Microsoft 365를 사용하여 배포 계획 제로 트러스트

아티클
04/09/2024

이 문서에서는 Microsoft 365를 사용하여 제로 트러스트 보안을 구축하기 위한 배포 계획을 제공합니다. 제로 트러스트 위반을 가정하고 제어되지 않은 네트워크에서 시작된 것처럼 각 요청을 확인하는 새로운 보안 모델입니다. 요청이 시작된 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트 모델은 "절대 신뢰하지 않으며 항상 확인"을 설명합니다.

이 문서를 이 포스터와 함께 사용합니다.

항목	설명
PDF \| Visio 업데이트 날짜: 2024년 3월	관련 솔루션 가이드 Microsoft 365용 ID 인프라 배포 권장 ID 및 디바이스 액세스 구성 Intune을 사용하여 디바이스 관리 평가 및 파일럿 Microsoft Defender XDR Microsoft Purview를 통한 Information Protection 솔루션 배포 Microsoft 365를 사용하여 데이터 개인 정보 보호 규정 배포

제로 트러스트 보안 아키텍처

제로 트러스트 접근 방식은 전체 디지털 자산 전체에 걸쳐 확장되며 통합 보안 철학 및 엔드투엔드 전략의 역할을 합니다.

이 그림에서는 제로 트러스트 기여하는 기본 요소의 표현을 제공합니다.

이 그림의 내용

보안 정책 적용은 제로 트러스트 아키텍처의 중심에 있습니다. 여기에는 사용자 계정 위험, 디바이스 상태 및 설정한 기타 기준 및 정책을 고려한 조건부 액세스를 사용한 다단계 인증이 포함됩니다.
ID, 디바이스, 데이터, 앱, 네트워크 및 기타 인프라 구성 요소는 모두 적절한 보안으로 구성됩니다. 이러한 각 구성 요소에 대해 구성된 정책은 전반적인 제로 트러스트 전략과 조정됩니다. 예를 들어 디바이스 정책은 정상 디바이스에 대한 기준을 결정하고 조건부 액세스 정책에는 특정 앱 및 데이터에 액세스하기 위해 정상 디바이스가 필요합니다.
위협 방지 및 인텔리전스는 환경을 모니터링하고, 현재 위험을 노출하며, 공격을 수정하기 위해 자동화된 조치를 취합니다.

제로 트러스트 대한 자세한 내용은 Microsoft 제로 트러스트 지침 센터를 참조하세요.

Microsoft 365용 제로 트러스트 배포

Microsoft 365는 사용자 환경에 제로 트러스트 빌드하는 데 도움이 되는 많은 보안 및 정보 보호 기능을 사용하여 의도적으로 빌드되었습니다. organization 사용하는 다른 SaaS 앱 및 이러한 앱 내의 데이터에 대한 액세스를 보호하기 위해 많은 기능을 확장할 수 있습니다.

이 그림은 제로 트러스트 기능을 배포하는 작업을 나타냅니다. 이 작업은 함께 구성할 수 있는 작업 단위로 나뉩니다. 이 작업은 아래에서 시작하여 맨 위로 작업하여 필수 구성 요소 작업이 완료되도록 합니다.

이 그림의 내용:

제로 트러스트 ID 및 디바이스 보호의 기초로 시작됩니다.
위협 방지 기능은 보안 위협에 대한 실시간 모니터링 및 수정을 제공하기 위해 이 기반을 기반으로 합니다.
정보 보호 및 거버넌스는 특정 유형의 데이터를 대상으로 하는 정교한 제어 기능을 제공하여 가장 중요한 정보를 보호하고 개인 정보 보호를 비롯한 규정 준수 표준을 준수하는 데 도움을 줍니다.

이 문서에서는 사용자가 클라우드 ID를 사용하고 있다고 가정합니다. 이 목표에 대한 지침이 필요한 경우 Microsoft 365용 ID 인프라 배포를 참조하세요.

팁

단계 및 엔드 투 엔드 배포 프로세스를 이해하면 Microsoft 365 관리 센터 로그인할 때 Microsoft 제로 트러스트 보안 모델 고급 배포 설정 가이드를 사용할 수 있습니다. 이 가이드에서는 표준 및 고급 기술 핵심 요소에 대한 제로 트러스트 원칙을 적용하는 단계를 안내합니다. 로그인하지 않고 가이드를 단계별로 실행하려면 Microsoft 365 설치 포털로 이동합니다.

1단계: 제로 트러스트 ID 및 디바이스 액세스 보호 구성: 시작 지점 정책

첫 번째 단계는 ID 및 디바이스 액세스 보호를 구성하여 제로 트러스트 기반을 구축하는 것입니다.

자세한 규범 지침은 제로 트러스트 ID 및 디바이스 액세스 보호로 이동합니다. 이 문서 시리즈에서는 엔터프라이즈 클라우드 앱 및 서비스, 기타 SaaS 서비스 및 Microsoft Entra 애플리케이션으로 게시된 온-프레미스 애플리케이션에 대한 액세스를 보호하기 위한 ID 및 디바이스 액세스 필수 구성 집합 및 Microsoft Entra 조건부 액세스, Microsoft Intune 및 기타 정책 집합에 대해 설명합니다. 프록시.

포함 항목	필수 구성 요소	포함 안 함
다음 세 가지 보호 수준에 대한 권장 ID 및 디바이스 액세스 정책: 출발점 Enterprise(권장) 전문 다음을 위한 추가 권장 사항: 외부 사용자(게스트) Microsoft Teams SharePoint Online Microsoft Defender for Cloud Apps	Microsoft E3 또는 E5 다음 모드 중 하나로 Microsoft Entra ID. 클라우드 전용 PHS(암호 해시 동기화) 인증을 사용하는 하이브리드 PTA(통과 인증)를 사용하는 하이브리드 페더레이션	관리되는 디바이스가 필요한 정책에 대한 디바이스 등록입니다. 2단계를 참조하세요. 디바이스를 등록하는 Intune 사용하여 엔드포인트 관리

포함 항목

필수 구성 요소

포함 안 함

다음 세 가지 보호 수준에 대한 권장 ID 및 디바이스 액세스 정책:

출발점
Enterprise(권장)
전문

다음을 위한 추가 권장 사항:

외부 사용자(게스트)
Microsoft Teams
SharePoint Online
Microsoft Defender for Cloud Apps

Microsoft E3 또는 E5

다음 모드 중 하나로 Microsoft Entra ID.

클라우드 전용
PHS(암호 해시 동기화) 인증을 사용하는 하이브리드
PTA(통과 인증)를 사용하는 하이브리드
페더레이션

관리되는 디바이스가 필요한 정책에 대한 디바이스 등록입니다. 2단계를 참조하세요. 디바이스를 등록하는 Intune 사용하여 엔드포인트 관리

시작점 계층을 구현하여 시작합니다. 이러한 정책은 디바이스를 관리에 등록할 필요가 없습니다.

2단계: Intune 사용하여 엔드포인트 관리

다음으로, 관리에 디바이스를 등록하고 보다 정교한 컨트롤로 디바이스 보호를 시작합니다.

자세한 규범 지침은 Intune 사용하여 디바이스 관리를 참조하세요.

포함 항목	필수 구성 요소	포함 안 함
Intune 사용하여 디바이스 등록: 회사 소유 장치 Autopilot/automated 등록 정책 구성: 앱 보호 정책 규정 준수 정책 디바이스 프로필 정책	Microsoft Entra ID 엔드포인트 등록	다음을 비롯한 정보 보호 기능 구성 중요한 정보 유형 레이블 DLP 정책 이러한 기능은 5단계를 참조하세요 . 중요한 데이터를 보호하고 제어 합니다(이 문서의 뒷부분).

포함 항목

필수 구성 요소

포함 안 함

Intune 사용하여 디바이스 등록:

회사 소유 장치
Autopilot/automated
등록

정책 구성:

앱 보호 정책
규정 준수 정책
디바이스 프로필 정책

Microsoft Entra ID 엔드포인트 등록

다음을 비롯한 정보 보호 기능 구성

중요한 정보 유형
레이블
DLP 정책

이러한 기능은 5단계를 참조하세요 . 중요한 데이터를 보호하고 제어 합니다(이 문서의 뒷부분).

자세한 내용은 Microsoft Intune 대한 제로 트러스트 참조하세요.

3단계: 제로 트러스트 ID 및 디바이스 액세스 보호 추가: 엔터프라이즈 정책

디바이스를 관리에 등록하면 이제 규정 준수 디바이스가 필요한 권장 제로 트러스트 ID 및 디바이스 액세스 정책의 전체 집합을 구현할 수 있습니다.

공용 ID 및 디바이스 액세스 정책으로 돌아가서 엔터프라이즈 계층에 정책을 추가합니다.

4단계: Microsoft Defender XDR 평가, 파일럿 및 배포

Microsoft Defender XDR 엔드포인트, 이메일, 애플리케이션 및 ID를 포함하여 Microsoft 365 환경에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상호 연결 및 분석하는 XDR(확장 검색 및 응답) 솔루션입니다.

Microsoft Defender XDR 구성 요소의 파일럿 및 배포에 대한 체계적인 가이드는 평가 및 파일럿 Microsoft Defender XDR 이동합니다.

포함 항목	필수 구성 요소	포함 안 함
모든 구성 요소에 대한 평가 및 파일럿 환경을 설정합니다. ID용 Defender Office 365용 Defender 엔드포인트용 Defender Microsoft Defender for Cloud Apps 위협에 대한 보호 위협 조사 및 대응	Microsoft Defender XDR 각 구성 요소에 대한 아키텍처 요구 사항에 대해 읽어 보려면 지침을 참조하세요.	Microsoft Entra ID Protection 이 솔루션 가이드에 포함되지 않습니다. 1단계에 포함되어 있습니다. 제로 트러스트 ID 및 디바이스 액세스 보호를 구성합니다.

자세한 내용은 다음 추가 제로 트러스트 문서를 참조하세요.

5단계: 중요한 데이터 보호 및 관리

중요한 정보를 검색, 분류 및 보호하는 데 도움이 되는 Microsoft Purview Information Protection 구현합니다.

Microsoft Purview Information Protection 기능은 Microsoft Purview에 포함되어 있으며 데이터를 알고, 데이터를 보호하고, 데이터 손실을 방지하는 도구를 제공합니다.

이 작업은 이 문서의 앞부분에 설명된 배포 스택의 맨 위에 표시되지만 언제든지 이 작업을 시작할 수 있습니다.

Microsoft Purview Information Protection 특정 비즈니스 목표를 달성하는 데 사용할 수 있는 프레임워크, 프로세스 및 기능을 제공합니다.

Microsoft Purview Information Protection

정보 보호를 계획하고 배포하는 방법에 대한 자세한 내용은 Microsoft Purview Information Protection 솔루션 배포를 참조하세요.

데이터 개인 정보 보호 규정을 위한 정보 보호를 배포하는 경우 이 솔루션 가이드는 전체 프로세스에 권장되는 프레임워크인 Microsoft 365를 사용하여 데이터 개인 정보 보호에 대한 정보 보호 배포를 제공합니다.