Contoso Corporation의 엔터프라이즈 보안을 위한 Microsoft 365 요약

Contoso IT 보안 부서는 엔터프라이즈용 Microsoft 365 배포에 대한 승인을 얻기 위해 철저한 보안 검토를 수행했습니다. 클라우드에 대한 다음과 같은 보안 요구 사항을 확인했습니다.

  • 클라우드 리소스에 대한 직원 액세스에 가장 강력한 인증 방법을 사용합니다.
  • PC 및 모바일 디바이스가 안전한 방법으로 애플리케이션에 연결하고 액세스하는지 확인합니다.
  • 맬웨어로부터 PC 및 전자 메일을 보호합니다.
  • 클라우드 기반 디지털 자산에 대한 권한은 수행할 수 있는 작업 및 작업에 액세스할 수 있는 사용자를 정의하며 최소 권한 액세스를 위해 설계되었습니다.
  • 중요하고 규제가 높은 디지털 자산은 레이블이 지정되고 암호화되며 보안 위치에 저장됩니다.
  • 규제가 높은 디지털 자산은 추가 암호화 및 권한으로 보호됩니다.
  • IT 보안 직원은 중앙 대시보드에서 현재 보안 상태를 모니터링하고 빠른 대응 및 완화를 위해 보안 이벤트에 대한 알림을 받을 수 있습니다.

Microsoft 365 보안 준비에 대한 Contoso 경로

Contoso는 다음 단계에 따라 엔터프라이즈용 Microsoft 365 배포를 위한 보안을 준비했습니다.

  1. 클라우드에 대한 관리자 계정 제한

    Contoso는 기존 AD DS(Active Directory Domain Services) 관리자 계정을 광범위하게 검토하고 일련의 전용 클라우드 관리자 계정 및 그룹을 설정했습니다.

  2. 데이터를 세 가지 보안 수준으로 분류

    Contoso는 신중하게 검토하고 가장 중요한 데이터를 보호하기 위해 엔터프라이즈용 Microsoft 365 기능을 식별하는 데 사용된 세 가지 수준을 결정했습니다.

  3. 데이터 수준에 대한 액세스, 보존 및 정보 보호 정책 결정

    Contoso는 데이터 수준에 따라 클라우드로 이동되는 향후 IT 워크로드를 한정하기 위한 자세한 요구 사항을 결정했습니다.

Contoso 보안 관리자와 IT 부서는 엔터프라이즈 배포 요구 사항에 대한 보안 모범 사례 및 Microsoft 365를 따르기 위해 다음 섹션에 설명된 대로 많은 보안 기능과 기능을 배포했습니다.

ID 및 액세스 관리

  • MFA 및 PIM이 있는 전용 전역 관리자 계정

    Contoso는 일상적인 사용자 계정에 전역 관리자 역할을 할당하는 대신 강력한 암호를 사용하여 세 개의 전용 전역 관리자 계정을 만들었습니다. 계정은 Azure AD MFA(Multi-Factor Authentication) 및 Azure Active Directory(Azure AD) Privileged Identity Management(PIM)로 보호됩니다. PIM은 Microsoft 365 E5에서만 사용할 수 있습니다.

    Azure AD DC 관리자 또는 전역 관리자 계정으로 로그인하는 작업은 특정 관리 작업에 대해서만 수행됩니다. 암호는 지정된 직원에게만 알려져 있으며 Azure AD PIM에 구성된 기간 내에만 사용할 수 있습니다.

    Contoso 보안 관리자는 IT 작업자의 작업 기능에 적합한 계정에 더 적은 관리자 역할을 할당했습니다.

    자세한 내용은 Microsoft 365 관리자 역할 정보를 참조하세요.

  • 모든 사용자 계정에 대한 MFA

    MFA는 로그인 프로세스에 추가 보호 계층을 추가합니다. 암호를 올바르게 입력한 후 사용자가 스마트폰에서 전화 통화, 문자 메시지 또는 앱 알림을 승인해야 합니다. MFA를 사용하면 계정 암호가 손상된 경우에도 Azure AD 사용자 계정이 무단 로그인으로부터 보호됩니다.

    • Microsoft 365 구독의 손상으로부터 보호하기 위해 Contoso는 모든 Azure AD DC 관리자 또는 전역 관리자 계정에 대해 MFA를 요구합니다.
    • Contoso는 공격자가 조직에서 신뢰할 수 있는 사용자의 자격 증명을 손상하고 악의적인 전자 메일을 보내는 피싱 공격으로부터 보호하기 위해 관리자 및 임원을 비롯한 모든 사용자 계정에서 MFA를 사용하도록 설정했습니다.
  • 조건부 액세스 정책을 사용한 보다 안전한 장치 및 응용 프로그램 액세스

    Contoso는 ID, 디바이스, Exchange Online 및 SharePoint에 조건부 액세스 정책을 사용하고 있습니다. ID 조건부 액세스 정책에는 위험 수준이 높은 사용자에 대한 암호 변경을 요구하고 클라이언트가 최신 인증을 지원하지 않는 앱을 사용하지 못하도록 차단하는 것이 포함됩니다. 디바이스 정책에는 승인된 앱의 정의와 규정 준수 PC 및 모바일 디바이스 요구가 포함됩니다. Exchange Online 조건부 액세스 정책에는 ActiveSync 클라이언트 차단 및 Office 365 메시지 암호화 설정이 포함됩니다. SharePoint 조건부 액세스 정책에는 중요하고 규제가 높은 사이트에 대한 추가 보호가 포함됩니다.

  • 비즈니스용 Windows Hello

    Contoso는 Windows 10 Enterprise 실행하는 PC 및 모바일 디바이스에서 강력한 2단계 인증을 통해 암호의 필요성을 제거하기 위해 비즈니스용 Windows Hello 배포했습니다.

  • Windows Defender Credential Guard

    Contoso는 관리 권한으로 운영 체제에서 실행되는 대상 공격 및 맬웨어를 차단하기 위해 AD DS 그룹 정책을 통해 Credential Guard를 Windows Defender 사용하도록 설정했습니다.

위협 방지

  • Microsoft Defender 바이러스 백신을 사용하여 맬웨어로부터 보호

    Contoso는 Windows 10 Enterprise 실행하는 PC 및 디바이스에 대한 맬웨어 방지 및 맬웨어 방지 관리를 위해 Microsoft Defender 바이러스 백신을 사용하고 있습니다.

  • Office 365용 Microsoft Defender 사용하여 전자 메일 흐름 및 사서함 감사 로깅 보호

    Contoso는 Exchange Online Protection 및 Office 365용 Defender 사용하여 이메일을 통해 전송되는 알 수 없는 맬웨어, 바이러스 및 악성 URL로부터 보호합니다.

    또한 Contoso는 사서함 감사 로깅을 사용하도록 설정하여 사용자 사서함에 로그인하고, 메시지를 보내고, 사서함 소유자, 위임된 사용자 또는 관리자가 수행하는 기타 작업을 수행하는 사용자를 식별했습니다.

  • Office 365 위협 조사와 응답으로 공격 모니터링 및 방지

    Contoso는 Office 365 위협 조사 및 대응을 사용하여 공격을 쉽게 식별하고 해결하고 향후 공격을 방지하여 사용자를 보호합니다.

  • Advanced Threat Analytics를 사용하여 정교한 공격으로부터 보호

    Contoso는 고급 대상 공격으로부터 자신을 보호하기 위해 ATA(Advanced Threat Analytics) 를 사용합니다. ATA는 정상 및 비정상적인 엔터티(사용자, 디바이스 및 리소스) 동작을 자동으로 분석, 학습 및 식별합니다.

정보 보호

  • Azure Information Protection 레이블을 사용하여 중요 및 높은 규제 대상 디지털 자산 보호

    Contoso는 세 가지 수준의 데이터 보호를 결정하고 사용자가 디지털 자산에 적용하는 Microsoft 365 민감도 레이블 을 배포했습니다. Contoso는 영업 비밀 및 기타 지적 재산권의 경우 높은 규제 대상 데이터에 민감도 하위 레이블을 사용합니다. 이 프로세스는 콘텐츠를 암호화하고 특정 사용자 계정 및 그룹에 대한 액세스를 제한합니다.

  • 데이터 손실 방지로 인트라넷 데이터 유출 방지하기

    Contoso는 사용자가 실수로 또는 의도적으로 중요한 데이터를 공유하지 못하도록 Exchange Online, SharePoint 및 비즈니스용 OneDrive 대한 Microsoft Purview 데이터 손실 방지 정책을 구성했습니다.

  • Windows Information Protection로 장치 데이터 누수 방지

    Contoso는 WIP(Windows Information Protection)를 사용하여 인터넷 기반 앱과 서비스, 엔터프라이즈 앱을 통한 데이터 유출 및 직원이 회사로 가져오는 엔터프라이즈 소유 디바이스 및 개인 디바이스의 데이터를 보호합니다.

  • Microsoft Defender for Cloud Apps 사용하여 클라우드 모니터링

    Contoso는 Microsoft Defender for Cloud Apps 사용하여 클라우드 환경을 매핑하고, 사용량을 모니터링하고, 보안 이벤트 및 인시던트를 검색합니다. Microsoft Defender for Cloud Apps Microsoft 365 E5 사용할 수 있습니다.

  • Microsoft Intune을 사용한 장치 관리

    Contoso는 Microsoft Intune 사용하여 모바일 디바이스 및 해당 디바이스에서 실행되는 앱에 대한 액세스를 등록, 관리 및 구성합니다. 디바이스 기반 조건부 액세스 정책에는 승인된 앱과 규격 PC 및 모바일 디바이스도 필요합니다.

보안 관리

  • Microsoft Defender for Cloud를 사용하여 IT에 대한 중앙 보안 대시보드

    Contoso는 클라우드용 Microsoft Defender 사용하여 보안 및 위협 방지에 대한 통합된 보기를 제시하고, 워크로드 전체에서 보안 정책을 관리하고, 사이버 공격에 대응합니다.

  • Windows Defender 보안 센터의 사용자를 위한 중앙 보안 대시보드

    Contoso는 사용자가 보안 상태를 한눈에 보고 조치를 취할 수 있도록 Windows 10 Enterprise 실행하는 PC 및 디바이스에 Windows 보안 앱을 배포했습니다.