보안 작업의 Microsoft Entra IDaaS

이 아키텍처는 SOC(보안 운영 센터) 팀이 Microsoft Entra ID 및 액세스 기능을 전체 통합 및 계층화된 제로 트러스트 보안 전략에 통합하는 방법을 보여 줍니다.

모든 서비스와 디바이스가 조직의 관리되는 네트워크에 포함되었을 때 네트워크 보안은 SOC 운영을 지배했습니다. 그러나 Gartner는 2022년까지 클라우드 서비스의 시장 규모가 전체 IT 서비스의 시장 규모보다 거의 3배 가까이 성장할 것으로 예측합니다. 더 많은 회사에서 클라우드 컴퓨팅을 채택함에 따라 사용자 ID를 기본 보안 경계로 취급하는 방향으로 이동하고 있습니다.

클라우드에서 ID를 보호하는 것은 높은 우선 순위입니다.

• Verizon의 2020년 데이터 침해 조사 보고서에 따르면 37%는 도용된 자격 증명 사용과 관련되어 있으며 데이터 침해의 22%는 피싱과 관련되어 있습니다.

• 2019년 IBM의 데이터 침해 인시던트 연구에 따르면 데이터 유출로 인한 전 세계 평균 비용은 390만 달러이고 미국의 평균 비용은 820만 달러에 가깝습니다.

• Microsoft 2019 보안 인텔리전스 보고서에 따르면 피싱 공격은 2018년 1월부터 12월까지 250% 증가했습니다.

제로 트러스트 보안 모델은 모든 호스트가 인터넷에 연결된 것처럼 취급하며 네트워크 전체를 잠재적으로 손상되고 적대적인 것으로 간주합니다. 이 방법은 강력한 인증(AuthN), 권한 부여 및 암호화를 구축하는 동시에 구획화된 액세스 및 더 나은 운영 민첩성을 제공하는 데 중점을 둡니다.

Gartner는 인시던트 대응 기반 전략을 prevent-detect-respond-predict 모델로 대체하는 적응형 보안 아키텍처를 홍보합니다. 적응형 보안은 액세스 제어, 동작 모니터링, 사용 관리 및 검색을 지속적인 모니터링 및 분석과 결합합니다.

MCRA(Microsoft 사이버 보안 참조 아키텍처)는 Microsoft의 사이버 보안 기능과 IDaaS(Identity-as-a-Service)에 Microsoft Entra ID를 사용하는 클라우드 및 하이브리드 환경을 비롯한 기존 보안 아키텍처와 통합하는 방법을 설명합니다.

이 문서에서는 IDaaS에 대한 제로 트러스트 적응형 보안 접근 방식을 개선하여 Microsoft Entra 플랫폼에서 사용할 수 있는 구성 요소를 강조합니다.

잠재적인 사용 사례

• 새로운 보안 솔루션 설계
• 기존 구현 개선 또는 통합
• SOC 팀 교육

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

1. 자격 증명 관리는 인증을 제어합니다.
2. 프로비저닝 및 권한 관리는 액세스 패키지를 정의하고, 사용자를 리소스에 할당하고, 증명을 위해 데이터를 푸시합니다.
3. 권한 부여 엔진은 액세스 정책을 평가하여 액세스 권한을 결정합니다. 엔진은 또한 UEBA(사용자/엔터티 동작 분석) 데이터를 포함한 위험 검색를 평가하고 엔드포인트 관리를 위한 디바이스 규정 준수를 확인합니다.
4. 승인된 경우 사용자 또는 디바이스는 조건부 액세스 정책 및 제어에 따라 액세스 권한을 얻습니다.
5. 권한 부여에 실패하면 사용자는 실시간 수정을 수행하여 차단을 해제할 수 있습니다.
6. 모든 세션 데이터는 분석 및 보고를 위해 로깅됩니다.
7. SOC 팀의 SIEM(보안 정보 및 이벤트 관리) 시스템(SIEM(보안 정보 및 이벤트 관리) 은 클라우드 및 온-프레미스 ID에서 모든 로그, 위험 검색 및 UEBA 데이터를 수신합니다.

구성 요소

다음 보안 프로세스 및 구성 요소는 이 Microsoft Entra IDaaS 아키텍처에 기여합니다.

자격 증명 관리

자격 증명 관리에는 리소스 또는 서비스에 대한 액세스 권한을 발급, 추적 및 업데이트하는 서비스, 정책 및 관행이 포함됩니다. Microsoft Entra 자격 증명 관리에는 다음 기능이 포함됩니다.

• SSPR(셀프 서비스 암호 재설정)을 사용하면 사용자가 스스로 암호를 분실하거나 잊어버렸거나 훼손된 상태로 다시 설정할 수 있습니다. SSPR은 헬프데스크 호출을 줄일 뿐만 아니라 사용자 유연성과 보안을 강화합니다.

• 비밀번호 쓰기 저장은 클라우드에서 변경된 암호를 온-프레미스 디렉터리와 실시간으로 동기화합니다.

• 금지된 암호는 일반적으로 사용되는 약하거나 손상된 암호를 노출하는 원격 분석 데이터를 분석하고 Microsoft Entra ID 전체에서 전역적으로 사용을 금지합니다. 환경에 맞게 이 기능을 사용자 지정하고 조직 내에서 금지할 사용자 지정 암호 목록을 포함할 수 있습니다.

• 스마트 잠금은 합법적인 인증 시도와 무단 액세스를 위한 무차별 대입 시도를 비교합니다. 기본 스마트 잠금 정책에 따라 로그인 시도가 10회 실패하면 계정이 1분 동안 잠깁니다. 로그인 시도가 계속 실패하면 계정 잠금 시간이 늘어납니다. 정책을 사용하여 조직의 보안과 유용성을 적절하게 조합하여 설정을 조정할 수 있습니다.

• MFA(다단계 인증)을 사용하려면 사용자가 보호된 리소스에 액세스하려고 할 때 여러 형식의 인증이 필요합니다. 대부분의 사용자는 리소스에 액세스할 때 암호를 입력하는 것처럼 알고 있는 것을 사용하는 데 익숙합니다. MFA는 사용자에게 신뢰할 수 있는 디바이스에 대한 액세스하거나 생체 인식 식별자를 통해 자신의 신분을 증명하도록 요청합니다. MFA는 전화 통화, 문자 메시지 또는 인증 앱을 통한 알림과 같은 다양한 종류의 인증 방법을 사용할 수 있습니다.

• 암호 없는 인증은 인증 워크플로의 암호를 스마트폰이나 하드웨어 토큰, 생체 인식 식별자 또는 PIN으로 대체합니다. Microsoft 암호 없는 인증은 비즈니스용 Windows Hello 및 모바일 디바이스의 Microsoft 인증 앱과 같은 Azure 리소스와 함께 작동할 수 있습니다. WebAuthn 및 FIDO Alliance의 CTAP(클라이언트-인증자) 프로토콜을 사용하는 FIDO2 호환 보안 키를 사용하여 암호 없는 인증을 사용하도록 설정할 수도 있습니다.

앱 프로비저닝 및 권한 부여

• 권한 관리는 조직이 ID를 관리하고 대규모로 수명 주기에 액세스할 수 있도록 하는 Microsoft Entra ID 거버넌스 기능입니다. 권한 관리는 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화합니다.

• Microsoft Entra 프로비저닝을 사용하면 사용자가 액세스해야 하는 애플리케이션에서 사용자 ID 및 역할을 자동으로 만들 수 있습니다. SuccessFactors, Workday 등과 같은 타사 SaaS(Software-as-a-Service) 앱에 대한 Microsoft Entra 프로비저닝을 구성할 수 있습니다.

• Seamless SSO(Single Sign-On) 는 회사 디바이스에 로그인한 후 클라우드 기반 애플리케이션에 사용자를 자동으로 인증합니다. 암호 해시 동기화 또는 통과 인증과 함께 Microsoft Entra Seamless SSO를 사용할 수 있습니다.

• Microsoft Entra 액세스 검토를 사용한 증명은 모니터링 및 감사 요구 사항을 충족하는 데 도움이 됩니다. 액세스 검토를 통해 관리자 수를 빠르게 식별하거나, 새 직원이 필요한 리소스에 액세스할 수 있는지 확인하거나, 사용자의 작업을 검토하여 여전히 액세스 권한이 필요한지 여부를 결정할 수 있습니다.

조건부 액세스 정책 및 컨트롤

조건부 액세스 정책은 할당 및 액세스 제어의 if-then 문입니다. 정책을 트리거하는 이유("이 경우")에 대한 응답("이 작업을 수행")을 정의하여 권한 부여 엔진이 조직 정책을 적용하는 결정을 내릴 수 있도록 합니다. Microsoft Entra 조건부 액세스를 사용하면 권한 있는 사용자가 앱에 액세스하는 방법을 제어할 수 있습니다. Microsoft Entra ID What If 도구 는 조건부 액세스 정책이 적용되었거나 적용되지 않은 이유 또는 특정 상황에서 사용자에게 정책이 적용되는지 여부를 이해하는 데 도움이 될 수 있습니다.

조건부 액세스 제어는 조건부 액세스 정책과 함께 작동하여 조직 정책을 적용하는 데 도움이 됩니다. Microsoft Entra 조건부 액세스 제어를 사용하면 모든 접근 방식에 맞는 한 가지 크기가 아닌 액세스 요청 시 검색된 요인에 따라 보안을 구현할 수 있습니다. 조건부 액세스 제어를 액세스 조건과 결합하면 추가 보안 컨트롤을 만들 필요가 줄어듭니다. 일반적인 예로 도메인에 조인된 디바이스의 사용자가 SSO를 사용하여 리소스에 액세스하도록 허용할 수 있지만 네트워크 외부에 있거나 자신의 디바이스를 사용하는 사용자에게는 MFA가 필요합니다.

Microsoft Entra ID는 조건부 액세스 정책과 함께 다음 조건부 액세스 제어를 사용할 수 있습니다.

• Azure RBAC(역할 기반 액세스 제어) 를 사용하면 Azure 리소스를 사용하여 관리 또는 특수 작업을 수행해야 하는 사용자에게 적절한 역할을 구성하고 할당할 수 있습니다. Azure RBAC를 사용하여 별도의 전용 관리자 전용 계정을 만들거나 유지 관리하고 설정한 역할에 대한 액세스 범위를 지정하거나, 액세스 시간을 제한하거나, 승인 워크플로를 통해 액세스 권한을 부여할 수 있습니다.

• PIM(Privileged Identity Management) 을 사용하면 관리 계정에 추가 모니터링 및 보호를 추가하여 조직의 공격 벡터를 줄일 수 있습니다. Microsoft Entra PIM을 사용하면 JIT(Just-In-Time) 액세스 및 JEA(충분한 관리)를 사용하여 Azure, Microsoft Entra ID 및 기타 Microsoft 365 서비스 내의 리소스에 대한 액세스를 관리하고 제어할 수 있습니다. PIM은 관리 작업의 기록과 변경 로그를 제공하고 정의한 역할에서 사용자가 추가되거나 제거될 때 경고합니다.

  PIM을 사용하여 승인이 필요하거나 관리 역할을 활성화하는 데 정당성을 부여할 수 있습니다. 사용자는 대부분의 경우 일반 권한을 유지하고 관리 또는 특수 작업을 완료하는 데 필요한 역할에 대한 액세스를 요청 및 수신할 수 있습니다. 작업을 완료하고 로그아웃하거나 액세스 시간 제한이 만료되면 표준 사용자 권한으로 재인증할 수 있습니다.

• 클라우드용 Microsoft Defender는 트래픽 로그를 분석하여 조직에서 사용 중인 애플리케이션과 서비스를 검색하고 모니터링하는 CASB(클라우드 액세스 보안 브로커)입니다. Defender for Cloud Apps를 사용하여 다음을 수행할 수 있습니다.

  • 앱 및 서비스와의 상호 작용을 관리하기 위한 정책 만들기
  • 애플리케이션을 사용 권한이 주어지거나 또는 사용 권한이 주어지지 않은 것으로 식별
  • 데이터에 대한 액세스 제어 및 제한
  • 정보 손실을 방지하기 위해 정보 보호 적용

  Defender for Cloud Apps는 액세스 정책 및 세션 정책과 함께 작동하여 SaaS 앱에 대한 사용자 액세스를 제어할 수도 있습니다. 예를 들어 다음을 수행할 수 있습니다.

  • 앱에 액세스할 수 있는 IP 범위 제한
  • 앱 액세스에 MFA 필요
  • 승인된 앱 내에서만 작업 허용

• SharePoint 관리 센터의 액세스 제어 페이지에서는 SharePoint 및 OneDrive 콘텐츠에 대한 액세스를 제어하는 여러 가지 방법을 제공합니다. 액세스 차단, 관리되지 않는 디바이스의 제한된 웹 전용 액세스 또는 네트워크 위치를 기반으로 액세스 제어를 선택할 수 있습니다.

• Microsoft Graph API에서 ApplicationAccessPolicy를 사용하여 특정 Exchange Online 사서함에 대한 애플리케이션 권한 범위를 지정할 수 있습니다.

• TOU(사용 약관)은 최종 사용자가 보호된 리소스에 액세스하기 전에 동의해야 하는 정보를 제공하는 방법입니다. TOU 문서를 AZURE에 PDF 파일로 업로드하면 조건부 액세스 정책에서 컨트롤로 사용할 수 있습니다. 사용자가 로그인 시 TOU에 동의하도록 요구하는 조건부 액세스 정책을 만들면 TOU를 수락한 사용자를 쉽게 감사할 수 있습니다.

• 엔드포인트 관리는 승인된 사용자가 모바일 및 개인 디바이스를 비롯한 다양한 디바이스에서 클라우드 앱에 액세스하는 방법을 제어합니다. 조건부 액세스 정책을 사용하여 특정 보안 및 규정 준수 표준을 충족하는 디바이스에 대한 액세스만 제한할 수 있습니다. 이러한 관리 디바이스에는 디바이스 ID가 필요합니다.

위험 검색

Azure ID 보호에는 조직에서 의심스러운 사용자 작업에 대한 대응을 관리할 수 있도록 하는 여러 정책이 포함되어 있습니다. 사용자 위험은 사용자 ID가 손상될 확률입니다. 로그인 위험은 로그인 요청이 사용자로부터 오지 않을 확률입니다. Microsoft Entra ID는 동작 분석을 기반으로 실제 사용자로부터 시작된 로그인 요청의 확률에 따라 로그인 위험 점수를 계산합니다.

• Microsoft Entra 위험 검색은 적응형 기계 학습 알고리즘 및 추론을 사용하여 사용자 계정과 관련된 의심스러운 작업을 검색합니다. 검색된 각 의심스러운 동작은 위험 검색이라는 레코드에 저장됩니다. Microsoft Entra ID는 이 데이터를 사용하여 사용자 및 로그인 위험 확률을 계산하며, Microsoft의 내부 및 외부 위협 인텔리전스 원본 및 신호를 통해 향상됩니다.

• Microsoft Graph의 ID 보호 위험 검색 API를 사용하여 위험한 사용자 및 로그인에 대한 정보를 노출할 수 있습니다.

• 실시간 수정을 통해 사용자는 SSPR 및 MFA를 사용하여 일부 위험 검색을 자가 수정하여 스스로 차단을 해제할 수 있습니다.

고려 사항

이 솔루션을 사용할 때는 다음 사항에 유의하세요.

로깅

Microsoft Entra 감사 보고서는 감사 로그, 로그인 로그 및 위험한 로그인 및 위험한 사용자 보고서를 사용하여 Azure 활동에 대한 추적 가능성을 제공합니다. 서비스, 범주, 작업 및 상태를 포함한 여러 매개 변수를 기반으로 로그 데이터를 필터링하고 검색할 수 있습니다.

다음과 같은 엔드포인트로 Microsoft Entra ID 로그 데이터를 라우팅할 수 있습니다.

• Azure Storage 계정
• Azure Monitor 로그
• Azure 이벤트 허브
• Microsoft Sentinel, ArcSight, Splunk, SumoLogic, 기타 외부 SIEM 도구와 같은 SIEM 솔루션 또는 사용자 고유의 솔루션.

Microsoft Graph 보고 API 를 사용하여 사용자 고유의 스크립트 내에서 Microsoft Entra ID 로그 데이터를 검색하고 사용할 수도 있습니다.

온-프레미스 및 하이브리드 고려 사항

인증 방법은 하이브리드 시나리오에서 조직의 ID를 보호하는 데 중요합니다. Microsoft는 Microsoft Entra ID를 사용하여 하이브리드 인증 방법을 선택하는 방법에 대한 특정 지침을 제공합니다.

Microsoft Defender for Identity는 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사할 수 있습니다. Defender for Identity는 UEBA를 사용하여 내부자 위협을 식별하고 위험을 플래그 지정합니다. ID가 손상되더라도 Defender for Identity는 비정상적인 사용자 동작에 따라 손상 사항을 식별하는 데 도움이 될 수 있습니다.

Defender for Identity는 클라우드용 Defender 앱과 통합되어 클라우드 앱으로 보호를 확장합니다. Defender for Cloud Apps를 사용하여 다운로드 시 파일을 보호하는 세션 정책을 만들 수 있습니다. 예를 들어 특정 유형의 사용자가 다운로드한 파일에 대해 보기 전용 권한을 자동으로 설정할 수 있습니다.

실시간 모니터링을 위해 클라우드용 Defender 앱을 사용하도록 Microsoft Entra ID에서 온-프레미스 애플리케이션을 구성할 수 있습니다. Defender for Cloud Apps는 조건부 액세스 앱 제어를 사용하여 조건부 액세스 정책에 따라 실시간으로 세션을 모니터링하고 제어합니다. Microsoft Entra ID에서 애플리케이션 프록시를 사용하는 온-프레미스 애플리케이션에 이러한 정책을 적용할 수 있습니다.

Microsoft Entra 애플리케이션 프록시 사용하면 사용자가 원격 클라이언트에서 온-프레미스 웹 애플리케이션에 액세스할 수 있습니다. 애플리케이션 프록시를 사용하면 애플리케이션에 대한 모든 로그인 작업을 한 곳에서 모니터링할 수 있습니다.

Microsoft Entra ID Protection과 함께 Defender for Identity를 사용하여 Microsoft Entra Connect와 Azure에 동기화되는 사용자 ID를 보호할 수 있습니다.

일부 앱이 이미 기존 배달 컨트롤러 또는 네트워크 컨트롤러 를 사용하여 네트워크 외부 액세스를 제공하는 경우 Microsoft Entra ID와 통합할 수 있습니다. Akamai, Citrix, F5 Networks 및 Zscaler를 비롯한 여러 파트너는 Microsoft Entra ID와의 통합을 위한 솔루션 및 지침을 제공합니다.

비용 최적화

Microsoft Entra 가격 책정은 무료부터 SSO 및 MFA와 같은 기능의 경우 PIM 및 권한 관리와 같은 기능의 경우 프리미엄 P2까지 다양합니다. 가격 책정 세부 정보는 Microsoft Entra 가격 책정을 참조하세요.

다음 단계

• 제로 트러스트 보안
• Microsoft Entra ID용 제로 트러스트 배포 가이드
• 보안 핵심 요소 개요
• Microsoft Entra 데모 테넌트 (Microsoft 파트너 네트워크 계정 필요) 또는 Enterprise Mobility + Security 평가판
• Microsoft Entra 배포 계획

관련 참고 자료

• Azure IoT 참조 아키텍처
• Azure에서 매우 중요한 IaaS(Infrastructure as a Service) 앱에 대한 보안 고려 사항