맞춤형 클라우드 보안 상태 정책을 생성하는 방법

2022년 4월 7일

CrowdStrike의 클라우드 보안 상태 관리 솔루션인 Falcon Horizon은 구성 및 행동 정책을 사용하여 퍼블릭 클라우드 배포를 모니터링하고 문제를 사전에 식별하며 잠재적인 보안 문제를 해결합니다. 그러나 고객은 사전 정의된 정책으로 제한되지 않습니다. 이 문서에서는 Falcon Horizon에서 맞춤형 클라우드 보안 상태 관리 정책을 생성하기 위한 다양한 옵션을 검토합니다.



기본 Falcon Horizon 대시보드는 등록된 모든 클라우드 계정 및 공급자에 대한 최근 조사 결과의 개요를 보여줍니다.

이러한 결과는 정책 구성을 기반으로 합니다. "정책" 탭에는 공급자와 서비스별로 분류된 포괄적인 옵션이 표시되어 클라우드의 잘못된 구성과 악의적인 동작을 모니터링합니다. Amazon S3 서비스에 대한 이 예에는 두 범주 모두에 대한 다양한 정책 옵션이 있습니다. Falcon Horizon은 조직의 요구 사항에 가장 잘 부합하도록 조정된 사용자 지정 정책을 생성하는 기능도 제공합니다.

"클라우드 보안 상태" 아래의 "정책" 탭에는 "새 사용자 지정 정책"을 생성하는 옵션이 있습니다.

마법사가 새 정책 생성을 안내합니다. 첫 번째 단계는 해당 클라우드 제공업체를 선택하는 것입니다.

다음으로 새 정책 이름, 설명 및 심각도가 할당됩니다. 아래 예제에서 이 사용자 지정 Azure ID 정책은 심각도가 중간입니다.

처음부터 새 정책을 생성하려면 다음 단계는 클라우드 서비스에 해당하는 자산 유형을 선택하는 것입니다. 아래 예는 AD 사용자의 자산 유형을 보여줍니다. (기본 정책을 선택하는 옵션은 "기존 정책 수정"에서 다룹니다.)

자산 유형을 선택하면 필터와 조건을 추가할 수 있습니다. 특정 계정, 그룹 또는 테넌트를 포함한 다양한 추가 기준을 기반으로 규칙을 추가하면 새 정책이 더욱 구체적으로 만들어집니다. 아래에는 MFA에 등록되지 않았지만 자격 증명 자체가 활성화된 자격 증명이 활성화된 계정을 찾는 정책이 나와 있습니다.

대부분의 경우 기존 규칙으로 시작하여 변경하거나 추가하는 것이 유용할 수 있습니다. 사용자 인터페이스에서 이에 접근하는 방법에는 두 가지가 있습니다. 정책 목록에서 일부 정책에는 "복제" 링크가 포함되어 있습니다. 정책을 복제하면 모든 정책 및 규정 준수 세부 정보가 전달되는 동시에 규칙 기준을 변경할 수 있습니다.

또는 "새 사용자 지정 정책" 옵션을 선택하면 해당 클라우드 공급자에 대한 옵션이 표시됩니다.

다음으로, 적절한 클라우드 서비스를 선택하기 전에 사용자 정의 정책 이름과 심각도를 입력하라는 메시지가 표시됩니다. 다음 화면에는 두 가지 기본 옵션이 포함되어 있습니다. 위에 표시된 것처럼 자산 유형을 선택하는 것이 빈 정책을 생성하는 첫 번째 단계입니다. 반면, 기존 기준 정책으로 시작하도록 선택하면 해당 정책과 관련 쿼리 로직이 복제됩니다(AWS EC2의 경우 아래 표시).

복제된 정책이나 기준 정책을 선택한 후에는 변경할 수 있는 다양한 옵션이 있습니다. 기존 필드와 작업을 편집할 수 있습니다. 휴지통 아이콘은 기준을 삭제하는 옵션을 제공하지만 원하는 수의 필드를 사용하여 새 기준을 추가할 수도 있습니다. 아래 예에서는 위험도가 높은 것으로 간주되는 포트를 추가하거나 삭제할 수 있습니다. "test"와 같지 않은 태그가 있는 시스템에 대한 고위험 포트의 공개 수신이 허용될 때마다 이 규칙이 트리거되도록 태그 이름에 대한 규칙이 추가되었습니다.

위에 강조 표시된 "사용자 지정 규칙 테스트" 옵션은 해당 규칙이 환경에서 어떻게 수행되는지에 대한 미리 보기를 제공합니다.

사용자 정의 정책 필터를 저장한 후 해당 정책을 규정 준수 제어에 매핑하는 옵션이 있습니다. 복제된 정책에는 이미 규정 준수 연결이 포함되어 있지만 필요에 따라 수정할 수도 있습니다.

정책 기준을 사용하거나 처음부터 시작하는 경우 다음 단계에서는 규정 준수를 위한 메뉴 옵션이 표시됩니다. CrowdStrike 통합 규정 준수 프레임워크를 선택할 수 있지만 "새 규정 준수 추가" 옵션도 있습니다.