다음을 통해 공유

보안 제어 v3: 권한 있는 액세스

  • 아티클

Privileged Access는 의도적이고 의도하지 않은 위험으로부터 관리 모델, 관리 계정 및 권한 있는 액세스 워크스테이션을 보호하기 위한 다양한 컨트롤을 포함하여 Azure 테넌트 및 리소스에 대한 권한 있는 액세스를 보호하는 컨트롤을 다룹니다.

PA-1: 높은 권한/관리 사용자 분리 및 제한

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

보안 원칙: 모든 높은 비즈니스 영향 계정을 식별하고 있는지 확인합니다. 클라우드의 제어 평면, 관리 평면 및 데이터/워크로드 평면에서 권한 있는/관리 계정 수를 제한합니다.

Azure 지침: Azure AD(Azure Active Directory)는 Azure의 기본 ID 및 액세스 관리 서비스입니다. Azure AD에서 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있기 때문입니다. 이러한 권한으로 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

  • 전역 관리자/회사 관리자: 이 역할을 가진 사용자는 Azure AD ID를 사용하는 서비스뿐만 아니라 Azure AD의 모든 관리 기능에 액세스할 수 있습니다.
  • 권한 있는 역할 관리자: 이 역할을 가진 사용자는 Azure AD 및 Azure AD PIM(Privileged Identity Management) 내에서 역할 할당을 관리할 수 있습니다. 또한 이 역할을 사용하면 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.

Azure AD 외부에서 Azure에는 리소스 수준에서 권한 있는 액세스에 중요할 수 있는 기본 제공 역할이 있습니다.

  • 소유자: Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.
  • 기여자: 모든 리소스를 관리할 수 있는 모든 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나, Azure Blueprints에서 할당을 관리하거나, 이미지 갤러리를 공유할 수는 없습니다.
  • 사용자 액세스 관리자: Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다. 참고: 특정 권한 있는 권한이 할당된 Azure AD 수준 또는 리소스 수준에서 사용자 지정 역할을 사용하는 경우 관리해야 하는 다른 중요한 역할이 있을 수 있습니다.

중요 비즈니스용 시스템에 에이전트가 설치된 Active Directory DC(도메인 컨트롤러), 보안 도구 및 시스템 관리 도구와 같이 중요 비즈니스용 자산에 대한 관리 액세스 권한이 있는 다른 관리, ID 및 보안 시스템에서 권한 있는 계정도 제한해야 합니다. 이러한 관리 및 보안 시스템을 손상시키는 공격자는 즉시 무기화하여 중요 비즈니스 자산을 손상시킬 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-2: 사용자 계정 및 권한에 대한 상주 액세스 방지

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID v3.2.1
해당 없음(N/A) AC-2 해당 없음(N/A)

보안 원칙: 대기 권한을 만드는 대신 JIT(Just-In-Time) 메커니즘을 사용하여 다른 리소스 계층에 권한 있는 액세스를 할당합니다.

Azure 지침: Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정합니다. JIT는 사용자가 권한이 만료된 후 악의적이거나 권한이 없는 사용자가 액세스 권한을 얻지 못하도록 하는 권한 있는 작업을 수행할 수 있는 임시 권한을 받는 모델입니다. 액세스 권한은 사용자에게 필요한 경우에만 부여됩니다. PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수도 있습니다.

Microsoft Defender for Cloud의 JIT(Just-In-Time) VM 액세스 기능을 사용하여 중요한 VM(가상 머신) 관리 포트로 인바운드 트래픽을 제한합니다. 이렇게 하면 사용자가 필요할 때만 VM에 대한 권한 있는 액세스 권한이 부여됩니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-3: ID 및 자격의 수명 주기 관리

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

보안 원칙: 자동화된 프로세스 또는 기술 제어를 사용하여 요청, 검토, 승인, 프로비전 및 프로비전 해제를 포함하여 ID 및 액세스 수명 주기를 관리합니다.

Azure 지침: Azure AD 권한 관리 기능을 사용하여 액세스(Azure 리소스 그룹의 경우) 요청 워크플로를 자동화합니다. 이를 통해 Azure 리소스 그룹이 액세스 할당, 검토, 만료 및 이중 또는 다단계 승인을 관리할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-4: 정기적으로 사용자 액세스 검토 및 조정

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

보안 원칙: 권한 있는 계정 자격에 대한 정기적인 검토를 수행합니다. 계정에 부여된 액세스 권한이 컨트롤 플레인, 관리 평면 및 워크로드 관리에 유효한지 확인합니다.

Azure 지침: Azure 테넌트, Azure 서비스, VM/IaaS, CI/CD 프로세스, 엔터프라이즈 관리 및 보안 도구와 같은 Azure의 모든 권한 있는 계정 및 액세스 권한을 검토합니다.

Azure AD 액세스 검토를 사용하여 Azure AD 역할 및 Azure 리소스 액세스 역할, 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스를 검토합니다. Azure AD 보고는 부실 계정, 특정 시간 동안 사용되지 않는 계정을 검색하는 데 도움이 되는 로그를 제공할 수도 있습니다.

또한 특정 역할에 대해 과도한 수의 관리자 계정이 생성될 때 경고하고 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 Azure AD Privileged Identity Management를 구성할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-5: 긴급 액세스 설정

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
해당 없음(N/A) AC-2 해당 없음(N/A)

보안 원칙: 긴급 상황에서 중요한 클라우드 인프라(예: ID 및 액세스 관리 시스템)에서 실수로 잠기지 않도록 긴급 액세스를 설정합니다.

응급 액세스 계정은 거의 사용되지 않아야 하며 손상된 경우 조직에 큰 피해를 줄 수 있지만 필요한 몇 가지 시나리오에서도 조직에 대한 가용성이 매우 중요합니다.

Azure 지침: Azure AD 조직에서 실수로 잠기지 않도록 하려면 일반 관리 계정을 사용할 수 없는 경우 액세스를 위해 긴급 액세스 계정(예: 전역 관리자 역할이 있는 계정)을 설정합니다. 응급 액세스 계정은 일반적으로 높은 권한이 있으며 특정 개인에게 할당해서는 안됩니다. 긴급 액세스 계정은 일반 관리 계정을 사용할 수 없는 긴급 또는 '비상' 상황에만 사용하도록 제한됩니다.

응급 액세스 계정에 대한 자격 증명(예: 암호, 인증서 또는 스마트 카드)이 안전하게 유지되고 응급 상황에서만 사용할 수 있는 권한이 있는 개인에게만 알려야 합니다. 또한 이러한 이중 컨트롤(예: 자격 증명을 두 조각으로 분할하고 개별 사용자에게 제공)과 같은 추가 컨트롤을 사용하여 이 프로세스의 보안을 강화할 수 있습니다. 또한 로그인 및 감사 로그를 모니터링하여 권한 부여에서만 응급 액세스 계정을 사용할 수 있는지 확인해야 합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-6: 권한 있는 액세스 워크스테이션 사용

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 해당 없음(N/A)

보안 원칙: 보안이 유지되고 격리된 워크스테이션은 관리자, 개발자 및 중요 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다.

Azure 지침: Azure Active Directory, Microsoft Defender 및/또는 Microsoft Intune을 사용하여 권한 있는 작업을 위해 온-프레미스 또는 Azure에 PAW(권한 있는 액세스 워크스테이션)를 배포합니다. PAW는 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하여 보안 구성을 적용하도록 중앙에서 관리되어야 합니다.

가상 네트워크 내에서 프로비전할 수 있는 완전히 플랫폼 관리형 PaaS 서비스인 Azure Bastion을 사용할 수도 있습니다. Azure Bastion을 사용하면 브라우저를 사용하여 Azure Portal에서 직접 가상 머신에 RDP/SSH를 연결할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

보안 원칙: 세분화된 수준에서 권한을 관리하기에 충분한 관리(최소 권한) 원칙을 따릅니다. RBAC(역할 기반 액세스 제어)와 같은 기능을 사용하여 역할 할당을 통해 리소스 액세스를 관리합니다.

Azure 지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. RBAC를 통해 사용자, 그룹 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 Azure CLI, Azure PowerShell 및 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.

Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한되어야 합니다. 제한된 권한은 Azure AD PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하며, 이러한 권한은 주기적으로 검토되어야 합니다. 필요한 경우 PIM을 사용하여 사용자가 시작 및 종료 날짜 내에서만 역할을 활성화하거나 사용할 수 있는 역할 할당에서 시간 길이(시간 제한 할당) 조건을 정의할 수도 있습니다.

참고: Azure 기본 제공 역할을 사용하여 권한을 할당하고 필요한 경우에만 사용자 지정 역할을 만듭니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-8 클라우드 공급자 지원에 대한 액세스 프로세스 확인

CIS 컨트롤 v8 ID NIST SP 800-53 r4 ID(들) PCI-DSS ID(s) v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 해당 없음(N/A)

보안 원칙: 보안 채널을 통해 공급업체 지원 요청 및 데이터에 대한 임시 액세스를 요청하고 승인하기 위한 승인 프로세스 및 액세스 경로를 설정합니다.

Azure 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 각 Microsoft의 데이터 액세스 요청을 검토하고 승인하거나 거부합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):