Azure AD의 보안 기본값
보안 관리가 어려울 수 있으므로 Microsoft는 모든 사용자가 보안 기본값을 사용할 수 있도록 하고 있습니다. 암호 스프레이, 재생 및 피싱과 같은 ID 관련 공격은 오늘날의 환경에서 일반적입니다. 이러한 ID 관련 공격의 99.9% 이상은 MFA(다단계 인증)를 사용하고 레거시 인증을 차단하여 중지됩니다. 목표는 모든 조직에서 추가 비용 없이 기본 수준 이상의 보안을 설정할 수 있도록 하는 것입니다.
보안 기본값을 사용하면 미리 구성된 보안 설정을 사용하여 조직을 이러한 ID 관련 공격에서 쉽게 보호할 수 있습니다.
- 모든 사용자에게 Azure AD Multi-Factor Authentication에 등록하도록 요구
- 관리자에게 다단계 인증을 수행하도록 요구.
- 필요한 경우 사용자에게 다단계 인증을 수행하도록 요구.
- 레거시 인증 프로토콜 차단
- Azure Portal에 대한 액세스와 같은 권한 있는 작업 보호
누구를 위한 기능인가요?
- 보안 태세를 강화하려고 하지만 어디서부터 어떻게 시작해야 할지 모르는 조직.
- Azure Active Directory 라이선스의 무료 계층을 사용하는 조직.
조건부 액세스는 어떤 사용자가 사용해야 하나요?
- 현재 조건부 액세스 정책을 사용하는 조직인 경우 보안 기본값이 적합하지 않을 수 있습니다.
- Azure Active Directory Premium 라이선스가 있는 조직은 보안 기본값이 적절하지 않을 수 있습니다.
- 조직에 복잡한 보안 요구 사항이 있는 경우 조건부 액세스를 고려해야 합니다.
보안 기본값 사용
테넌트가 2019년 10월 22일 이후에 만들어진 경우에는 테넌트에서 보안 기본값을 사용하도록 설정할 수 있습니다. 모든 사용자를 보호하기 위해 보안 값은 생성 시 모든 새 테넌트에 롤아웃됩니다.
디렉터리에서 보안 기본값을 사용하도록 설정하려면
- Azure Portal에 조건부 액세스 관리자, 보안 관리자 또는 전역 관리자로 로그인합니다.
- Azure Active Directory>속성으로 이동합니다.
- 보안 기본값 관리를 선택합니다.
- 보안 기본값 사용 토글을 예로 설정합니다.
- 저장을 선택합니다.
보안 정책 적용
모든 사용자에게 Azure AD Multi-Factor Authentication에 등록하도록 요구
테넌트의 모든 사용자는 Azure AD Multi-Factor Authentication의 형태로 MFA(다단계 인증)에 등록해야 합니다. 사용자는 Microsoft Authenticator 앱 또는 OATH TOTP를 지원하는 앱을 사용하여 Azure AD Multi-Factor Authentication에 등록할 수 있는 14일이 있습니다. 14일이 지나면 사용자는 등록이 완료될 때까지 로그인할 수 없습니다. 사용자의 14일 기간은 보안 기본값을 사용하도록 설정한 후 처음 성공한 대화형 로그인 이후에 시작됩니다.
관리자에게 다단계 인증을 수행하도록 요구
환경에 대한 관리자의 액세스 권한이 증가되었습니다. 이러한 높은 권한의 계정은 강력한 권한을 가지므로 특별히 주의해서 처리해야 합니다. 권한 있는 계정의 보호를 향상하는 한 가지 일반적인 방법은 로그인 시 보다 강력한 형태의 계정 확인을 요구하는 것입니다. Azure AD에서 다단계 인증을 요구하면 보다 강력한 계정 확인이 가능합니다.
팁
관리자에게 MFA에 대한 메시지가 표시되는 횟수를 크게 줄이려면 관리 및 표준 생산성 작업에 대해 별도의 계정을 갖는 것이 좋습니다.
Azure AD Multi-Factor Authentication 등록을 완료한 후에는 로그인할 때마다 추가 인증을 수행하기 위해 다음 Azure AD 관리자 역할이 필요합니다.
- 글로벌 관리자
- 애플리케이션 관리자
- 인증 관리자
- 대금 청구 관리자
- 클라우드 애플리케이션 관리자
- 조건부 액세스 관리자
- Exchange 관리자
- 기술 지원팀 관리자
- 암호 관리자
- 권한 있는 인증 관리자
- 보안 관리자
- SharePoint 관리자
- 사용자 관리자
필요한 경우 사용자에게 다단계 인증을 수행하도록 요구
관리자 계정도 추가 인증 계층이 필요한 유일한 계정이라고 생각하는 경향이 있습니다. 관리자는 중요한 정보에 대해 광범위한 액세스 권한을 가지며 구독 전체 설정을 변경할 수 있습니다. 그러나 공격자는 최종 사용자를 대상으로 하는 경우가 많습니다.
이러한 공격자는 액세스 권한을 얻은 후에 원래 계정 소유자의 권한 있는 정보에 대한 액세스를 요청할 수 있습니다. 전체 디렉터리를 다운로드하여 전체 조직에서 피싱 공격을 수행할 수도 있습니다.
모든 사용자에 대해 보호를 개선하는 일반적인 방법 중 하나는 모든 사용자에 대해 다단계 인증과 같은 보다 강력한 형식의 계정 확인을 요구하는 것입니다. 사용자가 등록을 완료한 후에는 필요할 때마다 다른 인증을 요구하는 메시지가 표시됩니다. Azure AD는 위치, 디바이스, 역할 및 작업과 같은 요소를 기반으로 사용자에게 다단계 인증을 요청하는 시기를 결정합니다. 이 기능은 SaaS 애플리케이션을 포함하여 Azure AD에 등록된 모든 애플리케이션을 보호합니다.
참고
B2B 직접 연결 사용자의 경우 홈 테넌트의 직접 연결 사용자에 의한 다단계 인증 등록을 포함하여 리소스 테넌트에서 사용하도록 설정된 보안 기본값의 모든 다단계 인증 요구 사항을 충족해야 합니다.
레거시 인증 프로토콜 차단
사용자가 클라우드 앱에 쉽게 액세스할 수 있도록 Azure AD에서 레거시 인증을 포함한 다양한 인증 프로토콜을 지원합니다. 레거시 인증은 다음을 통해 수행된 인증 요청을 나타내는 용어입니다.
- 최신 인증을 사용하지 않는 클라이언트(예: Office 2010 클라이언트)
- IMAP, SMTP, POP3 등의 이전 메일 프로토콜을 사용하는 모든 클라이언트
현재 대부분의 손상된 로그인 시도는 레거시 인증에서 발생합니다. 레거시 인증은 다단계 인증을 지원하지 않습니다. 디렉터리에서 다단계 인증 정책을 사용하도록 설정한 경우에도 공격자는 이전 프로토콜을 사용하여 인증하고 다단계 인증을 무시할 수 있습니다.
테넌트에서 보안 기본값을 사용하도록 설정한 후에는 이전 프로토콜을 통해 수행된 모든 인증 요청이 차단됩니다. 보안 기본값은 Exchange Active Sync 기본 인증을 차단합니다.
경고
보안 기본값을 사용하도록 설정하기 전에 관리자가 이전 인증 프로토콜을 사용하지 않는지 확인합니다. 자세한 내용은 레거시 인증에서 전환하는 방법을 참조하세요.
Azure Portal에 대한 액세스와 같은 권한 있는 작업 보호
조직에서는 다음을 포함하여 Azure Resource Manager API를 통해 관리되는 다양한 Azure 서비스를 사용합니다.
- Azure portal
- Azure PowerShell
- Azure CLI
Azure Resource Manager를 사용하여 서비스를 관리하는 작업은 높은 권한 수준의 작업입니다. Azure Resource Manager는 서비스 설정 및 구독 청구와 같은 테넌트 전체 구성을 변경할 수 있습니다. 단일 단계 인증은 피싱 및 암호 스프레이와 같은 다양한 공격에 취약합니다.
Azure Resource Manager에 액세스하고 구성을 업데이트하려는 사용자의 ID를 확인하는 것이 중요합니다. 액세스를 허용하기 전에 추가 인증을 요구하여 ID를 확인합니다.
테넌트에서 보안 기본값을 사용하도록 설정한 후 다음 서비스에 액세스하는 모든 사용자는 다단계 인증을 완료해야 합니다.
- Azure portal
- Azure PowerShell
- Azure CLI
이 정책은 Azure Resource Manager 서비스에 액세스하는 관리자 또는 사용자 모두에게 적용됩니다.
참고
2017년 이전 Exchange Online 테넌트는 최신 인증을 기본적으로 사용하지 않도록 설정합니다. 이러한 테넌트를 통해 인증하는 동안 로그인 루프가 발생하지 않도록 하려면 최신 인증을 사용하도록 설정해야 합니다.
참고
Azure AD Connect 동기화 계정은 보안 기본값에서 제외되며 다단계 인증에 등록하거나 이러한 인증을 수행하라는 메시지가 표시되지 않습니다. 조직에서는 다른 용도로 이 계정을 사용하지 않아야 합니다.
배포 고려 사항
인증 방법
보안 기본값 사용자는 알림을 사용하여 Microsoft Authenticator 앱을 사용하여 Azure AD Multi-Factor Authentication을 등록하고 사용해야 합니다. 사용자는 Microsoft Authenticator 앱의 확인 코드를 사용할 수 있지만 알림 옵션만 사용하여 등록할 수 있습니다. 사용자는 OATH TOTP 를 사용하여 타사 애플리케이션을 사용하여 코드를 생성할 수도 있습니다.
경고
보안 기본값을 사용하는 경우 조직에 대한 인정 방법을 사용하지 않도록 설정하지 마세요. 메서드를 사용하지 않도록 설정하면 테넌트에서 스스로 잠금이 발생할 수 있습니다. MFA 서비스 설정 포털에서 사용자가 사용할 수 있는 모든 메서드를 그대로 둡니다.
백업 관리자 계정
모든 조직에는 둘 이상의 백업 관리자 계정이 구성되어 있어야 합니다. 이러한 긴급 액세스 계정을 호출합니다.
이러한 계정은 일반 관리자 계정을 사용할 수 없는 시나리오에서 사용할 수 있습니다. 예: 가장 최근에 전역 관리자 액세스 권한을 가진 사람이 조직을 떠났습니다. Azure AD는 마지막 전역 관리자 계정이 삭제되지 않도록 할 수 있으나, 계정이 온-프레미스에서 삭제되거나 비활성화되는 것은 방지할 수 없습니다. 각 상황에서 조직은 계정을 복구하지 못할 수 있습니다.
긴급 액세스 계정은 다음과 같습니다.
- Azure AD에서 할당된 전역 관리자 권한입니다.
- 매일 사용하지는 않습니다.
- 길고 복잡한 암호로 보호됩니다.
이러한 긴급 액세스 계정에 대한 자격 증명은 방화 안전과 같은 안전한 위치에 오프라인으로 저장되어야 합니다. 승인된 개인만 이러한 자격 증명에 액세스할 수 있어야 합니다.
긴급 액세스 계정을 만들려면:
- 기존 전역 관리자로 Azure Portal에 로그인합니다.
- Azure Active Directory>사용자로 이동합니다.
- 새 사용자를 선택합니다.
- 사용자 만들기를 선택합니다.
- 계정에 사용자 이름을 지정합니다.
- 계정에 이름을 지정합니다.
- 계정에 대해 길고 복잡한 암호를 만듭니다.
- 역할에서 전역 관리자 역할을 할당합니다.
- 사용 위치에서 적절한 위치를 선택합니다.
- 만들기를 선택합니다.
Azure AD PowerShell을 사용하여 이러한 계정에 대해 암호 만료 사용 안 함을 선택할 수 있습니다.
긴급 액세스 계정에 대한 자세한 내용은 Azure AD에서 긴급 액세스 계정 관리 문서를 참조하세요.
B2B 사용자
디렉터리에 액세스하는 모든 B2B 게스트 사용자 또는 B2B 직접 연결 사용자는 조직의 사용자와 동일하게 처리됩니다.
사용하지 않도록 설정된 MFA 상태
조직이 사용자 기준 Azure AD Multi-Factor Authentication의 이전 사용자인 경우 다단계 인증 상태 페이지를 볼 때 사용 또는 적용 상태에 사용자가 표시되지 않더라도 놀라지 마세요. 사용 안 함은 보안 기본값 또는 조건부 액세스 기반 Azure AD Multi-Factor Authentication을 사용하는 사용자에게 적절한 상태입니다.
조건부 액세스
조건부 액세스를 사용하여 보안 기본값과 유사하지만 보다 강력한 세분성으로 정책을 구성할 수 있습니다. 조건부 액세스 정책은 보안 기본값에서는 사용할 수 없는 다른 인증 방법과 사용자 제외 기능의 선택을 허용합니다. 현재 환경에서 조건부 액세스를 사용하고 있는 경우 보안 기본값을 사용할 수 없습니다.
ID를 보호하기 위한 좋은 출발점을 형성하는 정책 세트를 구성하는 조건부 액세스를 사용하도록 설정하려는 경우 다음이 적용됩니다.
보안 기본값 사용 안 함
보안 기본값을 대체하는 조건부 액세스 정책을 구현하도록 선택하는 조직은 보안 기본값을 사용하지 않도록 설정해야 합니다.
디렉터리에서 보안 기본값을 사용하지 않도록 설정하려면
- Azure Portal에 조건부 액세스 관리자, 보안 관리자 또는 전역 관리자로 로그인합니다.
- Azure Active Directory>속성으로 이동합니다.
- 보안 기본값 관리를 선택합니다.
- 보안 기본값 사용 토글을 아니요로 설정합니다.
- 저장을 선택합니다.
다음 단계
- 블로그: 보안 기본값 소개
- 일반 조건부 액세스 정책
- Azure AD 라이선스에 대한 자세한 내용은 Azure AD 가격 책정 페이지에서 찾을 수 있습니다.