Security Control: ID 및 액세스 제어
참고
최신 Azure 보안 벤치마크는 여기에서 제공됩니다.
ID 및 액세스 관리 권장 사항은 ID 기반 액세스 제어 관련 문제를 해결하고 관리 액세스를 잠그고 ID 관련 이벤트, 비정상 계정 동작, 역할 기반 액세스 제어를 경고하는 데 중점을 둡니다.
3.1: 관리 계정 인벤토리 유지 관리
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.1 | 4.1 | Customer |
Azure AD에는 명시적으로 할당되고 쿼리할 수 있는 기본 제공 역할이 있습니다. Azure AD PowerShell 모듈을 통해 임시 쿼리를 수행하여 관리 그룹의 멤버인 계정을 검색합니다.
3.2: 기본 암호 변경(해당하는 경우)
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.2 | 4.2 | Customer |
Azure AD에는 기본 암호 개념이 없습니다. 암호를 요구하는 다른 Azure 리소스는 복잡성 요구 사항과 최소 암호 길이(서비스에 따라 다름)를 준수하여 암호를 만들도록 강제합니다. 타사 애플리케이션 및 마켓플레이스 서비스의 경우 재량에 따라 기본 암호를 사용할 수 있습니다.
3.3: 전용 관리 계정 사용
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.3 | 4.3 | Customer |
전용 관리 계정 사용에 대한 표준 운영 절차를 만듭니다. Azure Security Center의 "액세스 및 권한 관리" 보안 제어의 권장 사항을 사용하여 관리 계정 수를 모니터링합니다.
또한 Microsoft 서비스용 Azure AD Privileged Identity Management의 권한 있는 역할과 Azure Resource Manager를 사용하여 Just-In-Time/Just-Enough-Access를 사용 설정할 수 있습니다.
3.4: Azure Active Directory에서 SSO(Single Sign-On) 사용
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.4 | 4.4. | Customer |
가능하면 서비스별로 개별 독립 실행형 자격 증명을 구성하는 대신 Azure Active Directory SSO를 사용합니다. Azure Security Center의 "액세스 및 권한 관리" 보안 제어에서 권장 사항을 사용합니다.
3.5: 모든 Azure Active Directory 기반 액세스에 다단계 인증 사용
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | Customer |
Azure AD MFA를 사용하도록 설정하고 Azure Security Center ID 및 액세스 관리 권장 사항을 따릅니다.
3.6: 모든 관리 작업에 전용 컴퓨터(Privileged Access Workstation) 사용
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | Customer |
MFA가 구성된 PAW(Privileged Access Workstation)를 사용하여 Azure 리소스에 로그인하고 구성합니다.
3.7: 관리 계정의 의심스러운 활동에 대한 로그 및 경고
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.7 | 4.8, 4.9 | Customer |
Azure Active Directory 보안 보고서를 사용하여 환경에서 의심스럽거나 안전하지 않은 활동이 발생하면 로그 및 경고를 생성합니다. Azure Security Center를 사용하여 ID 및 액세스 활동을 모니터링합니다.
3.8: 승인된 위치에서만 Azure 리소스 관리
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.8 | 11.7 | Customer |
조건부 액세스 명명된 위치를 사용하여 IP 주소 범위 또는 국가/지역의 특정 논리 그룹에서만 액세스하도록 허용합니다.
3.9: Azure Active Directory 사용
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Customer |
Azure Active Directory를 중앙 인증 및 권한 부여 시스템으로 사용합니다. Azure AD는 강력한 암호화를 저장 데이터 및 전송 중 데이터에 사용하여 데이터를 보호합니다. 또한 Azure AD는 사용자 자격 증명을 솔트하고, 해시하고, 안전하게 저장합니다.
3.10: 정기적으로 사용자 액세스 검토 및 조정
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.10 | 16.9, 16.10 | Customer |
Azure AD는 부실 계정을 검색하는 데 유용한 로그를 제공합니다. 또한 Azure ID 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리합니다. 사용자의 액세스를 정기적으로 검토하여 적합한 사용자만 계속 액세스할 수 있도록 합니다.
3.11: 비활성화된 자격 증명에 대한 액세스 시도 모니터링
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.11 | 16.12 | Customer |
Azure AD 로그인 활동, 감사 및 위험 이벤트 로그 소스에 액세스가 가능하므로 SIEM/모니터링 툴과 통합할 수 있습니다.
Azure Active Directory 사용자 계정에 대한 진단 설정을 만들고 감사 로그 및 로그인 로그를 Log Analytics Workspace로 보내면 이 프로세스를 간소화할 수 있습니다. Log Analytics 작업 영역 내에서 원하는 경고를 구성할 수 있습니다.
3.12: 계정 로그인 동작 편차에 대한 경고
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.12 | 16.13 | Customer |
Azure AD 위험 및 ID 보호 기능을 사용하여 사용자 ID와 관련하여 감지된 의심스러운 동작에 대한 자동 응답을 구성합니다. 추가 조사를 위해 데이터를 Azure Sentinel로 수집할 수도 있습니다.
3.13: 지원 시나리오 중 관련 고객 데이터에 대한 액세스 권한을 Microsoft에 제공
| Azure ID | CIS ID | 책임 |
|---|---|---|
| 3.13 | 16 | Customer |
Microsoft에서 고객 데이터에 액세스해야 하는 지원 시나리오에서는 고객 Lockbox가 고객 데이터 액세스 요청을 검토, 승인 또는 거부할 수 있는 인터페이스를 제공합니다.
다음 단계
- 다음 Security Control: 데이터 보호를 참조하세요.