, 위치 및 세션 컨텍스트를 평가합니다. |
| 3단계: 제어 적용 | 보안 컨트롤은 ID, 디바이스, 세션, 데이터 및 네트워크 계층에 적용됩니다. | 적용 지점은 다음과 같습니다. - 조건부 액세스(MFA/제한 사항) - Intune(디바이스 준수) -Defender for Cloud Apps(세션 제어) - Microsoft Purview(DLP) - Azure 네트워킹(연결 제한). |
| 4단계: 검색 및 응답 | 신호 및 경고는 위협을 감지, 조사 및 수정하기 위해 상호 연결됩니다. | Microsoft Defender XDR은 모든 Defender 제품의 신호를 상호 연관 분석하여 통합된 인시던트로 구성합니다. Microsoft Sentinel 타사 원본을 포함하여 전체 환경에서 로그, 인시던트, 헌팅 및 보안 오케스트레이션, 자동화 및 대응(SOAR)을 중앙 집중화합니다. |
| 피드백 루프 | 검색 결과는 지속적으로 보호를 개선하기 위한 정책 결정에 다시 공급됩니다. | 위험 및 위협 신호는 실시간 정책 업데이트를 알리며 적응형 및 자동화된 보호를 지원합니다. |
보안 서비스 통합
Microsoft 보안 서비스는 응집력 있는 파이프라인으로 작동하는 여러 흐름을 통해 통합되며 지속적인 보호 시스템을 형성합니다.
- 신호(원격 분석) 는 ID, 디바이스, 애플리케이션 및 기타 리소스에서 활동을 캡처합니다.
- 컨텍스트(ID, 디바이스 상태 및 데이터 분류) 는 신호를 보강하여 정확도와 의사 결정을 개선합니다.
- 정책은 평가된 조건에 따라 허용되거나 차단되는 액세스를 정의합니다.
- 작업은 자동화된 제어 및 응답을 통해 의사 결정을 적용합니다.
신호가 플랫폼을 통해 이동하면 정책에 대해 보강되고 평가되며 계속 작동하여 보호 및 응답의 연속 주기를 만듭니다.
서비스가 통합되는 방법
이 표에는 보안 서비스가 각 출력에서 신호 및 컨텍스트를 사용하는 방법과 출력 및 동작이 요약되어 있습니다.
| 서비스 | 소모 | 출력 |
|---|---|---|
| Microsoft Entra ID |
신호: 인증 활동(로그인, 위험 이벤트). Microsoft Intune의 장치 준수 상태 Context: 엔드포인트용 Defender 액세스 결정을 위한 디바이스 컨텍스트입니다. Defender for Cloud Apps의 액세스 결정용 세션 컨텍스트 |
작업: 조건부 액세스 결정(허용, 차단, 제한, 제어 필요). |
| Microsoft Intune |
신호: 관리되는 디바이스 목록, 정상 상태, 규정 준수 상태. Context: Microsoft Entra ID의 ID 연결 |
출력: Microsoft Entra ID에 대한 디바이스 규정 준수 상태. Microsoft Sentinel 디바이스 감사 로그입니다. |
| Microsoft Purview |
Signals: Microsoft 365, SaaS 앱 및 온-프레미스 시스템의 엔터프라이즈 데이터입니다. 컨텍스트: 데이터 분류(민감도 레이블, 콘텐츠 검사, 사용자 활동). |
Outputs: Defender XDR 대한 내부자 위험 및 DLP(데이터 손실 보호) 경고입니다. Microsoft Sentinel용 규정 준수 및 감사 로그 Actions: 엔드포인트 간 DLP 적용(엔드포인트의 경우 Defender) 및 세션(Defender for Cloud Apps). |
| 엔드포인트용 Defender |
신호: 엔드포인트 원격 분석(프로세스, 파일, 네트워크 활동). 컨텍스트: Microsoft Entra ID (ID 컨텍스트). Microsoft Intune (디바이스 상태) Microsoft Purview(DLP 정책). |
Outputs: Defender XDR 및 Microsoft Sentinel로 전송되는 엔드포인트 경고 및 원격 분석. 작업: 엔드포인트 적용(디바이스 격리, 차단, 수정). |
| Defender for Identity | 신호: Active Directory ID 신호. | Output: Defender XDR 및 Microsoft Sentinel 대한 ID 위협 경고입니다. |
| 클라우드용 Defender 앱 |
신호: SaaS 앱 작업(클라우드 사용). Defender for Endpoint의 네트워크 및 섀도 IT 텔레메트리 Context: Microsoft Entra ID 세션 및 인증 컨텍스트입니다. Microsoft Purview DLP 정책 |
Outputs: 클라우드 앱이 Defender XDR 및 Microsoft Sentinel 경고합니다. 작업: 세션 적용(액세스 차단, 모니터링, 제한). |
| 클라우드용 Defender |
신호: Azure의 리소스 작업 정보. Defender for Endpoint의 서버/워크로드 원격 분석 데이터입니다. 컨텍스트: 리소스 구성 및 태세입니다. |
출력: Defender XDR 및 Microsoft Sentinel용 보안 경고와 보안 태세 인사이트. |
| Microsoft 보안 노출 관리 |
Signals: Defender for Endpoint의 장치 위험 점수. 클라우드용 Defender의 클라우드 리소스 인벤토리, 보안 상태, 노출 및 공격 표면 결과. Microsoft Entra ID 인벤토리 및 위험 신호입니다. Defender for Cloud Apps의 SaaS 앱 인벤토리, 위험 및 사용 현황 컨텍스트: 통합 노출 및 위험 상관 관계입니다. |
출력: Microsoft XDR 및 Microsoft Sentinel에 대한 노출 인사이트 및 위험 상관관계 |
| Defender XDR | Signals: 엔드포인트용 Defender(디바이스), ID Defender(ID 신호), Office 365용 Defender(전자 메일 및 공동 작업), Defender for Cloud Apps(SaaS/앱 작업)의 경고입니다. Microsoft Purview(DLP, 내부자 위험, 데이터 분류), Microsoft Entra ID Protection(ID 위험 신호) 및 클라우드용 Defender(워크로드/클라우드 상태)의 추가 신호입니다. |
Outputs: 상관 관계 경고, Microsoft Sentinel 인시던트. 동작: 자동화된 도메인 간 응답. |
| Microsoft Sentinel | 신호: Defender XDR, Microsoft Purview, 클라우드 서비스 및 기타 자사/타사 소스에서 수집된 경고, 로그, 원격 분석입니다. |
출력: 분석, 조사 및 인시던트. 조치: 플레이북을 사용한 자동화된 대응. |
| Microsoft Security Copilot |
신호: Microsoft Sentinel 및 Defender XDR의 인시던트와 경고입니다. Context: Microsoft Purview의 민감한 데이터 및 내부자 위험 컨텍스트. Microsoft Security Exposure Management의 노출 컨텍스트입니다. |
출력: 조사 요약, 권장 사항, AI 기반 인사이트. Actions: Microsoft Sentinel 및 Defender XDR 워크플로를 통해 라우팅되는 안내된 응답 작업입니다. |
다음 단계
- 현재 보안 상태에 대한 제로 트러스트 평가로 시작하려면
- 제로 트러스트 도입을 시작하려면 구조화된 도입 모델을 따르세요.
- 당사의 도입 비즈니스 시나리오를 통해 비즈니스 리더를 위한 중요한 보안 성과를 자세히 알아보세요. 먼저 비즈니스솔루션 및 데이터 및 디바이스와 같은 기술 핵심 요소에 대한 기술 솔루션을 구현합니다.