권한 있는 액세스: 중개자

  • 아티클

중간 디바이스의 보안은 권한 있는 액세스를 보호하는 중요한 구성 요소입니다.

중개자는 사용자 또는 관리자의 종단 간 세션에 대한 제로 트러스트 보증 체인에 대한 링크를 추가하므로 세션에서 제로 트러스트 보안 보증을 유지(또는 개선)해야 합니다. 중개자의 예로는 VPN(가상 사설망), 점프 서버, VDI(가상 데스크톱 인프라), 액세스 프록시를 통한 애플리케이션 게시 등이 있습니다.

What is an intermediary?

공격자는 중개자에 저장된 자격 증명으로 권한을 상승시키거나, 기업 네트워크에 대한 네트워크 원격 액세스 권한을 얻거나, 디바이스가 제로 트러스트 액세스 결정에 사용되는 경우 해당 디바이스의 신뢰를 악용하기 위해 중개자를 공격할 수 있습니다. 특히 이러한 디바이스의 보안 상태를 엄격하게 기본 않는 조직에서는 중개자를 대상으로 지정하는 것이 너무 일반적입니다. 예를 들어 VPN 디바이스에서 수집된 자격 증명입니다.

Intermediary types and risks

중개인은 목적과 기술에 따라 다르지만 일반적으로 원격 액세스, 세션 보안 또는 둘 다를 제공합니다.

  • 원격 액세스 - 인터넷에서 엔터프라이즈 네트워크의 시스템에 대한 액세스 사용
  • 세션 보안 - 세션에 대한 보안 보호 및 가시성 향상
    • 관리되지 않는 디바이스 시나리오 - 관리되지 않는 디바이스(예: 개인 직원 디바이스) 및/또는 파트너/공급업체에서 관리하는 디바이스에서 액세스할 수 있는 관리형 가상 데스크톱을 제공합니다.
    • 관리주체 보안 시나리오 - 관리 경로를 통합하거나 Just-In-Time 액세스, 세션 모니터링 및 기록 및 유사한 기능을 사용하여 보안을 강화합니다.

원래 디바이스 및 계정에서 리소스 인터페이스로 보안 보증이 유지되도록 하려면 중간 및 완화 옵션의 위험 프로필을 이해해야 합니다.

공격자의 기회 및 가치

어플라이언스, 펌웨어, 운영 체제 및 애플리케이션에 보안 패치를 신속하게 적용하는 것과 같은 몇 가지 중요한 공통점이 있지만 서로 다른 중간 유형은 각각 다른 보안 접근 방식을 요구하도록 고유한 기능을 수행합니다.

Comparing attacker opportunity and value for given intermediaries

공격자 기회는 공격 운영자가 대상으로 지정할 수 있는 사용 가능한 공격 표면으로 표시됩니다.

  • Microsoft Entra PIM, Azure Bastion 및 Microsoft Entra 애플리케이션 프록시와 같은 네이티브 클라우드 서비스는 공격자에게 제한된 공격 노출 영역을 제공합니다. 고객(및 공격자)은 공용 인터넷에 노출되지만 서비스를 제공하는 기본 운영 체제에 액세스할 수 없으며 일반적으로 클라우드 공급자의 자동화된 메커니즘을 통해 일관되게 기본 파악 및 모니터링됩니다. 이 작은 공격 노출 영역은 우선순위와 보안 작업을 완료하는 데 시간이 초과되는 경우가 종종 발생하는 IT 담당자가 구성, 패치 및 모니터링해야 하는 공격자 또는 기존 온-프레미스 애플리케이션/어플라이언스로 사용 가능한 옵션을 제한합니다.
  • VPN(가상 사설망)원격 데스크톱 / 점프 서버는 인터넷에 노출되어 원격 액세스를 제공하고 이러한 시스템의 기본 테넌트를 자주 무시하므로 중요한 공격자 기회를 갖게 됩니다. 노출되는 네트워크 포트는 몇 개뿐이지만 공격자는 공격을 위해 패치되지 않은 하나의 서비스에만 액세스하면 됩니다.
  • 타사 PIM/PAM 서비스는 온-프레미스 또는 IaaS(Infrastructure as a Service)의 VM으로 자주 호스트되며 일반적으로 인트라넷 호스트에서만 사용할 수 있습니다. 인터넷에 직접 노출되지는 않지만 손상된 단일 자격 증명을 통해 공격자가 VPN 또는 다른 원격 액세스 매체를 통해 서비스에 액세스할 수 있습니다.

공격자 값 은 공격자가 중간자를 손상시켜 얻을 수 있는 것을 나타냅니다. 손상은 애플리케이션/VM 및/또는 클라우드 서비스의 고객 인스턴스 관리자를 완전히 제어하는 공격자로 정의됩니다.

공격자가 공격의 다음 단계를 위해 중개자로부터 수집할 수 있는 요소는 다음과 같습니다.

  • 네트워크 연결을 가져와 엔터프라이즈 네트워크의 대부분 또는 모든 리소스와 통신합니다. 이 액세스는 일반적으로 VPN 및 원격 데스크톱/점프 서버 솔루션에서 제공됩니다. Azure Bastion 및 Microsoft Entra 애플리케이션 프록시(또는 유사한 타사 솔루션) 솔루션도 원격 액세스를 제공하지만 이러한 솔루션은 일반적으로 애플리케이션 또는 서버별 연결이며 일반 네트워크 액세스를 제공하지 않습니다.
  • 디바이스 ID를 가장하여 인증에 디바이스가 필요한 경우 제로 트러스트 메커니즘을 무효화하거나 공격자가 대상 네트워크에서 인텔리전스를 수집하는 데 사용할 수 있습니다. 보안 운영 팀은 종종 디바이스 계정 활동을 면밀히 모니터링하고 사용자 계정에만 집중하지 않습니다.
  • 계정 자격 증명 을 훔쳐 리소스에 인증하는데, 이는 공격자에게 가장 중요한 자산으로, 궁극적인 목표 또는 공격의 다음 단계에 액세스할 수 있는 권한을 상승시키는 기능을 제공하므로 공격자에게 가장 중요한 자산입니다. 원격 데스크톱/점프 서버 및 타사 PIM/PAM이 가장 매력적인 대상이며 공격자 값 및 보안 완화가 증가한 "모든 계란을 하나의 바구니에 담아" 동적으로 사용합니다.
    • PIM/PAM 솔루션은 일반적으로 조직의 대부분 또는 모든 권한 있는 역할에 대한 자격 증명을 저장하므로 손상되거나 무기화할 수 있는 매우 유리한 대상이 됩니다.
    • Microsoft Entra PIM 은 MFA 또는 다른 워크플로를 사용하여 계정에 이미 할당된 권한의 잠금을 해제하기 때문에 공격자에게 자격 증명을 도용할 수 있는 기능을 제공하지 않지만 잘못 디자인된 워크플로를 사용하면 악의적 사용자가 권한을 에스컬레이션할 수 있습니다.
    • 관리자가 사용하는 원격 데스크톱/점프 서버 는 많은 또는 모든 중요한 세션이 통과하는 호스트를 제공하여 공격자가 표준 자격 증명 도난 공격 도구를 사용하여 이러한 자격 증명을 훔치고 다시 사용할 수 있도록 합니다.
    • VPN은 솔루션에 자격 증명을 저장할 수 있으며, 공격자에게 잠재적인 권한 상승의 보물을 제공하여 이러한 위험을 완화하기 위해 인증에 Microsoft Entra ID를 사용하는 것이 좋습니다.

중간 보안 프로필

이러한 보증을 설정하려면 보안 컨트롤을 조합해야 하며, 이 중 일부는 여러 중개자에 공통적으로 적용되고 일부는 중개자 유형에 따라 다르게 적용됩니다.

Intermediaries as a link in the Zero Trust chain

중개자는 사용자/디바이스에 인터페이스를 제공하고 다음 인터페이스에 대한 액세스를 사용하도록 설정하는 제로 트러스트 체인의 링크입니다. 보안 제어는 인바운드 연결, 중간 디바이스/애플리케이션/서비스 자체의 보안 및(해당하는 경우) 다음 인터페이스에 대한 제로 트러스트 보안 신호를 제공해야 합니다.

일반적인 보안 제어

중개인을 위한 일반적인 보안 요소는 권한 보안에 대한 추가 제한 사항과 함께 엔터프라이즈 및 특수 수준의 적절한 보안 위생을 기본 데 중점을 줍니다.

Common security controls for intermediaries

이러한 보안 컨트롤은 모든 유형의 중개자에게 적용되어야 합니다.

  • 인바운드 연결 보안 적용 - Microsoft Entra ID 및 조건부 액세스를 사용하여 디바이스 및 계정의 모든 인바운드 연결이 알려지고 신뢰할 수 있으며 허용되도록 합니다. 자세한 내용은 권한 있는 인터페이스 보안 유지 문서에서 엔터프라이즈 및 특수화를 위한 디바이스와 계정 요구 사항의 자세한 정의를 참조하세요.
  • 적절한 시스템 기본 테넌트 - 모든 중개자는 다음을 비롯한 좋은 보안 위생 관행을 따라야 합니다.
    • 보안 구성 - 애플리케이션과 모든 기본 운영 체제, 클라우드 서비스 또는 기타 종속성에 대해 제조업체 또는 업계 보안 구성 기준과 모범 사례를 따릅니다. Microsoft의 적용 가능한 지침에는 Azure 보안 기준 및 Windows 기준이 포함됩니다.
    • 신속한 패치 적용 - 공급 업체의 보안 업데이트 및 패치는 출시 후 신속하게 적용해야 합니다.
  • RBAC(역할 기반 액세스 제어) 모델을 공격자가 악용하여 권한을 확대할 수 있습니다. 특수화된 수준 또는 권한 있는 수준으로 보호되는 권한 있는 담당자에게만 관리 권한이 부여되도록 하려면 중개자의 RBAC 모델을 신중히 검토해야 합니다. 이 모델에는 기본 운영 체제 또는 클라우드 서비스(루트 계정 암호, 로컬 관리자 사용자/그룹, 테넌트 관리자 등)가 포함되어야 합니다.
  • EDR(엔드포인트 검색 및 응답) 및 아웃바운드 신뢰 신호 - 전체 운영 체제를 포함하는 디바이스는 엔드포인트용 Microsoft Defender 같은 EDR로 모니터링하고 보호해야 합니다. 이 컨트롤은 조건부 액세스에 디바이스 준수 신호를 제공하여 정책에서 인터페이스에 대한 이 요구 사항을 적용하도록 구성되어야 합니다.

권한 있는 중개자를 사용하려면 추가 보안 제어가 필요합니다.

  • RBAC(역할 기반 액세스 제어) - 관리제작 권한은 워크스테이션 및 계정에 대한 해당 표준을 충족하는 권한 있는 역할로만 제한되어야 합니다.
  • 전용 디바이스(선택 사항) - 권한 있는 세션이 매우 민감하기 때문에 조직은 권한 있는 역할에 대한 중간 기능의 전용 인스턴스를 구현하도록 선택할 수 있습니다. 이 컨트롤을 사용하면 이러한 권한 있는 중개인에 대한 추가 보안 제한과 권한 있는 역할 활동을 자세히 모니터링할 수 있습니다.

각 중간 유형에 대한 보안 지침

이 섹션에는 각 유형의 중개자 고유의 특정 보안 지침이 포함되어 있습니다.

Privileged Access Management/Privileged Identity Management

보안 사용 사례를 위해 명시적으로 설계된 중개자의 한 가지 유형은 PIM/PAM(권한 있는 액세스 관리) 솔루션입니다.

PIM/PAM에 대한 사용 사례 및 시나리오

PIM/PAM 솔루션은 특수 또는 권한 있는 프로필에서 다루는 중요한 계정에 대한 보안 보증을 강화하도록 설계되었으며 일반적으로 IT 관리자에게 집중합니다.

기능은 PIM/PAM 공급업체마다 다르지만, 많은 솔루션은 다음과 같은 보안 기능을 제공합니다.

  • 서비스 계정 관리 및 암호 순환 간소화(매우 중요한 기능)

  • JIT(Just-In-Time) 액세스에 대한 고급 워크플로 제공

  • 관리 세션 기록 및 모니터링

    Important

    PIM/PAM 기능은 일부 공격에 대해 뛰어난 완화 기능을 제공하지만, 많은 권한 있는 액세스 위험, 특히 디바이스 손상 위험을 해결하지는 않습니다. 일부 공급업체는 PIM/PAM 솔루션이 디바이스 위험을 완화할 수 있는 '실버 글머리 기호' 솔루션이라고 주장하지만, 고객 인시던트를 조사한 경험이 실제로는 작동하지 않는다는 것을 지속적으로 입증했습니다.

    워크스테이션 또는 디바이스를 제어하는 공격자는 사용자가 로그온하는 동안 해당 자격 증명(및 할당된 권한)을 사용할 수 있으며 나중에 사용하기 위해 자격 증명을 도용할 수 있습니다. PIM/PAM 솔루션만으로는 이러한 디바이스 위험을 일관되고 안정적으로 보고 완화할 수 없으므로 서로 보완하는 개별 디바이스 및 계정 보호가 있어야 합니다.

PIM/PAM의 보안 위험 및 권장 사항

각 PIM/PAM 공급업체의 기능은 보안 방법에 따라 다르므로 공급업체의 특정 보안 구성 권장 사항 및 모범 사례를 검토하고 따릅니다.

참고 항목

내부자 위험을 완화하는 데 도움이 되도록 중요 비즈니스용 워크플로에서 두 번째 사용자를 설정해야 합니다(내부자 위협에 의한 잠재적 공모에 대한 비용/마찰 증가).

최종 사용자 가상 사설망

VPN(가상 사설망)은 원격 엔드포인트에 대한 전체 네트워크 액세스를 제공하는 중개자이며, 일반적으로 최종 사용자가 인증해야 하며, 인바운드 사용자 세션을 인증하기 위해 로컬로 자격 증명을 저장할 수 있습니다.

참고 항목

이 지침은 데이터 센터/애플리케이션 연결에 일반적으로 사용되는 "사이트 간" VPN이 아닌 사용자가 사용하는 "지점 및 사이트 간" VPN만을 의미합니다.

VPN에 대한 사용 사례 및 시나리오

VPN은 엔터프라이즈 네트워크에 대한 원격 연결을 설정하여 사용자 및 관리자가 리소스에 액세스할 수 있도록 합니다.

VPN의 보안 위험 및 권장 사항

VPN 중개자에게 가장 심각한 위험은 유지 관리 소홀, 구성 문제 및 자격 증명의 로컬 스토리지에서 오는 위험입니다.

Microsoft는 VPN 중개자를 위한 컨트롤 조합을 권장합니다.

  • Microsoft Entra 인증을 통합하여 로컬로 저장된 자격 증명의 위험을 줄이거나 없애고(기본 이를 획득하기 위한 오버헤드 부담) 조건부 액세스가 있는 인바운드 계정/디바이스에 제로 트러스트 정책을 적용합니다. 통합에 대한 지침은
  • 신속한 패치 - 다음을 비롯한 모든 조직 요소가 신속한 패치를 지원하는지 확인합니다.
    • 요구 사항에 대한 조직의 후원 및 리더십 지원
    • 가동 중지 시간을 최소화하거나 0으로 VPN을 업데이트하기 위한 표준 기술 프로세스 입니다. 이 프로세스에는 VPN 소프트웨어, 어플라이언스, 모든 기본 운영 체제 또는 펌웨어가 포함되어야 합니다.
    • 중요한 보안 업데이트를 신속하게 배포하는 긴급 프로세스
    • 누락된 항목을 지속적으로 검색하고 수정하는 거버넌스
  • 보안 구성 - 각 VPN 공급업체의 기능은 보안 방법에 따라 다르므로 공급업체의 특정 보안 구성 권장 사항 및 모범 사례를 검토하고 따르세요.
  • VPN 을 넘어 - 시간이 지남에 따라 VPN을 Microsoft Entra 애플리케이션 프록시 또는 Azure Bastion과 같은 더 안전한 옵션으로 바꿉니다. 이러한 옵션은 전체 네트워크 액세스가 아닌 직접 애플리케이션/서버 액세스만 제공하기 때문에. 또한 Microsoft Entra 애플리케이션 프록시를 사용하면 클라우드용 Microsoft Defender 앱에서 추가 보안을 위해 세션 모니터링을 사용할 수 있습니다.

Modernize VPN authentication and move apps to modern access

Microsoft Entra 애플리케이션 프록시

Microsoft Entra 애플리케이션 프록시 및 유사한 타사 기능은 온-프레미스 또는 클라우드의 IaaS VM에서 호스트되는 레거시 및 기타 애플리케이션에 대한 원격 액세스를 제공합니다.

Microsoft Entra 애플리케이션 프록시에 대한 사용 사례 및 시나리오

이 솔루션은 인터넷을 통해 권한 있는 사용자에게 레거시 최종 사용자 생산성 애플리케이션을 게시하는 데 적합합니다. 일부 관리 애플리케이션을 게시하는 데 사용할 수도 있습니다.

Microsoft Entra 애플리케이션 프록시에 대한 보안 위험 및 권장 사항

Microsoft Entra 애플리케이션 프록시는 최신 제로 트러스트 정책 적용을 기존 애플리케이션에 효과적으로 개조합니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시에 대한 보안 고려 사항을 참조하세요.

Microsoft Entra 애플리케이션 프록시는 클라우드용 Microsoft Defender 앱과 통합하여 조건부 액세스 앱 제어 세션 보안을 다음 항목에 추가할 수도 있습니다.

  • 데이터 반출 방지
  • 다운로드할 때 보호
  • 레이블이 없는 파일 업로드 방지
  • 준수에 대한 사용자 세션 모니터링
  • 액세스 차단
  • 사용자 지정 활동 차단

자세한 내용은 Microsoft Entra 앱용 클라우드용 Defender 앱 조건부 액세스 앱 제어 배포를 참조하세요.

Microsoft Entra 애플리케이션 프록시를 통해 애플리케이션을 게시할 때 애플리케이션 소유자가 보안 팀과 협력하여 최소 권한을 따르고 필요한 사용자만 각 애플리케이션에 액세스할 수 있도록 하는 것이 좋습니다. 이러한 방식으로 더 많은 앱을 배포하면 일부 최종 사용자 지점과 사이트 간 VPN 사용을 오프셋할 수 있습니다.

원격 데스크톱/점프 서버

이 시나리오에서는 하나 이상의 애플리케이션을 실행하는 전체 데스크톱 환경을 제공합니다. 이 솔루션에는 다음과 같은 다양한 변형이 있습니다.

  • 환경 - 창의 전체 데스크톱 또는 단일 애플리케이션 프로젝션된 환경
  • 원격 호스트 - WVD(Windows Virtual Desktop) 또는 다른 VDI(가상 데스크톱 인프라) 솔루션을 사용하는 공유 VM 또는 전용 데스크톱 VM일 수 있습니다.
  • 로컬 디바이스 - 모바일 디바이스, 관리 워크스테이션 또는 개인/파트너 관리 워크스테이션일 수 있습니다.
  • 시나리오 - 사용자 생산성 애플리케이션 또는 관리 시나리오(종종 '점프 서버'라고 함)에 초점을 맞췄습니다.

원격 데스크톱/점프 서버에 대한 사용 사례 및 보안 권장 사항

가장 일반적인 구성은 다음과 같습니다.

  • RDP(직접 원격 데스크톱 프로토콜) - RDP는 암호 스프레이와 같은 최신 공격에 대해 제한된 보호를 제공하는 프로토콜이므로 인터넷 연결에는 이 구성을 사용하지 않는 것이 좋습니다. 직접 RDP는 다음 중 하나로 변환되어야 합니다.
    • Microsoft Entra 애플리케이션 프록시에서 게시한 게이트웨이를 통한 RDP
    • Azure Bastion
  • 를 사용하여 게이트웨이를 통한 RDP
    • Windows Server에 포함된 RDS(원격 데스크톱 서비스)입니다. Microsoft Entra 애플리케이션 프록시를 사용하여 게시합니다.
    • WVD(Windows Virtual Desktop) - Windows Virtual Desktop 보안 모범 사례를 따릅니다.
    • 타사 VDI - 제조업체 또는 업계 모범 사례를 따르거나 WVD 지침을 솔루션에 적용합니다.
  • SSH(Secure Shell) 서버 - 기술 부서 및 워크로드 소유자에게 원격 셸 및 스크립팅을 제공합니다. 이 구성의 보안에는 다음이 포함됩니다.
    • 업계/제조업체 모범 사례에 따라 안전하게 구성하고, 기본 암호(해당하는 경우)를 변경하고, 암호 대신 SSH 키를 사용하고, SSH 키를 안전하게 저장하고 관리합니다.
    • Azure Bastion을 사용하여 Linux VM에 커넥트 Azure에서 호스트되는 리소스에 SSH 원격에 대한 Azure Bastion 사용

Azure Bastion

Azure Bastion은 브라우저 및 Azure Portal을 사용하여 Azure 리소스에 대한 보안 액세스를 제공하도록 설계된 중개자입니다. Azure Bastion은 RDP(원격 데스크톱 프로토콜) 및 SSH(Secure Shell) 프로토콜을 지원하는 Azure에서 액세스 리소스를 제공합니다.

Azure Bastion에 대한 사용 사례 및 시나리오

Azure Bastion 은 IT 운영 담당자 및 IT 외부의 워크로드 관리자가 환경에 대한 전체 VPN 연결을 요구하지 않고 Azure에서 호스트되는 리소스를 관리하는 데 사용할 수 있는 유연한 솔루션을 효과적으로 제공합니다.

Azure Bastion에 대한 보안 위험 및 권장 사항

Azure Bastion은 Azure Portal을 통해 액세스되므로 Azure Portal 인터페이스 에 리소스에 대한 적절한 수준의 보안 과 이를 사용하는 역할(일반적으로 권한 있거나 특수한 수준)이 필요한지 확인합니다.

추가 지침은 Azure Bastion 설명서에서 사용할 수 있습니다.

다음 단계