Security Control V2: Privileged Access
참고
최신 Azure 보안 벤치마크는 여기에서 제공됩니다.
Privileged Access는 Azure 테넌트 및 리소스에 대한 권한 있는 액세스를 보호하기 위한 제어를 다룹니다. 여기에는 의도적이고 의도치 않은 위험으로부터 관리 모델, 관리 계정 및 권한 있는 액세스 워크스테이션을 보호하기 위한 다양한 제어가 포함됩니다.
적용 가능한 기본 제공 Azure Policy를 보려면 Azure 보안 벤치마크 규정 준수 기본 제공 이니셔티브의 세부 정보: Privileged Access를 참조하세요.
PA-1: 높은 권한이 있는 사용자 보호 및 제한
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
높은 권한의 사용자 계정 수를 제한하고 관리자 권한 수준에서 이러한 계정을 보호합니다. Azure AD에서 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있기 때문입니다. 이러한 권한을 통해 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.
전역 관리자: 이 역할의 사용자는 Azure AD의 모든 관리 기능뿐 아니라 Azure AD ID를 사용하는 서비스에도 액세스할 수 있습니다.
권한 있는 역할 관리자: 이 역할의 사용자는 Azure AD뿐만 아니라 Azure AD PIM(Privileged Identity Management) 내에서도 역할 할당을 관리할 수 있습니다. 또한 이 역할을 통해 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.
참고: 특정 권한이 할당된 사용자 지정 역할을 사용하는 경우 관리해야 할 다른 중요한 역할이 있을 수 있습니다. 또한 중요한 비즈니스 자산의 관리자 계정에 비슷한 컨트롤을 적용할 수 있습니다.
Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정할 수 있습니다. JIT는 사용자가 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-2: 중요 비즈니스용 시스템에 대한 관리 액세스 제한
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
구독 및 관리 그룹에 대한 권한 있는 액세스 권한이 부여된 계정을 제한함으로써 중요 비지니스용 시스템에 대한 액세스를 격리합니다. 또한 중요 비즈니스용 시스템에 에이전트를 설치하여 Active Directory DC(도메인 컨트롤러), 보안 도구 및 시스템 관리 도구 등의 중요 비즈니스용 자산에 대한 관리 액세스 권한이 있는 관리, ID 및 보안 시스템에 대한 액세스를 제한해야 합니다. 관련 관리 및 보안 시스템을 손상시키는 공격자는 중요 비즈니스용 자산을 손상시키기 위해 관련 시스템을 즉시 무기화할 수 있습니다.
모든 형식의 액세스 제어는 일관된 액세스 제어를 보장하기 위해 엔터프라이즈 조각화 전략에 맞춰야 합니다.
이메일, 검색 및 생산성 작업에 사용되는 표준 사용자 계정과는 다른 별도의 권한 있는 계정을 할당해야 합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-3: 정기적으로 사용자 액세스 검토 및 조정
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
정기적으로 사용자 계정 및 액세스 할당을 검토하여 계정 및 해당 액세스 수준이 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 발견하는 데 유용한 로그를 제공합니다. 또한 Azure AD Privileged Identity Management를 사용하여 검토 프로세스를 용이하게 하는 액세스 검토 보고서 워크플로를 만들 수 있습니다. 또한 과도한 수의 관리자 계정이 만들어질 때 경고하고, 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 Azure Privileged Identity Management를 구성할 수 있습니다.
참고: 일부 Azure 서비스는 Azure AD를 통해 관리되지 않는 로컬 사용자 및 역할을 지원합니다. 이러한 사용자는 별도로 관리해야 합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-4: Azure AD에서 응급 액세스 설정
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Azure AD 조직이 실수로 잠기는 것을 방지하려면 일반 관리 계정을 사용할 수 없을 경우 액세스를 위한 응급 액세스 계정을 설정합니다. 응급 액세스 계정은 일반적으로 권한이 높으며 특정 사용자에게 할당되면 안 됩니다. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 '비상' 시나리오의 긴급한 상황으로 제한됩니다. 응급 액세스 계정의 자격 증명(예: 암호, 인증서 또는 스마트 카드)을 안전하게 유지하고 비상시에만 사용할 권한이 있는 사용자에게만 알립니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-5: 권한 관리 자동화
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Azure AD 권한 관리 기능을 사용하여 액세스 권한 할당, 검토, 만료 등의 액세스 요청 워크플로를 자동화할 수 있습니다. 이중 또는 다단계 승인도 지원됩니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-6: 권한 있는 액세스 워크스테이션 사용
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
안전하고 격리된 워크스테이션은 관리자, 개발자, 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 매우 안전한 사용자 워크스테이션 및/또는 Azure Bastion을 사용합니다. Azure Active Directory, Microsoft Defender for Identity 및/또는 Microsoft Intune을 사용하여 관리 작업을 위해 안전하게 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 강력한 인증, 소프트웨어 및 하드웨어 기준 설정, 제한된 논리 및 네트워크 액세스를 비롯한 보안 구성을 적용할 수 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-7: 충분한 관리 수행(최소 권한 원칙)
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Azure RBAC(Azure 역할 기반 액세스 제어)에서는 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 역할은 사용자, 그룹 서비스 주체 및 관리 ID에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 이러한 역할은 Azure CLI, Azure PowerShell 및 Azure Portal과 같은 도구를 통해 쿼리하거나 인벤토리에 포함할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한해야 합니다. 제한된 권한은 Azure AD PIM(Privileged Identity Management )의 JIT(just-in-time) 접근 방식을 보완하며 이러한 권한은 정기적으로 검토해야 합니다.
기본 제공 역할을 사용하여 권한을 할당하고 필요할 때만 사용자 지정 역할을 만듭니다.
책임: Customer
고객 보안 관련자(자세한 정보):
PA-8: Microsoft 지원에 대한 승인 프로세스 선택
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Microsoft에서 각 고객 데이터에 액세스해야 하는 지원 시나리오에서는 고객 Lockbox가 고객 데이터 액세스 요청을 명시적으로 검토하고 승인 또는 거부할 수 있는 기능을 제공합니다.
책임: Customer
고객 보안 관련자(자세한 정보):