Microsoft Entra ID 거버넌스를 사용하는 최소 권한 원칙
ID 거버넌스 전략을 취하기 전에 해결해야 하는 한 가지 개념은 최소 권한 원칙(PLOP)입니다. 최소 권한은 사용자 및 그룹에게 업무를 수행하는 데 필요한 최소 수준의 액세스 및 권한만 할당하는 ID 거버넌스의 원칙입니다. 이 아이디어는 사용자 또는 그룹이 작업을 완료할 수 있도록 액세스 권한을 제한하고 공격자가 악용하거나 보안 위반으로 이어질 수 있는 불필요한 권한을 최소화하는 것입니다.
Microsoft Entra ID 거버넌스와 관련하여 최소 권한 원칙을 적용하면 보안을 강화하고 위험을 완화하는 데 도움이 됩니다. 이 접근 방식을 사용하면 사용자와 그룹이 역할 및 책임과 관련된 리소스, 데이터 및 작업에만 액세스할 수 있으며, 그 외에는 아무것도 부여되지 않습니다.
최소 권한 원칙의 주요 개념
필요한 리소스에만 액세스: 사용자는 작업을 수행해야 하는 경우에만 정보 및 리소스에 액세스할 수 있습니다. 이렇게 하면 중요한 데이터에 대한 무단 액세스를 방지하고 보안 위반의 잠재적 영향을 최소화할 수 있습니다. 사용자 프로비저닝을 자동화하면 불필요한 액세스 권한 부여를 줄일 수 있습니다. 수명 주기 워크플로 는 조직에서 기본 수명 주기 프로세스를 자동화하여 Microsoft Entra 사용자를 관리할 수 있도록 하는 ID 거버넌스 기능입니다.
RBAC(역할 기반 액세스 제어): 액세스 권한은 사용자의 특정 역할 또는 작업 기능에 따라 결정됩니다. 각 역할에는 책임을 수행하는 데 필요한 최소 권한이 할당됩니다. Microsoft Entra 역할 기반 액세스 제어 는 Microsoft Entra 리소스에 대한 액세스를 관리합니다.
Just-In-Time 권한: 액세스 권한은 필요한 기간 동안만 부여되며 더 이상 필요하지 않을 때 해지됩니다. 이렇게 하면 공격자가 과도한 권한을 악용할 수 있는 기회가 줄어듭니다. PIM(Privileged Identity Management) 은 Microsoft Entra ID의 서비스로, 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있으며 Just-In-Time 액세스를 제공할 수 있습니다.
정기 감사 및 검토: 사용자에게 부여된 액세스 권한이 계속 필요한지 확인하기 위해 사용자 액세스 및 권한에 대한 정기적인 검토가 수행됩니다. 이렇게 하면 최소 권한 원칙의 편차를 식별하고 수정할 수 있습니다. Microsoft Entra의 일부인 Microsoft Entra ID의 액세스 검토를 통해 조직은 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다. 적절한 사용자만 계속 액세스할 수 있도록 사용자의 액세스를 정기적으로 검토할 수 있습니다.
기본 거부: 기본 입장은 액세스를 거부하는 것이며, 액세스는 승인된 목적으로만 명시적으로 부여됩니다. 이는 불필요한 권한을 부여할 수 있는 "기본 허용" 접근 방식과 대조됩니다. 권한 관리는 조직이 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 대규모로 관리할 수 있도록 하는 ID 거버넌스 기능입니다.
최소 권한 원칙에 따라 조직은 보안 문제의 위험을 줄이고 액세스 제어가 비즈니스 요구 사항에 맞게 조정되도록 할 수 있습니다.
ID 거버넌스 기능에서 관리하기 위한 최소 권한 역할
ID 거버넌스에서 관리 작업을 수행할 때 최소 권한 역할을 사용하는 것이 가장 좋습니다. 이러한 작업을 수행하기 위해 필요할 때 Microsoft Entra PIM을 사용하여 역할을 활성화하는 것이 좋습니다. 다음은 ID 거버넌스 기능을 구성하는 데 필요한 최소 권한 디렉터리 역할입니다.
기능 | 최소 권한 역할 |
---|---|
자격 관리 | Identity Governance 관리자 |
액세스 검토 | 사용자 관리자(Azure 또는 Microsoft Entra 역할의 액세스 검토 제외. 이 작업은 권한 있는 역할 관리자가 필요) |
수명 주기 워크플로 | 수명 주기 워크플로 관리자 |
Privileged Identity Management | 권한 있는 역할 관리자 |
사용 약관 | 보안 관리자 또는 조건부 액세스 관리자 |
참고 항목
권한 관리에 대한 최소 권한 있는 역할은 사용자 관리자 역할에서 ID 거버넌스 관리자 역할로 변경되었습니다.