Microsoft Entra ID를 사용하여 NIST 인증자 보증 수준 3
이 문서에서는 NIST(National Institute of Standards and Technology) 인증자 보증 수준 3(AAL3)에 대한 정보를 사용합니다.
AAL2를 가져오기 전에 다음 리소스를 검토할 수 있습니다.
- NIST 개요: AAL 수준 이해
- 인증 기본 사항: 용어 및 인증 유형
- NIST 인증자 형식: 인증자 형식
- NIST AAL: AAL 구성 요소 및 Microsoft Entra 인증 방법
허용되는 인증자 유형
필요한 NIST 인증 유형을 충족하는 데 Microsoft 인증 방법을 사용하세요.
| Microsoft Entra 인증 방법 | NIST 인증자 유형 |
|---|---|
| 권장 방법 | |
| 하드웨어로 보호 받는 인증서(스마트카드/보안 키/TPM) FIDO 2 보안 키 하드웨어 TPM을 사용하는 비즈니스용 Windows Hello macOS용 플랫폼 자격 증명 |
다단계 암호화 하드웨어 |
| 추가 방법 | |
| 암호 및 - 하드웨어 TPM과 Microsoft Entra 조인됨 - OR - Microsoft Entra 하이브리드가 하드웨어 TPM과 조인됨 |
저장된 비밀 및 단일 단계 암호화 하드웨어 |
| 암호 및 OATH 하드웨어 토큰(미리 보기) 및 - 단일 요소 소프트웨어 인증서 - OR - 소프트웨어 TPM을 사용하는 Microsoft Entra 하이브리드 조인 또는 규격 디바이스 |
저장된 비밀 및 단일 단계 OTP 하드웨어 및 단일 단계 암호화 소프트웨어 |
권장 사항
AAL3의 경우 암호 없는 인증을 제공하는 다단계 암호화 하드웨어 인증자를 사용하여 가장 큰 공격 표면인 암호를 사용하지 않는 것이 좋습니다.
참고 자료는 Microsoft Entra ID에서 암호 없는 인증 배포 계획을 참조하세요. 비즈니스용 Windows Hello 배포 가이드를 함께 참고하세요.
FIPS 140 유효성 검사
검증 도구 요구 사항
Microsoft Entra ID는 인증 암호화 작업에 Windows FIPS 140 수준 1 전체 유효성 검사 암호화 모듈을 사용합니다. 따라서 Microsoft Entra ID가 규격 검증 도구가 됩니다.
인증자 요구 사항
단일 단계 및 다단계 암호화 하드웨어 인증자 요구 사항
단일 단계 암호화 하드웨어
인증자는 다음이어야 합니다.
FIPS 140 Level 1 전체 또는 그 이상
FIPS 140 Level 3 물리적 보안 또는 그 이상
Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스는 다음과 같은 경우에 이 요구 사항을 충족합니다.
FIPS 140 승인 모드에서 Windows를 실행하는 경우
FIPS 140 Level 1 전체 또는 그 이상과 FIPS 140 Level 3 물리적 보안에 해당하는 TPM을 지원하는 컴퓨터를 사용하는 경우
- 호환되는 TPM 찾기: 암호화 모듈 유효성 검사 프로그램에서 신뢰할 수 있는 플랫폼 모듈 및 TPM 검색
FIPS 140 준수에 대한 자세한 내용은 모바일 디바이스 공급업체에 문의하세요.
다단계 암호화 하드웨어
인증자는 다음이어야 합니다.
FIPS 140 Level 2 전체 또는 그 이상
FIPS 140 Level 3 물리적 보안 또는 그 이상
FIDO 2 보안 키, 스마트 카드 및 비즈니스용 Windows Hello는 이러한 요구 사항을 충족하는 데 도움이 될 수 있습니다.
FIDO2 키 공급자는 FIPS 인증에 있습니다. 지원되는 FIDO2 주요 공급업체 목록을 검토하는 것이 좋습니다. 현재 FIPS 유효성 검사 상태 공급자에게 문의하세요.
스마트 카드는 입증된 기술입니다. 여러 공급업체 제품이 FIPS 요구 사항을 충족합니다.
- 암호화 모듈 유효성 검사 프로그램에서 자세히 알아보세요.
비즈니스용 Windows Hello
FIPS 140은 소프트웨어, 펌웨어 및 하드웨어를 비롯한 암호화 경계가 평가 범위 내에 있을 것을 요구합니다. Windows 운영 체제는 이러한 수천 가지 조합과 페어링할 수 있습니다. 따라서 Microsoft가 FIPS 140 보안 Level 2에서 비즈니스용 Windows Hello 유효성을 검사하는 것은 불가능합니다. 연방 고객은 이 서비스를 AAL3으로 수락하기 전에 위험 평가를 수행하고 다음 구성 요소 인증을 위험 수용의 일부로 평가해야 합니다.
Windows 10 및 Windows Server는 NIAP(National Information Assurance Partnership)의 미국 정부 승인을 받은 Protection Profile for General Purpose Operating Systems Version 4.2.1을 사용합니다. 이 조직은 자국의 프로그램을 감독하여 COTS(Commercial Off-The-Shelf) 정보 기술 제품이 국제 Common Criteria를 준수하는지 평가합니다.
Windows 암호화 라이브러리에는 NIST와 캐나다 사이버 보안 센터 간의 공동 노력인 NIST CMVP(암호화 모듈 유효성 검사 프로그램)의 FIPS 수준 1이 전반적으로 있습니다. 이 조직은 FIPS 표준에 대해 암호화 모듈의 유효성을 검사합니다.
FIPS 140 Level 2 전체 및 FIPS 140 Level 3 물리적 보안에 해당하는 TPM(신뢰할 수 있는 플랫폼 모듈)을 선택합니다. 조직은 하드웨어 TPM이 원하는 AAL 수준 요구 사항을 충족하도록 합니다.
현재 표준을 충족하는 TPM을 확인하려면 NIST 컴퓨터 보안 리소스 센터 암호화 모듈 유효성 검사 프로그램으로 이동합니다. 표준을 충족하는 하드웨어 TPM 목록을 보려면 모듈 이름 상자에 신뢰할 수 있는 플랫폼 모듈을 입력합니다.
MacOS 플랫폼 SSO
FIPS 140 보안 수준 2는 최소한 macOS 13에 대해 구현되며 대부분의 새 디바이스에서는 수준 3을 구현합니다. Apple 플랫폼 인증을 참조하는 것이 좋습니다. 디바이스의 보안 수준을 알고 있는 것이 중요합니다.
재인증
AAL3에서는 NIST가 사용자 활동에 관계없이 12시간마다 재인증을 요구합니다. 재인증은 비활성 상태가 15분 이상 지속된 경우에도 필요합니다. 두 요소를 모두 제공해야 합니다.
사용자 활동과 관계없는 재인증에 대한 요구 사항을 충족하려면 사용자 로그인 빈도를 12시간으로 구성하는 것이 좋습니다.
NIST를 이용하면 보상 컨트롤을 사용하여 구독자의 현재 상태를 확인할 수 있습니다.
세션 비활성 시간 제한을 15분으로 설정합니다. Microsoft Configuration Manager, GPO(그룹 정책 개체) 또는 Intune을 사용하여 OS 수준에서 디바이스를 잠급니다. 구독자가 잠금을 해제하려면 로컬 인증이 필요합니다.
Configuration Manager, GPO 또는 Intune을 사용하여 예약된 작업을 실행하여 활동에 관계없이 시간 제한을 설정합니다. 활동에 관계없이 12시간 후에 컴퓨터를 잠급니다.
Man-in-the-Middle 저항
청구인과 Microsoft Entra ID 간의 통신은 MitM(Man-in-the-Middle) 공격에 대한 저항을 위해 인증되고 보호된 채널을 통해 이루어집니다. 이 구성은 AAL1, AAL2, AAL3에 대한 MitM 저항 요구 사항을 충족합니다.
검증 도구 가장 저항
AAL3을 충족하는 Microsoft Entra 인증 방법은 인증할 세션에 인증자 출력을 바인딩하는 암호화 인증자를 사용합니다. 이 방법은 청구인이 제어하는 프라이빗 키를 사용합니다. 공개 키는 검증 도구에 알려져 있습니다. 이 구성은 AAL3에 대한 검증 도구 가장 저항 요구 사항을 충족합니다.
검증 도구 손상 저항
AAL3을 충족하는 모든 Microsoft Entra 인증 방법:
- 검증 도구에 인증자가 보유하고 있는 프라이빗 키에 해당하는 퍼블릭 키를 저장하도록 요구하는 암호화 인증자를 사용합니다.
- FIPS-140으로 검증된 해시 알고리즘을 사용하여 필요한 인증자 출력을 저장합니다.
자세한 내용은 Microsoft Entra 데이터 보안 고려 사항을 참조하세요.
재생 저항
AAL3을 충족하는 Microsoft Entra 인증 방법은 nonce 또는 챌린지를 사용합니다. 이러한 방법은 검증 도구가 재생된 인증 트랜잭션을 검색할 수 있기 때문에 재생 공격에 대한 저항력이 있습니다. 이러한 트랜잭션에는 필요한 nonce 또는 적시성 데이터가 포함되지 않습니다.
인증 의도
인증 의도를 요구하면 직접 연결된 실제 인증자(예: 다단계 암호화 하드웨어)가 주체 몰래 엔드포인트의 맬웨어 등에 의해 사용되기 어렵게 만듭니다. AAL3을 충족하는 Microsoft Entra 방법에는 인증 의도를 보여 주는 핀 또는 생체 인식의 사용자 항목이 필요합니다.