Microsoft Entra ID를 사용한 NIST 인증자 보증 수준 2
NIST(미국 국립표준기술원)는 ID 솔루션을 구현하는 미국 연방 기관에 대한 기술 요구 사항을 작성합니다. 연방 기관과 협력하는 조직은 이러한 요구 사항을 충족해야 합니다.
AAL2(인증자 보증 수준 2)를 시작하기 전에 다음 리소스를 참조할 수 있습니다.
- NIST 개요: AAL 수준 이해
- 인증 기본 사항: 용어 및 인증 유형
- NIST 인증자 형식: 인증자 형식
- NIST AAL: AAL 구성 요소 및 Microsoft Entra 인증 방법
허용되는 AAL2 인증자 유형
다음 표에는 AAL2에 허용되는 다음 인증자 형식이 있습니다.
| Microsoft Entra 인증 방법 | NIST 인증자 유형 |
|---|---|
| 권장 방법 | |
| 다단계 소프트웨어 인증서(PIN 보호) 소프트웨어 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하는 비즈니스용 Windows Hello |
다단계 암호화 소프트웨어 |
| 하드웨어로 보호 받는 인증서(스마트카드/보안 키/TPM) FIDO 2 보안 키 하드웨어 TPM을 사용하는 비즈니스용 Windows Hello |
다단계 암호화 하드웨어 |
| Microsoft Authenticator 앱(암호 없음) | 다중 요소 대역 외 |
| 추가 방법 | |
| 암호 및 - Microsoft Authenticator 앱(푸시 알림) - OR - Microsoft Authenticator 라이트(푸시 알림) - OR - 휴대폰(SMS) |
저장된 비밀 및 단일 요소 대역 외 |
| 암호 및 - OATH 하드웨어 토큰(미리 보기) - OR - Microsoft Authenticator 앱(OTP) - OR - Microsoft Authenticator 라이트(OTP) - OR - OATH 소프트웨어 토큰 |
저장된 비밀 및 단일 요소 OTP |
| 암호 및 - 단일 요소 소프트웨어 인증서 - OR - 소프트웨어 TPM과 Microsoft Entra 조인됨 - OR - 소프트웨어 TPM과 Microsoft Entra 하이브리드 조인됨 - OR - 규격 모바일 디바이스 |
저장된 비밀 및 단일 단계 암호화 소프트웨어 |
| 암호 및 - 하드웨어 TPM과 Microsoft Entra 조인됨 - OR - Microsoft Entra 하이브리드가 하드웨어 TPM과 조인됨 |
저장된 비밀 및 단일 요소 암호화 하드웨어 |
참고 항목
이제 Microsoft Authenticator 자체는 피싱을 방지하지 않습니다. Microsoft Authenticator 사용 시에 외부의 피싱 위협으로부터 보호를 받으려면 관리 디바이스를 요구하는 조건부 액세스 정책을 추가로 구성해야 합니다.
AAL2 권장 사항
AAL2를 달성하려면 다단계 암호화 하드웨어 또는 소프트웨어 인증자를 사용합니다. 암호 없는 인증은 가장 큰 공격 표면(암호)을 제거하고 사용자에게 간소화된 인증 방법을 제공합니다.
암호 없는 인증 방법을 선택하는 방법에 대한 지침은 Microsoft Entra ID에서 암호 없는 인증 배포 계획을 참조하세요. 비즈니스용 Windows Hello 배포 가이드를 함께 참고하세요.
FIPS 140 유효성 검사
다음 섹션을 사용하여 FIPS 140 유효성 검사에 대해 알아봅니다.
검증 도구 요구 사항
Microsoft Entra ID는 인증 암호화 작업에 Windows FIPS 140 수준 1 전체 유효성 검사 암호화 모듈을 사용합니다. 따라서 이는 정부 기관에서 요구하는 FIPS 140 규격 검증 도구입니다.
인증자 요구 사항
정부 기관 암호화 인증자는 FIPS 140 수준 1 전체 검증을 받습니다. 이 요구 사항은 비정부 기관에는 해당되지 않습니다. 다음 Microsoft Entra 인증자는 FIPS 140 승인 모드의 Windows에서 실행할 때 해당 요구 사항을 충족합니다.
암호
소프트웨어 또는 하드웨어 TPM과 Microsoft Entra 조인됨
소프트웨어 또는 하드웨어 TPM과 Microsoft Entra 하이브리드 조인됨
소프트웨어 또는 하드웨어 TPM을 사용하는 비즈니스용 Windows Hello
소프트웨어 또는 하드웨어에 저장된 인증서(스마트 카드/보안 키/TPM)
Microsoft Authenticator 앱은 iOS에서 FIPS 140 규격입니다. Android FIPS 140 규정 준수가 진행 중입니다. Microsoft Authenticator에서 사용하는 FIPS 유효성이 검사된 암호화 모듈에 대한 자세한 내용은 Microsoft Authenticator 앱을 참조 하세요.
OATH 하드웨어 토큰 및 스마트 카드의 경우 현재 FIPS 유효성 검사 상태 공급자에게 문의하는 것이 좋습니다.
FIDO 2 보안 키 공급자는 FIPS 인증의 여러 단계에 걸쳐 있습니다. 지원되는 FIDO 2 주요 공급업체 목록을 검토하는 것이 좋습니다. 현재 FIPS 유효성 검사 상태 공급자에게 문의하세요.
재인증
AAL2 수준에서는 NIST가 사용자 활동에 관계없이 12시간마다 재인증을 요구합니다. 재인증은 비활성 상태가 30분 이상 지속된 경우에도 필요합니다. 세션 비밀은 사용자가 가지고 있으면서 자신의 역할이나 자신이 알고 있는 정보를 보여주는 것이므로 필요합니다.
사용자 활동과 관계없는 재인증에 대한 요구 사항을 충족하려면 사용자 로그인 빈도를 12시간으로 구성하는 것이 좋습니다.
NIST를 이용하면 보상 컨트롤을 사용하여 구독자의 현재 상태를 확인할 수 있습니다.
세션 비활성 시간 제한을 30분으로 설정: Microsoft System Center Configuration Manager나 GPO(그룹 정책 개체) 또는 Intune을 사용하여 운영 체제 수준에서 디바이스를 잠급니다. 구독자가 잠금을 해제하려면 로컬 인증이 필요합니다.
활동 여부와 무관하게 시간 제한: 예약된 작업(Configuration Manager나 GPO 또는 Intune)을 실행하여 활동에 관계없이 12시간 후에 컴퓨터를 잠급니다.
Man-in-the-Middle 저항
청구인과 Microsoft Entra ID 간의 통신은 인증 및 보호가 확보된 채널을 통해 전달됩니다. 이 구성은 중간자(Man-in-the-Middle) 공격에 대한 저항력을 제공하고 AAL1, AAL2, AAL3에 대한 MitM 저항 요구 사항을 충족합니다.
재생 저항
AAL2의 Microsoft Entra 인증 방법은 nonce 또는 챌린지를 사용합니다. 이 방법은 검증 도구가 재생된 인증 트랜잭션을 검색하기 때문에 재생 공격에 저항합니다. 이러한 트랜잭션에는 필요한 nonce 또는 적시성 데이터가 포함되지 않습니다.
다음 단계
Microsoft Entra ID로 NIST AAL1 획득