영어로 읽기

다음을 통해 공유


필수 8개 다단계 인증

이 문서에서는 Microsoft ID 플랫폼 사용하여 다단계 인증을 위한 ACSC(호주 사이버 보안 센터) Essential Eight Maturity 모델을 달성하는 방법을 자세히 설명합니다.

ACSC Essential Eight 다단계 인증 지침을 추구하는 이유는 무엇인가요?

MFA는 악의적 사용자가 디바이스 또는 네트워크에 액세스하고 중요한 정보에 액세스하지 못하도록 organization 구현할 수 있는 가장 효과적인 컨트롤 중 하나입니다. MFA가 올바르게 구현되면 악의적 사용자가 합법적인 자격 증명을 도용하여 네트워크에서 더 악의적인 활동을 수행하기가 더 어려워질 수 있습니다. 그 효과로 인해 MFA는 사이버 보안 인시던트 완화를 위한 ACSC 전략의 Essential Eight 중 하나입니다.

악의적 사용자는 네트워크를 손상시킬 때 합법적인 사용자 또는 관리 자격 증명을 도용하려고 자주 시도합니다. 이러한 자격 증명을 사용하면 네트워크에서 쉽게 전파하고 다른 악용 없이 악의적인 활동을 수행하여 검색 가능성을 줄일 수 있습니다. 또한 악의적 사용자는 VPN(가상 사설망)을 비롯한 원격 액세스 솔루션에 대한 자격 증명을 얻으려고 시도합니다. 이러한 액세스는 활동을 더 마스킹하고 검색 가능성을 줄일 수 있기 때문에.

MFA가 올바르게 구현되면 악의적 사용자가 전체 자격 증명 집합을 도용하기가 더 어렵습니다. 다단계 인증을 사용하려면 사용자가 두 번째 요소에 물리적으로 액세스할 수 있음을 증명해야 합니다. (물리적 토큰, 스마트 카드, 전화 또는 소프트웨어 인증서) 또는 (지문 또는 홍채 스캔과 같은 생체 인식)이 있는 항목입니다.

인증 기본 사항

다단계 인증을 위한 ACSC Essential Eight Maturity 모델은 NIST(국립표준기술원) 특별 발행물 800-63 B 디지털 ID 지침: 인증 및 수명 주기 관리 게시를 기반으로 합니다.

다음 문서에서는 다단계 인증의 개념과 NIST 인증자 유형이 Microsoft Entra 인증 방법에 매핑되는 방법을 설명합니다.

인증자 유형

ACSC는 필수 8 성숙도 모델 FAQ MFA(다단계 인증)와 관련된 일반적인 구현 질문의 인증자 유형을 다룹니다.

  • 비즈니스용 Windows Hello 생체 인식(사용자가 있는 것) 또는 PIN(사용자가 알고 있는 것)을 사용합니다. 디바이스의 신뢰할 수 있는 플랫폼 모듈(사용자에게 있는 것)에 연결된 키 또는 인증서의 잠금을 해제하려면 자세한 내용은 비즈니스용 Windows Hello 개요를 참조하세요.

ACSC별 MFA에 대한 추가 참조는 NIST SP800-63 B 디지털 ID 지침: 인증 및 수명 주기 관리 게시의 섹션 5.1.1 – 5.1.9를 참조하는 필수 8개 완성 모델 FAQ입니다. 이 섹션에서는 인증자 유형에 대한 추가 정보를 제공합니다. 이러한 형식은 사용자가 알고 있는 것, 사용자가 가지고 있는 것, 사용자가 알고 있거나 있는 항목으로 잠금 해제할 수 있는 사용자에 대해 사용할 수 있습니다. ACSC에는 다단계 인증 구현에 대한 추가 조언이 있습니다.

피싱 저항

완성도 수준 2와 3을 충족하는 모든 Microsoft Entra 인증 방법은 인증 중인 특정 세션에 인증자 출력을 바인딩하는 암호화 인증자를 사용합니다. 공개 키가 검증 도구에 알려진 클레임자가 제어하는 프라이빗 키를 사용하여 이 바인딩을 수행합니다. 이는 성숙도 2 및 3에 대한 피싱 저항 요구 사항을 충족합니다.

NIST에 따르면 대역 외 및 OTP(일회성 핀) 인증자와 같은 인증자 출력의 수동 입력을 포함하는 인증자는 검증 도구 가장에 강한 것으로 간주되지 않습니다. 수동 항목이 인증되는 특정 세션에 인증자 출력을 바인딩하지 않기 때문입니다. 중간자 공격에서 검증 도구는 OTP 인증자 출력을 검증 도구로 재생하고 성공적으로 인증할 수 있습니다.

그 결과 로그인 서버가 누구인지 암호화하여 확인하지 않는 인증자는 피싱될 수 있습니다.

허용되는 인증자 유형

각 완성도 수준에서 허용되는 주요 인증자 유형에 대한 요약입니다.

각 완성도 수준에서 인증 방법을 비교합니다.

다음 단계