Elastic Security: 클라우드 보안 태세 관리로 클라우드 자산 보호
개요
Elastic Security 소개
Elastic Security가 SIEM, 엔드포인트 및 클라우드 보안을 통합하여 조직을 보호하는 데 어떻게 도움이 되는지 알아보세요.
Elastic Security를 직접 사용해 보세요
이 대화형 데모를 통해 Elastic Security를 직접 경험해 보세요.
데이터 온보딩
Elastic Cloud 계정 생성하기
Elastic의 Endpoint Security를 시작하기 전에 먼저 Elastic의 SIEM 솔루션을 설정했는지 확인하세요. 아직 설정하지 않으셨다면 SIEM 시작 안내서를 살펴보세요.
이미 SIEM을 설정한 경우, 아래 지침에 따라 계속 진행하세요.
배포가 준비되면, Security 탭에서 Secure my cloud assets with cloud security posture(CSPM)(클라우드 보안 태세(CSPM)로 내 클라우드 자산 보호)를 선택합니다.
클라우드 보안 태세 관리(CSPM)를 선택하면, 통합을 추가하라는 메시지가 표시됩니다. 여기에서 클라우드 환경의 저장 공간, 컴퓨팅, IAM 등과 같은 서비스를 검색하고 평가하여 클라우드에 있는 데이터의 기밀성, 무결성 및 가용성을 훼손할 수 있는 구성 위험을 파악하고 해결할 수 있습니다.
다음으로, 통합을 구성합니다. 먼저, 모니터링할 클라우드 서비스 제공자를 선택합니다.
- Amazon Web Services(AWS)
- Google Cloud(GCP)
Elastic Security for Cloud CSPM 기능은 조직 수준에서 평가를 수행하여 전체 적용 범위를 보장하거나 조직 내의 개별 계정 수준에서 평가를 수행하도록 구성할 수 있습니다. CSPM 설정을 완료하려면, 조직 또는 계정 수준 액세스 범위에 해당하는 적절한 권한이 필요합니다. 초기 개념 증명과 시작 목적으로, Single Account(단일 계정)를 선택하겠습니다.
이름과 설명을 지정할 수도 있지만, 이는 선택 사항입니다.
설정 액세스의 경우, 모니터링하려는 클라우드 서비스 제공자에 따라 Elastic은 다음 두 가지 옵션을 제공합니다.
- AWS Cloud Formation / Google Cloud Shell: 이러한 옵션은 클라우드 환경 내부의 인프라를 자동으로 프로비저닝하는 기본 코드형 인프라(infrastructure as code, IaC) 도구를 사용합니다. 이 옵션을 사용하면, 몇 번의 클릭만으로 클라우드 환경의 보안 태세 평가를 시작할 수 있습니다.
- 수동: 수동 옵션을 사용하려면, 사용자 환경에서 CSPM에 사용되는 인프라를 수동으로 프로비저닝해야 합니다.
이 안내서에서는, 인프라를 자동으로 프로비저닝하므로 AWS Cloud Formation 또는 Google Cloud Shell을 선택하세요.
클라우드 서비스 제공자에 로그인하는 것을 포함하여, 설정 액세스에 설명된 일련의 단계를 따릅니다.
그런 다음, Save and continue(저장하고 계속하기)를 클릭하면 팝업 모달이 나타나는 것을 볼 수 있습니다. 팝업에서, 선호하는 기본 IaC 도구를 시작하여 클라우드 내에서 필요한 인프라를 자동으로 프로비저닝할 수 있음을 확인할 수 있습니다.
이제, 새 창이 열리고, 선호하는 클라우드 서비스 제공자의 콘솔로 이동됩니다. Save and continue(저장하고 계속하기)를 클릭한 후, AWS 또는 GCP에서 선호하는 IaC 도구를 시작하는 방법이 어떤 것인지 따라하고 경험하려면 이 가이드 투어를 따르세요.
인프라를 프로비저닝하는 데 몇 분 정도 걸립니다. 필요한 인프라와 권한이 프로비저닝되면서, 클라우드 보안 태세 관리(CSPM) 통합을 추가하고 있던 Elastic Cloud 콘솔로 다시 이동하면, Add agent(에이전트 추가) 플라이아웃이 표시됩니다.
필요한 모든 인프라가 클라우드에 프로비저닝되면, elastic-agent가 등록되고, 태세 데이터가 들어오는 것을 볼 수 있습니다. 여기에서, View Assets(자산 보기)를 선택할 수 있습니다.
Elastic Security 사용
이제, 데이터를 탐색할 차례입니다. View Assets(자산 보기)를 클릭하면, 다음 페이지로 이동됩니다. 대시보드, 조사 결과 및 규칙 자산을 함께 살펴보겠습니다.
Cloud Native Vulnerability Management(클라우드 기반 취약점 관리)를 활성화하려면 추가 구성을 수행해야 한다는 점을 명심하세요. 시작하는 데 꼭 필요한 것은 아니지만, 자세한 내용은 Elastic의 설명서를 확인하세요.
클라우드 태세 대시보드
클라우드 태세 대시보드는 클라우드 환경의 전반적인 보안 태세를 요약합니다.
- 등록한 계정 수
- 평가된 리소스 수
- 실패한 조사 결과
태세 점수는 전체 클라우드 환경이 얼마나 안전하게 구성되어 있는지 알려줍니다.
조사 결과 및 경보
조사 결과 페이지에는 CSPM 통합으로 평가된 각 개별 리소스와 리소스가 보안 구성 검사를 통과했는지 또는 실패했는지 여부가 표시됩니다. 그룹화 및 필터링 방법과 같은 조사 결과 항목에 대한 자세한 내용은 Elastic의 설명서를 확인하세요.
일부 규칙은 다른 규칙보다 더 면밀히 모니터링해야 할 수도 있습니다. 해당 특정 규칙에 대한 조사 결과를 선택하고 오른쪽 하단에서 Take action(조치 취하기)을 클릭할 수 있습니다. 그런 다음 Take action(탐지 규칙 만들기)을 클릭합니다.
그런 다음 View rule(규칙 보기)을 클릭합니다.
이제, 정의와 함께 탐지 규칙이 표시됩니다. 이제, 이 규칙에 대한 조사 결과가 실패할 때마다 경보를 받게 됩니다. 다른 작업을 설정하려면, 규칙 페이지 오른쪽 상단에 있는 Edit rule settings(규칙 설정 편집)를 클릭합니다.
다음으로 Actions(작업)를 선택합니다.
여기에서, 작업을 설정할 수 있습니다. 예를 들어, 규칙이 실패하면, Slack 메시지, Jira 티켓 등을 설정하여 실패한 조사 결과를 검토하고 잘못된 구성을 수정하기 위한 사전 경보를 받을 수 있습니다. 탐지 규칙에 대해 자세히 알아보려면, Elastic의 설명서를 확인하세요.
다음 단계
Elastic Security for Cloud(CSPM)으로 Elastic Security 여정을 시작하신 것을 축하합니다. CSPM에 대한 자세한 내용은, 제품 설명서를 검토하세요. 시작할 때, 배포를 위한 주요 운영, 보안 및 데이터 고려 사항을 검토하여 Elastic을 최대한 활용하세요.
시작할 준비가 되셨나요? Elastic Cloud 14일 무료 체험판을 이용해 보세요.