Microsoft 365 내에서 액세스 제어에 사용되는 도구 및 기술 살펴보기
Microsoft 365는 다양한 도구와 기술을 사용하여 서비스 팀 계정을 안전하게 유지합니다. 이 단원에서는 이러한 도구 중 일부를 검토하여 Microsoft가 ZSA(제로 스탠딩 액세스)를 시행하는 방법을 논의하기 위한 토대를 마련합니다.
ID 관리 도구(IDM)
Microsoft 365는 IDM(Identity Management Tool)이라는 계정 관리 시스템을 사용하여 수명 주기 동안 서비스 팀 계정을 추적합니다. IDM은 초기 계정 요청부터 자격 확인, 승인, 생성, 수정 및 계정이 더 이상 필요하지 않은 경우 비활성화에 이르기까지 모든 서비스 팀 계정의 상태를 자동으로 추적합니다.
새 서비스 팀 계정을 만들기 전에 IDM은 모든 자격 요건이 충족되었는지 확인합니다. 이러한 요구 사항에는 인사 심사, 보안 및 개인 정보 보호 교육, 적절한 관리자 승인이 포함됩니다. IDM은 또한 계정 수정이 요청될 때마다 승인을 위해 관리자에게 알립니다. 직원이 이동, 해고되거나 필수 교육을 완료하지 못하면 IDM은 자동으로 서비스 팀 계정에 대한 액세스를 취소하고 관리자에게 알립니다.
자동화는 대규모 보안을 제공하는 방법의 핵심입니다. 계정 관리의 대부분은 IDM에 의해 자동화됩니다. IDM은 90일 이상 사용하지 않으면 서비스 팀 계정을 자동으로 비활성화합니다. 또한 로그인 시도 실패 임계값을 초과하는 서비스 팀 계정은 자동으로 잠깁니다. 서비스 팀 계정은 수명 주기 동안 자동으로 감사됩니다. 수동 액세스 검토는 예외입니다. 발생하는 경우 Microsoft 365 서비스 팀은 최소한 분기별로 이를 수행합니다.
RBAC(역할 기반 액세스 제어)
Microsoft 365 서비스 팀은 AD(Active Directory) 및 Microsoft Entra ID 의해 적용되는 RBAC(Role-Based Access Control)를 사용합니다. 서비스 팀 직원은 관리 승인에 따라 필요한 역할에 대한 액세스를 요청합니다. 승인되면 시스템 지원 역할에 따라 보안 그룹에 배치됩니다.
서비스 팀 계정 접근은 최소 권한 원칙에 따라 관리됩니다. RBAC는 서비스 팀 계정을 역할에 해당하는 환경에서 필요한 작업을 완료하는 데 필요한 액세스로만 제한합니다. RBAC는 또한 서비스 팀 계정을 현재 책임에 적합한 역할로 제한하여 직무 분리 요구 사항을 시행하는 데 도움이 됩니다.
원격 액세스
Microsoft 365 시스템 구성 요소는 운영 팀과 지리적으로 분리된 데이터 센터에 있습니다. 데이터 센터 직원은 물리적 액세스 권한이 있지만 Microsoft 365 환경에 대한 논리적 액세스 권한은 없습니다. 또는 서비스 팀 직원은 논리적 액세스 권한이 있지만 물리적 액세스 권한은 없습니다. 결과적으로 서비스 팀 직원은 원격 액세스를 통해 환경을 관리합니다. 승인된 모든 활동은 Microsoft 365 환경에 대한 원격 액세스를 통해 실행할 수 있습니다. Microsoft 365를 지원하기 위해 원격 액세스가 필요한 서비스 팀 직원은 승인된 관리자의 승인 후에만 원격 액세스가 허용됩니다. 모든 원격 액세스는 보안 원격 연결을 위해 FIPS 140-2 호환 TLS를 사용합니다.
보안 액세스 워크스테이션(SAW)
Microsoft 365는 프로덕션 Microsoft 365 환경을 지원하는 서비스 팀 엔지니어에게 SAW(Secure Access Workstation)를 발급합니다. SAW는 엔지니어가 Microsoft 365 서비스를 지원할 때 관리 작업을 수행하는 데 사용하는 장치의 공격 표면을 줄여 보안을 강화합니다.
Microsoft의 SAW는 하드웨어 및 소프트웨어 취약점에 대한 추가 보호 기능을 갖춘 특별히 설계 및 제조된 노트북입니다. Microsoft는 신뢰할 수 있는 공급업체와 직접 협력하여 SAW를 구축하고 SAW 하드웨어의 보안을 보장하기 위해 공급망을 단축합니다. 의도적으로 제한된 기능으로 강화된 운영 체제는 일반적인 공격 벡터를 추가로 완화하거나 제거합니다. SAW 강화 사례에는 USB 드라이브에 쓰기를 사용하지 않도록 설정, 엄격한 애플리케이션 허용 목록 적용, 생산성 제품군 및 전자 메일 액세스 제거, 인터넷 검색 제한, 강화된 브라우저 사용 강요, 프록시 필터를 통한 트래픽 라우팅, 그룹 정책 통해 비활성 화면 보호기 잠금 적용 등이 포함됩니다.
Microsoft 365 액세스 제어 시스템은 액세스 시 엔지니어의 SAW 상태를 자동으로 확인하고 비준수 SAW의 연결을 거부합니다. 장치 상태 확인은 IP 제한, IPsec 정책 및 다단계 인증을 통한 사용자 식별 확인을 비롯한 기타 액세스 제어를 보완합니다. SAW 사용은 무단 사용을 감지하고 방지하기 위해 엄격하게 모니터링되고 기록됩니다. 비준수 장치는 자동으로 비활성화됩니다.
MFA(Multi-Factor Authentication)
Microsoft 365에는 모든 서비스 팀 계정에 대해 다단계 인증(MFA)이 필요합니다. MFA는 시스템에 로그인할 때 엔지니어의 신원을 증명하기 위해 여러 형태의 확인 또는 요소를 요구하여 계정 보안을 강화합니다. MFA에 사용할 수 있는 요소 유형은 세 가지 범주로 나뉩니다.
- 사용자가 알고 있는 정보 – 암호, 보안 질문에 대한 답변 또는 개인 식별 번호(PIN)
- 사용자의 소유물 – 보안 토큰 생성기 또는 알림을 수신하는 모바일 앱
- 사용자의 존재 - 지문 또는 얼굴 스캔과 같은 생체 인식 속성
Microsoft 365에는 MFA에 대해 두 가지 이상의 요소가 필요합니다. MFA를 사용하면 자격 증명 노출의 영향을 제한하여 Microsoft 365의 보안을 강화할 수 있습니다. Microsoft 365에서 사용자의 암호를 훼손한 공격자는 완전히 인증하기 위해 보안 토큰 생성기를 소유해야 합니다. 단일 요소만 사용하는 인증은 Microsoft 365에 액세스하는 데 충분하지 않으므로 잠재적인 공격자를 차단하고 사용자가 손상된 암호를 변경할 수 있는 시간을 제공합니다.