관리

관리는 비즈니스에서 요구하는 서비스 수준을 충족하기 위해 IT(정보 기술) 시스템을 모니터링, 유지 관리 및 운영하는 방법입니다. 이러한 작업을 수행하려면 매우 광범위한 시스템 및 애플리케이션에 대한 권한 있는 액세스가 필요하므로 관리에서 가장 높은 영향의 보안 위험 중 일부를 소개합니다. 공격자는 관리 권한이 있는 계정에 대한 액세스 권한을 얻으면 원하는 대부분의 데이터 또는 모든 데이터에 액세스할 수 있다는 것을 알고 있으므로 관리 보안은 가장 중요한 보안 영역 중 하나입니다.

한 예로, Microsoft는 클라우드 시스템 및 IT 시스템에 대한 관리자의 보호 및 교육에 상당한 투자를 합니다.

Microsoft에서 권장하는 관리 권한에 대한 핵심 전략은 사용 가능한 컨트롤을 사용하여 위험을 줄이는 것입니다.

위험 노출(범위 및 시간) 감소 – 최소 권한의 원칙은 요청 시 권한을 제공하는 최신 컨트롤을 사용하여 수행하는 것이 가장 좋습니다. 이렇게 하면 다음으로 관리자 권한 노출을 제한하여 위험을 제한할 수 있습니다.

• 범위 – JEA(Just Enough Access) 는 필요한 관리 작업에 필요한 권한만 제공합니다(한 번에 여러 시스템 또는 모든 시스템에 직접적이고 즉각적인 권한을 가지는 것과 거의 필요하지 않음).

• 시간 – JIT(Just-In-Time) 접근 방식은 필요한 만큼 필요한 권한을 제공했습니다.

• 나머지 위험 완화 – 가장 일반적인 위험 피싱 및 일반 웹 검색에서 관리자 계정을 격리하고, 워크플로를 단순화 및 최적화하고, 인증 결정에 대한 보증을 높이고, 차단하거나 조사할 수 있는 정상적인 기준 동작에서 변칙을 식별하는 등의 위험을 줄이기 위해 예방 및 형사 컨트롤의 조합을 사용합니다.

Microsoft는 권한 있는 액세스 보호를 위해 권한 있는 액세스 계정에 대한 위험 완화의 우선 순위를 정하는 참조로 사용할 수 있는 관리 계정 보호 및 우선 순위가 지정된 게시된 로드맵의 모범 사례를 확인하고 문서화했습니다.

• 온-프레미스 Active Directory의 관리자를 위한 SPA(권한 있는 액세스 보안) 로드맵

• Azure Active Directory의 관리자 보안 지침

위험 영향 관리자 수 최소화

비즈니스에 중요한 영향을 줄 수 있는 권한에 가장 적은 수의 계정 부여

각 관리자 계정은 공격자가 대상으로 할 수 있는 잠재적 공격 노출 영역을 나타내므로 해당 권한이 있는 계정 수를 최소화하면 조직의 전반적인 위험을 제한하는 데 도움이 됩니다. 멤버 자격이 적극적으로 제한되고 관리되지 않는 경우 사용자가 역할을 변경하면 이러한 권한 있는 그룹의 멤버 자격이 자연스럽게 증가합니다.

관리자에게 무슨 일이 생길 경우 비즈니스 연속성을 보장하는 동시에 이 공격 노출 위험을 줄이는 것이 좋습니다.

• 비즈니스 연속성을 위해 권한 있는 그룹에 두 개 이상의 계정을 할당합니다.

• 계정이 둘 이상 필요한 경우 원래 두 개를 포함하여 각 멤버에 대한 근거를 제공합니다.

• 각 그룹 멤버에 대한 멤버 자격과 근거를 정기적으로 검토합니다.

관리자용 관리 계정

조직의 모든 중요한 영향 관리자가 조직 정책 적용에 따라 엔터프라이즈 디렉터리로 관리되는지 확인합니다.

@Hotmail.com, @live.com, @outlook.com 같은 Microsoft 계정과 같은 소비자 계정은 organization 정책과 규정 요구 사항을 준수하도록 충분한 보안 가시성과 제어를 제공하지 않습니다. Azure 배포는 엔터프라이즈 관리 테넌트로 성장하기 전에 소규모로 비공식적으로 시작되는 경우가 많기 때문에 일부 소비자 계정은 오랫동안 관리 계정으로 유지되어(예: 원래 Azure 프로젝트 관리자) 위험 사각 지대 및 잠재적인 위험을 생성합니다.

관리자용 별도 계정

모든 중요한 영향 관리자는 이메일, 웹 검색 및 기타 생산성 작업에 사용하는 계정이 아닌, 관리 작업을 위한 별도의 계정이 있어야 합니다.

피싱 및 웹 브라우저 공격은 관리 계정을 포함하여 계정을 손상시킬 수 있는 가장 일반적인 공격 벡터를 나타냅니다.

중요한 권한이 필요한 역할이 있는 모든 사용자에 대해 별도의 관리 계정을 만듭니다. 이러한 관리 계정의 경우 Office 365 이메일과 같은 생산성 도구를 차단합니다(라이선스 제거). 가능하면 프록시 및/또는 애플리케이션 컨트롤을 사용하여 임의의 웹 검색을 차단하고 관리 작업에 필요한 Azure Portal 및 기타 사이트를 검색하는 데 필요한 예외를 허용합니다.

고정 액세스 없음/Just-in-time 권한

중요한 영향 계정에 대해 영구 "고정" 액세스를 제공하지 않습니다.

영구 권한은 공격자가 이 계정을 사용하여 공격할 수 있는 시간을 늘려 비즈니스 위험을 증가시킵니다. 임시 권한은 계정을 대상으로 하는 공격자가 이미 관리자가 계정을 사용하고 있는 제한된 시간 내에 작업하거나 권한 상승을 시작하도록 합니다. 따라서 환경에서 검색 및 제거될 가능성이 높아집니다.

다음 방법 중 하나를 사용하여 필요한 경우에만 필요한 권한을 부여합니다.

• Just in Time - Azure AD PIM(Privileged Identity Management) 또는 타사 솔루션을 사용하도록 설정하여 중요한 영향 계정에 대한 권한을 얻기 위한 승인 워크플로를 수행해야 합니다.

• 비상 – 드물게 사용되는 계정의 경우 응급 액세스 프로세스에 따라 계정에 대한 액세스 권한을 얻습니다. 이는 전역 관리자 계정의 멤버와 같이 일반 작업을 거의 수행하지 않아도 되는 권한에 적합합니다.

응급 액세스 또는 '비상' 계정

응급 상황에서 관리 액세스를 얻는 메커니즘이 있어야 합니다.

드문 경우지만 모든 일반적인 관리 액세스 방법을 사용할 수 없는 경우 극단적인 상황이 발생할 수 있습니다.

Azure AD에서 응급 액세스 관리 계정 관리의 지침에 따라 보안 작업에서 이러한 계정을 신중하게 모니터링하는 것이 좋습니다.

관리자 워크스테이션 보안

중요한 영향 관리자 관리자는 높은 보안 보호 및 모니터링 기능이 있는 워크스테이션을 사용해야 합니다.

피싱과 같이 검색 및 이메일을 사용하는 공격 벡터가 저렴하고 일반적입니다. 중요한 영향 관리자를 이러한 위험으로부터 격리하면 이러한 계정 중 하나가 손상되고 실제로 비즈니스 또는 업무에 피해를 입히는 데 사용되는 주요 인시던트의 위험을 크게 줄일 수 있습니다.

https://aka.ms/securedworkstation에서 제공되는 옵션에 따라 관리자 워크스테이션 보안 수준을 선택합니다.

• 매우 안전한 생산성 디바이스(강화된 보안 워크스테이션 또는 특수 워크스테이션)
  일반적인 검색 및 생산성 작업을 허용하는 더 높은 수준의 보안 워크스테이션을 제공하여 중요한 영향 관리자를 위한 보안 경험을 시작할 수 있습니다. 이 옵션을 중간 단계로 사용하면 중요한 영향 관리자와 이러한 사용자 및 해당 워크스테이션을 지원하는 IT 직원 모두가 완전히 격리된 워크스테이션으로 쉽게 전환할 수 있습니다.

• 권한 있는 액세스 워크스테이션(특수 워크스테이션 또는 보안 워크스테이션)
  이러한 구성은 피싱, 브라우저 및 생산성 애플리케이션 공격 벡터에 대한 액세스를 크게 제한하므로 중요한 영향 관리자에 대한 이상적인 보안 상태를 나타냅니다. 이러한 워크스테이션은 일반적인 인터넷 검색을 허용하지 않으며 Azure Portal 및 기타 관리 사이트에 대한 브라우저 액세스만 허용합니다.

중요한 영향 관리자 종속성 - 계정/워크스테이션

중요한 영향 계정 및 해당 워크스테이션에 대한 온-프레미스 보안 종속성을 신중하게 선택합니다.

클라우드 자산의 주요 손상으로 확산되는 주요 인시던트 온-프레미스의 위험을 억제하려면 클라우드의 중요한 영향 계정에 대한 온-프레미스 리소스의 제어 수단을 제거하거나 최소화해야 합니다. 예를 들어 온-프레미스 Active Directory를 손상시키는 공격자는 Azure, Amazon Web Services(AWS), ServiceNow 등의 리소스와 같은 해당 계정을 사용하는 클라우드 기반 자산에 액세스하고 이를 손상시킬 수 있습니다. 또한 공격자는 이러한 온-프레미스 도메인에 가입된 워크스테이션을 사용하여 해당 도메인에서 관리되는 계정 및 서비스에 액세스할 수 있습니다.

중요한 영향 계정에 대한 보안 종속성이라고도 하는 온-프레미스 제어 수단으로부터 격리 수준을 선택합니다.

• 사용자 계정 – 중요한 영향 계정을 호스트할 위치를 선택합니다.

  • 기본 Azure AD 계정 - *온-프레미스 Active Directory와 동기화되지 않는 기본 Azure AD 계정을 만듭니다.

  • 온-프레미스 Active Directory 동기화(권장되지 않음) - 온-프레미스 Active Directory에서 호스트되는 기존 계정을 활용합니다.

• 워크스테이션 – 중요한 관리자 계정에서 사용하는 워크스테이션을 관리하고 보호하는 방법을 선택합니다.

  • 네이티브 클라우드 관리 & 보안(권장) - 워크스테이션을 조인하여 Intune & 또는 기타 클라우드 서비스를 Azure AD 관리/패치합니다. Windows Microsoft Defender ATP 또는 온-프레미스 기반 계정을 통해 관리되지 않는 다른 클라우드 서비스를 사용하여 보호하고 모니터링합니다.

  • 기존 시스템으로 관리 - 기존 AD 도메인 & 조인은 기존 관리/보안을 활용합니다.

관리자를 위한 암호 없는 인증 또는 다단계 인증

모든 중요한 영향 관리자는 암호 없는 인증 또는 MFA(다단계 인증)를 사용해야 합니다.

공격 방법이 암호만으로는 계정을 안정적으로 보호할 수 없는 수준으로 발전했습니다. 이 부분은 Microsoft Ignite 세션에 잘 문서화되어 있습니다.

관리 계정 및 모든 중요한 계정은 다음 인증 방법 중 하나를 사용해야 합니다. 이러한 기능은 가장 높은 비용/공격 어려움(가장 강력하고 선호하는 옵션)에서 가장 낮은 비용/공격 어려움 순서로 나열됩니다.

• 암호 없음(예: Windows Hello)
  https://aka.ms/HelloForBusiness

• 암호 없음(Authenticator 앱)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• 다단계 인증
  </azure/active-directory/authentication/howto-mfa-userstates>

SMS 문자 메시지 기반 MFA는 공격자가 저렴한 비용으로 우회할 수 있으므로 여기에 의존하지 않는 것이 좋습니다. 이 옵션은 암호만 사용하는 것보다는 여전히 강력하지만 다른 MFA 옵션보다는 훨씬 약합니다.

관리자에 대한 조건부 액세스 적용 - 제로 트러스트

모든 관리자 및 기타 중요한 영향 계정에 대한 인증은 제로 트러스트 전략을 지원하는 키 보안 특성의 측정 및 적용을 포함해야 합니다.

공격자가 Azure 관리자 계정을 손상시키면 심각한 피해를 입을 수 있습니다. 조건부 액세스는 Azure 관리에 대한 액세스를 허용하기 전에 보안 조치를 적용하여 위험을 크게 줄일 수 있습니다.

조직의 위험 성향 및 운영 요구 사항에 부합하는 Azure 관리에 대한 조건부 액세스 정책을 구성합니다.

• 지정된 작업 네트워크에서 Multifactor Authentication 및/또는 연결 필요

• Microsoft Defender ATP를 사용한 디바이스 무결성 필요(강력한 보증)

세분화된 권한 및 사용자 지정 권한 방지

개별 리소스 또는 사용자를 구체적으로 참조하는 권한은 피합니다.

특정 권한은 새로운 유사한 리소스에 대한 의도를 전달하지 않으므로 불필요한 복잡성과 혼동을 일으킵니다. 그런 다음 보안 및 솔루션 민첩성에 부정적인 영향을 주는 “위험 요소”에 대한 두려움 없이 유지 관리하거나 변경하기 어려운 복잡한 레거시 구성에 누적됩니다.

특정 리소스 관련 권한을 할당하는 대신 다음 중 하나를 사용합니다.

• 엔터프라이즈 수준의 권한에 대한 관리 그룹

• 구독 내의 권한에 대한 리소스 그룹

특정 사용자에게 권한을 부여하는 대신 Azure AD의 그룹에 대한 액세스 권한을 할당합니다. 적절한 그룹이 없는 경우 ID 팀과 협력하여 하나 만듭니다. 이를 통해 Azure 외부적으로 그룹 멤버를 추가 및 제거하고, 권한이 최신인지 확인하고, 메일 그룹과 같은 다른 용도로도 그룹을 사용할 수 있습니다.

기본 제공 역할 사용

가능하면 권한을 할당하기 위해 기본 제공 역할을 사용합니다.

사용자 지정은 복잡성을 유발하여 혼란을 가중시키고 자동화를 더 복잡하고 어렵고 취약하게 만듭니다. 이러한 요인은 모두 보안에 부정적인 영향을 줍니다.

가장 일반적인 시나리오를 포함하도록 설계된 기본 제공 역할을 평가하는 것이 좋습니다. 사용자 지정 역할은 강력하고 경우에 따라 유용한 기능이지만 기본 제공 역할이 작동하지 않는 경우에만 이 역할을 예약해야 합니다.

중요한 영향 계정에 대한 수명 주기 관리 설정

관리자 직원이 조직을 떠날 때(또는 관리 위치를 벗어날 때) 관리 계정을 사용하지 않도록 설정하거나 삭제하는 프로세스가 있는지 확인합니다.

자세한 내용은 액세스 검토를 사용하여 사용자 및 게스트 사용자 액세스 관리를 참조하세요.

중요한 영향 계정에 대한 공격 시뮬레이션

최신 공격 기법으로 관리 사용자에 대한 공격을 정기적으로 시뮬레이션하여 관리 사용자를 교육하고 강화합니다.

사용자는 중요한 영향 계정에 액세스할 수 있는 보안의 중요한 한 부분입니다. 이러한 사용자(이상적으로 모든 사용자)가 공격을 피하고 방어할 수 있는 지식과 기술을 보유하도록 하면 전반적인 조직의 위험이 감소됩니다.

Office 365 공격 시뮬레이션 기능 또는 원하는 수의 타사 제품을 사용할 수 있습니다.

다음 단계

Microsoft에서 제공하는 추가 보안 지침은 Microsoft 보안 설명서를 참조하세요.