ID 인프라 보안 설정을 위한 5단계

  • 아티클

이 문서를 읽는다면 보안의 중요성을 인식하고 있다는 뜻입니다. 이미 조직의 보안을 책임지고 있을 가능성도 있습니다. 보안의 중요성을 다른 사람에게 알려야 하는 경우 최신 Microsoft 디지털 방어 보고서를 보내 읽도록 하세요.

이 문서는 사이버 공격에 대한 조직의 보호를 개선하기 위한 5단계 검사 목록을 사용하여 Microsoft Entra ID의 기능으로 보다 안전한 상태를 유지하는 데 도움이 됩니다.

이 검사 목록은 다음 사항의 수행 방법 설명을 통해 중요한 권장 작업을 빠르게 배포하여 조직을 즉시 보호하는 데 도움이 됩니다.

  • 자격 증명 강화
  • 공격 표면 영역 줄이기
  • 위협 응답 자동화
  • 클라우드 인텔리전스 활용
  • 최종 사용자 셀프 서비스 사용

참고 항목

이 문서의 다양한 권장 사항은 ID 공급자로 Microsoft Entra ID를 사용하도록 구성되어 있는 애플리케이션에만 적용됩니다. Single Sign-On에 대해 앱을 구성하면 해당 앱에 자격 증명 정책, 위협 요소 탐지, 감사, 로깅 및 기타 기능의 이점이 추가됩니다. Microsoft Entra 애플리케이션 관리는 이러한 모든 권장 사항의 기반이 되는 기초 사항입니다.

이 문서의 권장 사항은 Microsoft Entra 테넌트의 ID 보안 구성 평가를 자동화한 ID 보안 점수와 일치합니다. 조직은 Microsoft Entra 관리 센터의 ID 보안 점수 페이지를 통해 현재 보안 구성의 빈틈을 찾아 보안과 관련된 최신 Microsoft 모범 사례를 따를 수 있습니다. [보안 점수] 페이지의 각 권장 사항을 구현하면 점수가 올라가고 진행 상황을 추적할 수 있으며, 비슷한 규모의 조직과 구현을 비교할 수 있습니다.

Azure portal window showing Identity Secure Score and some recommendations.

참고 항목

여기에서 권장하는 일부 기능은 모든 고객이 사용할 수 있지만 어떤 기능에는 Microsoft Entra ID P1 또는 P2 구독이 필요합니다. 자세한 내용은 Microsoft Entra 가격 책정Microsoft Entra 배포 체크리스트를 검토하세요.

시작하기 전에: MFA를 통해 권한 있는 계정을 보호

이 검사 목록을 시작하기 전에 이 검사 목록을 읽는 도중에 손상되지 않도록 해야 합니다. Microsoft Entra에서는 매일 5천만 건의 암호 공격을 관찰하지만 사용자의 20%와 전역 관리자의 30%만이 MFA(다단계 인증)와 같은 강력한 인증을 사용하고 있습니다. 이 통계는 2021년 8월 데이터를 기반으로 합니다. Microsoft Entra ID에서는 관리자와 같은 권한이 있는 역할을 가진 사용자가 나머지 환경을 빌드하고 관리하는 데 신뢰의 핵심입니다. 손상의 영향을 최소화하기 위해 다음 사례를 구현합니다.

권한 있는 계정을 제어하는 공격자는 막대한 피해를 입힐 수 있으므로 계속하기 전에 이러한 계정을 보호하는 것이 중요합니다. Microsoft Entra 보안 기본값 또는 조건부 액세스를 사용하여 조직의 모든 관리자가 Microsoft Entra MFA(다단계 인증)를 사용하도록 설정하고 제공합니다. 이는 매우 중요합니다.

모두 준비되었나요? 이제 검사 목록을 시작하겠습니다.

1단계: 자격 증명 강화

동의 피싱 및 비인간 ID에 대한 공격을 포함하여 다른 형식의 공격이 등장하고 있지만 여전히 가장 널리 퍼진 ID 손상 벡터는 사용자 ID에 대한 암호 기반 공격입니다. 공격자들에 의한 잘 정립된 스피어 피싱 및 암호 스프레이 캠페인은 아직 MFA(다단계 인증) 또는 이러한 일반적인 전술에 대한 기타 보호를 구현하지 않은 조직에 대해 계속해서 성공적인 결과를 내고 있습니다.

조직은 모든 곳에서 ID의 유효성이 검사되고 MFA를 사용하여 보호되는지 확인해야 합니다. 2020년에 FBI IC3 보고서는 피싱을 피해자 불만의 주요 범죄 형식으로 확인했습니다. 신고 건수는 전년도에 비해 2배 늘었습니다. 피싱은 기업과 개인 모두에게 심각한 위협이 되며 작년의 가장 피해 규모가 컸던 공격에는 자격 증명 피싱이 사용되었습니다. Microsoft Entra MFA(다단계 인증)은 두 번째 인증 형식을 사용하여 또 다른 보안 계층을 제공하여 데이터 및 애플리케이션에 대한 액세스를 보호하는 데 도움이 됩니다. 조직은 조건부 액세스로 다단계 인증을 사용하도록 설정하여 솔루션을 특정 요구 사항에 맞게 만들 수 있습니다. 이 배포 가이드에서 Microsoft Entra 다단계 인증을 계획, 구현 및 출시하는 방법을 알아봅니다.

조직에서 강력한 인증을 사용하도록 해야 함

기본 수준의 ID 보안을 쉽게 사용하도록 설정하려면 Microsoft Entra 보안 기본값을 사용하여 한 번 클릭 사용을 사용할 수 있습니다. 보안 기본값은 테넌트의 모든 사용자에 대해 Microsoft Entra 다단계 인증을 적용하고 레거시 프로토콜 테넌트 전체의 로그인을 차단합니다.

조직에 Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 조건부 액세스 인사이트 및 보고 통합 문서를 사용하여 구성 및 적용 범위의 격차를 찾는 데 도움이 될 수도 있습니다. 이러한 권장 사항에서 새로운 조건부 액세스 템플릿 환경을 사용하여 정책을 만들어 이 격차를 쉽게 좁힐 수 있습니다. 조건부 액세스 템플릿은 Microsoft에서 권장하는 모범 사례에 부합하는 새 정책을 쉽게 배포할 수 있는 방법을 제공하여 ID와 디바이스를 보호하기 위한 공통 정책을 쉽게 배포할 수 있도록 합니다.

자주 공격받는 암호 사용을 금지하고 기존의 복잡성 및 만료 규칙을 해제합니다.

많은 조직에서는 기존의 복잡성 및 암호 만료 규칙을 사용합니다. Microsoft의 연구NIST 지침에 따르면 사용자는 이러한 정책으로 인해 추측하기 쉬운 암호를 선택하게 됩니다. 사용자가 쉽게 추측할 수 있는 암호를 설정하지 못하도록 현재 공격자의 동작을 사용하는 동적 금지 암호 기능인 Microsoft Entra 암호 보호를 사용하는 것이 좋습니다. 이 기능은 클라우드에서 사용자를 만들 때 항상 사용되며, 이제는 하이브리드 조직에서 Windows Server Active Directory용 Microsoft Entra 암호 보호를 배포할 때에도 사용할 수 있습니다. 또한 만료 정책을 제거하는 것이 좋습니다. 사이버 범죄자는 거의 항상 자격 증명을 손상시키자마자 바로 사용하기 때문에 암호를 변경하는 것은 억제 이점을 제공하지 않습니다. 조직의 암호 만료 정책 설정은 다음 문서를 참조하세요.

유출된 자격 증명을 보호 및 작동 중단에 대비해 복원력을 추가

Microsoft Entra ID에서 온-프레미스 디렉터리 개체에 대해 클라우드 인증을 사용하도록 설정하는 가장 간단하고 권장되는 방법은 PHS(암호 해시 동기화)를 사용하도록 설정하는 것입니다. 조직에서 통과 인증 또는 페더레이션을 사용하는 하이브리드 ID 솔루션을 이용하는 경우 다음과 같은 두 가지 이유로 암호 해시 동기화를 사용하도록 설정해야 합니다.

  • Microsoft Entra ID의 자격 증명이 유출된 사용자 보고서는 공용적으로 노출된 사용자 이름과 암호 쌍에 대해 경고합니다. 엄청난 양의 암호가 피싱, 맬웨어 및 나중에 위반되는 타사 사이트에서 암호 재사용을 통해 유출됩니다. Microsoft는 이러한 유출된 자격 증명 중 많은 부분을 찾아 조직의 자격 증명과 일치하는 경우 이 보고서를 통해 알립니다. 단, 암호 해시 동기화를 사용하도록 설정하거나 클라우드 전용 ID가 있는 경우에만 적용됩니다!
  • 온-프레미스 장애(예: 랜섬웨어 공격)가 발생하는 경우 암호 해시 동기화를 사용하여 클라우드 인증으로 전환할 수 있습니다. 이 백업 인증 방법을 사용하면 Microsoft 365를 비롯하여 Microsoft Entra ID를 통한 인증을 위해 구성된 앱에 계속 액세스할 수 있습니다. 이 경우 IT 담당자는 온-프레미스 중단이 해결될 때까지 섀도 IT 또는 개인 이메일 계정에 의존하여 데이터를 공유할 필요가 없습니다.

암호는 일반 텍스트로 저장되거나 Microsoft Entra ID에서 복원 가능한 알고리즘을 사용하여 암호화되지 않습니다. 암호 해시 동기화의 실제 프로세스에 대한 자세한 내용은 암호 해시 동기화 작동 방식에 대한 자세한 설명을 참조하세요.

AD FS 엑스트라넷 스마트 잠금 구현

스마트 잠금을 사용하면 사용자의 암호를 추측하거나 무차별 암호 대입 공격 방법을 사용하여 로그인하려는 잘못된 행위자를 잠글 수 있습니다. 스마트 잠금을 사용하면 유효한 사용자의 로그인을 인식하고 공격자 및 기타 알 수 없는 원본 중 하나와 다르게 취급할 수 있습니다. 공격자는 잠기지만 사용자는 계속해서 계정에 액세스하여 생산성을 유지할 수 있습니다. Microsoft Entra ID에 직접 인증하도록 애플리케이션을 구성하는 조직은 Microsoft Entra 스마트 잠금의 이점을 활용할 수 있습니다. AD FS 2016 및 AD FS 2019를 사용하는 페더레이션된 배포는 AD FS 엑스트라넷 잠금 및 엑스트라넷 스마트 잠금을 사용하여 유사한 이점을 제공할 수 있습니다.

2단계: 공격 노출 영역 줄이기

암호 손상의 확장성을 고려할 때 조직에서 공격 노출 영역을 최소화하는 것은 중요합니다. 이전의 덜 안전한 프로토콜의 사용을 사용하지 않도록 설정하고 액세스 진입점을 제한하고 클라우드 인증으로 이동하고 리소스에 대한 관리 액세스를 보다 강력하게 제어하고 제로 트러스트 보안 원칙을 수용합니다.

클라우드 인증 사용

자격 증명은 주요 공격 벡터입니다. 이 블로그의 사례를 통해 클라우드 인증을 사용하고 MFA를 배포하고 암호 없는 인증 방법을 사용하여 공격 표면을 줄일 수 있습니다. 비즈니스용 Windows Hello, Microsoft Authenticator 앱을 사용한 휴대폰 로그인 또는 FIDO와 같은 암호 없는 방법을 배포할 수 있습니다.

레거시 인증 차단

자체 레거시 메서드를 사용하여 Microsoft Entra ID로 인증하고 회사 데이터에 액세스하는 앱은 조직에 또 다른 위험을 초래합니다. 레거시 인증을 사용한 앱으로는 POP3, IMAP4 또는 SMTP 클라이언트가 있습니다. 레거시 인증 앱은 사용자를 대신하여 인증하고 Microsoft Entra ID가 고급 보안 평가를 수행하지 못하도록 합니다. 대체 최신 인증은 다단계 인증 및 조건부 액세스를 지원하므로 보안 위험이 줄어듭니다.

다음 작업을 수행하는 것이 좋습니다.

  1. Microsoft Entra 로그인 로그 및 Log Analytics 통합 문서를 사용하여 조직에서 레거시 인증을 검색합니다.
  2. 최신 인증을 사용하도록 SharePoint Online 및 Exchange Online을 설정합니다.
  3. Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 조건부 액세스 정책을 사용하여 레거시 인증을 차단합니다. Microsoft Entra ID 무료 계층의 경우 Microsoft Entra 보안 기본값을 사용합니다.
  4. AD FS를 사용하는 경우 레거시 인증을 차단합니다.
  5. Exchange Server 2019로 레거시 인증을 차단합니다.
  6. Exchange Online에서 레거시 인증을 사용하지 않도록 설정합니다.

자세한 내용은 Microsoft Entra ID에서 레거시 인증 프로토콜 차단 문서를 참조하세요.

잘못된 인증 진입점 차단

명시적 검증 원칙을 사용하여 손상된 사용자 자격 증명이 발생할 때 그 영향을 줄여야 합니다. 사용자 환경의 각 앱의 경우 권한이 있는 그룹, 네트워크, 디바이스 및 기타 요소가 무엇인지 유효한 사용 사례를 고려한 다음, 나머지를 차단합니다. Microsoft Entra 조건부 액세스를 사용하면 정의하는 특정 조건에 따라 자신의 앱 및 리소스에 권한이 부여된 사용자가 액세스하는 방법을 제어할 수 있습니다.

Cloud Apps 및 사용자 작업에 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 조건부 액세스 클라우드 앱, 작업 및 인증 컨텍스트를 참조하세요.

관리자 역할 검토 및 관리

또 다른 제로 트러스트 핵심 요소는 손상된 계정이 권한 있는 역할로 작동할 가능성을 최소화해야 한다는 것입니다. 이 제어는 ID에 최소한의 권한을 할당하여 수행할 수 있습니다. Microsoft Entra 역할을 새로 사용하는 경우 이 문서는 Microsoft Entra 역할을 이해하는 데 도움이 됩니다.

Microsoft Entra ID의 권한 있는 역할은 온-프레미스 환경에서 격리하고 자격 증명을 저장하는 데 온-프레미스 암호 자격 증명 모음을 사용하지 않으려면 클라우드 전용 계정이어야 합니다.

권한 액세스 관리 구현

PIM(Privileged Identity Management)은 중요한 리소스에 대한 과도한, 불필요한 또는 잘못 사용된 액세스 권한의 위험을 완화할 수 있도록 시간 기반 및 승인 기반 역할 활성화를 제공합니다. 이러한 리소스에는 Microsoft Entra ID, Azure 및 Microsoft 365 또는 Microsoft Intune과 같은 기타 Microsoft Online Services의 리소스가 포함됩니다.

Microsoft Entra PIM(Privileged Identity Management)은 다음을 수행하는 데 유용하여 계정 권한을 최소화하는 데 도움이 됩니다.

  • 관리자 역할에 할당된 사용자를 식별하고 관리합니다.
  • 제거해야 하는 사용되지 않거나 과도한 권한 역할을 파악합니다.
  • 권한 있는 역할이 다단계 인증으로 보호되도록 규칙을 설정합니다.
  • 권한 있는 역할이 권한 있는 작업을 수행하기에 충분히 긴 기간 동안만 부여되도록 규칙을 설정합니다.

Microsoft Entra PIM을 사용하도록 설정한 다음, 관리자 역할이 할당된 사용자를 보고, 해당 역할에서 필요 없는 계정을 제거합니다. 나머지 권한 있는 사용자의 경우 영구 상태에서 적격 상태로 이동합니다. 마지막으로, 사용자가 권한 있는 역할에 대한 액세스 권한을 얻어야 하는 경우 필요한 변경 제어를 통해 안전하게 얻을 수 있습니다.

Microsoft Entra 기본 제공 및 사용자 지정 역할은 Azure 리소스(Azure 역할)에 대한 역할 기반 액세스 제어 시스템에서 볼 수 있는 역할과 유사한 개념에서 작동합니다. 이러한 두 역할 기반 액세스 제어 시스템 간의 차이점은 다음과 같습니다.

  • Microsoft Entra 역할은 Microsoft Graph API를 사용하여 사용자, 그룹 및 애플리케이션과 같은 Microsoft Entra 리소스에 대한 액세스를 제어합니다.
  • Azure 역할은 Azure 리소스 관리를 사용하여 가상 머신 또는 스토리지와 같은 Azure 리소스에 대한 액세스를 제어합니다.

두 시스템 모두 유사하게 사용되는 역할 정의 및 역할 할당을 포함합니다. 그러나 Microsoft Entra 역할 권한은 Azure 사용자 지정 역할에서 사용할 수 없으며 그 반대의 경우도 마찬가지입니다. 권한 있는 계정 프로세스 배포의 일부로, 자신이 잠긴 경우에도 Microsoft Entra ID에 계속 액세스할 수 있도록 모범 사례에 따라 두 개 이상의 비상 계정을 만듭니다.

자세한 내용은 Privileged Identity Management 배포 계획 및 권한 있는 액세스 보안 문서를 참조하세요.

다양한 Microsoft Entra 애플리케이션 동의 환경, 권한 및 동의 유형, 이것이 조직의 보안 상태에 미치는 영향을 이해하는 것이 중요합니다. 사용자가 스스로 동의할 수 있도록 하여 사용자는 Microsoft 365, Azure 및 기타 서비스와 통합되는 유용한 애플리케이션을 쉽게 획득할 수 있지만, 신중하게 사용하고 모니터링하지 않으면 위험 요소로 작용할 수 있습니다.

Microsoft는 확인된 게시자의 앱과 선택한 권한에 대해서만 최종 사용자 동의를 허용하도록 사용자 동의를 제한하는 것을 권장합니다. 최종 사용자 동의가 제한된 경우 기존 동의 부여는 계속 적용되지만, 이후부터는 모든 동의 작업을 관리자가 수행해야 합니다. 제한된 경우 사용자가 통합 관리자 동의 요청 워크플로를 통해 또는 고유한 지원 프로세스를 통해 관리자 동의를 요청할 수 있습니다. 최종 사용자 동의를 제한하기 전에 권장 사항을 사용하여 조직에서 이러한 변경을 계획합니다. 모든 사용자가 액세스할 수 있도록 허용하려는 애플리케이션의 경우에는 모든 사용자를 대신하여 동의 부여를 고려하여 아직 개별적으로 동의하지 않은 사용자가 앱에 액세스할 수 있도록 합니다. 모든 시나리오에서 이러한 애플리케이션을 모든 사용자가 사용할 수 있도록 하지 않으려면 애플리케이션 할당 및 조건부 액세스를 사용하여 특정 앱에 대한 사용자 액세스를 제한합니다.

사용자 마찰을 줄이고, 지원 볼륨을 최소화하고, 사용자가 비 Microsoft Entra 자격 증명을 사용하는 애플리케이션에 등록하지 못하도록 하려면 사용자가 새 애플리케이션에 대해 관리자 승인을 요청할 수 있는지 확인합니다. 동의 작업을 규제하면 관리자는 앱 및 동의 권한을 정기적으로 감사를 수행해야 합니다.

자세한 내용은 Microsoft Entra 동의 프레임워크 문서를 참조하세요.

3단계: 위협 대응 자동화

Microsoft Entra ID에는 검색 및 응답 사이의 대기 시간을 제거하기 위해 자동으로 공격을 가로채는 많은 기능이 있습니다. 범죄자들이 사용자 환경에 진입하는 데 사용하는 시간을 줄이면 비용 및 위험을 줄일 수 있습니다. 다음은 이를 수행할 수 있는 구체적인 단계입니다.

자세한 내용은 방법: 위험 정책 구성 및 사용 문서를 참조하세요.

로그인 위험 정책 구현

로그인 위험은 ID 소유자가 지정된 인증 요청에 권한을 부여하지 않았을 가능성을 나타냅니다. 로그인 위험 기반 정책은 특정 사용자 또는 그룹에 대한 위험 수준을 평가하는 조건부 액세스 정책에 로그인 위험 조건을 추가하여 구현할 수 있습니다. 위험 수준(높음/보통/낮음)에 따라 정책은 액세스를 차단하거나 다단계 인증을 강제 적용하도록 구성할 수 있습니다. 중간 이상으로 위험한 로그인에서는 다단계 인증을 강제 실행하는 것이 좋습니다.

Conditional Access policy requiring MFA for medium and high risk sign-ins.

사용자 위험 보안 정책 구현

사용자 위험은 사용자의 ID가 손상되었다는 가능성을 나타내며, 사용자의 ID와 연결된 사용자 위험 검색을 기반으로 계산됩니다. 사용자 위험 기반 정책은 특정 사용자에 대한 위험 수준을 평가하는 조건부 액세스 정책에 사용자 위험 조건을 추가하여 구현할 수 있습니다. 낮음, 보통, 높음 위험 수준에 따라 액세스를 차단하거나 다단계 인증을 사용한 보안 암호 변경을 요구하도록 정책을 구성할 수 있습니다. Microsoft의 권장 사항은 높은 위험 수준에 있는 사용자의 경우 보안 암호 변경이 필요합니다.

Conditional Access policy requiring password change for high risk users.

사용자 위험 검색에는 사용자의 자격 증명이 사이버 범죄자가 유출한 자격 증명과 일치하는지 확인하는 것이 포함됩니다. 최적으로 작동하려면 Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화를 구현하는 것이 중요합니다.

Microsoft Defender XDR을 Microsoft Entra ID 보호와 통합

ID 보호가 가능한 한 최고 수준의 위험 검색을 수행할 수 있으려면 최대한 많은 신호를 받아야 합니다. 따라서 Microsoft Defender XDR 서비스의 전체 도구 모음을 통합하는 것이 중요합니다.

  • 엔드포인트에 대한 Microsoft Defender
  • Office 365용 Microsoft Defender
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

다음 간단한 동영상에서 Microsoft Threat Protection과 다양한 도메인 통합의 중요성에 대해 자세히 알아봅니다.

모니터링 및 경고 설정

의심스러운 동작을 검색하려면 로그를 모니터링하고 감사를 수행하는 것이 중요합니다. Azure Portal에는 Microsoft Entra 로그를 Microsoft Sentinel, Azure Monitor 및 기타 SIEM 도구와 같은 다른 도구와 통합하는 여러 방법이 있습니다. 자세한 내용은 Microsoft Entra 보안 운영 가이드를 참조하세요.

4단계: 클라우드 인텔리전스 활용

보안 관련 이벤트의 감사와 로깅 및 관련 경고는 효과적인 보호 전략의 중요한 구성 요소입니다. 보안 로그 및 보고서는 의심스러운 활동에 대한 전자 기록을 제공하며, 네트워크의 외부 침투와 내부 공격의 시도 또는 성공을 나타낼 수 있는 패턴을 검색할 수 있도록 도움을 줍니다. 감사를 사용하여 사용자 활동을 모니터링하고, 규정 준수를 문서화하며, 법정 분석 등을 수행할 수 있습니다. 경고는 보안 이벤트의 알림을 제공합니다. Azure Monitor 또는 SIEM 도구로 내보내 Microsoft Entra ID에 대한 로그인 로그와 감사 로그 모두에 대한 로그 보존 정책이 마련되어 있는지 확인합니다.

Microsoft Entra ID 모니터링

Microsoft Azure 서비스 및 기능은 구성 가능한 보안 감사 및 로깅 옵션을 제공하여 보안 정책과 메커니즘의 차이를 식별하고 이러한 차이를 해결하여 위반을 방지할 수 있게 합니다. Azure 로깅 및 감사Microsoft Entra 관리 센터의 감사 작업 보고서를 사용할 수 있습니다. 사용자 계정, 권한 있는 계정, 앱 및 디바이스 모니터링에 대한 자세한 내용은 Microsoft Entra 보안 운영 가이드를 참조하세요.

하이브리드 환경에서 Microsoft Entra Connect Health 모니터링

Microsoft Entra Connect Health를 통한 AD FS 모니터링은 AD FS 인프라에서 잠재적인 문제 및 공격의 시각화에 대한 통찰력을 높여줍니다. 이제 ADFS 로그인을 확인하여 모니터링에 대한 깊이를 더할 수 있습니다. Microsoft Entra Connect Health는 세부 정보, 해결 단계 및 인증 트래픽에 관련된 여러 가지 메트릭에 대한 사용량 현황 분석, 성능 모니터링 및 보고서와 같은 관련된 문서에 대한 링크를 제공합니다. 환경의 표준을 식별하고 변경 내용이 있을 때 경고할 수 있는 ADFS용 위험한 IP 통합 문서를 활용합니다. 모든 하이브리드 인프라는 계층 0 자산으로 모니터링해야 합니다. 이러한 자산에 대한 자세한 모니터링 지침은 인프라용 보안 운영 지침에서 찾을 수 있습니다.

Microsoft Entra ID 보호 이벤트 모니터링

Microsoft Entra ID 보호는 매일 모니터링해야 하는 두 가지 중요한 보고서를 제공합니다.

  1. 위험한 로그인 보고서는 로그인한 사람이 정당한 소유자가 아닐 가능성이 있으므로 조사가 필요한 사용자 로그인 활동을 보여줍니다.
  2. 위험한 사용자 보고서는 유출된 자격 증명 발견, 여러 위치에서 로그인하여 불가능한 이동 이벤트를 발생시킨 사용자처럼 손상 가능성이 있는 사용자 계정을 보여줍니다.

Overview charts of activity in Identity Protection in the Azure portal.

감사 앱 및 승인된 권한

손상된 웹 사이트 또는 앱으로 이동하도록 사용자를 속여서 프로필 정보나 이메일 같은 사용자 데이터를 획득할 수 있습니다. 악의적인 행위자는 획득한 승인된 권한을 사용하여 사서함 콘텐츠를 암호화하고, 사서함 데이터를 되찾으려면 몸값을 지불하라고 요구할 수 있습니다. 관리자는 사용자가 제공한 권한을 검토 및 감사해야 합니다. 사용자가 부여한 사용 권한을 감사하는 것 외에도 프리미엄 환경에서 위험한 또는 원치 않는 OAuth 애플리케이션을 찾을 수 있습니다.

5단계: 최종 사용자 셀프 서비스 사용

사용자는 최대한 생산성과 보안의 균형을 맞추고자 합니다. 보안의 토대를 마련한다는 마음으로 과정에 접근하면 사용자에게 권한을 부여하는 동시에 경계를 유지하고 운영 오버헤드를 줄임으로써 조직의 마찰을 제거할 수 있습니다.

셀프 서비스 암호 재설정 구현

IT 관리자는 Microsoft Entra ID의 SSPR(셀프 서비스 암호 재설정)을 사용하여 사용자에게 해당 암호 또는 계정을 지원 센터 또는 관리자 작업 없이 재설정하거나 잠금 해제할 수 있도록 할 수 있습니다. 이 시스템에는 오용 또는 남용에 대해 경고하는 알림과 함께 사용자가 언제 암호를 재설정하는지 추적하는 구체적인 보고서가 포함되어 있습니다.

셀프 서비스 그룹 및 애플리케이션 액세스 구현

Microsoft Entra ID를 사용하면 관리자가 아닌 사용자가 보안 그룹, Microsoft 365 그룹, 애플리케이션 역할 및 액세스 패키지 카탈로그를 사용하여 리소스에 대한 액세스를 관리할 수 있습니다. 셀프 서비스 그룹 관리를 통해 그룹 소유자는 관리 역할을 할당하지 않고도 자신의 그룹을 관리할 수 있습니다. 또한 사용자는 관리자를 사용하여 요청을 처리하지 않고 Microsoft 365 그룹을 만들고 관리할 수 있으며, 사용하지 않는 그룹은 자동으로 만료됩니다. Microsoft Entra 권한 관리는 포괄적인 액세스 요청 워크플로 및 자동 만료를 통해 위임 및 가시성을 강화합니다. 직원의 관리자 및 비즈니스 파트너 스폰서를 승인자로 구성하는 등 액세스를 승인해야 하는 사용자에 대한 사용자 지정 정책을 사용하여 자신이 소유한 그룹, 팀, 애플리케이션 및 SharePoint Online 사이트에 대한 고유한 액세스 패키지를 구성하는 기능을 비관리자에게 위임할 수 있습니다.

Microsoft Entra 액세스 검토 구현

Microsoft Entra 액세스 검토를 사용하면 보안 표준을 유지하도록 액세스 패키지 및 그룹 구성원, 엔터프라이즈 애플리케이션에 대한 액세스 및 권한 있는 역할 할당을 관리할 수 있습니다. 사용자 자체, 리소스 소유자 및 기타 검토자에 의한 정기적인 감독은 사용자가 더 이상 필요하지 않은 경우 연장된 기간 동안 액세스를 유지하지 않도록 합니다.

자동 사용자 프로비저닝 구현

프로비저닝 및 프로비저닝 해제 프로세스는 여러 시스템에서 디지털 ID의 일관성을 보장하는 프로세스입니다. 이러한 프로세스는 일반적으로 ID 수명 주기 관리의 일부로 적용됩니다.

프로비저닝은 특정 조건에 따라 대상 시스템에서 ID를 만드는 프로세스입니다. 프로비저닝 해제는 조건이 더 이상 충족되지 않을 때 대상 시스템에서 ID를 제거하는 프로세스입니다. 동기화는 원본 개체와 대상 개체가 비슷하도록 프로비저닝된 개체를 최신 상태로 유지하는 프로세스입니다.

Microsoft Entra ID는 현재 세 가지 자동화된 프로비전 영역을 제공합니다. 화면은 다음과 같습니다.

  • HR 기반 프로비전을 통해 신뢰할 수 있는 외부 비 디렉터리 레코드 시스템에서 Microsoft Entra ID로 프로비전
  • 앱 프로비전을 통해 Microsoft Entra ID에서 애플리케이션으로 프로비전
  • 디렉터리 간 프로비전을 통해 Microsoft Entra ID와 Active Directory Domain Services 간 프로비전

여기에서 자세히 알아보기: Microsoft Entra ID를 사용한 프로비전이란?

요약

보안 ID 인프라에 대한 여러 측면이 있지만 이 5가지 검사 목록은 더 안전한 ID 인프라를 신속하게 달성하는 데 도움이 됩니다.

  • 자격 증명 강화
  • 공격 표면 영역 줄이기
  • 위협 응답 자동화
  • 클라우드 인텔리전스 활용
  • 최종 사용자 셀프 서비스 사용

보안에 대해 진지하게 고려해 주신 것에 감사를 드리며, 이 문서가 여러분 조직의 더 안전한 태세를 위한 유용한 로드맵이 되길 바랍니다.

다음 단계

권장 사항의 계획 및 배포에 대한 도움이 필요한 경우 Microsoft Entra ID 프로젝트 배포 계획을 참조하세요.

이러한 모든 단계가 완료된 것으로 확신하는 경우 Microsoft의 ID 보안 점수를 사용합니다. 이 경우 최신 모범 사례 및 보안 위협으로 최신 상태로 유지합니다.