다음을 통해 공유

CSP 보안 모범 사례

  • 아티클

파트너 센터 및 파트너 센터 API에 액세스하는 CSP(클라우드 솔루션 공급자) 프로그램의 모든 파트너는 이 문서의 보안 지침에 따라 자신과 고객을 보호해야 합니다.

고객 보안은 고객 보안 모범 사례를 참조 하세요.

Important

Azure AD(Azure Active Directory) Graph는 2023년 6월 30일부터 더 이상 사용되지 않습니다. 앞으로 Azure AD Graph에 더 이상 투자하지 않습니다. Azure AD Graph API에는 보안 관련 수정 외에 SLA 또는 기본 약정이 없습니다. 새로운 기능에 대한 투자는 Microsoft Graph에서만 이루어집니다.

애플리케이션을 Microsoft Graph API로 마이그레이션하는 데 충분한 시간이 있도록 증분 단계에서 Azure AD Graph를 사용 중지합니다. 나중에 발표할 예정이며, Azure AD Graph를 사용하여 새 애플리케이션 만들기를 차단합니다.

자세한 내용은 중요: Azure AD Graph 사용 중지 및 Powershell 모듈 사용 중단을 참조 하세요.

ID 모범 사례

다단계 인증 필요

  • 파트너 센터 테넌트 및 고객 테넌트에 있는 모든 사용자가 등록되어 있고 MFA(다단계 인증)가 필요한지 확인합니다. MFA를 구성하는 방법에는 여러 가지가 있습니다. 구성 중인 테넌트에 적용되는 메서드를 선택합니다.
    • 내 파트너 센터/고객의 테넌트에 Microsoft Entra ID P1이 있습니다.
    • 내 파트너 센터/고객의 테넌트에 Microsoft Entra ID P2가 있습니다.
  • 사용되는 MFA 메서드가 피싱에 강한지 확인합니다. 암호 없는 인증 또는 번호 일치를 사용하여 이 작업을 수행할 수 있습니다.
  • 고객이 MFA 사용을 거부하는 경우 Microsoft Entra ID에 대한 관리자 역할 액세스 또는 Azure 구독에 대한 쓰기 권한을 제공하지 마세요.

앱 액세스

  • 보안 애플리케이션 모델 프레임워크를 채택합니다. 파트너 센터 API와 통합된 모든 파트너는 모든 앱 및 사용자 인증 모델 애플리케이션에 대해 보안 애플리케이션 모델 프레임워크를 채택해야 합니다.
  • 파트너 센터 Microsoft Entra 테넌트에서 사용자 동의를 사용하지 않도록 설정하거나 관리자 동의 워크플로사용합니다.

최소 권한/상주 액세스 없음

  • 전역 관리자 또는 보안 관리자와 같은 Microsoft Entra 관리 역할이 있는 사용자는 전자 메일 및 공동 작업에 해당 계정을 정기적으로 사용하지 않아야 합니다. 공동 작업용 Microsoft Entra 관리 역할이 없는 별도의 사용자 계정을 만듭니다.
  • 관리 에이전트 그룹을 검토하고 액세스가 필요하지 않은 사용자를 제거합니다.
  • Microsoft Entra ID에서 관리 역할 액세스를 정기적으로 검토하고 가능한 한 적은 수의 계정으로 액세스를 제한합니다. 자세한 내용은 Microsoft Entra 기본 제공 역할을 참조하세요.
  • 회사를 떠나거나 회사 내에서 역할을 변경하는 사용자는 파트너 센터 액세스에서 제거되어야 합니다.
  • Microsoft Entra ID P2가 있는 경우 PIM(Privileged Identity Management)을 사용하여 JIT(Just-In-Time) 액세스를 적용합니다. 이중 양육권을 사용하여 Microsoft Entra 관리자 역할 및 파트너 센터 역할에 대한 액세스를 검토하고 승인합니다.
  • 권한 있는 역할을 보호하려면 권한 있는 액세스 보안 개요를 참조 하세요.
  • 고객 환경에 대한 액세스를 정기적으로 검토합니다.

ID 격리

  • 이메일 및 공동 작업 도구와 같은 내부 IT 서비스를 호스트하는 동일한 Microsoft Entra 테넌트에서 파트너 센터 인스턴스를 호스팅하지 않습니다.
  • 고객 액세스 권한이 있는 파트너 센터 권한 있는 사용자에 대해 별도의 전용 사용자 계정을 사용합니다.
  • 파트너가 고객 테넌트 및 관련 앱 및 서비스를 관리하는 데 사용할 고객 Microsoft Entra 테넌트에 사용자 계정을 만들지 마세요.

디바이스 모범 사례

  • 보안 기준을 관리하고 보안 위험을 모니터링하는 등록된 정상 워크스테이션에서 파트너 센터 및 고객 테넌트 액세스만 허용합니다.
  • 고객 환경에 대한 권한 있는 액세스 권한이 있는 파트너 센터 사용자의 경우 해당 사용자가 고객 환경에 액세스할 수 있도록 전용 워크스테이션(가상 또는 물리적)을 요구하는 것이 좋습니다. 자세한 내용은 권한 있는 액세스 보안을 참조하세요.

모범 사례 모니터링

파트너 센터 API

로그인 모니터링 및 감사

  • Microsoft Entra ID P2 라이선스가 있는 파트너는 감사 및 로그인 로그 데이터를 최대 30일까지 유지할 수 있는 자격을 자동으로 부여합니다.

    다음을 확인합니다.

    • 감사 로깅은 위임된 관리자 계정이 사용되는 위치에 있습니다.
    • 로그는 서비스에서 제공하는 최대 수준의 세부 정보를 캡처합니다.
    • 로그는 비정상적인 활동을 검색할 수 있는 허용 가능한 기간(최대 30일)동안 보존됩니다.

    자세한 감사 로깅을 사용하려면 더 많은 서비스를 구매해야 할 수 있습니다. 자세한 내용은 Microsoft Entra ID에서 보고 데이터를 저장하는 기간을 참조 하세요.

  • 전역 관리자 역할이 있는 모든 사용자의 Microsoft Entra ID 내에서 암호 복구 전자 메일 주소 및 전화 번호를 정기적으로 검토하고 확인하고 필요한 경우 업데이트합니다.

    • 고객의 테넌트가 손상된 경우: CSP 직접 청구 파트너, 간접 공급자 또는 간접 재판매인은 고객 테넌트의 관리주체 암호 변경을 요청하는 지원에 문의할 수 없습니다. 고객은 내 관리자 암호 재설정 항목의 지침에 따라 Microsoft 지원에 문의해야 합니다. 관리자 암호 재설정 항목에는 고객이 Microsoft 지원 호출하는 데 사용할 수 있는 링크가 있습니다. 암호 재설정을 지원하기 위해 CSP가 테넌트에 더 이상 액세스할 수 없도록 멘션 고객에게 지시합니다. CSP는 액세스가 회복되고 위반 당사자가 제거될 때까지 고객의 구독을 일시 중단하는 것을 고려해야 합니다.

  • 감사 로깅 모범 사례를 구현하고 위임된 관리자 계정에서 수행하는 활동에 대한 일상적인 검토를 수행합니다.

  • 파트너는 환경 내에서 위험한 사용자 보고서를 검토하고 게시된 지침에 따라 위험을 표시하도록 검색된 계정을 해결해야 합니다.