2024. 12. 16. 17:45ㆍ도약 보안 강의
개요
Entra ID
- 퍼블릭 클라우드라 하더라도 회사만 로그인 시나리오
- 클라우드 로그인 기능은 Entra ID로 가능
- Defender 서비스(보안관제서비스)
- 다양한 서비스 보안 경고 알림
- Suspected successful brute force attack - 무차별 대입 공격
- 위치, 아이피, 공격 유형 로그를 분석해서 알려주는 서비스
- GitHub, AWS, GCP, AzuerDevOps, GItLap, DockerHub, JFrog도 보안 관제 제공
- Just-in-time 포트기반 엑세스 보안 , 3시간 등 시간으로 할경우 Defender 서비스가 필요
- azuer는 aws 가이드라인도 제공 물룐 유료임.
Sentinel 서비스
- 인시던트, 자동화(같은 로그에 대한 처리작업), 분석
- 보안 이벤트 수집해서 분석하는 서비스
- 장비에 컨넽그해서 계속 로그 수집해서 반복되는 로그를 분석해서 처리 자동화
- az500과정
사이버 보안 설계
- 제로 트러스트 보안 전략 설계
- 인프라 보호 전략 설계
- 데이터 및 애플리케이션 보안 전략 설계
- 거버넌스, 리스크 및 규정 준수 기술 전략 및 보안 작업 전략 평가
Azure의 고르 유형
SIEM Security Imformation Event Managemet - MS Sentinel 또는 타사 솔루션
- 클라우드 네이티브 이미 만들어져 있음
- SIEM소프트웨어 대표적 splunk 소프트웨어가 있음 - 서버, 온프레미스 등 설치 가능, 가상 머신 가능
- 콘솔, 네트워크, 스토리지, VM, 온프레스 환경(기존 SIEM 피드와 연결할 수 있음)
- 결국 PaaS, IaaS, 타클라우드, 온프레미스, AI보안등 다양한 부분을 연결하여 로그 수집
- IoT/OT, Office 365, Entra ID, Defender for cloud Apps(숨겨져 있는 자산에대한조사), 엔드포인트용 defender (접근 탐지 기능)
보안 기간 MITRE ATT&CK Framework 활용
- 정찰
- 침입
- 착취
- 권한 에스컬레이션
- 수평 이동
- 난독 처리 안티-포렌식
- 서비스 거부
- 반출
SOA( Security Orchestration, Automation and Response)
보안 오케스트레이션은 작업을 중앙 집중화하고 전파할 수 있도록 서로 다른 보안 도구를 상호 연결하는 수단입니다.
이를 통해 보안 팀은 프로세스를 간소화하고 사고 대응 프로세스를 가속화할 수 있습니다.
출처 : https://www.elastic.co/kr/what-is/soar
보안 시나리오
- 어떤 서비스를 Sentinel에 연결해서 어떤 로그를 가져가야 하는지가 중요
Entra ID
- security 서비스가 따로있어 Entra ID자체를 보안을 더 강화
- 아웃룻 닷컴, 핫메일, 계정은 ms계정이고, Entra ID는 전체적인 관리자
- 계정을 EntraID로만들어주면 사용자는
- 외부 사용자 초대 - 권한 부여 - 작업 완료후 권한 해제 - MicrosoftAccount 개인과정
- 계정에대한 관리
- 구독에 대한 권한은 따로 서비스가 존재
- 온프레미스(윈도우 서버 AD server) 아이디를 entra id로 클라우드까지 사용할 수 있게 함
역할 - 일부
- 전역 관리자 - 모든 관리 기능에 대한 액세스
- 보안 관리자 - 보안 관련 기능을 관리할 수 있는 권한
- 대금 청구 관리자
- 전역 독자
Entra ID Domain Srvices
클라우드에서 온프라메스로 동기화 할 경우 사용
https://learn.microsoft.com/ko-kr/entra/identity/domain-services/overview
Microsoft Entra Domain Services 개요 - Microsoft Entra ID
이 개요에서는 Microsoft Entra Domain Services가 제공하는 내용과 조직에서 이를 사용하여 클라우드의 애플리케이션 및 서비스에 ID 서비스를 제공하는 방법을 알아봅니다.
learn.microsoft.com
- 계정으로 디바이스관리
- 위에 3개는 디스크 보관이 아닌 TPM 칩에 저장하게 됨.
TPM(Trusted Platform Module)은 신뢰할 수 있는 플랫폼 모듈을 뜻하며, 컴퓨터의 메인보드나 프로세서에 내장된 보안 장치입니다. 암호화 키와 중요한 데이터를 안전하게 저장하고 플랫폼 인증을 지원하는 역할
보안 그룹 VS 365 그룹 차이점
사용자, 애플리케이션도 Entra ID로 관리 가능
테넌트
테넌트란 ?
- 회사(도메인) 전체 묶음 단위
- Active Directory와 비교하기보단 새롭게 이해하는게 더 좋음
- 하나의 회사단위(조직)으로 이해하면 편함
실습 시작
https://github.com/MicrosoftLearning/AZ-104-MicrosoftAzureAdministrator
GitHub - MicrosoftLearning/AZ-104-MicrosoftAzureAdministrator: AZ-104 Microsoft Azure Administrator
AZ-104 Microsoft Azure Administrator. Contribute to MicrosoftLearning/AZ-104-MicrosoftAzureAdministrator development by creating an account on GitHub.
github.com
https://github.com/MicrosoftLearning/AZ-104-MicrosoftAzureAdministrator.ko-kr
GitHub - MicrosoftLearning/AZ-104-MicrosoftAzureAdministrator.ko-kr
Contribute to MicrosoftLearning/AZ-104-MicrosoftAzureAdministrator.ko-kr development by creating an account on GitHub.
github.com
LAB1
귀하의 조직은 앱 및 서비스의 사전 프로덕션 테스트를 위한 새로운 실험실 환경을 구축하고 있습니다. 이 환경을 관리할 몇 명의 엔지니어가 고용되며, 여기에는 가상 머신 관리도 포함됩니다. 엔지니어들이 Microsoft Entra ID를 사용하여 인증할 수 있도록, 사용자 및 그룹을 프로비저닝하는 작업이 주어졌습니다. 관리 오버헤드를 최소화하기 위해 그룹의 멤버십은 직함에 따라 자동으로 업데이트되어야 합니다.
Microsoft Entra ID is Azure's cloud-based identity and access management solution
LAB2
Entra ID Connect
- 온-프레미스 디렉터리와 Entra ID 통합
- Office 365
인증 옵션
- PHS(암호 해시 동기화)는 사용자 계정에대해 암호화된 버전의 암호 해시를 동기화할 수 있다.
- PAT(통과 인증)는 온-프레미스 도메인 컨트롤러를 통해 사용자 이름과 암호를 인증
- AD FS는 클레임 기반 인증을 사용하는 Microsoft ID 페더레이션 솔루션
https://www.microsoft.com/ko-kr/security/business/microsoft-entra-pricing
공동책임모델
Azure Policy
- 허용된 리소스 종류
- 허용된 가상 머신 SKU
- 허용된 위치
- 태그 및 할당 값 필요
- 모든 가상 머신에 대해