ID 및 액세스 관리 기준 만들기

  • 5분

IAM(ID 및 액세스 관리)는 액세스 권한을 부여하고 회사 자산의 보안을 강화하기 위한 핵심 요소입니다. 클라우드 기반 자산을 보호하고 제어하려면 Azure 관리자, 애플리케이션 개발자 및 애플리케이션 사용자의 ID와 액세스를 관리해야 합니다.

HWS 보안 권장 사항

다음 섹션에서는 CIS Microsoft Azure Foundations 보안 벤치마크 v. 1.3.0에 있는 IAM 권장 사항을 설명합니다. 각 권장 사항에는 Azure Portal에서 완료해야 하는 기본 단계가 포함되어 있습니다. 자신의 구독에 대해 이러한 단계를 완료하고 자신의 리소스를 사용하여 각 보안 권장 사항의 유효성을 검사해야 합니다. 수준 2 옵션은 일부 기능이나 작업을 제한할 수 있으므로, 적용할 보안 옵션을 신중하게 고려해야 합니다.

Important

이러한 단계 중 일부를 완료하려면 Microsoft Entra 인스턴스의 관리자여야 합니다.

Microsoft Entra 관리 포털에 대한 액세스 제한 - 수준 1

데이터는 중요하고 최소 권한 규칙에 따라 관리되므로 관리자가 아닌 사용자는 Microsoft Entra 관리 포털에 액세스할 수 없습니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 왼쪽 메뉴에서 사용자 설정을 선택합니다.

  4. 사용자 설정관리 포털에서 Microsoft Entra 관리 포털에 대한 액세스 제한로 설정되어 있는지 확인합니다. 이 값을 로 설정하면 관리자가 아닌 모든 사람이 Microsoft Entra 관리 포털의 데이터에 액세스할 수 없습니다. 이 설정은 PowerShell 또는 Visual Studio와 같은 다른 클라이언트 사용에 대한 액세스를 제한하지는 않습니다.

  5. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Microsoft Entra 사용자를 위한 다단계 인증 사용

  • Microsoft Entra ID 권한이 있는 사용자에 대한 다단계 인증 사용 - 수준 1
  • 권한이 없는 Microsoft Entra 사용자에 대해 다단계 인증 사용 - 수준 2

모든 Microsoft Entra 사용자에 대해 다단계 인증을 사용하도록 설정합니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 모든 사용자 메뉴 모음에서 사용자별 MFA를 선택합니다.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. 다단계 인증 창에서 모든 사용자에 대해 다단계 인증 상태사용으로 설정되어 있는지 확인합니다. 다단계 인증을 사용하도록 설정하려면 사용자를 선택합니다. 빠른 단계에서 사용>다단계 인증 사용을 선택합니다.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

신뢰할 수 있는 디바이스에서 다단계 인증 기억 안 함 - 수준 2

사용자가 신뢰하는 디바이스 및 브라우저에 대한 다단계 인증 저장 기능은 모든 다단계 인증 사용자를 위한 무료 기능입니다. 사용자는 다단계 인증을 사용하여 디바이스에 로그인한 후에 지정된 기간(일) 동안 후속 인증을 바이패스할 수 있습니다.

계정이나 디바이스가 손상된 경우 신뢰할 수 있는 디바이스에 대한 다단계 인증 저장 기능으로 인해 보안이 약화될 수 있습니다. 보안 권장 사항은 신뢰할 수 있는 디바이스에 대한 다단계 인증 기억 기능을 해제하는 것입니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 모든 사용자 메뉴 모음에서 사용자별 MFA를 선택합니다.

  4. 다단계 인증 창에서 사용자를 선택합니다. 빠른 단계에서 사용자 설정 관리를 선택합니다.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. 저장된 모든 디바이스에서 다단계 인증 복원 확인란을 선택한 다음 저장을 선택합니다.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

게스트 사용자가 없거나 액세스가 제한됨 - 수준 1

게스트 사용자가 없도록 하거나, 비즈니스에 게스트 사용자가 필요한 경우 게스트 권한을 제한해야 합니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 필터 추가 단추를 선택합니다.

  4. 필터의 경우 사용자 유형을 선택합니다. 에 대해 게스트를 선택합니다. 적용을 선택하여 게스트 사용자가 존재하지 않음을 확인합니다.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

암호 옵션

  • 사용자에게 암호 재설정에 대해 알림 - 수준 1
  • 다른 관리자가 암호를 재설정하면 모든 관리자에게 알림 - 수준 2
  • 암호를 재설정하려면 두 가지 방법 필요 - 수준 1

다단계 인증을 설정하면 공격자가 두 가지 ID 인증 형식을 모두 손상시켜야 사용자 암호를 악의적으로 재설정할 수 있습니다. 암호 재설정에 두 가지 형태의 ID 인증이 필요한지 확인합니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 왼쪽 메뉴에서 암호 재설정을 선택합니다.

  4. 왼쪽 메뉴의 관리에서 인증 방법을 선택합니다.

  5. 재설정에 필요한 방법 수2로 설정합니다.

  6. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

사용자 인증 방법을 다시 확인하는 간격 설정 - 수준 1

인증 다시 확인을 끄면 등록된 사용자에게 인증 정보를 다시 확인하라는 메시지가 표시되지 않습니다. 더 안전한 옵션은 설정된 간격마다 인증 재확인을 켜는 것입니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 왼쪽 메뉴 창에서 암호 재설정을 선택합니다.

  4. 왼쪽 메뉴의 관리에서 등록을 선택합니다.

  5. 사용자에게 해당 인증 정보를 다시 확인하도록 요청하기까지의 기간0으로 설정되지 않았는지 확인합니다. 기본값은 180일입니다.

  6. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

게스트 초대 설정 - 수준 2

관리자만 게스트 사용자를 초대할 수 있어야 합니다. 초대를 관리자로 제한하면 권한 있는 계정만 Azure 리소스에 액세스할 수 있습니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 왼쪽 메뉴에서 사용자 설정을 선택합니다.

  4. 사용자 설정 창의 외부 사용자에서 외부 협업 설정 관리를 선택합니다.

  5. 외부 협업 설정게스트 초대 설정에서 특정 관리자 역할에 할당된 사용자만 게스트 사용자를 초대할 수 있음을 선택합니다.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

사용자가 보안 그룹을 만들고 관리할 수 있음 - 수준 2

이 기능이 사용하도록 설정되면 Microsoft Entra ID의 모든 사용자는 새로운 보안 그룹을 만들 수 있습니다. 관리자만 보안 그룹을 만들 수 있도록 제한해야 합니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리에서 그룹을 선택합니다.

  3. 모든 그룹 창의 왼쪽 메뉴에서 설정 아래의 일반을 선택합니다.

  4. 보안 그룹의 경우 사용자가 Azure Portal, API 또는 PowerShell에서 보안 그룹을 만들 수 있음아니요로 설정되어 있는지 확인합니다.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

셀프 서비스 그룹 관리 사용 - 수준 2

비즈니스에서 다양한 사용자에게 셀프 서비스 그룹 관리를 위임해야 하는 경우가 아니면 이 기능을 사용하지 않도록 설정하는 것이 안전합니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리에서 그룹을 선택합니다.

  3. 모든 그룹 창의 왼쪽 메뉴에서 설정 아래의 일반을 선택합니다.

  4. 셀프 서비스 그룹 관리에서 모든 옵션이 아니요로 설정되어 있는지 확인합니다.

  5. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

Screenshot that shows Microsoft Entra self-service group options set to No.

애플리케이션 옵션 - 사용자가 앱을 등록할 수 있도록 허용 - 수준 2

관리자가 사용자 지정 애플리케이션을 등록하도록 합니다.

  1. Azure Portal에 로그인합니다. Microsoft Entra ID를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리 아래에서 사용자를 선택합니다.

  3. 왼쪽 메뉴에서 사용자 설정을 선택합니다.

  4. 사용자 설정 창에서 앱 등록아니요로 설정되어 있는지 확인합니다.

  5. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.

Screenshot that shows Microsoft Entra users with app registrations set to No.