보안 제어 v3: 권한 있는 액세스

  • 아티클

권한 액세스는 의도적인 위험과 우발적인 위험으로부터 관리 모델, 관리 계정, 권한 있는 액세스 워크스테이션을 보호하는 다양한 컨트롤을 포함하여 Azure 테넌트 및 리소스에 대한 권한 액세스를 보호하는 컨트롤을 포함합니다.

PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.4, 6.8 AC-2, AC-6 7.1, 7.2, 8.1

보안 원칙: 비즈니스에 영향을 미치는 모든 계정을 식별해야 합니다. 클라우드의 컨트롤 플레인, 관리 평면 및 데이터/워크로드 플레인에서 권한 있는/관리 계정의 수를 제한합니다.

Azure 지침: Azure AD(Azure Active Directory)는 Azure의 기본 ID 및 액세스 관리 서비스입니다. Azure AD에서 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있기 때문입니다. 이러한 권한을 통해 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

  • 전역 관리자 / 회사 관리자: 이 역할의 사용자는 Azure AD의 모든 관리 기능뿐만 아니라 Azure AD ID를 사용하는 서비스에도 액세스할 수 있습니다.
  • 권한 있는 역할 관리자: 이 역할의 사용자는 Azure AD뿐만 아니라 Azure AD PIM(Privileged Identity Management) 내에서도 역할 할당을 관리할 수 있습니다. 또한 이 역할을 통해 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.

Azure AD 외부에서 Azure에는 리소스 수준에서 권한 있는 액세스에 중요할 수 있는 기본 제공 역할이 있습니다.

  • 소유자: Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.
  • 기여자: 모든 리소스를 관리할 수 있는 모든 권한 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나 Azure Blueprints에서 할당을 관리하거나 이미지 갤러리를 공유할 수는 없습니다.
  • 사용자 액세스 관리자: Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다. 참고: 특정 권한이 할당된 권한이 있는 리소스 수준 또는 Azure AD 수준에서 사용자 지정 역할을 사용하는 경우 관리해야 하는 다른 중요한 역할이 있을 수 있습니다.

중요 비즈니스용 시스템에 에이전트가 설치된 Active Directory DC(도메인 컨트롤러), 보안 도구 및 시스템 관리 도구와 같은 중요 비즈니스용 자산에 대한 관리 액세스 권한이 있는 다른 관리, ID 및 보안 시스템의 권한 있는 계정도 제한해야 합니다. 관련 관리 및 보안 시스템을 손상시키는 공격자는 중요 비즈니스용 자산을 손상시키기 위해 관련 시스템을 즉시 무기화할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-2: 사용자 계정 및 권한에 대한 고정 액세스 방지

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
해당 없음 AC-2 해당 없음

보안 원칙: 고정 권한을 만드는 대신 JIT(Just-In-Time) 메커니즘을 사용하여 다양한 리소스 계층에 대한 권한 있는 액세스를 할당합니다.

Azure 지침: Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정합니다. JIT는 사용자가 권한 있는 작업을 수행하기 위해 임시 사용 권한을 받는 모델이며, 악의적 또는 권한이 없는 사용자가 권한이 만료된 후 액세스 권한을 획득하는 것을 방지합니다. 액세스 권한은 사용자에게 필요한 경우에만 부여됩니다. 또한 PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수 있습니다.

클라우드용 Microsoft Defender의 VM 액세스용 JIT(Just-In-Time) 기능을 사용하여 중요한 VM(가상 머신) 관리 포트에 대한 인바운드 트래픽을 제한합니다. 이렇게 하면 사용자가 필요할 때만 VM에 대한 권한 있는 액세스 권한이 부여됩니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-3: ID 및 자격의 수명 주기 관리

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

보안 원칙: 자동화된 프로세스 또는 기술 제어를 사용하여 요청, 검토, 승인, 프로비저닝 및 프로비저닝 해제를 비롯한 ID 및 액세스 수명 주기를 관리합니다.

Azure 지침: Azure AD 권한 관리 기능을 사용하여 (Azure 리소스 그룹에 대해) 액세스 요청 워크플로를 자동화합니다. 이를 통해 Azure 리소스 그룹의 워크플로는 액세스 할당, 검토, 만료 및 이중 또는 다단계 승인을 관리할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-4: 정기적으로 사용자 액세스 검토 및 조정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

보안 원칙: 계정 권한을 정기적으로 검토합니다. 계정에 부여된 액세스 권한이 컨트롤 플레인, 관리 평면 및 워크로드 관리에 유효한지 확인합니다.

Azure 지침: Azure 테넌트, Azure 서비스, VM/IaaS, CI/CD 프로세스, 엔터프라이즈 관리 및 보안 도구 등 Azure의 모든 권한 있는 계정과 액세스 권한을 검토합니다.

Azure AD 액세스 검토를 사용하여 Azure AD 역할 및 Azure 리소스 액세스 역할, 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스를 검토합니다. Azure AD 보고는 특정 시간 동안 계정이 사용되지 않는 부실 계정을 검색할 수 있도록 하는 로그를 제공할 수도 있습니다.

또한 Azure AD Privileged Identity Management는 특정 역할에 대해 과도한 수의 관리자 계정이 만들어질 때 경고하고 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 구성할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-5: 비상 액세스 설정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
해당 없음 AC-2 해당 없음

보안 원칙: 비상 시 중요한 클라우드 인프라(예: ID 및 액세스 관리 시스템)가 실수로 잠기지 않도록 비상 액세스를 설정합니다.

비상 액세스 계정은 거의 사용되지 않아야 하며 손상될 경우 조직에 큰 피해를 줄 수 있지만 필요한 경우 몇 가지 시나리오에서 조직에 대한 가용성도 매우 중요합니다.

Azure 지침: Azure AD 조직이 실수로 잠기는 것을 방지하려면 일반 관리 계정을 사용할 수 없을 때 액세스할 수 있는 비상 액세스 계정(예: 전역 관리자 역할이 있는 계정)을 설정합니다. 응급 액세스 계정은 일반적으로 권한이 높으며 특정 사용자에게 할당되면 안 됩니다. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 "비상" 시나리오의 긴급한 상황으로 제한됩니다.

응급 액세스 계정의 자격 증명(예: 암호, 인증서 또는 스마트 카드)을 안전하게 유지하고 비상시에만 사용할 권한이 있는 사용자에게만 알립니다. 이 프로세스의 보안을 강화하기 위해 이중 컨트롤(예: 자격 증명을 두 부분으로 분할하여 별도의 사람에게 제공)와 같은 추가 컨트롤을 사용할 수도 있습니다. 또한 비상 액세스 계정이 권한 부여된 경우에만 사용할 수 있도록 로그인 및 감사 로그를 모니터링해야 합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-6: 권한 있는 액세스 워크스테이션 사용

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 해당 없음

보안 원칙: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다.

Azure 지침: Azure Active Directory, Microsoft Defender 및/또는 Microsoft Intune을 사용하여 권한 있는 작업을 위해 온-프레미스 또는 Azure에 PAW(권한 있는 액세스 워크스테이션)를 배포합니다. 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하여 보안 구성을 적용하려면 PAW를 중앙에서 관리해야 합니다.

가상 네트워크 내에서 프로비저닝할 수 있는 완전히 플랫폼에 의해 관리되는 PaaS 서비스인 Azure Bastion을 사용할 수도 있습니다. Azure Bastion은 브라우저를 사용하여 Azure Portal에서 직접 가상 머신에 대한 RDP/SSH 연결을 허용합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-7: 충분한 관리 수행(최소 권한) 원칙

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

보안 원칙: 권한을 세분화된 수준으로 관리하려면 충분한 관리(최소 권한) 원칙을 따릅니다. RBAC(역할 기반 액세스 제어)와 같은 기능을 사용하여 역할 할당을 통해 리소스 액세스를 관리합니다.

Azure 지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. RBAC를 통해 사용자, 그룹 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 이러한 역할은 Azure CLI, Azure PowerShell 및 Azure Portal과 같은 도구를 통해 쿼리하거나 인벤토리에 포함할 수 있습니다.

Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한되어야 합니다. 제한된 권한은 Azure AD PIM(Privileged Identity Management)의 JIT(Just-In-Time) 방법을 보완하며 이러한 권한을 주기적으로 검토해야 합니다. 필요한 경우 PIM을 사용하여 사용자가 시작 및 종료 날짜 내에서만 역할을 활성화하거나 사용할 수 있는 역할 할당에서 시간 길이(시간 제한 할당) 조건을 정의할 수도 있습니다.

참고: Azure 기본 제공 역할을 사용하여 권한을 할당하고 필요할 때만 사용자 지정 역할을 만듭니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

PA-8 클라우드 공급자 지원을 위한 액세스 프로세스 결정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 해당 없음

보안 원칙: 보안 채널을 통해 공급업체 지원 요청 및 임시 데이터 액세스를 요청 및 승인하기 위한 승인 프로세스 및 액세스 경로를 설정합니다.

Azure 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 각 Microsoft의 데이터 액세스 요청을 검토하고 승인하거나 거부합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):