온-프레미스 서비스 계정 관리
Active Directory는 다음과 같은 네 가지 유형의 온-프레미스 서비스 계정을 제공합니다.
- gMSAs(그룹 관리 서비스 계정)
- sMSAs(독립 실행형 관리 서비스 계정)
- 온-프레미스 컴퓨터 계정
- 서비스 계정으로 작동하는 사용자 계정
서비스 계정 거버넌스에는 다음이 포함됩니다.
- 요구 사항 및 목적에 따라 보호
- 계정 수명 주기 및 자격 증명 관리
- 위험 및 권한을 기반으로 서비스 계정 평가
- AD(Active Directory) 및 Microsoft Entra ID에 권한이 있는 미사용 서비스 계정이 없는지 확인
새로운 서비스 계정 원칙
서비스 계정을 만들 때 다음 표의 정보를 고려합니다.
| 원칙 | 고려 사항 |
|---|---|
| 서비스 계정 매핑 | 서비스 계정을 서비스, 애플리케이션 또는 스크립트에 연결 |
| 소유권 | 책임을 요청하고 맡는 계정 소유자가 있는지 확인합니다. |
| Scope | 범위 정의 및 예상 사용 기간 |
| 목적 | 한 가지 목적으로 서비스 계정 만들기 |
| 사용 권한 | 최소 권한 원칙을 적용합니다. - 관리자와 같은 기본 제공 그룹에 권한을 할당하지 않음 - 가능한 경우 로컬 컴퓨터 권한 제거 - 액세스를 조정하고 디렉터리 액세스에 AD 위임 사용 - 세분화된 액세스 권한 사용 - 사용자 기반 서비스 계정에 대한 계정 만료 및 위치 제한 설정 |
| 사용 모니터 및 감사 | - 로그인 데이터를 모니터링하고 의도된 사용과 일치하는지 확인 - 비정상적인 사용에 대한 경고 설정 |
사용자 계정 제한
서비스 계정으로 사용되는 사용자 계정의 경우 다음 설정을 적용합니다.
- 계정 만료 - 계정을 계속 사용할 수 없는 경우 서비스 계정이 검토 기간 후 자동으로 만료되도록 설정합니다.
- LogonWorkstations - 서비스 계정 로그인 권한을 제한합니다.
- 로컬에서 실행되고 컴퓨터의 리소스에 액세스하는 경우 다른 곳에서 로그인하지 못하도록 제한합니다.
- 암호를 변경할 수 없음 - 매개 변수를 true로 설정하여 서비스 계정이 자신의 암호를 변경하지 못하도록 합니다.
수명 주기 관리 프로세스
서비스 계정 보안을 유지하려면 처음부터 사용 중지할 때까지 관리합니다. 다음 프로세스를 사용합니다.
- 계정 사용 정보를 수집합니다.
- 서비스 계정 및 앱을 CMDB(구성 관리 데이터베이스)로 이동합니다.
- 위험 평가 또는 공식 검토를 수행합니다.
- 서비스 계정을 만들고 제한 사항을 적용합니다.
- 반복되는 검토를 예약하고 수행합니다.
- 필요에 따라 권한과 범위를 조정합니다.
- 계정을 프로비전 해제합니다.
서비스 계정 사용 정보 수집
각 서비스 계정에 대한 관련 정보를 수집합니다. 다음 표에는 수집할 최소한의 정보가 나열되어 있습니다. 각 계정의 유효성을 검사하는 데 필요한 것을 가져옵니다.
| 데이터 | 설명 |
|---|---|
| 소유자 | 서비스 계정을 담당하는 사용자 또는 그룹 |
| 목적 | 서비스 계정의 용도 |
| 권한(범위) | 예상되는 권한 |
| CMDB 링크 | 대상 스크립트 또는 애플리케이션 및 소유자가 있는 교차 연결 서비스 계정 |
| 위험 | 보안 위험 평가 결과 |
| 수명 | 계정 만료 또는 재인증을 예약하기 위한 예상 최대 수명 |
계정 요청 셀프 서비스를 만들고 관련 정보를 요구합니다. 소유자는 애플리케이션 또는 비즈니스 소유자, IT 팀 구성원 또는 인프라 소유자입니다. 요청 및 관련 정보에 대해 Microsoft Forms를 사용할 수 있습니다. 계정이 승인되면 Microsoft Forms를 사용하여 CMDB(구성 관리 데이터베이스) 인벤토리 도구로 이식합니다.
서비스 계정 및 CMDB
수집된 정보를 CMDB 애플리케이션에 저장합니다. 인프라, 앱 및 프로세스에 대한 종속성을 포함합니다. 이 중앙 리포지토리를 사용하여 다음을 수행합니다.
- 위험 평가
- 제한이 있는 서비스 계정 구성
- 기능 및 보안 종속성 확인
- 보안 및 지속적인 요구에 맞게 정기 검토 수행
- 서비스 계정을 검토, 사용 중지, 변경하려면 소유자에게 문의
HR 시나리오 예
예를 들어, Human Resources SQL 데이터베이스에 연결할 수 있는 권한이 있는 웹 사이트를 실행하는 서비스 계정이 있습니다. 예를 포함한 서비스 계정 CMDB의 정보는 다음 표에 있습니다.
| 데이터 | 예시 |
|---|---|
| 소유자, 책임자 | 이름, 이름 |
| 목적 | HR 웹 페이지를 실행하고 HR 데이터베이스에 연결합니다. 데이터베이스에 액세스할 때는 최종 사용자로 가장합니다. |
| 권한, 범위 | HR-WEBServer: 로컬로 로그인, 웹 페이지 실행 HR-SQL1: 로컬로 로그인, HR 데이터베이스에 대한 읽기 권한 HR-SQL2: 로컬로 로그인, 급여 데이터베이스에 대한 읽기 권한 |
| 비용 센터 | 123456 |
| 위험 평가 | 중간, 비즈니스 영향: 중간, 비공개 정보, 중간 |
| 계정 제한 사항 | 다음 대상에 로그온: 앞서 언급한 서버만, 암호 변경 불가, MBI암호 정책 |
| 수명 | 제한 없음 |
| 검토 주기 | 2년마다: 소유자, 보안 팀 또는 개인 정보 보호 팀별 |
서비스 계정 위험 평가 또는 공식 검토
권한 부여되지 않은 원본에 의해 계정이 손상된 경우 관련 애플리케이션, 서비스 및 인프라에 대한 위험을 평가합니다. 직접 및 간접 위험을 고려합니다.
- 권한이 없는 사용자가 액세스할 수 있는 리소스
- 서비스 계정이 액세스할 수 있는 기타 정보 또는 시스템
- 계정에서 부여할 수 있는 권한
- 권한이 변경될 때 표시 또는 신호
위험 평가 후 설명서는 위험이 계정에 영향을 미친다는 것을 보여 줍니다.
- 제한 사항
- 수명
- 요구 사항 검토
- 주기 및 검토자
서비스 계정 만들기 및 계정 제한 사항 적용
참고 항목
위험 평가 후 서비스 계정을 만들고 결과를 CMDB에 문서화합니다. 계정 제한을 위험 평가 결과와 일치시킵니다.
일부는 평가와 관련이 없을 수 있지만 다음 제한 사항을 고려합니다.
- 서비스 계정으로 사용되는 사용자 계정의 경우 현실적인 종료 날짜를 정의합니다.
- 계정 만료 플래그를 사용하여 날짜를 설정합니다.
- 자세히 알아보기: Set-ADAccountExpiration
- Set-ADUser(Active Directory)를 참조하세요.
- 암호 정책 요구 사항
- 일부 사용자만 관리할 수 있도록 조직 구성 단위 위치에 계정을 만듭니다.
- Ou의 사용자 계정 및 리소스 Ou 관리 위임을 참조하세요.
- 서비스 계정 변경을 검색하는 감사를 설정하고 수집합니다.
- 디렉터리 서비스 변경 감사 및
- AD에서 Kerberos 인증 이벤트를 감사하는 방법을 보려면 manageengine.com으로 이동합니다.
- 프로덕션에 들어가기 전에 더 안전하게 계정 액세스 권한 부여
서비스 계정 검토
정기적인 서비스 계정, 특히 중간 및 높은 위험으로 분류된 서비스 계정 검토 일정을 잡습니다. 검토에는 다음이 포함될 수 있습니다.
- 권한 및 범위의 근거와 함께 계정의 필요성에 대한 소유자 증명
- 업스트림 및 다운스트림 종속성을 포함하는 개인 정보 보호 및 보안 팀 검토
- 감사 데이터 검토
- 계정이 명시된 용도로 사용되는지 확인
서비스 계정 프로비전 해제
다음 시점에 서비스 계정을 프로비전 해제합니다.
- 서비스 계정이 만들어진 스크립트 또는 애플리케이션 사용 중지
- 서비스 계정이 사용된 스크립트 또는 애플리케이션 함수의 사용 중지
- 다른 계정으로 서비스 계정 교체
프로비전을 해제하려면:
- 권한 및 모니터링을 제거합니다.
- 관련 서비스 계정의 로그인 및 리소스 액세스를 검사하여 잠재적인 영향이 없는지 확인합니다.
- 계정 로그인을 방지합니다.
- 계정이 더 이상 필요하지 않은지 확인합니다(불만이 없음).
- 계정이 사용하지 않도록 설정되는 시간을 결정하는 비즈니스 정책을 만듭니다.
- 서비스 계정을 삭제합니다.
- MSA - Uninstall-ADServiceAccount 참조
- PowerShell을 사용하거나 관리 서비스 계정 컨테이너에서 수동으로 삭제합니다.
- 컴퓨터 또는 사용자 계정 - Active Directory에서 수동으로 계정 삭제
다음 단계
서비스 계정을 보호하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.