이 문서에서는 Microsoft ID 플랫폼 사용하여 관리 권한을 제한하기 위한 ACSC(호주 사이버 보안 센터) Essential Eight Maturity 모델을 달성하는 방법을 자세히 설명합니다. 관리 권한 제한에 대한 ACSC 완성도 모델 지침은 ACSC Essential Eight Maturity 모델에서 찾을 수 있습니다.
관리 권한 지침을 제한하는 ACSC Essential Eight를 추구하는 이유는 무엇인가요?
호주 사이버 보안 센터(ACSC)는 사이버 보안을 개선하기 위한 호주 정부의 노력을 이끌고 있습니다. ACSC는 모든 호주 조직이 ACSC의 사이버 보안 인시던트 완화 전략의 필수 8개 완화 전략을 기준선으로 구현할 것을 권장합니다. Essential Eight로 알려진 기준은 악의적 사용자가 시스템을 손상시키는 것을 훨씬 어렵게 만드는 기본 사이버 보안 조치입니다. Essential Eight Maturity Level을 통해 조직은 오늘날의 상호 연결된 ICT 환경에서 일반적인 위협에 대한 사이버 보안 조치의 적합성을 평가할 수 있습니다.
악의적인 행위자의 목표는 권한 있는 자격 증명, 특히 엔터프라이즈 컨트롤 플레인에 대한 액세스 권한이 있는 자격 증명에 액세스하는 것입니다. 컨트롤 플레인 액세스는 엔터프라이즈 ICT 환경 내에서 고부가가치 자산에 대한 광범위한 액세스 및 제어를 제공합니다. 컨트롤 플레인 액세스의 예로는 전역 관리자 및 Microsoft Entra ID 내의 동등한 권한 및 엔터프라이즈 가상화 인프라에 대한 권한 있는 액세스가 있습니다.
다중 계층 접근 방식을 사용하여 Privileged Access를 제한하면 악의적인 사용자가 악의적인 활동을 수행하기가 어려워집니다. 관리 권한 제한은 ACSC의 사이버 보안 인시던트 완화 전략에 포함된 매우 효과적인 제어입니다.
이 표에서는 관리 권한 제한과 관련된 ISM 컨트롤에 대해 간략하게 설명합니다.
ISM 컨트롤 2024년 9월
완성도 수준
제어
측정
ISM-0445
1, 2, 3
권한 있는 사용자에게는 권한 있는 액세스가 필요한 업무에만 사용할 수 있는 전용 권한 있는 사용자 계정이 할당됩니다.
관리자는 권한 있는 작업 및 생산성 작업에 별도의 계정을 사용해야 합니다. Microsoft Entra ID, Azure 및 Microsoft 365에서 높은 수준의 권한이 있는 계정은 온-프레미스 Active Directory 도메인에서 동기화된 계정이 아니라 클라우드 전용 계정이어야 합니다.
ISM-1175
1, 2, 3
권한 있는 사용자 계정(온라인 서비스 액세스 권한이 명시적으로 부여된 계정 제외)은 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다.
권한 있는 계정에서 Microsoft 365 라이선스를 제거하여 Office 365 전자 메일과 같은 생산성 도구의 사용을 차단합니다. 권한 있는 계정은 권한 있는 액세스 디바이스에서 클라우드 관리 포털에 액세스해야 합니다. 호스트 기반 방화벽, 클라우드 프록시를 사용하거나 디바이스에서 프록시 설정을 구성하여 권한 있는 액세스 디바이스에서 인터넷 및 전자 메일을 제어할 수 있습니다.
ISM-1507
1, 2, 3
시스템, 애플리케이션 및 데이터 리포지토리에 대한 권한 있는 액세스 요청은 처음 요청될 때 유효성이 검사됩니다.
권한 있는 액세스를 위한 권한 관리 프로세스가 준비됩니다. Microsoft Entra 권한 관리를 사용하여 권한 관리 프로세스를 자동화할 수 있습니다.
ISM-1508
3
시스템, 애플리케이션 및 데이터 리포지토리에 대한 권한 있는 액세스는 사용자 및 서비스가 업무를 수행하는 데 필요한 것으로만 제한됩니다.
역할 기반 액세스 제어는 권한 있는 사용자에 대한 액세스를 제한하도록 구성됩니다. PIM(Microsoft Entra Privileged Identity Management)은 시간 제한인 Just-In-Time 액세스를 보장합니다.
ISM-1509
2, 3
권한 있는 액세스 이벤트는 중앙에서 기록됩니다.
Microsoft Entra 감사 로그 및 로그인 로그는 분석을 위해 LAW(Azure Log Analytics 작업 영역)로 전송됩니다.
ISM-1647
2, 3
유효성을 다시 검사하지 않는 한 시스템, 애플리케이션 및 데이터 리포지토리에 대한 권한 있는 액세스는 12개월 후에 사용하지 않도록 설정됩니다.
권한 있는 액세스를 위한 권한 관리 프로세스가 준비됩니다. Microsoft Entra 권한 관리를 사용하여 권한 관리 프로세스를 자동화할 수 있습니다.
ISM-1648
2, 3
45일 동안 비활성 상태이면 시스템 및 애플리케이션에 대한 권한 있는 액세스가 비활성화됩니다.
Microsoft Graph API 사용하여 lastSignInDateTime을 평가하고 비활성 권한 있는 계정을 식별합니다.
ISM-1650
2, 3
권한 있는 사용자 계정 및 보안 그룹 관리 이벤트는 중앙에서 기록됩니다.
Microsoft Entra 감사 로그 및 로그인 로그는 분석을 위해 LAW(Azure Log Analytics 작업 영역)로 전송됩니다.
ISM-1380
1, 2, 3
권한 있는 사용자는 별도의 권한 있는 운영 환경과 권한 없는 운영 환경을 사용합니다.
다른 물리적 워크스테이션을 사용하는 것은 시스템 관리자를 위해 권한 있는 운영 환경과 권한 없는 운영 환경을 분리하는 가장 안전한 방법입니다. 별도의 물리적 워크스테이션을 사용하여 권한 있는 운영 환경과 권한 없는 운영 환경을 분리할 수 없는 조직은 위험 기반 접근 방식을 취하고 심층 방어 보안 전략에 따라 대체 제어를 구현해야 합니다.
ISM-1688
1, 2, 3
권한 없는 사용자 계정은 권한 있는 운영 환경에 로그온할 수 없습니다.
로그인 제한 및 역할 기반 액세스 제어는 권한 없는 사용자 계정이 권한 있는 운영 환경에 로그인하는 것을 방지하는 데 사용됩니다.
ISM-1689
1, 2, 3
권한 있는 사용자 계정(로컬 관리자 계정 제외)은 권한 없는 운영 환경에 로그온할 수 없습니다.
로그인 제한 및 역할 기반 액세스 제어는 권한 있는 사용자 계정이 권한 없는 운영 환경에 로그인하지 못하도록 하는 데 사용됩니다.
ISM-1883
1, 2, 3
온라인 서비스 액세스 권한이 명시적으로 부여된 권한 있는 사용자 계정은 사용자 및 서비스가 업무를 수행하는 데 필요한 것으로만 엄격하게 제한됩니다.
역할 기반 액세스 제어는 권한 있는 사용자에 대한 액세스를 제한하도록 구성됩니다. PIM(Microsoft Entra Privileged Identity Management)은 시간 제한인 Just-In-Time 액세스를 보장합니다.
ISM-1898
2, 3
보안 관리 워크스테이션은 관리 작업의 성능에 사용됩니다.
권한 있는 액세스 워크스테이션 디바이스는 Microsoft Intune 사용하여 관리되며 엔드포인트용 Defender, 비즈니스용 Windows Hello 및 Microsoft Entra ID 컨트롤의 조합을 사용하여 보호됩니다.
관리 권한 제한: 필수 8가지 요구 사항
권한 있는 액세스를 통해 관리자는 ID 서비스, 비즈니스 시스템, 네트워킹 디바이스, 사용자 워크스테이션 및 사용자 계정과 같은 주요 애플리케이션 및 인프라의 구성을 변경할 수 있습니다. 권한 있는 액세스 또는 자격 증명은 종종 '왕국의 열쇠'라고 하며, 전달자에게 네트워크 내의 다양한 자산을 제어할 수 있도록 합니다.
관리 권한 제한에 대한 필수 8 성숙도 수준 3을 달성하려면 다음 범주의 컨트롤이 필요합니다.
ID 거버넌스: ID 거버넌스는 사용자 액세스 요구 사항의 유효성을 검사하고 더 이상 필요하지 않은 액세스를 제거하는 프로세스입니다.
최소 권한: 최소 권한은 시스템, 애플리케이션 및 데이터 리포지토리에 대한 액세스를 사용자 및 서비스가 업무를 수행하는 데 필요한 것으로 제한하는 액세스 제어 접근 방식입니다.
계정 제한: 계정 제한으로 권한 있는 자격 증명이 권한 없는 환경에 노출되는 것을 줄일 수 있습니다.
관리 디바이스: 관리 디바이스는 관리 작업을 수행하는 데 사용되는 안전한 운영 환경입니다.
로깅 및 모니터링: 권한 있는 활동의 로깅 및 모니터링을 통해 손상 징후를 검색할 수 있습니다.
ID 거버넌스
ID 거버넌스는 조직이 생산성과 보안 사이의 균형을 달성하도록 지원합니다. ID 수명 주기 관리는 ID 거버넌스의 기초이며 대규모의 효과적인 거버넌스에는 최신 ID 수명 주기 관리 인프라가 필요합니다.
권한 관리(ML1)
Essential Eight Maturity Level 1을 사용하려면 시스템, 애플리케이션 및 데이터 리포지토리에 대한 권한 있는 액세스 요청이 처음 요청될 때 유효성을 검사해야 합니다. 권한 있는 액세스 요청의 유효성 검사는 권한 관리 프로세스의 일부입니다. 권한 관리는 권한 있는 사용자만 리소스 집합에 액세스할 수 있도록 권한에 대한 사용자 액세스를 관리하는 프로세스입니다. 권한 관리 프로세스 내의 주요 단계에는 액세스 요청, 액세스 검토, 액세스 프로비저닝 및 액세스 만료가 포함됩니다.
Microsoft Entra 권한 관리는 Azure 내에서 리소스에 대한 액세스를 관리하는 프로세스를 자동화합니다. 사용자는 리소스 번들인 액세스 패키지를 사용하여 액세스를 위임할 수 있습니다. Microsoft Entra 권한 관리의 액세스 패키지에는 보안 그룹, Microsoft 365 그룹 및 Teams, Microsoft Entra 엔터프라이즈 애플리케이션 및 SharePoint Online 사이트가 포함될 수 있습니다. 액세스 패키지에는 하나 이상의 정책이 포함됩니다. 정책은 패키지에 액세스하기 위한 할당에 대한 규칙 또는 가드레일을 정의합니다. 정책을 사용하여 적절한 사용자만 액세스를 요청할 수 있고, 액세스 요청에 대한 승인자가 할당되고, 리소스에 대한 액세스가 시간 제한되며, 갱신되지 않으면 만료되도록 할 수 있습니다.
Essential Eight Maturity Level 2를 사용하려면 45일 동안 비활성 상태인 경우 시스템 및 애플리케이션에 대한 권한 있는 액세스가 자동으로 비활성화되어야 합니다. 비활성 계정은 organization 더 이상 필요하지 않은 사용자 또는 시스템 계정입니다. 비활성 계정은 일반적으로 로그인 로그를 통해 식별할 수 있으며, 이는 오랜 시간 동안 로그인하는 데 사용되지 않았음을 나타냅니다. 마지막 로그인 타임스탬프를 사용하여 비활성 계정을 검색할 수 있습니다.
마지막 로그인은 리소스에 대한 사용자의 지속적인 액세스 필요성에 대한 잠재적 인사이트를 제공합니다. 그룹 멤버 자격 또는 앱 액세스가 여전히 필요하거나 제거할 수 있는지 확인하는 데 도움이 될 수 있습니다. 게스트 사용자 관리의 경우 게스트 계정이 테넌트 내에서 여전히 활성 상태인지 아니면 정리해야 하는지 이해할 수 있습니다.
Microsoft Graph API signInActivity 리소스 유형에 의해 노출되는 lastSignInDateTime 속성을 평가하여 비활성 계정을 검색합니다. lastSignInDateTime 속성은 사용자가 Microsoft Entra ID 대화형 로그인에 성공한 마지막 시간을 보여 줍니다. 이 속성을 사용하여 다음 시나리오에 대한 솔루션을 구현할 수 있습니다.
최소 권한은 시스템 및 애플리케이션에 대한 액세스가 사용자 및 시스템이 업무를 수행하는 데 필요한 것으로만 제한되어야 합니다. RBAC(역할 기반 액세스 제어), 권한 있는 액세스 관리 및 JIT(Just-In-Time) 액세스와 같은 컨트롤을 사용하여 최소 권한을 구현할 수 있습니다.
관리자를 위한 별도의 계정(ML1)
Essential Eight Maturity Level 1을 사용하려면 권한 있는 사용자에게 권한 있는 액세스가 필요한 업무에만 사용할 수 있는 전용 권한 있는 사용자 계정이 할당되어야 합니다. Microsoft Entra ID, Azure 및 Microsoft 365에서 높은 수준의 권한을 가진 계정은 온-프레미스 Active Directory 도메인에서 동기화된 계정이 아니라 클라우드 전용 계정이어야 합니다. 관리 계정은 Office 365 이메일(라이선스 제거)과 같은 생산성 도구의 사용을 차단해야 합니다.
Essential Eight Maturity Level 1을 사용하려면 권한 있는 사용자가 별도의 권한 있는 운영 환경과 권한 없는 운영 환경을 사용해야 합니다. Azure 및 Microsoft 365 환경에 대한 권한 있는 액세스에는 일반 사용자에게 적용되는 표준보다 더 높은 보안 표준이 필요합니다. 제로 트러스트 전략을 지원하려면 신호와 보안 특성의 조합에 따라 권한 있는 액세스 권한을 부여해야 합니다. Azure 또는 Microsoft 365에 대한 권한 있는 액세스 권한이 있는 계정이 손상되면 비즈니스 프로세스가 크게 중단될 수 있습니다. 조건부 액세스는 Azure 관리 도구에 대한 액세스를 허용하기 전에 특정 수준의 보안 위생을 적용하여 손상 위험을 줄일 수 있습니다.
Azure Portal 및 명령줄 관리 도구에 대한 관리 액세스를 위해 다음 컨트롤을 구현하는 것이 좋습니다.
MFA(다단계 인증) 필요
Microsoft ID 보호에서 높은 로그인 위험 수준으로 액세스 시도 차단
Microsoft ID 보호에서 높은 사용자 위험 수준으로 액세스 시도 차단
디바이스 상태, 업데이트 상태 및 시스템 보안 상태 대한 Intune 규정 준수 요구 사항을 충족하는 Microsoft Entra 조인된 디바이스에서 액세스해야 합니다.
Essential Eight Maturity Level 2에는 중단된 계정, 로컬 관리자 계정 및 서비스 계정에 대한 자격 증명이 길고 독특하며 예측할 수 없으며 관리되어야 합니다. Windows 워크스테이션의 활성 로컬 관리자 계정은 공격자가 Windows 환경을 횡적으로 트래버스하는 데 자주 사용됩니다. 이러한 이유로 도메인에 가입된 시스템의 로컬 관리자 계정에는 다음 컨트롤이 권장됩니다.
Active Directory 조인 시스템
Microsoft의 LAPS(로컬 관리자 암호 솔루션)는 모든 컴퓨터에서 동일한 암호로 공통 로컬 계정을 사용하는 문제에 대한 솔루션을 제공합니다. LAPS는 도메인의 모든 컴퓨터에서 로컬 관리자 계정에 대해 다른 회전된 임의 암호를 설정하여 이 문제를 해결합니다. 암호는 Active Directory에 저장되고 제한적인 Access Control Lists 의해 보호됩니다. 로컬 관리자 암호는 적격 사용자만 검색하거나 다시 설정할 수 있습니다.
Active Directory 조인 시스템에서 로컬 관리자 계정을 관리하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
개발자의 일반적인 과제는 서비스 간 통신을 보호하는 데 사용되는 비밀, 자격 증명, 인증서 및 키를 관리하는 것입니다. Essential Eight Maturity Level 2에는 서비스 계정의 자격 증명이 길고, 고유하며, 예측할 수 없고, 관리되어야 합니다.
Active Directory 조인 시스템
gMSA(그룹 관리 서비스 계정)는 서비스를 보호하는 데 도움이 되는 도메인 계정입니다. gMSA는 네트워크 부하 분산 또는 IIS(인터넷 정보 서비스) 서버 뒤의 시스템과 같이 한 서버 또는 서버 팜에서 실행할 수 있습니다. gMSA 보안 주체를 사용하도록 서비스를 구성한 후 계정 암호 관리는 Windows OS(운영 체제)에서 처리됩니다.
gMSA는 관리 오버헤드를 줄이는 데 도움이 되는 보안이 강화된 ID 솔루션입니다.
강력한 암호 설정: 240바이트, 임의로 생성된 암호: gMSA 암호의 복잡성과 길이는 무차별 암호 대입 또는 사전 공격에 의한 손상 가능성을 최소화합니다.
정기적으로 암호 주기: 암호 관리는 Windows OS로 이동하여 30일마다 암호를 변경합니다. 서비스 및 도메인 관리자는 암호 변경을 예약하거나 서비스 중단을 관리할 필요가 없습니다.
서버 팜에 배포 지원: 여러 호스트가 동일한 서비스를 실행하는 부하 분산 솔루션을 지원하기 위해 gMSA를 여러 서버에 배포합니다.
간소화된 SPN(서비스 사용자 이름) 관리 지원 - 계정을 만들 때 PowerShell을 사용하여 SPN을 설정합니다.
Microsoft Entra 조인된 시스템
관리 ID는 애플리케이션이 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 사용할 수 있도록 Microsoft Entra ID 자동으로 관리 ID를 제공합니다. 애플리케이션은 관리 ID를 사용하여 자격 증명을 관리할 필요 없이 Microsoft Entra 토큰을 가져올 수 있습니다.
관리 ID에는 두 가지 유형이 있습니다.
시스템 할당. 리소스 ID에 대한 Microsoft Entra ID 서비스 주체가 자동으로 만들어집니다. 서비스 주체는 해당 Azure 리소스의 수명 주기에 연결됩니다. Azure 리소스가 삭제되면 Azure는 연결된 서비스 주체를 자동으로 삭제합니다.
사용자가 할당했습니다. 리소스 ID에 대한 Microsoft Entra ID 서비스 주체가 수동으로 만들어집니다. 서비스 주체는 서비스 주체를 사용하는 리소스와 별도로 관리됩니다.
시스템 및 애플리케이션에 대한 Just-In-Time 액세스(ML3)
Azure 또는 Microsoft 365에서 권한이 높은 역할의 멤버인 계정에 영구 상주 액세스 권한을 할당하지 않습니다. 공격자는 엔터프라이즈 환경에서 지속성을 유지하고 시스템에 광범위한 손상을 입히기 위해 영구 권한이 있는 계정을 대상으로 하는 경우가 많습니다. 임시 권한으로 인해 공격자는 사용자가 권한을 상승시키거나 권한 상승을 시작할 때까지 기다려야 합니다. 권한 상승 활동을 시작하면 공격자가 피해를 입히기 전에 탐지 및 제거될 가능성이 높아질 수 있습니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다.
다음 메서드를 사용하여 필요에 따라 권한만 부여합니다.
Just-In-Time 액세스: 권한 있는 역할에 대한 액세스 권한을 얻기 위해 승인 워크플로를 요구하도록 PIM(Microsoft Entra Privileged Identity Management)을 구성합니다. 전역 관리자, 권한 있는 인증 관리자, 권한 있는 역할 관리자, 조건부 액세스 관리자 및 Intune 관리자 권한 있는 Microsoft Entra 역할에는 최소한 권한 상승이 필요합니다. 최소한 권한 있는 Azure RBAC 역할에는 소유자 및 기여자 권한 상승이 필요합니다.
비상 액세스 계정은 일반 관리 계정을 사용할 수 없는 비상 또는 "중단" 시나리오로 제한됩니다. 예를 들어 모든 관리자가 Microsoft Entra 테넌트에서 잠깁니다. 강력한 암호를 설정하고 비상 시 긴급 액세스 계정만 사용해야 합니다. 긴급 액세스 계정에 *.onmicrosoft.com 도메인을 사용하여 클라우드 전용 계정을 만들고 로그인 시 경고하도록 모니터링을 구성합니다.
액세스 검토(ML3)
Essential Eight Maturity Level 3에서는 시스템 및 애플리케이션에 대한 권한 있는 액세스가 사용자 및 서비스가 업무를 수행하는 데 필요한 것으로만 제한되어야 합니다. Azure 리소스 및 Microsoft Entra 역할에 대한 권한 있는 액세스의 필요성은 시간이 지남에 따라 변경됩니다. 부실 역할 할당과 관련된 위험을 줄이려면 정기적으로 액세스를 검토해야 합니다. Microsoft Entra 액세스 검토를 통해 조직은 RBAC 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 Microsoft Entra 역할 할당을 효율적으로 관리할 수 있습니다. 사용자 액세스를 정기적으로 검토하여 올바른 사용자만 계속 액세스할 수 있도록 할 수 있습니다.
액세스 검토를 Microsoft Entra 다음과 같은 사용 사례를 사용할 수 있습니다.
과도한 액세스 권한 식별
그룹이 새로운 용도로 사용되는 시기 식별
사람들이 팀을 이동하거나 회사를 떠날 때 불필요한 액세스를 제거합니다.
리소스 소유자와의 사전 참여를 통해 리소스에 액세스할 수 있는 사용자를 정기적으로 검토할 수 있습니다.
검토가 필요한 액세스 유형에 따라 액세스 검토를 Azure Portal 다른 영역에 만들어야 합니다. 다음 표에서는 액세스 검토를 만들기 위한 특정 도구를 보여줍니다.
계정 보안은 권한 있는 액세스를 보호하는 중요한 구성 요소입니다. 엔드투엔드 제로 트러스트 보안을 사용하려면 세션에서 사용되는 계정이 실제로 가장하는 공격자가 아니라 사용자 소유자의 통제 하에 있음을 설정해야 합니다.
로그인 제한 사항(ML1)
Windows AD(Active Directory) 도메인에서 관리 권한이 있는 사용자, 서비스 또는 애플리케이션 계정은 엔터프라이즈 보안에 높은 위험을 초래합니다. 이러한 계정은 서버, 데이터베이스 및 애플리케이션에 대한 광범위한 액세스를 제공하기 때문에 공격자의 대상이 되는 경우가 많습니다. 관리자가 보안 프로필이 낮은 시스템에 로그인하면 권한 있는 자격 증명이 메모리에 저장되고 자격 증명 도난 도구(예: Mimikatz)를 사용하여 추출할 수 있습니다.
Essential Eight Maturity Level 1을 사용하려면 권한 있는 사용자 계정(로컬 관리자 계정 제외)이 권한 없는 운영 환경에 로그온할 수 없도록 합니다. Microsoft 계층화된 관리 모델은 도메인 가입 디바이스에 로그인 제한을 적용하여 보안 프로필이 낮은 디바이스에서 권한 있는 자격 증명이 노출되지 않도록 합니다. Active Directory 도메인에 대한 관리자 액세스 권한이 있는 관리자는 워크스테이션 및 엔터프라이즈 애플리케이션을 제어할 수 있는 관리자와 분리됩니다. 높은 권한의 계정이 덜 안전한 리소스에 로그인할 수 없도록 로그온 제한을 적용해야 합니다. 예시:
Active Directory Enterprise 및 Domain Admins 그룹의 구성원은 비즈니스 애플리케이션 서버 및 사용자 워크스테이션에 로그온할 수 없습니다.
Microsoft Entra 전역 관리자 역할의 멤버는 Microsoft Entra 가입된 워크스테이션에 로그온할 수 없습니다.
로그온 제한은 그룹 정책 사용자 권한 할당 또는 Microsoft Intune 정책에 적용할 수 있습니다. 권한 있는 계정이 덜 신뢰할 수 있는 시스템에 자격 증명을 노출하지 않도록 엔터프라이즈 서버 및 사용자 워크스테이션에서 다음 정책을 구성하는 것이 좋습니다.
네트워크에서 이 컴퓨터에 대한 액세스 거부
일괄 작업으로 로그온 거부
서비스로 로그온 거부
로컬로 로그온 거부
터미널 서비스를 통한 로그온 거부
인터넷, 전자 메일 및 웹 서비스에 대한 액세스 제한(ML1)
Essential Eight Maturity Level 1을 사용하려면 권한 있는 계정(온라인 서비스 액세스 권한이 명시적으로 부여된 계정 제외)이 인터넷, 전자 메일 및 웹 서비스에 액세스할 수 없도록 해야 합니다. 관리 계정은 Office 365 이메일(라이선스 제거)과 같은 생산성 도구의 사용을 차단해야 합니다. 관리 계정은 권한 있는 액세스 디바이스에서 클라우드 관리 포털에 액세스해야 합니다. 권한 있는 액세스 디바이스는 모든 웹 사이트를 거부하고 허용 목록을 사용하여 클라우드 관리 포털에 대한 액세스를 사용하도록 설정해야 합니다. 호스트 기반 방화벽, 클라우드 프록시를 사용하거나 디바이스에서 프록시 설정을 구성하여 권한 있는 액세스 디바이스에서 인터넷 및 전자 메일을 제어할 수 있습니다.
Microsoft Entra 조인된 디바이스
권한 있는 관리에 사용되는 디바이스에서 네트워크 프록시를 구성하는 Microsoft Intune 구성 프로필을 만듭니다. Azure 및 Microsoft 365 클라우드 서비스를 관리하는 데 사용되는 권한 있는 액세스 디바이스는 다음 표의 프록시 예외를 사용해야 합니다.
시스템 관리자는 권한 있는 운영 환경과 권한 없는 운영 환경을 관리하기 위해 별도의 디바이스를 사용해야 합니다. 관리 작업은 관리 프로세스와 관련된 모든 디바이스에 대한 클린 원본 원칙을 따라야 합니다.
권한 있는 운영 환경과 권한 없는 운영 환경 분리(ML1)
Essential Eight Maturity Level 1을 사용하려면 권한 있는 사용자가 별도의 권한 있는 운영 환경과 권한 없는 운영 환경을 사용해야 합니다. 다른 물리적 워크스테이션을 사용하는 것은 시스템 관리자를 위해 권한 있는 운영 환경과 권한 없는 운영 환경을 분리하는 가장 안전한 방법입니다. 세션에서 보안 보증이 향상될 수 있지만 원래 디바이스의 보증 강도에 따라 항상 제한됩니다. 권한 있는 액세스 디바이스를 제어하는 공격자는 향후 가장을 위해 사용자를 가장하거나 사용자 자격 증명을 도용할 수 있습니다. 이 위험은 계정, 점프 서버와 같은 중개자 및 리소스 자체에 대한 다른 보증을 저해합니다.
별도의 물리적 워크스테이션을 사용하여 권한 있는 운영 환경을 분리할 수 없는 조직은 위험 기반 접근 방식을 취하고 심층 방어 보안 전략에 따라 대체 제어를 구현해야 합니다. Microsoft는 권한 있는 운영 환경을 보호하는 데 필요한 보증 수준을 평가하기 위해 사용자 역할 및 자산을 민감도 수준으로 매핑하는 것이 좋습니다.
Essential Eight Maturity Level 3에서는 보안 관리 워크스테이션을 사용하여 관리 작업을 수행해야 합니다. 보안 관리 워크스테이션(SAW)은 덜 안전한 디바이스에서 중요한 자격 증명의 노출을 효과적으로 제어합니다. 권한 있는 계정으로 보안 수준이 낮은 디바이스에서 서비스에 로그인하거나 서비스를 실행하면 자격 증명 도난 및 권한 상승 공격의 위험이 높아질 수 있습니다. 권한 있는 자격 증명은 SAW 키보드에만 노출되어야 하며 보안이 낮은 디바이스에 로그온하는 것을 거부해야 합니다. SAW는 온-프레미스, Azure, Microsoft 365 및 타사 클라우드 서비스를 관리하기 위한 보안 플랫폼을 제공합니다. SAW 디바이스는 Microsoft Intune 사용하여 관리되며 엔드포인트용 Defender, 비즈니스용 Windows Hello 및 Microsoft Entra ID 컨트롤의 조합을 사용하여 보호됩니다.
다음 다이어그램에서는 전체 솔루션 및 SAW 프레임워크를 구현하도록 구성해야 하는 다양한 기술 구성 요소를 포함하여 개략적인 아키텍처를 보여 줍니다.
중간 서비스의 보안은 권한 있는 액세스를 보호하는 중요한 구성 요소입니다. 중개자는 관리자의 세션 또는 원격 시스템 또는 애플리케이션에 대한 연결을 용이하게 하는 데 사용됩니다. 중개자의 예로는 VPN(가상 사설망), 점프 서버, 가상 데스크톱 인프라(Windows 365 및 Azure Virtual Desktop 포함) 및 액세스 프록시를 통한 애플리케이션 게시가 있습니다. 공격자는 종종 중개자를 대상으로 하여 저장된 자격 증명을 사용하여 권한을 에스컬레이션하거나, 회사 네트워크에 대한 네트워크 원격 액세스를 얻거나, 권한 있는 액세스 디바이스에서 신뢰를 악용합니다.
서로 다른 중간 형식은 고유한 함수를 수행하므로 각각 다른 보안 접근 방식이 필요합니다. 공격자는 공격 표면이 더 큰 시스템을 쉽게 대상으로 지정할 수 있습니다. 다음 목록에는 권한 있는 액세스 중개자에서 사용할 수 있는 옵션이 포함되어 있습니다.
Microsoft Entra Privileged Identity Management(PIM), Azure Bastion 및 Microsoft Entra 애플리케이션 프록시와 같은 네이티브 클라우드 서비스는 공격자에게 제한된 공격 표면을 제공합니다. 공용 인터넷에 노출되지만 고객(및 공격자)은 기본 인프라에 액세스할 수 없습니다. SaaS 및 PaaS 서비스에 대한 기본 인프라는 클라우드 공급자가 유지 관리하고 모니터링합니다. 이 작은 공격 노출 영역은 IT 담당자가 구성, 패치 및 모니터링해야 하는 클래식 온-프레미스 애플리케이션 및 어플라이언스와 공격자에게 사용 가능한 옵션을 제한합니다.
VPN(가상 사설망), 원격 데스크톱 및 점프 서버는 복원력 있는 보안 상태를 유지하기 위해 지속적인 패치, 강화 및 유지 관리가 필요하기 때문에 중요한 공격자 기회를 제공합니다. 점프 서버에는 몇 개의 네트워크 포트만 노출될 수 있지만 공격자는 공격을 수행하기 위해 패치되지 않은 서비스에만 액세스하면 됩니다.
PIM(타사 Privileged Identity Management) 및 PAM(Privileged Access Management) 서비스는 온-프레미스 또는 IaaS(Infrastructure as a Service)의 VM으로 자주 호스트되며 일반적으로 인트라넷 호스트에서만 사용할 수 있습니다. 인터넷에 직접 노출되지는 않지만 손상된 단일 자격 증명을 사용하면 공격자가 VPN 또는 다른 원격 액세스 매체를 통해 서비스에 액세스할 수 있습니다.
Microsoft Intune EPM(엔드포인트 권한 관리)을 사용하면 organization 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. EPM은 앱 설치, 디바이스 드라이버 업데이트 및 레거시 앱에 대한 관리 구성 요소와 같은 관리 권한이 필요한 작업을 실행하는 표준 사용자를 용이하게 합니다.
EPM은 전체 디바이스에 무제한 관리자 권한을 제공하지 않고 특정 사용자에 대해 지정된 프로세스 및 이진 파일의 관리자 권한 상승을 제어합니다. Endpoint Privilege Management는 organization 최소한의 권한으로 실행되는 광범위한 사용자 기반을 달성하는 동시에 사용자가 organization 허용하는 작업을 계속 실행할 수 있도록 지원하여 Essential 8 규정 준수를 지원합니다.
기본 권한 상승 응답의 경우 관리자가 명시적으로 허용하는 프로세스 및 파일의 권한 상승만 허용하도록 모든 요청 거부 설정을 유지합니다.
유효성 검사 옵션의 경우 각각 ISM-1508 및 ISM-1507을 충족하므로 비즈니스 타당성 및 Windows 인증 선택되어 있는지 확인합니다.
보고를 위한 권한 상승 데이터 보내기의 경우 보고를 위해 권한 상승 데이터 보내기에 예를 선택합니다. 이 함수는 EPM 클라이언트 구성 요소의 상태를 측정하는 데 사용됩니다. 사용량 현황 데이터는 보고 범위에 따라 organization 권한 상승을 표시하는 데 사용되며 ISM-1509 컨트롤을 지원합니다.
보고 scope 진단 데이터의 기본 설정을 유지하고 모든 엔드포인트 권한 상승을 선택합니다. 이 옵션은 클라이언트 구성 요소의 상태에 대한 진단 데이터와 엔드포인트에서 발생하는 모든 권한 상승에 대한 데이터를 Microsoft에 보내고 ISM-1509 제어를 지원합니다.
권한 상승 형식의 경우 대다수(그렇지 않은 경우 모두)는 사용자가 의사 결정 프로세스의 기관을 유지하도록 하기 때문에 사용자 확인입니다.
ISM 컨트롤 2024년 9월
완성도 수준
제어
측정
ISM-1507
1, 2, 3
시스템, 애플리케이션 및 데이터 리포지토리에 대한 권한 있는 액세스 요청은 처음 요청될 때 유효성이 검사됩니다.
EPM을 사용하여 애플리케이션에 대한 액세스 권한을 높이기 위해 권한 있는 액세스를 위한 권한 관리 프로세스가 마련되어 있습니다.
ISM-1508
3
시스템, 애플리케이션 및 데이터 리포지토리에 대한 권한 있는 액세스는 사용자 및 서비스가 업무를 수행하는 데 필요한 것으로만 제한됩니다.
기본 정책은 EPM 정책에 정의되지 않은 모든 요청을 거부하는 것입니다. 관리자가 정책을 정의하면 EPM의 권한 상승 옵션이 정책 및 의무를 수행하는 데 필요한 서비스에 바인딩됩니다.
ISM-1509
2, 3
권한 있는 액세스 이벤트는 중앙에서 기록됩니다.
액세스 및 이벤트는 기본 설정이 진단 데이터로 유지 관리되고 모든 엔드포인트 권한 상승 이 EPM 정책에 대해 사용하도록 설정되어 있는지 확인하여 기록됩니다.
엔터프라이즈 환경 내에서 비정상적인 동작을 감지하려면 권한 있는 계정에서 수행하는 로그인 및 활동 로깅이 필수적입니다. 감사 로그 및 로그인 로그를 Microsoft Entra 애플리케이션 및 서비스에 대한 권한 있는 액세스에 대한 중요한 인사이트를 제공합니다.
Microsoft Entra 로그인 로그는 로그인 패턴, 로그인 빈도 및 로그인 활동 상태 대한 인사이트를 제공합니다. 로그인 활동 보고서는 모든 버전의 Microsoft Entra ID 사용할 수 있습니다. Microsoft Entra ID P1 또는 P2 라이선스가 있는 조직은 Microsoft Graph API 통해 로그인 활동 보고서에 액세스할 수 있습니다.
Microsoft Entra 활동 로그에는 Microsoft Entra ID 기록된 모든 이벤트에 대한 감사 로그가 포함됩니다. 애플리케이션, 그룹, 사용자 및 라이선스에 대한 변경 내용은 모두 Microsoft Entra 감사 로그에 캡처됩니다. 기본적으로 Microsoft Entra ID 최대 7일 동안 로그인 및 감사 로그를 유지합니다. Microsoft Entra ID 테넌트에서 Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 최대 30일 동안 로그를 유지합니다. Microsoft Entra 감사 로그 및 로그인 로그는 중앙 집중식 컬렉션 및 상관 관계를 위해 LAW(Azure Log Analytics 작업 영역)로 전달되어야 합니다.
Essential Eight Maturity Level 3을 사용하려면 이벤트 로그가 손상 징후를 모니터링하고 손상 징후가 감지될 때 조치를 취해야 합니다. 권한 있는 활동을 모니터링하는 것은 시스템 손상을 조기에 감지하고 악의적인 활동의 scope 포함하는 데 중요합니다.
권한 있는 액세스 이벤트 모니터링
Microsoft Entra 로그인 로그를 데이터 원본으로 사용하여 모든 권한 있는 계정 로그인 활동을 모니터링합니다. 다음 이벤트를 모니터링합니다.
모니터링할 항목
위험 수준
여기서 각 부분이 나타내는 의미는 다음과 같습니다.
참고
로그인 실패, 잘못된 암호 임계값
높음
로그인 로그 Microsoft Entra
기준 임계값을 정의한 다음 조직의 동작에 맞게 모니터링 및 조정하고 거짓 경고가 생성되지 않도록 제한합니다.
조건부 액세스 요구 사항으로 인한 오류
높음
로그인 로그 Microsoft Entra
이 이벤트는 공격자가 계정에 들어가려고 했다는 표시일 수 있습니다.
명명 정책을 따르지 않는 권한 있는 계정
높음
Azure 구독을 신청합니다.
구독에 대한 역할 할당을 나열하고 로그인 이름이 organization 형식과 일치하지 않는 경우 경고를 표시합니다. 예를 들어 접두사로 ADM_ 사용합니다.
인터럽트
높음, 중간
Microsoft Entra 로그인
이 이벤트는 공격자가 계정에 대한 암호를 가지고 있지만 다단계 인증 챌린지를 통과할 수 없다는 표시일 수 있습니다.
명명 정책을 따르지 않는 권한 있는 계정
높음
Microsoft Entra 디렉터리
Microsoft Entra 역할에 대한 역할 할당을 나열하고 UPN이 organization 형식과 일치하지 않는 위치를 경고합니다. 예를 들어 접두사로 ADM_ 사용합니다.
다단계 인증에 등록되지 않은 권한 있는 계정 검색
높음
Microsoft Graph API
감사하고 조사하여 이벤트가 의도적인지 또는 감독인지 확인합니다.
계정 잠금
높음
로그인 로그 Microsoft Entra
기준 임계값을 정의한 다음 조직의 동작에 맞게 모니터링 및 조정하고 거짓 경고가 생성되지 않도록 제한합니다.
로그인에 대해 계정이 비활성화되거나 차단됨
낮음
로그인 로그 Microsoft Entra
이 이벤트는 누군가가 organization 떠난 후 계정에 액세스하려고 함을 나타낼 수 있습니다. 계정이 차단되어 있지만 이 활동에 대한 로그 및 경고는 여전히 중요합니다.
MFA 사기 경고 또는 차단
높음
로그인 로그/Azure Log Analytics Microsoft Entra
권한 있는 사용자는 공격자가 계정에 대한 암호를 가지고 있음을 나타낼 수 있는 다단계 인증 프롬프트를 선동하지 않았다고 표시했습니다.
MFA 사기 경고 또는 차단
높음
감사 로그/Azure Log Analytics Microsoft Entra
권한 있는 사용자는 공격자가 계정에 대한 암호를 가지고 있음을 나타낼 수 있는 다단계 인증 프롬프트를 선동하지 않았다고 표시했습니다.
필요한 컨트롤 외부의 권한 있는 계정 로그인
높음
로그인 로그 Microsoft Entra
승인되지 않은 것으로 정의한 항목을 모니터링하고 경고합니다.
일반 로그인 시간 외
높음
로그인 로그 Microsoft Entra
로그인이 예상 시간 외에 발생하는지 모니터링하고 경고합니다. 각 권한 있는 계정에 대한 정상적인 작업 패턴을 찾고 정상적인 작업 시간 외에 계획되지 않은 변경 내용이 있는지 경고하는 것이 중요합니다. 정상적인 근무 시간 외의 로그인은 손상 또는 가능한 내부자 위협을 나타낼 수 있습니다.
ID 보호 위험
높음
ID 보호 로그
이 이벤트는 계정에 대한 로그인으로 이상이 검색되었으며 경고를 받아야 함을 나타냅니다.
암호 변경
높음
감사 로그 Microsoft Entra
특히 전역 관리자, 사용자 관리자, 구독 관리자 및 긴급 액세스 계정에 대한 관리자 계정 암호 변경에 대한 경고입니다. 모든 권한 있는 계정을 대상으로 하는 쿼리를 작성합니다.
레거시 인증 프로토콜 변경
높음
로그인 로그 Microsoft Entra
많은 공격이 레거시 인증을 사용하므로 사용자에 대한 인증 프로토콜이 변경되면 공격을 나타낼 수 있습니다.
새 디바이스 또는 위치
높음
로그인 로그 Microsoft Entra
대부분의 관리자 활동은 제한된 수의 위치에서 권한 있는 액세스 디바이스에서 수행해야 합니다. 이러한 이유로 새 디바이스 또는 위치에 대해 경고합니다.
감사 경고 설정이 변경됨
높음
감사 로그 Microsoft Entra
예기치 않은 경우 핵심 경고에 대한 변경 내용을 경고해야 합니다.
다른 Microsoft Entra 테넌트에 인증하는 관리자
보통
로그인 로그 Microsoft Entra
권한 있는 사용자로 범위가 지정되면 이 모니터는 관리자가 organization 테넌트의 ID를 사용하여 다른 Microsoft Entra 테넌트에서 성공적으로 인증된 시기를 감지합니다. Resource TenantID가 홈 테넌트 ID와 같지 않은 경우 경고
관리 사용자 상태가 게스트에서 멤버로 변경됨
보통
감사 로그 Microsoft Entra
사용자 유형이 게스트에서 멤버로 변경되는 것을 모니터링하고 경고합니다. 이 변경이 예상되었나요?
승인되지 않은 초대자가 테넌트로 초대한 게스트 사용자
보통
감사 로그 Microsoft Entra
게스트 사용자를 초대하는 승인되지 않은 행위자를 모니터링하고 경고합니다.
권한 있는 계정 관리 이벤트 모니터링
권한 있는 계정의 인증 규칙 및 권한에 대한 변경 내용을 조사합니다. 특히 변경 내용이 더 큰 권한 또는 Microsoft Entra ID 작업을 수행할 수 있는 기능을 제공하는 경우 더욱 그렇습니다.
모니터링할 항목
위험 수준
여기서 각 부분이 나타내는 의미는 다음과 같습니다.
참고
권한 있는 계정 만들기
보통
감사 로그 Microsoft Entra
권한 있는 계정 만들기를 모니터링합니다. 계정 만들기와 삭제 사이의 짧은 시간 범위의 상관 관계를 찾습니다.
인증 방법 변경
높음
감사 로그 Microsoft Entra
이 변경은 공격자가 계정에 인증 방법을 추가하여 계속 액세스할 수 있음을 나타내는 표시일 수 있습니다.
권한 있는 계정 권한 변경에 대한 경고
높음
감사 로그 Microsoft Entra
이 경고는 알 수 없거나 정상적인 책임을 벗어난 역할이 할당된 계정에 특히 해당합니다.
사용되지 않는 권한 있는 계정
보통
액세스 검토 Microsoft Entra
비활성 권한 있는 사용자 계정에 대해 월별 검토를 수행합니다.
조건부 액세스에서 제외된 계정
높음
Azure Monitor 로그 또는 액세스 검토
조건부 액세스에서 제외되는 모든 계정은 보안 제어를 우회할 가능성이 높으며 손상에 더 취약합니다. 비상 계정은 면제됩니다. 이 문서의 뒷부분에 있는 손익분기 계정을 모니터링하는 방법에 대한 정보를 참조하세요.
Essential Eight Maturity Level 3을 사용하려면 이벤트 로그가 무단 수정 및 삭제로부터 보호되어야 합니다. 무단 수정 및 삭제로부터 이벤트 로그를 보호하면 organization 보안 인시던트가 발생하는 경우 로그를 신뢰할 수 있는 증거 원본으로 사용할 수 있습니다. Azure 내에서 애플리케이션 및 서비스에 대한 권한 있는 액세스의 이벤트 로그는 Log Analytics 작업 영역 내에 중앙에 저장되어야 합니다.
Azure Monitor는 추가 전용 데이터 플랫폼이지만 규정 준수를 위해 데이터를 삭제하는 프로비저닝을 포함합니다. 권한 있는 활동에서 로그를 수집하는 Log Analytics 작업 영역은 역할 기반 액세스 제어로 보호되고 작업 수정 및 삭제를 모니터링해야 합니다.
둘째, Log Analytics 작업 영역에 대한 잠금을 설정하여 데이터를 삭제할 수 있는 모든 활동(제거, 테이블 삭제, 테이블 또는 작업 영역 수준 데이터 보존 변경)을 차단합니다.
이벤트 로그를 완전히 변조 방지하려면 변경 불가능한 스토리지 솔루션(예: 변경 불가능한 스토리지 for Azure Blob Storage)으로 로그 데이터의 자동 내보내기를 구성합니다.