4일 전

How To : 마이크로소프트 클라우드 앱 시큐리티 설정 방법

Susan Bradley | CSO
마이크로소프트 오피스 365를 사용하고 있다면, 누군가 해킹 등의 문제를 일으킬 위험이 있다. 오피스 365와 다른 클라우드 서비스에서 의심스러운 로그인을 조사, 확인하는 방법 가운데 하나는 마이크로소프트 클라우드 앱 시큐리티(Cloud App Security) 애드-온을 사용하는 것이다. 클라우드 앱 시큐리티를 활성화해 사용하려면 E5 라이선스를 보유하고 있거나, 클라우드 앱 시큐리티 애드-온을 구입해야 한다.  
 
ⓒ Susan Bradley/IDG
경고와 모니터링 기능을 켜려면 오피스 365 보안 및 컴플라이언스 포털이나 마이크로소프트 클라우드 앱 시큐리티 웹사이트에 로그인한다.

‘경고’를 탐색해 ‘고급 경고 관리’를 클릭한 후 사용 가능한 옵션, 클라우드 앱 시큐리티의 모니터링 대상을 확인한다.

또 오피스 365 로그인 보안을 모니터링하는 모듈(오피스 365 클라우드 앱 시큐리티로 지칭)이나 다른 클라우드 애플리케이션을 모니터링하는 마이크로소프트 클라우드 앱 시큐리티 모듈을 추가할 수 있다. 둘 모두 기존 오피스 365 구독에 추가할 수 있다.


마이크로소프트 클라우드 앱 시큐리티의 기능

클라우드 앱 시큐리티는 다음과 같은 기능을 제공한다.

- 섀도우 IT를 탐색하고, 이의 사용을 제어, 통제한다 
또 조직이 승인하지 않은 클라우드 애플리케이션과 다른 클라우드 서비스를 파악할 수 있도록 도움을 준다. 80여 식별된 위험을 대상으로 사용 패턴을 확인, 조사할 수 있다.

- 클라우드에 보관된 민감한 정보를 보호한다 
다른 클라우드 서비스의 로깅을 가져와, 데이터가 사용되는 방식, 다른 애플리케이션과 공유되는 방식에 대한 이해를 높일 수 있다. 몇몇 기본 정책과 프로세스를 통해 다양한 클라우드 애플리케이션의 실시간 액세스를 확인할 수 있다.

- 사이버위협과 비정상적(변칙) 활동으로부터 보호한다 
여러 클라우드 애플리케이션에서 발생하는 비정상적 활동을 파악하고, 랜섬웨어와 사용자 침해 여부, 악성 애플리케이션을 모니터링할 수 있고, 고위험 사용 양태를 분석하고, 자동으로 조직에 초래되는 위험을 경감할 수 있다.

- 클라우드 앱의 컴플라이언스 여부를 확인한다 
클라우드 앱 시큐리티를 사용, 다른 클라우드 애플리케이션의 컴플라이언스에 대해 확인할 수 있다. 규정을 준수하지 않는 앱에 데이터가 노출되는 것을 막고, 규제 대상 데이터에 대한 액세스를 제한할 수 있다.
 
ⓒ Susan Bradley/IDG

클라우드 앱 시큐리티와 오피스 365 및 애저(Azure) 모니터링을 켠 후, 기본 경고 설정을 사용하거나, 사용자 지정 경고를 설정해 사용할 수 있다. 기본 경고에는 다음과 같은 내용이 포함된다.

- 유출된 크리덴셜
- 비정상적인 사용자의 파일 다운로드
- 여러 차례의 로그인 실패
- 악성코드 탐지
- 일반적이지 않은 국가의 활동
- 일반적이지 않은 관리자급 활동(사용자에 의한)
- 불가능한 이동
- 일반적이지 않은 파일 삭제 활동(사용자에 의한)
- 익명 IP 주소 활동
- 일반적이지 않은 가장된 사용자 활동
- 랜섬웨어 활동
- 일반적이지 않은 파일 공유 활동(사용자에 의한)
- 의심스러운 IP 주소의 활동
- 종료된(계약 해지된) 사용자의 활동
- 의심스러운 받은 편지함 포워딩
- 인가되지 않은 앱으로의 데이터 유출
- 여러 차례의 VM 삭제 활동
- 의심스러운 받은 편지함 조정 규칙
- 위험한 로그인
- 클라우드 디스커버리(Cloud Discovery) 변칙 감지

예를 들어, '불가능한 이동’은 사용자의 설정을 확인한 후, 2개 장소를 이동하는 시간보다 짧은 시간에 다른 장소에서 사용자의 활동을 탐지할 경우, 경고를 트리거 한다. 이런 변칙 행동을 탐지하기 위해, 초기 7일 간의 학습 기간이 필요하다. 앱이 새로운 사용자의 활동 패턴을 파악하는 데 필요한 시간이다.


클라우드 앱 시큐리티에서 사용자 지정 정책을 생성하는 방법

액세스, 활동, 파일, 오쓰(OAuth) 애플리케이션, 세션, 변칙에 대한 기존 정책을 토대로 사용자 지정 정책을 생성할 수 있다. 먼저 ‘사용자 지정 경고’를 클릭한 후 설정하려는 사용자 지정 경고의 종류를 선택한다. 기존 템플릿에서 경고를 생성하거나, 완전히 새로운 사용자 지정 경고를 만들 수 있다.

 특정 지역에서의 로그인을 차단하고 싶다면 ‘정책 생성’을 클릭한 후 ‘활동에 대한 정책’을 클릭한다. 정책 템플릿을 ‘템플릿 없음’으로 남겨둔 후 사용자 정책 지정을 설명한다. 여기 예제에서는 ‘GeoBlocking’을 사용할 것이다. 정책 심각도를 ‘높은’으로 설정한 후, 카테고리 세션에서 ‘위협 탐지’를 선택한다. 
 
ⓒ Susan Bradley/IDG
‘정책에 대한 필터 생성’에서 ‘단일 활동에 대한 조치’를 선택한다. ‘다음과 모두 일치하는 활동들’에서 ‘필터’와 ‘위치’를 차례대로 선택한다. 경고를 생성한 후, 이 경고를 문자 메시지나 이메일로 보낸다. 또는 플로우 플레이북으로 경고를 보낼 수도 있다.

그런 다음 원하는 클라우드 애플리케이션(많은 경우 오피스 365)을 클릭한 후, 사용자의 활동을 일시 중단시키거나 다시 로그인 할 것을 요구한다. 경고 설정에 사용할 수 있는 필터들은 클라우드 앱 시큐리티 플랫폼에 의해 노출되는 항목들로 제한된다.

주요 클라우드 애플리케이션을 연결, 이들 애플리케이션을 모니터링 할 수도 있다. 예를 들어, 아마존 웹 서비스, 박스, 시스코 웹엑스(Cisco Webex), 드롭박스, G 스위트(G Suite), 옥타(Okta), 세일즈포스(Salesforce)에 대한 액세스를 추가할 수 있다. 그러면 서비스는 각 클라우드 애플리케이션의 API를 사용, 클라우드 플랫폼의 보안과 활동을 모니터링한다.

클라우드 앱 시큐리티를 완벽하게 지원하는 클라우드 애플리케이션, 제한적으로 지원하는 애플리케이션, 추후 완벽하게 지원할 계획을 갖고 있는 애플리케이션이 있다. 클라우드 앱 시큐리티로 집어넣고 싶은 애플리케이션 별로 특별한 관리 계정을 설정해 사용하는 것이 좋다. 최소한 애저와 오피스 365가 365 계정에서 발생하는 악성 활동을 경고하도록 활성화시키는 것이 좋다.

마이크로소프트 클라우드 앱 시큐리티는 정기적으로 사용하고 있는 클라우드 애플리케이션의 다른 침해 활동에 대해서도 경고를 할 수 있다. 필자의 사례를 예로 들면, 사용하고 있는 서비스의 보안 침해에 대해 경고를 했다. 비밀번호를 변경하는 등의 조치가 필요한 그런 의심스러운 활동이었다.
 
ⓒ Susan Bradley/IDG

경고 세션에서 관리자가 인식하지 못한 상태에서 사용자가 액세스할 수 있는 애플리케이션들을 확인할 수도 있다. 마이크로소프트 클라우드 애플리케이션 시큐리티는 식별과 탐지 용도로 추가해 사용할 수 있는 아주 강력한 도구다. editor@itworld.co.kr 


4일 전

How To : 마이크로소프트 클라우드 앱 시큐리티 설정 방법

Susan Bradley | CSO
마이크로소프트 오피스 365를 사용하고 있다면, 누군가 해킹 등의 문제를 일으킬 위험이 있다. 오피스 365와 다른 클라우드 서비스에서 의심스러운 로그인을 조사, 확인하는 방법 가운데 하나는 마이크로소프트 클라우드 앱 시큐리티(Cloud App Security) 애드-온을 사용하는 것이다. 클라우드 앱 시큐리티를 활성화해 사용하려면 E5 라이선스를 보유하고 있거나, 클라우드 앱 시큐리티 애드-온을 구입해야 한다.  
 
ⓒ Susan Bradley/IDG
경고와 모니터링 기능을 켜려면 오피스 365 보안 및 컴플라이언스 포털이나 마이크로소프트 클라우드 앱 시큐리티 웹사이트에 로그인한다.

‘경고’를 탐색해 ‘고급 경고 관리’를 클릭한 후 사용 가능한 옵션, 클라우드 앱 시큐리티의 모니터링 대상을 확인한다.

또 오피스 365 로그인 보안을 모니터링하는 모듈(오피스 365 클라우드 앱 시큐리티로 지칭)이나 다른 클라우드 애플리케이션을 모니터링하는 마이크로소프트 클라우드 앱 시큐리티 모듈을 추가할 수 있다. 둘 모두 기존 오피스 365 구독에 추가할 수 있다.


마이크로소프트 클라우드 앱 시큐리티의 기능

클라우드 앱 시큐리티는 다음과 같은 기능을 제공한다.

- 섀도우 IT를 탐색하고, 이의 사용을 제어, 통제한다 
또 조직이 승인하지 않은 클라우드 애플리케이션과 다른 클라우드 서비스를 파악할 수 있도록 도움을 준다. 80여 식별된 위험을 대상으로 사용 패턴을 확인, 조사할 수 있다.

- 클라우드에 보관된 민감한 정보를 보호한다 
다른 클라우드 서비스의 로깅을 가져와, 데이터가 사용되는 방식, 다른 애플리케이션과 공유되는 방식에 대한 이해를 높일 수 있다. 몇몇 기본 정책과 프로세스를 통해 다양한 클라우드 애플리케이션의 실시간 액세스를 확인할 수 있다.

- 사이버위협과 비정상적(변칙) 활동으로부터 보호한다 
여러 클라우드 애플리케이션에서 발생하는 비정상적 활동을 파악하고, 랜섬웨어와 사용자 침해 여부, 악성 애플리케이션을 모니터링할 수 있고, 고위험 사용 양태를 분석하고, 자동으로 조직에 초래되는 위험을 경감할 수 있다.

- 클라우드 앱의 컴플라이언스 여부를 확인한다 
클라우드 앱 시큐리티를 사용, 다른 클라우드 애플리케이션의 컴플라이언스에 대해 확인할 수 있다. 규정을 준수하지 않는 앱에 데이터가 노출되는 것을 막고, 규제 대상 데이터에 대한 액세스를 제한할 수 있다.
 
ⓒ Susan Bradley/IDG

클라우드 앱 시큐리티와 오피스 365 및 애저(Azure) 모니터링을 켠 후, 기본 경고 설정을 사용하거나, 사용자 지정 경고를 설정해 사용할 수 있다. 기본 경고에는 다음과 같은 내용이 포함된다.

- 유출된 크리덴셜
- 비정상적인 사용자의 파일 다운로드
- 여러 차례의 로그인 실패
- 악성코드 탐지
- 일반적이지 않은 국가의 활동
- 일반적이지 않은 관리자급 활동(사용자에 의한)
- 불가능한 이동
- 일반적이지 않은 파일 삭제 활동(사용자에 의한)
- 익명 IP 주소 활동
- 일반적이지 않은 가장된 사용자 활동
- 랜섬웨어 활동
- 일반적이지 않은 파일 공유 활동(사용자에 의한)
- 의심스러운 IP 주소의 활동
- 종료된(계약 해지된) 사용자의 활동
- 의심스러운 받은 편지함 포워딩
- 인가되지 않은 앱으로의 데이터 유출
- 여러 차례의 VM 삭제 활동
- 의심스러운 받은 편지함 조정 규칙
- 위험한 로그인
- 클라우드 디스커버리(Cloud Discovery) 변칙 감지

예를 들어, '불가능한 이동’은 사용자의 설정을 확인한 후, 2개 장소를 이동하는 시간보다 짧은 시간에 다른 장소에서 사용자의 활동을 탐지할 경우, 경고를 트리거 한다. 이런 변칙 행동을 탐지하기 위해, 초기 7일 간의 학습 기간이 필요하다. 앱이 새로운 사용자의 활동 패턴을 파악하는 데 필요한 시간이다.


클라우드 앱 시큐리티에서 사용자 지정 정책을 생성하는 방법

액세스, 활동, 파일, 오쓰(OAuth) 애플리케이션, 세션, 변칙에 대한 기존 정책을 토대로 사용자 지정 정책을 생성할 수 있다. 먼저 ‘사용자 지정 경고’를 클릭한 후 설정하려는 사용자 지정 경고의 종류를 선택한다. 기존 템플릿에서 경고를 생성하거나, 완전히 새로운 사용자 지정 경고를 만들 수 있다.

 특정 지역에서의 로그인을 차단하고 싶다면 ‘정책 생성’을 클릭한 후 ‘활동에 대한 정책’을 클릭한다. 정책 템플릿을 ‘템플릿 없음’으로 남겨둔 후 사용자 정책 지정을 설명한다. 여기 예제에서는 ‘GeoBlocking’을 사용할 것이다. 정책 심각도를 ‘높은’으로 설정한 후, 카테고리 세션에서 ‘위협 탐지’를 선택한다. 
 
ⓒ Susan Bradley/IDG
‘정책에 대한 필터 생성’에서 ‘단일 활동에 대한 조치’를 선택한다. ‘다음과 모두 일치하는 활동들’에서 ‘필터’와 ‘위치’를 차례대로 선택한다. 경고를 생성한 후, 이 경고를 문자 메시지나 이메일로 보낸다. 또는 플로우 플레이북으로 경고를 보낼 수도 있다.

그런 다음 원하는 클라우드 애플리케이션(많은 경우 오피스 365)을 클릭한 후, 사용자의 활동을 일시 중단시키거나 다시 로그인 할 것을 요구한다. 경고 설정에 사용할 수 있는 필터들은 클라우드 앱 시큐리티 플랫폼에 의해 노출되는 항목들로 제한된다.

주요 클라우드 애플리케이션을 연결, 이들 애플리케이션을 모니터링 할 수도 있다. 예를 들어, 아마존 웹 서비스, 박스, 시스코 웹엑스(Cisco Webex), 드롭박스, G 스위트(G Suite), 옥타(Okta), 세일즈포스(Salesforce)에 대한 액세스를 추가할 수 있다. 그러면 서비스는 각 클라우드 애플리케이션의 API를 사용, 클라우드 플랫폼의 보안과 활동을 모니터링한다.

클라우드 앱 시큐리티를 완벽하게 지원하는 클라우드 애플리케이션, 제한적으로 지원하는 애플리케이션, 추후 완벽하게 지원할 계획을 갖고 있는 애플리케이션이 있다. 클라우드 앱 시큐리티로 집어넣고 싶은 애플리케이션 별로 특별한 관리 계정을 설정해 사용하는 것이 좋다. 최소한 애저와 오피스 365가 365 계정에서 발생하는 악성 활동을 경고하도록 활성화시키는 것이 좋다.

마이크로소프트 클라우드 앱 시큐리티는 정기적으로 사용하고 있는 클라우드 애플리케이션의 다른 침해 활동에 대해서도 경고를 할 수 있다. 필자의 사례를 예로 들면, 사용하고 있는 서비스의 보안 침해에 대해 경고를 했다. 비밀번호를 변경하는 등의 조치가 필요한 그런 의심스러운 활동이었다.
 
ⓒ Susan Bradley/IDG

경고 세션에서 관리자가 인식하지 못한 상태에서 사용자가 액세스할 수 있는 애플리케이션들을 확인할 수도 있다. 마이크로소프트 클라우드 애플리케이션 시큐리티는 식별과 탐지 용도로 추가해 사용할 수 있는 아주 강력한 도구다. editor@itworld.co.kr 


X