Azure Active Directory B2C ID 솔루션을 보호하는 방법

이 문서에서는 Azure AD B2C(Azure Active Directory B2C) 솔루션을 보호하는 모범 사례를 제공합니다. Azure AD B2C를 사용하여 ID 솔루션을 빌드하려면 보호 및 모니터링을 고려해야 하는 많은 구성 요소가 포함됩니다.

솔루션에 따라 범위에 다음 구성 요소 중 하나 이상이 있습니다.

• Azure AD B2C 인증 엔드포인트
• Azure AD B2C 사용자 흐름 또는 사용자 지정 정책
  • 로그인
  • 등록하세요
• 전자 메일 OTP(일회용 암호)
• 다단계 인증 컨트롤
• 외부 REST API들

사용자가 중단 없이 애플리케이션에 로그인할 수 있도록 이러한 모든 구성 요소를 보호하고 모니터링해야 합니다. 이 문서의 지침에 따라 봇 공격, 사기성 계정 생성, ISRF(국제 수익 공유 사기) 및 암호 스프레이로부터 솔루션을 보호합니다.

솔루션을 보호하는 방법

ID 솔루션은 여러 구성 요소를 사용하여 원활한 로그인 환경을 제공합니다. 다음 표에서는 각 구성 요소에 권장되는 보호 메커니즘을 보여 줍니다.

구성 요소	엔드포인트	왜	보호하는 방법
Azure AD B2C 인증 엔드포인트	/authorize, /token, /.well-known/openid-configuration/discovery/v2.0/keys	리소스 소모 방지	WAF(웹 애플리케이션 방화벽) 및 AFD(Azure Front Door)
로그인	NA	악의적인 로그인이 계정을 무차별 대입 공격하거나 유출된 자격 증명을 사용할 가능성이 있습니다.	ID 보호
등록	NA	사기성 등록들이 리소스를 소진하려고 시도할 수 있습니다.	엔드포인트 보호 Dynamics Fraud Protection과 같은 사기 방지 기술
전자 메일 OTP	NA	무차별 암호 대입 시도 또는 리소스 소모	엔드포인트 보호 및 인증자 앱
다단계 인증 컨트롤	NA	원치 않는 전화 통화 또는 SMS 메시지 또는 리소스 소모.	엔드포인트 보호 및 인증자 앱
외부 REST API들	사용자의 REST API 엔드포인트	사용자 흐름 또는 사용자 지정 정책을 악의적으로 사용하면 API 엔드포인트에서 리소스가 소모됩니다.	WAF 및 AFD

보호 메커니즘

다음 표에서는 다양한 구성 요소를 보호하는 데 사용할 수 있는 다양한 보호 메커니즘에 대한 개요를 제공합니다.

무엇	왜	방법
WAF(웹 애플리케이션 방화벽)	WAF는 Azure AD B2C 엔드포인트에 대한 악의적인 요청에 대한 첫 번째 방어 계층 역할을 합니다. DDoS, 봇, OWASP 상위 10개 등과 같은 일반적인 악용 및 취약성에 대한 중앙 집중식 보호를 제공합니다. WAF를 사용하여 악의적인 요청이 Azure AD B2C 엔드포인트에 도달하기 전에 중지되도록 하는 것이 좋습니다. WAF를 사용하도록 설정하려면 먼저 AFD를 사용하여 Azure AD B2C에서 사용자 지정 도메인을 사용하도록 설정해야 합니다.	Cloudflare WAF 구성 Akamai WAF 구성
AFD(Azure Front Door)	AFD는 Microsoft 글로벌 에지 네트워크를 사용하여 빠르고 안전하며 확장 가능한 웹 애플리케이션을 만드는 글로벌 확장 가능한 진입점입니다. AFD의 주요 기능은 다음과 같습니다. 셀프 서비스 방식으로 사용자 지정 도메인을 추가하거나 제거할 수 있습니다. 간소화된 인증서 관리 환경 Azure Key Vault를 통해 적절한 회전 환경으로 사용자 고유의 인증서를 가져오고 인증서 만료에 대한 경고를 받을 수 있습니다. 더 빠르게 프로비저닝하고 만료 시 자동 갱신을 위한 AFD 배포 인증서	Azure Active Directory B2C에 대한 사용자 지정 도메인 사용
ID 확인 및 교정/사기 방지	ID 확인 및 교정은 신뢰할 수 있는 사용자 환경을 만들고 계정 인수 및 사기성 계정 생성으로부터 보호하는 데 중요합니다. 또한 사용자 개체가 비즈니스 시나리오에 맞는 실제 사용자를 반영하도록 하여 테넌트 위생에 기여합니다. Azure AD B2C를 사용하면 ID 확인 및 교정과 다양한 소프트웨어 공급업체 파트너의 사기 방지를 통합할 수 있습니다.	신원 확인 및 증명 파트너와 통합 Microsoft Dynamics 365 Fraud Protection 구성 Arkose Labs 플랫폼을 사용하여 구성 사기성 MFA 사용 완화
ID 보호	신원 보호는 계속적인 위험 감지를 제공합니다. 로그인하는 동안 위험이 감지되면 사용자가 로그인을 진행하기 전에 위험을 수정할 수 있도록 Azure AD B2C 조건부 정책을 구성할 수 있습니다. 관리자는 ID 보호 보고서를 사용하여 위험에 처한 위험한 사용자를 검토하고 검색 세부 정보를 검토할 수도 있습니다. 위험 검색 보고서에는 각 위험 검색에 대한 정보(예: 유형 및 로그인 시도 위치 등)가 포함됩니다. 관리자는 사용자가 손상되었다는 것을 확인하거나 거부할 수도 있습니다.	ID 보호를 사용하여 위험 조사
조건부 액세스(CA)	사용자가 로그인을 시도하면 CA는 ID 보호의 위험과 같은 다양한 신호를 수집하여 결정을 내리고 조직 정책을 적용합니다. CA는 관리자가 조직의 보안 상태와 일치하는 정책을 개발할 수 있도록 지원할 수 있습니다. 정책에는 사용자가 MFA와 같은 다른 인증을 완료한 후 사용자 액세스를 완전히 차단하거나 액세스를 제공하는 기능이 포함될 수 있습니다.	사용자 흐름에 조건부 액세스 정책 추가
다단계 인증	MFA는 등록 및 로그인 프로세스에 두 번째 보안 계층을 추가하며 Azure AD B2C에서 사용자 인증의 보안 상태를 개선하는 데 필수적인 구성 요소입니다. Authenticator 앱 - TOTP는 Azure AD B2C에서 권장되는 MFA 방법입니다.	다단계 인증 사용
SIEM(보안 정보 및 이벤트 관리)/ SOAR(보안 오케스트레이션, 자동화 및 응답)	로그인 및 등록과 같은 사용 패턴을 분석하고 사이버 공격을 나타낼 수 있는 비정상적인 동작을 검색하기 위한 신뢰할 수 있는 모니터링 및 경고 시스템이 필요합니다. 추가 보안 계층을 추가하는 중요한 단계입니다. 또한 시간이 지남에 따라 캡처하고 빌드할 수 있는 패턴과 추세를 이해해야 합니다. 경고는 전체 로그인의 변경 속도, 실패한 로그인 증가, 실패한 등록 경험, IRSF 공격과 같은 전화 기반 사기 등과 같은 요인을 결정하는 데 도움이 됩니다. 이 모든 것은 즉각적인 주의가 필요한 지속적인 사이버 공격의 지표일 수 있습니다. Azure AD B2C는 높은 수준의 세분성 로깅과 보고서 및 경고 생성을 모두 지원합니다. 모든 프로덕션 테넌트에서 모니터링 및 경고를 구현하는 것이 좋습니다.	Azure Monitor를 사용하여 모니터링 보고서 및 경고 사용 사기성 MFA 사용 모니터링 Application Insights를 사용하여 Azure AD B2C 로그 수집 Microsoft Sentinel을 사용하여 Azure AD B2C 데이터에 대한 보안 분석 구성

REST API 보호

Azure AD B2C를 사용하면 API 커넥터 또는 REST API 기술 프로필을 사용하여 외부 시스템에 연결할 수 있습니다. 이러한 인터페이스를 보호해야 합니다. Azure AD B2C 인증 엔드포인트를 보호하여 REST API에 대한 악의적인 요청을 방지할 수 있습니다. WAF 및 AFD를 사용하여 이러한 엔드포인트를 보호할 수 있습니다.

시나리오 1: 로그인 환경을 보호하는 방법

로그인 환경 또는 사용자 흐름을 만든 후에는 악의적인 활동으로부터 흐름의 특정 구성 요소를 보호해야 합니다. 예를 들어 로그인 흐름에 다음이 포함된 경우 표에는 보호해야 하는 구성 요소 및 관련 보호 기술이 표시됩니다.

• 로컬 계정 전자 메일 및 암호 인증
• SMS 또는 전화 통화를 사용하는 Microsoft Entra 다단계 인증

구성 요소	엔드포인트	보호하는 방법
Azure AD B2C 인증 엔드포인트	/authorize, /token, /.well-known/openid-configuration/discovery/v2.0/keys	WAP 및 AFD
로그인	NA	ID 보호
다단계 인증 컨트롤	NA	Authenticator 앱
외부 REST API	당신의 API 엔드포인트.	인증자 앱, WAF 및 AFD

시나리오 2: 등록 환경을 보호하는 방법

등록 환경 또는 사용자 흐름을 만든 후에는 악의적인 활동으로부터 흐름의 특정 구성 요소를 보호해야 합니다. 로그인 흐름에 다음이 포함된 경우 표에는 보호해야 하는 구성 요소 및 관련 보호 기술이 표시됩니다.

• 로컬 계정 전자 메일 및 암호 등록
• 전자 메일 OTP를 사용하여 전자 메일 확인
• SMS 또는 전화 통화를 사용하는 Microsoft Entra 다단계 인증

구성 요소	엔드포인트	보호하는 방법
Azure AD B2C 인증 엔드포인트	/authorize, /token, /.well-known/openid-configuration/discovery/v2.0/keys	WAF 및 AFD
등록(sign up)	NA	Dynamics Fraud Protection
전자 메일 OTP	NA	WAF 및 AFD
다단계 인증 컨트롤	NA	Authenticator 앱

이 시나리오에서는 WAF 및 AFD 보호 메커니즘을 사용하여 Azure AD B2C 인증 엔드포인트와 Email OTP 구성 요소를 모두 보호합니다.

다음 단계

• Azure AD B2C 인증 엔드포인트를 보호하도록 웹 애플리케이션 방화벽을 구성합니다.
• Dynamics를 사용하여 사기 방지를 구성 하여 인증 환경을 보호합니다.
• Azure AD B2C에서 ID 보호를 사용하여 위험을 조사 하여 ID 기반 위험을 검색, 조사 및 수정합니다.
• 휴대폰 기반 다단계 인증 보안을 위해 휴대폰 기반 다단계 인증을 보호하세요.
• 로그인 환경을 보호하도록 ID 보호를 구성합니다.
• 모든 위협에 대해 경고하도록 모니터링 및 경고를 구성합니다.