제로 트러스트 ID 및 디바이스 액세스 구성
오늘날의 인력은 기존의 회사 네트워크 경계를 넘어 존재하는 애플리케이션 및 리소스에 액세스해야 합니다. 네트워크 방화벽 및 VPN(가상 사설망)을 사용하여 리소스에 대한 액세스를 격리하고 제한하는 보안 아키텍처는 더 이상 충분하지 않습니다.
이 새로운 컴퓨팅 분야를 해결하기 위해 Microsoft는 다음 지침 원칙을 기반으로 하는 제로 트러스트 보안 모델을 적극 권장합니다.
- 명시적으로 확인: 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다. 이 확인은 로그인 및 지속적인 유효성 검사에 제로 트러스트 ID 및 디바이스 액세스 정책이 중요한 위치입니다.
- 최소 권한 액세스 사용: JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.
- 위반 가정: 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.
제로 트러스트 전체 아키텍처는 다음과 같습니다.
제로 트러스트 ID 및 디바이스 액세스 정책은 다음을 해결합니다.다음을 위해 명시적으로 지침 원칙을 확인합니다.
- ID: ID가 리소스에 액세스하려고 할 때 강력한 인증을 사용하는 ID를 확인하고 요청된 액세스가 규정을 준수하고 일반적인지 확인합니다.
- 디바이스(엔드포인트라고도 함): 보안 액세스를 위해 디바이스 상태 및 규정 준수 요구 사항을 모니터링하고 적용합니다.
- 애플리케이션: 컨트롤 및 기술을 다음 사항에 적용합니다.
- 적절한 앱 내 사용 권한을 확인합니다.
- 실시간 분석을 기반으로 액세스를 제어합니다.
- 비정상적인 동작 모니터링
- 사용자 작업을 제어합니다.
- 보안 구성 옵션의 유효성을 검사합니다.
이 문서 시리즈에서는 Microsoft Entra ID, 조건부 액세스, Microsoft Intune 및 기타 기능을 사용하는 ID 및 디바이스 액세스 구성 및 정책 집합에 대해 설명합니다. 이러한 구성 및 정책은 엔터프라이즈 클라우드 앱 및 서비스, 기타 SaaS 서비스 및 Microsoft Entra 애플리케이션 프록시를 사용하여 게시된 온-프레미스 애플리케이션에 대한 Microsoft 365에 대한 제로 트러스트 액세스를 제공합니다.
제로 트러스트 ID 및 디바이스 액세스 설정 및 정책은 다음 세 가지 계층에서 권장됩니다.
- 출발점.
- Enterprise.
- 높은 규제 또는 분류된 데이터가 있는 환경에 대한 특수 보안.
이러한 계층 및 해당 구성은 데이터, ID 및 디바이스에서 일관된 수준의 제로 트러스트 보호를 제공합니다. 이러한 기능 및 권장 사항:
- Microsoft 365 E3 및 Microsoft 365 E5에서 지원됩니다.
- Microsoft Entra ID의 Microsoft 보안 점수 및 ID 점수에 맞춰집니다. 권장 사항에 따라 조직에 대한 이러한 점수가 증가합니다.
- ID 인프라를 보호하는 다음 5단계를 구현하는 데 도움이 됩니다.
조직에 고유한 요구 사항 또는 복잡성이 있는 경우 이러한 권장 사항을 시작점으로 사용합니다. 그러나 대부분의 조직에서는 규정된 대로 이러한 권장 사항을 구현할 수 있습니다.
엔터프라이즈용 Microsoft 365의 ID 및 디바이스 액세스 구성에 대한 간략한 개요는 이 비디오를 시청하세요.
참고 항목
Microsoft는 Office 365 구독에 대한 EMS(Enterprise Mobility + Security) 라이선스도 판매합니다. EMS E3 및 EMS E5 기능은 Microsoft 365 E3 및 Microsoft 365 E5의 기능과 동일합니다. 자세한 내용은 EMS 계획을 참조하세요.
대상 그룹
이러한 권장 사항은 Microsoft 365 클라우드 생산성 및 보안 서비스에 익숙한 엔터프라이즈 설계자 및 IT 전문가를 위한 것입니다. 이러한 서비스에는 Microsoft Entra ID(ID), Microsoft Intune(디바이스 관리) 및 Microsoft Purview Information Protection(데이터 보호)이 포함됩니다.
고객 환경
권장 정책은 Microsoft 클라우드 내에서 전적으로 운영되는 엔터프라이즈 조직과 하이브리드 ID 인프라를 사용하는 고객에게 적용할 수 있습니다. 하이브리드 ID 구조는 Microsoft Entra ID와 동기화되는 온-프레미스 Active Directory 포리스트입니다.
대부분의 권장 사항은 다음 라이선스에서만 사용할 수 있는 서비스를 사용합니다.
- Microsoft 365 E5.
- E5 보안 추가 기능이 포함된 Microsoft 365 E3.
- EMS E5.
- Microsoft Entra ID P2 라이선스.
이러한 라이선스가 없는 조직의 경우 최소한 모든 Microsoft 365 계획에 포함된 보안 기본값을 구현하는 것이 좋습니다.
제한 사항
조직은 이러한 권장 구성과 다른 정책을 적용해야 하는 특정 권장 사항을 포함하여 규정 또는 기타 규정 준수 요구 사항이 적용될 수 있습니다. 이러한 구성은 지금까지 사용할 수 없었던 사용량 제어를 권장합니다. 이러한 컨트롤은 보안과 생산성 간의 균형을 나타낸다고 믿기 때문에 이러한 컨트롤을 사용하는 것이 좋습니다.
다양한 조직 보호 요구 사항을 고려하기 위해 최선을 다했지만 가능한 모든 요구 사항이나 조직의 모든 고유한 측면을 고려할 수는 없습니다.
세 가지 수준의 보호
대부분의 조직에는 보안 및 데이터 보호와 관련된 특정 요구 사항이 있습니다. 이러한 요구 사항은 업계 세그먼트 및 조직 내의 작업 기능에 따라 달라집니다. 예를 들어 법률 부서 및 관리자는 다른 사업부에 필요하지 않은 전자 메일 서신에 대한 추가 보안 및 정보 보호 제어가 필요할 수 있습니다.
또한 각 산업에는 일단의 고유한 특수 규정이 있습니다. 가능한 모든 보안 옵션 목록이나 업계 세그먼트 또는 작업 기능별 권장 사항을 제공하지는 않습니다. 대신 요구 사항의 세분성에 따라 적용할 수 있는 세 가지 수준의 보안 및 보호에 대한 권장 사항을 제공하고 있습니다.
- 시작점: 모든 고객은 데이터에 액세스하는 ID 및 디바이스뿐만 아니라 데이터를 보호하기 위한 최소 표준을 설정하고 사용하는 것이 좋습니다. 이러한 권장 사항을 따라 모든 조직의 시작점으로 강력한 기본 보호를 제공할 수 있습니다.
- 엔터프라이즈: 일부 고객은 상위 수준에서 보호해야 하는 데이터의 하위 집합이 있거나 모든 데이터를 더 높은 수준에서 보호해야 합니다. Microsoft 365 환경의 모든 또는 특정 데이터 집합에 향상된 보호를 적용할 수 있습니다. 비슷한 수준의 보안으로 중요한 데이터에 액세스하는 ID 및 디바이스를 보호하는 것이 좋습니다.
- 특수 보안: 필요에 따라 일부 고객은 고도로 분류되거나 영업 비밀을 구성하거나 규제되는 적은 양의 데이터를 가지고 있습니다. Microsoft는 ID 및 디바이스에 대한 추가 보호를 포함하여 이러한 고객이 이러한 요구 사항을 충족하는 데 도움이 되는 기능을 제공합니다.
이 지침에서는 이러한 각 보호 수준에 대해 ID 및 디바이스에 대한 제로 트러스트 보호를 구현하는 방법을 보여줍니다. 조직에 대해 이 지침을 최소한으로 사용하고 조직의 특정 요구 사항에 맞게 정책을 조정합니다.
ID, 디바이스 및 데이터에서 일관된 수준의 보호를 사용하는 것이 중요합니다. 예를 들어 임원, 리더, 관리자 등 우선 순위 계정이 있는 사용자에 대한 보호에는 ID, 디바이스 및 액세스하는 데이터에 대해 동일한 수준의 보호가 포함되어야 합니다.
또한 Microsoft 365에 저장된 정보를 보호하기 위해 데이터 개인 정보 보호에 대한 정보 보호 배포 솔루션을 참조하세요.
보안 및 생산성 절상
보안 전략을 구현하려면 보안과 생산성 간의 절차가 필요합니다. 각 결정이 보안, 기능 및 사용 편의성의 균형에 미치는 영향을 평가하는 것이 유용합니다.
제공된 권장 사항은 다음 원칙을 기반으로 합니다.
- 사용자를 파악하고 보안 및 기능 요구 사항에 유연하게 대처하세요.
- 적시에 보안 정책을 적용하고 의미 있는지 확인합니다.
제로 트러스트 ID 및 디바이스 액세스 보호에 대한 서비스 및 개념
엔터프라이즈용 Microsoft 365는 대규모 조직이 모든 사용자가 창의적이고 안전하게 함께 작업할 수 있도록 설계되었습니다.
이 섹션에서는 제로 트러스트 ID 및 디바이스 액세스에 중요한 Microsoft 365 서비스 및 기능에 대한 개요를 제공합니다.
Microsoft Entra ID
Microsoft Entra ID는 ID 관리 기능의 전체 제품군을 제공합니다. 이러한 기능을 사용하여 액세스를 보호하는 것이 좋습니다.
기능 또는 기능 | 설명 | 라이선싱 |
---|---|---|
MFA(다단계 인증) 사용 | MFA를 사용하려면 사용자가 사용자 암호와 Microsoft Authenticator 앱의 알림 또는 전화 통화와 같은 두 가지 형태의 확인을 제공해야 합니다. MFA는 도난당한 자격 증명을 사용하여 환경에 액세스할 수 있는 위험을 크게 줄입니다. Microsoft 365는 MFA 기반 로그인에 Microsoft Entra 다단계 인증 서비스를 사용합니다. | Microsoft 365 E3 또는 E5 |
조건부 액세스 | Microsoft Entra ID는 사용자 로그인 조건을 평가하고 조건부 액세스 정책을 사용하여 허용되는 액세스를 결정합니다. 예를 들어 이 지침에서는 중요한 데이터에 액세스하기 위해 디바이스 준수를 요구하는 조건부 액세스 정책을 만드는 방법을 보여 드립니다. 이렇게 하면 자체 디바이스 및 도난된 자격 증명을 사용하는 해커가 중요한 데이터에 액세스할 수 있는 위험이 크게 줄어듭니다. 또한 디바이스가 상태 및 보안에 대한 특정 요구 사항을 충족해야 하므로 디바이스에서 중요한 데이터를 보호합니다. | Microsoft 365 E3 또는 E5 |
Microsoft Entra 그룹 | 조건부 액세스 정책, Intune을 사용한 디바이스 관리 및 조직의 파일 및 사이트에 대한 사용 권한도 사용자 계정 또는 Microsoft Entra 그룹에 할당됩니다. 구현하는 보호 수준에 해당하는 Microsoft Entra 그룹을 만드는 것이 좋습니다. 예를 들어 임원진은 해커에게 더 높은 가치의 대상이 될 수 있습니다. 따라서 이러한 직원의 사용자 계정을 Microsoft Entra 그룹에 추가하고 액세스에 대해 더 높은 수준의 보호를 적용하는 조건부 액세스 정책 및 기타 정책에 이 그룹을 할당하는 것이 좋습니다. | Microsoft 365 E3 또는 E5 |
디바이스 등록 | 디바이스를 Microsoft Entra ID에 등록하여 디바이스에 대한 ID를 만듭니다. 이 ID는 사용자가 로그인할 때 디바이스를 인증하고 도메인 가입 또는 호환 PC가 필요한 조건부 액세스 정책을 적용하는 데 사용됩니다. 이 지침에서는 디바이스 등록을 사용하여 도메인에 가입된 Windows 컴퓨터를 자동으로 등록합니다. 디바이스 등록은 Intune을 사용하여 디바이스를 관리하기 위한 필수 구성 요소입니다. | Microsoft 365 E3 또는 E5 |
Microsoft Entra ID 보호 | 조직의 ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. 이 지침은 다단계 인증에 조건부 액세스 정책을 적용하기 위해 이 위험 평가에 의존합니다. 또한 이 지침에는 계정에 대해 위험 수준이 높은 활동이 검색된 경우 사용자가 암호를 변경하도록 요구하는 조건부 액세스 정책도 포함되어 있습니다. | E5 보안 추가 기능, EMS E5 또는 Microsoft Entra ID P2 라이선스를 사용하는 Microsoft 365 E5, Microsoft 365 E3 |
SSPR(셀프 서비스 암호 재설정) | 관리자가 제어할 수 있는 여러 인증 방법을 확인하여 사용자가 지원 센터 개입 없이 안전하게 암호를 재설정할 수 있도록 허용합니다. | Microsoft 365 E3 또는 E5 |
Microsoft Entra 암호 보호 | 알려진 약한 암호와 해당 변형 및 조직과 관련된 추가 약한 용어를 검색하고 차단합니다. 기본 전역 금지 암호 목록은 Microsoft Entra 테넌트에 있는 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 추가 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다. | Microsoft 365 E3 또는 E5 |
Intune 및 Microsoft Entra 개체, 설정 및 하위 서비스를 포함하여 제로 트러스트 ID 및 디바이스 액세스의 구성 요소는 다음과 같습니다.
Microsoft Intune
Intune 은 Microsoft의 클라우드 기반 모바일 디바이스 관리 서비스입니다. 이 지침에서는 Intune을 사용하여 Windows PC의 디바이스 관리를 권장하고 디바이스 준수 정책 구성을 권장합니다. Intune은 디바이스가 규정을 준수하는지 여부를 확인하고 조건부 액세스 정책을 적용할 때 사용할 Microsoft Entra ID로 이 데이터를 보냅니다.
Intune 앱 보호
Intune 앱 보호 정책을 사용하여 디바이스를 관리에 등록하거나 등록하지 않고 모바일 앱에서 조직의 데이터를 보호할 수 있습니다. Intune은 정보를 보호하고 직원이 생산성을 유지할 수 있도록 하며 데이터 손실을 방지합니다. 앱 수준 정책을 구현하여 회사 리소스에 대한 액세스를 제한하고 IT 부서의 제어 내에서 데이터를 유지할 수 있습니다.
이 지침에서는 승인된 앱의 사용을 적용하고 비즈니스 데이터와 함께 이러한 앱을 사용할 수 있는 방법을 결정하는 권장 정책을 만드는 방법을 보여 줍니다.
Microsoft 365
이 지침에서는 Microsoft Teams, Exchange, SharePoint 및 OneDrive를 포함하여 Microsoft 365 클라우드 서비스에 대한 액세스를 보호하는 정책 집합을 구현하는 방법을 보여 줍니다. 이러한 정책을 구현하는 것 외에도 다음 리소스를 사용하여 테넌트에 대한 보호 수준을 높이는 것이 좋습니다.
엔터프라이즈용 Microsoft 365 앱 있는 Windows 11 또는 Windows 10
엔터프라이즈용 Microsoft 365 앱 있는 Windows 11 또는 Windows 10은 PC에 권장되는 클라이언트 환경입니다. Microsoft Entra는 온-프레미스 및 Microsoft Entra ID 모두에 가능한 가장 원활한 환경을 제공하도록 설계되었기 때문에 Windows 11 또는 Windows 10을 사용하는 것이 좋습니다. Windows 11 또는 Windows 10에는 Intune을 통해 관리할 수 있는 고급 보안 기능도 포함되어 있습니다. 엔터프라이즈용 Microsoft 365 앱 최신 버전의 Office 앱lications가 포함되어 있습니다. 이러한 인증은 더 안전하고 조건부 액세스에 대한 요구 사항인 최신 인증을 사용합니다. 이러한 앱에는 향상된 규정 준수 및 보안 도구도 포함됩니다.
이러한 기능을 세 가지 수준의 보호에 적용
다음 표에서는 세 가지 보호 수준에서 이러한 기능을 사용하기 위한 권장 사항을 요약합니다.
보호 메커니즘 | 시작 지점 | Enterprise | 특수 보안 |
---|---|---|---|
MFA 적용 | 중간 이상의 로그인 위험 | 낮음 이상의 로그인 위험에서 | 모든 새 세션에서 |
암호 변경 적용 | 위험 수준이 높은 사용자의 경우 | 위험 수준이 높은 사용자의 경우 | 위험 수준이 높은 사용자의 경우 |
Intune 애플리케이션 보호 적용 | 예 | 예 | 예 |
조직 소유 디바이스에 Intune 등록 적용 | 준수 또는 도메인에 가입된 PC가 필요하지만 BYOD(Bring-Your-Own Device) 휴대폰 및 태블릿 허용 | 규격 또는 도메인에 가입된 디바이스 필요 | 규격 또는 도메인에 가입된 디바이스 필요 |
디바이스 소유권
위의 표에는 많은 조직에서 조직 소유 디바이스와 개인 또는 BYOD를 함께 지원하여 인력 전체에서 모바일 생산성을 구현하는 추세가 반영되어 있습니다. Intune 앱 보호 정책은 조직 소유의 장치와 BYOD 모두에서 Outlook 모바일 앱 및 기타 Office 모바일 앱에서 전자 메일이 반출되지 않도록 보호합니다.
조직 소유 디바이스는 Intune에서 관리하거나 도메인에 가입되어 추가 보호 및 제어를 적용하는 것이 좋습니다. 데이터 민감도에 따라 조직은 특정 사용자 모집단 또는 특정 앱에 대해 BYOD를 허용하지 않도록 선택할 수 있습니다.
배포 및 앱
Microsoft Entra 통합 앱에 대한 제로 트러스트 ID 및 디바이스 액세스 구성을 구성하고 롤아웃하기 전에 다음을 수행해야 합니다.
보호하려는 조직에서 사용되는 앱을 결정합니다.
이 앱 목록을 분석하여 적절한 수준의 보호를 제공하는 정책 집합을 결정합니다.
관리가 번거로울 수 있으므로 각 앱에 대해 별도의 정책 집합을 만들면 안 됩니다. 동일한 사용자에 대해 동일한 보호 요구 사항이 있는 앱을 그룹화할 것을 권장합니다.
예를 들어 시작 지점 보호를 위해 모든 사용자에 대한 모든 Microsoft 365 앱을 포함하는 정책 집합이 하나 있습니다. 인사 또는 재무 부서에서 사용하는 것과 같은 모든 중요한 앱에 대한 두 번째 정책 집합을 가지고 해당 그룹에 적용합니다.
보호하려는 앱에 대한 정책 집합을 결정했으면 증분 방식으로 사용자에게 정책을 배포하여 문제를 해결합니다. 예시:
- 모든 Microsoft 365 앱에 사용하려는 정책을 구성합니다.
- 필요한 변경 내용이 포함된 Exchange만 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
- 필요한 변경 내용이 포함된 Teams를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
- 필요한 변경 내용으로 SharePoint를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
- 모든 Microsoft 365 앱을 포함하도록 이러한 시작 지점 정책을 자신 있게 구성할 수 있을 때까지 나머지 앱을 계속 추가합니다.
마찬가지로 중요한 앱의 경우 정책 집합을 만들고 한 번에 하나의 앱을 추가합니다. 중요한 앱 정책 집합에 모두 포함될 때까지 모든 문제를 해결합니다.
일부 의도하지 않은 구성이 발생할 수 있으므로 모든 앱에 적용되는 정책 집합을 만들지 않는 것이 좋습니다. 예를 들어 모든 앱을 차단하는 정책은 Microsoft Entra 관리 센터에서 관리자를 잠글 수 있으며 Microsoft Graph와 같은 중요한 엔드포인트에 대해서는 제외를 구성할 수 없습니다.
제로 트러스트 ID 및 디바이스 액세스를 구성하는 단계
- 필수 구성 요소 ID 기능 및 해당 설정을 구성합니다.
- 일반 ID를 구성하고 조건부 액세스 정책에 액세스합니다.
- 게스트 및 외부 사용자에 대한 조건부 액세스 정책을 구성합니다.
- Microsoft Teams, Exchange 및 SharePoint와 같은 Microsoft 365 클라우드 앱 및 클라우드용 Microsoft Defender 앱 정책에 대한 조건부 액세스 정책을 구성합니다.
ID 및 디바이스 액세스를 제로 트러스트 구성한 후에는 고려해야 할 추가 기능의 단계별 검사 목록과 액세스를 보호, 모니터링 및 감사하기 위한 Microsoft Entra ID 거버넌스에 대한 Microsoft Entra 기능 배포 가이드를 참조하세요.