권한 있는 액세스: 계정

  • 아티클

계정 보안은 권한 있는 액세스를 보호하는 중요한 구성 요소입니다. 세션에 대한 엔드투엔드 제로 트러스트 보안을 사용하려면 세션에서 사용되는 계정이 실제로 가장하는 공격자가 아니라 사용자 소유자의 통제 하에 있음을 강력하게 설정해야 합니다.

강력한 계정 보안은 보안 프로비저닝 및 전체 수명 주기 관리에서 시작하여 프로비저닝 해제에 이르기까지 각 세션은 현재 세션에서 기존 동작 패턴, 사용 가능한 위협 인텔리전스 및 사용을 비롯하여 사용 가능한 모든 데이터를 기반으로 계정이 현재 손상되지 않도록 강력한 보증을 설정해야 합니다.

계정 보안

이 지침에서는 서로 다른 민감도 수준을 가진 자산에 사용할 수 있는 계정 보안의 세 가지 보안 수준을 정의합니다.

Protecting accounts end to end

이러한 수준은 역할을 할당하고 신속하게 확장할 수 있는 각 민감도 수준에 적합한 명확하고 구현 가능한 보안 프로필을 설정합니다. 이러한 모든 계정 보안 수준은 사용자 및 관리자 워크플로에 대한 중단을 제한하거나 제거하여 사용자의 생산성을 기본 향상시키거나 향상하도록 설계되었습니다.

계정 보안 계획

이 지침에서는 각 수준을 충족하는 데 필요한 기술 컨트롤을 간략하게 설명합니다. 구현 지침은 권한 있는 액세스 로드맵에 있습니다.

계정 보안 컨트롤

인터페이스에 대한 보안을 달성하려면 계정을 보호하고 제로 트러스트 정책 결정에 사용할 신호를 제공하는 기술 컨트롤의 조합이 필요합니다(정책 구성 참조에 대한 인터페이스 보안 참조).

이러한 프로필에 사용되는 컨트롤은 다음과 같습니다.

  • 다단계 인증 - 사용자가 쉽게 사용할 수 있도록 설계되었지만 악의적 사용자가 모방하기 어려운 다양한 증명 원본을 제공합니다.
  • 계정 위험 - 위협 및 변칙 모니터링 - UEBA 및 위협 인텔리전스를 사용하여 위험한 시나리오 식별
  • 사용자 지정 모니터링 - 더 중요한 계정의 경우 허용/허용된 동작/패턴을 명시적으로 정의하면 비정상적인 활동을 조기에 검색할 수 있습니다. 이러한 계정에는 역할에 대한 유연성이 필요하므로 이 컨트롤은 엔터프라이즈의 범용 계정에는 적합하지 않습니다.

또한 컨트롤을 조합하여 보안과 유용성을 모두 향상시킬 수 있습니다. 예를 들어 일반 패턴 내에 있는 사용자(매일 같은 위치에서 동일한 디바이스 사용)는 인증할 때마다 외부 MFA에 대한 메시지가 표시되지 않아도 됩니다.

Comparing each account tier and cost benefit

엔터프라이즈 보안 계정

엔터프라이즈 계정 보안 컨트롤은 모든 사용자에 대한 보안 기준을 만들고 특수하고 권한 있는 보안을 위한 보안 기반을 제공하도록 설계되었습니다.

  • 강력한 MFA(다단계 인증) 적용 - 사용자가 엔터프라이즈 관리 ID 시스템에서 제공하는 강력한 MFA로 인증되었는지 확인합니다(아래 다이어그램 참조). 다단계 인증에 대한 자세한 내용은 Azure 보안 모범 사례 6을 참조하세요.

    참고 항목

    조직에서는 전환 기간 동안 기존의 약한 형식의 MFA를 사용하도록 선택할 수 있지만, 공격자가 약한 MFA 보호 기능을 뚫을 수 있으므로 MFA에 대한 모든 새로운 투자는 가장 강력한 형식이여야 합니다.

  • 계정/세션 위험 적용 - 낮은(또는 중간)의 위험 수준이 아닌 한 계정이 인증할 수 없는지 확인합니다. 조건부 엔터프라이즈 계정 보안에 대한 자세한 내용은 인터페이스 보안 수준을 참조하세요.

  • 경고 모니터링 및 응답 - 보안 작업은 계정 보안 경고를 통합하고 이러한 프로토콜과 시스템의 작동 방식에 대한 충분한 교육을 받아 경고의 의미를 신속하게 이해하고 적절하게 대응할 수 있도록 합니다.

다음 다이어그램은 다양한 형태의 MFA 및 암호 없는 인증에 대한 비교를 제공합니다. 최상의 상자의 각 옵션은 높은 보안 및 높은 유용성으로 간주됩니다. 각각 다른 하드웨어 요구 사항이 있으므로 서로 다른 역할 또는 개인에 적용되는 하드웨어 요구 사항을 혼합하고 일치시킬 수 있습니다. 모든 Microsoft 암호 없는 솔루션은 조건부 액세스에서 다단계 인증으로 인식됩니다. 이러한 솔루션은 바이오 메트릭, 알고 있는 항목 또는 둘 다와 결합해야 하기 때문입니다.

Comparison of authentication methods good, better, best

참고 항목

SMS 및 기타 전화 기반 인증이 제한되는 이유에 대한 자세한 내용은 블로그 게시물 전화기를 사용한 인증은 이제 그만을 참조하세요.

특수 계정

특수 계정은 중요한 사용자에게 적합한 더 높은 보호 수준입니다. 비즈니스 영향이 높기 때문에 특수 계정은 보안 경고, 인시던트 조사 및 위협 헌팅 중에 추가 모니터링 및 우선 순위를 보증합니다.

특수 보안은 가장 중요한 계정을 식별하고 경고 및 응답 프로세스의 우선 순위를 지정하여 엔터프라이즈 보안의 강력한 MFA를 기반으로 합니다.

  1. 중요한 계정 식별 - 이러한 계정을 식별하기 위한 특수 보안 수준 지침을 참조하세요.
  2. 특수 계정 태그 - 각 중요한 계정에 태그가 지정되었는지 확인
    1. 이러한 중요한 계정을 식별하도록 Microsoft Sentinel 관심 목록 구성
    2. Office 365용 Microsoft Defender 우선 순위 계정 보호를 구성하고 특수 및 권한 있는 계정을 우선 순위 계정으로 지정합니다.
  3. 보안 작업 프로세스 업데이트 - 이러한 경고에 가장 높은 우선 순위가 부여되도록 합니다.
  4. 거버넌스 설정 - 거버넌스 프로세스를 업데이트하거나 만들어 이를 보장합니다.
    1. 모든 새 역할은 생성되거나 변경될 때 특수 분류 또는 권한 있는 분류에 대해 평가됩니다.
    2. 모든 새 계정은 생성될 때 태그가 지정됩니다.
    3. 일반적인 거버넌스 프로세스에서 역할 및 계정이 누락되지 않도록 하는 연속 또는 주기적인 대역 외 검사.

권한이 있는 계정

권한 있는 계정은 손상될 경우 조직의 운영에 중대한 영향을 주거나 중대한 잠재적 영향을 나타내기 때문에 가장 높은 수준의 보호를 제공합니다.

권한 있는 계정에는 대부분의 또는 모든 중요 비즈니스용 시스템을 포함하여 대부분 또는 모든 엔터프라이즈 시스템에 액세스할 수 있는 IT 관리 항상 포함됩니다. 비즈니스에 큰 영향을 미치는 다른 계정도 이 추가 보호 수준을 보증할 수 있습니다. 어떤 수준에서 보호해야 하는지에 대한 자세한 내용은 Privileged Security 문서를 참조하세요.

특수 보안 외에도 권한 있는 계정 보안은 다음 두 가지 모두를 증가합니다.

  • 방지 - 지정된 디바이스, 워크스테이션 및 중개자로 이러한 계정의 사용을 제한하는 컨트롤을 추가합니다.
  • 응답 - 이러한 계정에서 비정상적인 활동을 면밀히 모니터링하고 위험을 신속하게 조사하고 수정합니다.

권한 있는 계정 보안 구성

보안 빠른 현대화 계획의 지침에 따라 권한 있는 계정의 보안을 강화하고 관리 비용을 줄입니다.

다음 단계