Share via

방어 조직의 외부 ID를 사용하여 중앙 집중식 보안 작업

  • 아티클

이 문서는 중앙 집중식 보안 운영 팀이 있는 다중 테넌트 방어 조직을 위한 것입니다. 여러 테넌트를 관리하고 단일 ID 및 권한 있는 액세스 디바이스를 사용하여 제로 트러스트 요구 사항을 충족하는 방법을 설명합니다. 이 구성을 사용하면 보안 운영자가 환경을 보호하기 위해 여러 사용자 계정, 자격 증명 및 워크스테이션이 필요하지 않습니다. 이 설정은 보조 테넌트에서 제로 트러스트 기능을 지원합니다.

구성 구성 요소 이해

이 시나리오에서는 Microsoft Defender XDR에서 Azure Lighthouse, Entra 외부 ID, Entra Privileged Identity Management다중 테넌트 관리를 결합합니다.

Azure Lighthouse를 사용하여 보조 테넌트에서 Microsoft Sentinel을 관리합니다. Azure Lighthouse를 사용하여 보조 테넌트에 연결된 구독에서 Microsoft Sentinel 작업 영역을 관리해야 합니다. Azure Lighthouse는 확장성, 높은 자동화, 리소스 전반의 향상된 거버넌스를 통해 다중 테넌트 관리를 지원합니다.

Azure Lighthouse를 사용하면 한 테넌트에서 보안 주체(사용자, 그룹 또는 서비스 주체)가 다른 테넌트에서 리소스를 관리하는 Azure 역할을 가질 수 있습니다. 이 설정을 사용하면 기본 테넌트에서 보안 운영자가 테넌트 전체에서 Sentinel클라우드용 Defender 원활하게 관리할 수 있습니다.

참고 항목

보조 테넌트에 연결된 Microsoft Sentinel 작업 영역에 대한 사용 권한은 보조 테넌트에 대한 로컬 사용자, 기본 테넌트에서 B2B 게스트 사용자 또는 Azure Lighthouse를 사용하는 기본 테넌트 사용자에게 직접 할당할 수 있습니다. Azure Lighthouse는 테넌트 경계를 넘어 작업 영역 간 활동을 확장할 수 있으므로 Sentinel에 권장되는 옵션입니다.

Entra 외부 ID를 사용하여 보조 테넌트에서 엔드포인트용 Microsoft Defender 관리합니다. Azure Lighthouse를 사용하여 테넌트 간에 MDE(엔드포인트용 Microsoft Defender)를 공유할 수 없으므로 외부 ID(B2B 게스트)를 사용해야 합니다. 외부 ID를 사용하면 기본 테넌트에서 보안 운영자가 다른 계정 또는 자격 증명으로 로그인하지 않고 보조 테넌트에서 MDE를 관리할 수 있습니다. 보안 운영자는 사용 중인 테넌트만 지정해야 합니다. 테넌트는 테넌트 지정을 위해 Microsoft Defender 포털 URL에 테넌트 ID를 포함해야 합니다. 운영자는 관리해야 하는 각 테넌트에 대해 Microsoft Defender 포털에 책갈피를 지정해야 합니다. 설정을 완료하려면 보조 테넌트에서 테넌트 간 액세스 설정을 구성해야 합니다. 주 테넌트에서 MFA(다단계 인증) 및 디바이스 준수를 신뢰하도록 인바운드 트러스트 설정을 지정합니다. 이 구성을 사용하면 게스트 사용자가 보조 테넌트에 대한 기존 조건부 액세스 정책에 대한 예외를 만들지 않고 MDE를 관리할 수 있습니다.

보조 테넌트에 연결된 구독에서 Defender for Server를 사용하도록 설정하면 MDE 확장이 MDE 서비스에 보안 신호를 자동으로 배포하고 제공하기 시작합니다. 동일한 보조 테넌트가 사용됩니다. MDE 권한은 Azure Lighthouse를 사용할 수 없습니다. 로컬(보조) Microsoft Entra ID의 사용자 또는 그룹에 할당해야 합니다. 보조 테넌트에서 보안 운영자를 외부 ID(B2B 게스트)로 등록해야 합니다. 그런 다음 Microsoft Entra 보안 그룹을 사용하여 MDE 역할에 게스트를 추가할 수 있습니다. 이 구성을 사용하면 주 테넌트 보안 운영자가 보조 테넌트에서 MDE로 보호되는 서버에서 응답 작업을 수행할 수 있습니다.

Privileged Identity Management를 사용합니다.Microsoft Entra PIM(Privileged Identity Management) 을 사용하면 Azure 및 Microsoft Entra 역할에 대해 Just-In-Time 역할 상승이 가능합니다. 그룹 용 PIM은 이 기능을 Microsoft 365 그룹 및 Microsoft Entra 보안 그룹의 그룹 멤버 자격으로 확장합니다. 그룹에 대한 PIM을 설정하면 그룹에 대한 PIM의 액세스 검토를 만들어 권한 있는 그룹의 활성 및 적격 멤버 자격을 검토해야 합니다.

Important

Azure Lighthouse에서 Entra Privileged Identity Management를 사용하는 방법에는 두 가지가 있습니다. 그룹에 PIM을 사용하여 이전 섹션에 설명된 대로 Azure Lighthouse에서 구성된 영구 권한 부여를 사용하여 엔트라 보안 그룹으로 멤버 자격을 승격할 수 있습니다. 또 다른 옵션은 적격 권한 부여를 사용하여 Azure Lighthouse를 구성하는 것입니다. 자세한 내용은 Azure Lighthouse에 고객 온보딩을 참조 하세요.

중앙 집중식 보안 작업 구성

다중 테넌트 환경에 대한 중앙 집중식 보안 작업을 설정하려면 Azure Lighthouse, Entra 외부 ID 및 Entra Privileged Identity Management를 구성해야 합니다. 기본 테넌트에서 보안 연산자는 단일 ID 보안 다중 테넌트를 사용할 수 있습니다. 한 번 로그인하고, PIM을 사용하여 액세스 권한을 높이고, 테넌트 및 서비스에서 리소스를 모니터링하고, 테넌트 간 위협에 대응합니다(그림 1 참조).

Diagram showing the configuration for centralized security operations across primary and secondary Microsoft Entra tenants.그림 1. 다중 테넌트 방어 조직에서 보안 작업을 설정하는 방법입니다.

1. Sentinel을 배포하고 클라우드용 Defender 사용하도록 설정합니다. 각 테넌트에 연결된 구독에서 Microsoft Sentinel 작업 영역을 만듭니다. 관련 데이터 커넥터를 구성하고 분석 규칙을 사용하도록 설정합니다. 모든 Azure 환경에서 Defender for Server를 비롯한 호스트된 워크로드에 대해 클라우드용 Defender 향상된 워크로드 보호를 사용하도록 설정하고 microsoft Sentinel에 클라우드용 Defender 연결합니다.

2. Azure 보안 작업에 대한 PIM을 구성합니다. 역할 할당 가능 그룹(그림 1Azure SecOps)을 만들고 보안 운영자에게 필요한 Azure 역할에 그룹을 영구적으로 할당합니다. 이 예제에서는 Microsoft Sentinel 기여자 및 보안 읽기 프로그램을 사용하지만 논리 앱 기여자필요한 다른 역할을 고려할 수도 있습니다. Azure SecOps 그룹에 적합한 보안 연산자를 할당하도록 그룹에 대한 PIM을 구성합니다. 이 방법을 사용하면 보안 운영자가 하나의 PIM 요청에 필요한 모든 역할에 대한 액세스 권한을 높일 수 있습니다. 필요한 경우 읽기 액세스에 대한 영구 역할 할당을 구성합니다.

3. Microsoft Defender XDR 보안 작업에 대한 PIM을 구성합니다. Microsoft Defender XDR 권한을 할당하기 위한 역할 할당 가능 그룹(그림 1Microsoft 365 역할 그룹)을 만듭니다. 다음으로 Microsoft 365 역할 그룹에 대한 PIM 역할을 만들고 보안 운영자에 대한 자격을 할당합니다. 여러 역할을 관리하지 않으려면 1단계에서 구성한 동일한 그룹(Azure SecOps)을 사용하여 Microsoft Defender XDR 권한 및 Azure 역할을 할당할 수 있습니다.

4. Azure Lighthouse를 구성합니다. Azure Lighthouse를 사용하여 보조 테넌트 Azure 리소스 구독에 대한 Azure 역할을 할당합니다. Azure SecOps 그룹의 개체 ID와 주 테넌트 테넌트 ID를 사용합니다. 그림 1의 예제에서는 Microsoft Sentinel 응답기 및 보안 판독 역할을 사용합니다. 필요한 경우 영구 읽기 액세스를 제공하도록 Azure Lighthouse를 사용하여 영구 역할 할당을 구성합니다.

5. 보조 테넌트에서 외부 사용자 액세스를 구성합니다. 권한 관리를 사용하여 최종 사용자 시작 시나리오를 구성하거나 게스트 초대사용하여 기본 테넌트 보안 운영자를 보조 테넌트에서 외부 ID로 가져옵니다. 보조 테넌트에서 테넌트 간 액세스 설정 구성은 주 테넌트에서 MFA 및 디바이스 준수 클레임을 신뢰하도록 구성됩니다. 역할 할당 가능 그룹(그림 1Microsoft 365 역할 그룹)을 만들고, 엔드포인트용 Microsoft Defender 권한을 할당하고, 2단계와 동일한 프로세스에 따라 PIM 역할을 구성합니다.

중앙 집중식 보안 작업 관리

보안 운영자는 환경을 보호하고 위협에 대응하기 위해 계정 및 적격 액세스 권한이 필요합니다. 보안 운영자는 자격이 있는 역할과 Microsoft Entra PIM을 사용하여 권한을 상승하는 방법을 알아야 합니다. MDE(엔드포인트용 Microsoft Defender)의 경우 MDE를 사용하여 위협을 찾고 대응하기 위해 테넌트 간에 전환하는 방법을 알고 있어야 합니다.

보안 운영자는 다중 테넌트 보안 작업 설정(그림 1 참조)을 사용하여 여러 테넌트를 보호합니다. Microsoft Entra 테넌트 전체에서 Microsoft 365 및 Azure의 위협을 모니터링, 조사 및 대응할 수 있습니다(그림 2 참조).

Diagram showing multitenant security operations for Sentinel, Microsoft Defender XDR, Defender for Cloud.그림 2. 다중 테넌트 보안 작업 설정을 사용하는 방법.

1. 클라우드 액세스를 위해 Sentinel 및 Defender를 요청합니다. 보안 운영자는 PIM을 사용하여 Azure SecOps 역할을 요청하고 활성화하기 위해 Azure Portal에 로그인해야 합니다. 역할이 활성화되면 Microsoft Sentinel 및 클라우드용 Defender 액세스할 수 있습니다.

2. 작업 영역 및 테넌트에서 Sentinel을 사용합니다. Azure SecOps 역할이 활성화된 경우 보안 운영자는 Microsoft Sentinel로 이동하여 테넌트 간에 작업을 수행할 수 있습니다. 기본 테넌트 및 보조 테넌트에서 Sentinel 인스턴스에 대한 Microsoft Defender XDR 및 클라우드용 Defender 데이터 커넥터를 구성합니다. Azure SecOps 역할에 대해 Azure Lighthouse를 구성하는 경우 보안 운영자는 모든 Sentinel 경고를 보고, 작업 영역에서 쿼리하고, 모든 테넌트에서 인시던트 및 조사를 관리할 수 있습니다.

3. 기본 테넌트에서 Microsoft Defender 포털을 사용하여 워크스테이션 위협에 대응합니다. 보안 운영자가 Microsoft Defender XDR에 액세스해야 하는 경우 Microsoft Entra PIM을 사용하여 Microsoft 365 역할을 활성화합니다. 이 그룹 멤버 자격은 Intune에서 관리되고 주 테넌트에서 MDE에 온보딩된 워크스테이션 디바이스의 보안 위협에 대응하는 데 필요한 권한을 할당합니다. 보안 운영자는 Microsoft Defender 포털을 사용하여 응답 작업을 수행하고 워크스테이션을 격리합니다.

4. 보조 테넌트에서 Microsoft Defender 포털을 사용하여 서버 위협에 대응합니다. 보안 운영자가 보조 테넌트 구독의 서버에 대해 MDE에서 검색한 위협에 대응해야 하는 경우 보조 테넌트에 Microsoft Defender를 사용해야 합니다. Microsoft Defender XDR 의 다중 테넌트 관리는 이 프로세스를 간소화하고 모든 테넌트에서 Microsoft Defender XDR의 결합된 보기를 표시할 수 있습니다. 운영자는 응답 작업을 시작하기 전에 보조 테넌트에서 MDE 액세스 권한을 상승시켜야 합니다. 보안 운영자는 Azure 또는 Entra 포털에 로그인하고 보조 테넌트 디렉터리로 전환해야 합니다. 다음으로, 보안 운영자는 PIM을 사용하여 Microsoft 365 역할 그룹을 활성화해야 합니다. 역할이 활성화되면 운영자는 Microsoft Defender 포털로 이동할 수 있습니다. 여기에서 보안 운영자는 라이브 응답을 시작하여 서버에서 로그를 수집하거나 다른 MDE 응답 작업을 수행할 수 있습니다.

5. Lighthouse를 사용하여 테넌트 전체에서 클라우드용 Defender 관리합니다. 보안 운영자는 권장 사항을 검사 클라우드용 Defender 합니다. 운영자는 Azure Portal을 사용하여 디렉터리를 다시 기본 테넌트로 전환해야 합니다. Azure Lighthouse를 사용하면 보안 운영자가 주 테넌트에서 보조 테넌트 Azure 리소스를 찾을 수 있습니다. 클라우드용 Defender 몇 가지 권장 사항을 표시할 수 있습니다. 이러한 권장 사항은 Just-In-Time 가상 머신 액세스 및 인터넷을 통해 액세스할 수 있는 관리 포트를 사용하도록 설정할 수 있습니다. 이 시나리오에서는 보안 운영자에게 클라우드용 Defender 권장 사항을 구현하는 Azure 역할이 없습니다. 보안 운영자는 취약성을 해결하려면 보조 테넌트 인프라 관리 팀에 문의해야 합니다. 또한 보안 운영자는 노출된 관리 포트가 있는 가상 머신을 배포하지 않도록 Azure Policy를 할당해야 합니다.

기타 보안 작업 패턴

이 문서에 제시된 관리 패턴은 외부 ID와 Azure Lighthouse의 조합을 사용하여 가능한 많은 패턴 중 하나입니다. 조직에서 보안 운영자의 요구 사항을 더 잘 충족하는 다른 패턴을 구현하기로 결정할 수 있습니다.