권한 있는 액세스 보안 수준

  • 아티클

이 문서에서는 권한 있는 액세스 전략의 보안 수준을 설명합니다. 이 전략을 채택하는 방법에 대한 로드맵은 신속한 현대화 계획(RaMP)을 참조하세요. 구현 지침은 권한 있는 액세스 배포를 참조하세요.

이러한 수준은 주로 조직이 매우 중요한 보호를 신속하게 배포할 수 있도록 간단하고 간단한 기술 지침을 제공하도록 설계되었습니다. 권한 있는 액세스 전략은 조직에 고유한 요구 사항이 있지만 사용자 지정 솔루션으로 인해 복잡성이 발생하므로 시간이 지남에 따라 비용이 높아지고 보안이 낮아지는 것을 인식합니다. 이러한 요구 사항의 균형을 맞추기 위해 이 전략은 조직이 해당 수준의 요구 사항을 충족하는 데 필요한 각 역할을 선택할 수 있도록 함으로써 각 수준에 대한 확고한 규범적 지침을 제공합니다.

Defining three security levels

간단하게 정의해야 사용자가 이해하기 쉽고 혼란스러움이나 실수의 위험을 줄일 수 있습니다. 기본 기술은 거의 항상 복잡하지만 지원하기 어려운 사용자 지정 솔루션을 만드는 대신 간단하게 유지하는 것이 중요합니다. 자세한 내용은 보안 디자인 원칙을 참조 하세요.

관리자와 최종 사용자의 요구에 초점을 맞춘 솔루션을 디자인하면 간단해집니다. 보안 및 IT 담당자가 (가능한 경우 자동화를 사용하여) 빌드, 평가 및 기본 간단한 솔루션을 설계하면 보안 실수가 줄어들고 보안 보증이 안정적으로 보장됩니다.

권장되는 권한 있는 액세스 보안 전략은 계정, 디바이스, 중개자 및 인터페이스를 쉽게 배포할 수 있도록 설계된 여러 영역에 걸쳐 있는 간단한 3단계 보증 시스템을 구현합니다.

Increase attacker cost with each level of security investment

각 연속 수준은 추가적인 수준의 클라우드용 Defender 투자로 공격자 비용을 높입니다. 수준은 수비수가 각 보안 투자에 대해 가장 많은 수익(공격자 비용 증가)을 얻을 수 있는 '스위트 스팟'을 대상으로 하도록 설계되었습니다.

사용자 환경의 각 역할은 이러한 수준 중 하나에 매핑되어야 하며 필요에 따라 보안 개선 계획의 일부로 증가해야 합니다. 각 프로필은 기술 구성으로 명확하게 정의되고 가능한 경우 자동화되어 배포를 용이하게 하고 보안 보호를 가속화합니다. 구현 세부 정보는 권한 있는 액세스 로드맵 문서를 참조하세요.

보안 수준

이 전략 전체에서 사용되는 보안 수준은 다음과 같습니다.

Enterprise

  • 엔터프라이즈 보안은 모든 엔터프라이즈 사용자 및 생산성 시나리오에 적합합니다. 신속한 현대화 계획이 진행되는 동안 엔터프라이즈는 엔터프라이즈 보안의 보안 컨트롤을 점진적으로 구축할 수 있는 특수하고 권한 있는 액세스를 시작하는 출발점으로도 사용됩니다.

    참고 항목

    보안 구성이 약하지만 공격자가 사용할 수 있는 기술과 리소스로 인해 현재 엔터프라이즈 조직에는 Microsoft에서 권장하지 않습니다. 공격자가 암시장에서 서로 구매할 수 있는 항목과 평균 가격에 대한 자세한 내용은 Azure 보안에 대한 상위 10가지 모범 사례 비디오를 참조하세요.

특수화

  • 특수 보안 은 높은 비즈니스 영향(공격자 또는 악의적인 내부자에 의해 손상된 경우)이 있는 역할에 대한 향상된 보안 제어를 제공합니다.

    조직에서 특수 및 권한 있는 계정에 대한 기준을 문서화한 다음(예: 잠재적인 비즈니스 영향이 $1M USD 이상임) 해당 조건을 충족하는 모든 역할 및 계정을 식별해야 합니다. (특수 계정을 포함하여 이 전략 전체에서 사용됨)

    특수한 역할은 일반적으로 다음을 포함합니다.

    • 중요 비즈니스용 시스템의 개발자.
    • SWIFT 터미널의 사용자, 중요한 데이터에 액세스할 수 있는 연구원, 퍼블릭 릴리스 전에 재무 보고에 액세스할 수 있는 직원, 급여 관리자, 중요한 비즈니스 프로세스에 대한 승인자, 기타 높은 영향 역할 등의 중요한 비즈니스 역할.
    • 중요한 정보를 정기적으로 처리하는 경영진 및 개인 비서 / 행정 비서.
    • 회사 평판을 손상시킬 수 있는 영향력이 큰 소셜 미디어 계정.
    • 엔터프라이즈 수준은 아니지만 상당한 권한과 영향력을 가진 중요한 IT 관리자. 이 그룹에는 일반적으로 영향력이 높은 개별 워크로드의 관리자가 포함됩니다. (예: 엔터프라이즈 리소스 계획 관리자, 은행 관리자, 지원 센터/기술 지원 역할 등)

    특수 계정 보안은 이러한 컨트롤을 추가로 빌드하는 권한 있는 보안을 위한 중간 단계로도 사용됩니다. 권장 진행 순서에 대한 자세한 내용은 권한 있는 액세스 로드맵을 참조하세요.

특권 계정

  • 권한 있는 보안은 최고 수준의 보안으로 설계된 역할로, 공격자나 악의적인 내부자가 사용할 경우 조직에 주요 인시던트 및 잠재적 자료를 손쉽게 손상시킬 수 있습니다. 이 수준에는 일반적으로 대부분의 또는 모든 엔터프라이즈 시스템에 대한 관리 권한이 있는 기술 역할이 포함되며 경우에 따라 몇 가지 중요 비즈니스용 역할이 포함됩니다.

    권한 있는 계정은 중요한 작업 작업을 쉽고 안전하게 수행할 수 있는 기능으로 정의된 생산성을 통해 먼저 보안에 초점을 맞췄습니다. 이러한 역할은 동일한 계정 또는 동일한 디바이스/워크스테이션을 사용하여 중요한 작업 및 일반 생산성 작업(웹 찾아보기, 설치 및 사용)을 모두 수행할 수 없습니다. 공격자 활동을 나타낼 수 있는 비정상적인 활동에 대한 작업 모니터링이 늘어나면서 매우 제한된 계정 및 워크스테이션이 있습니다.

    권한 있는 액세스 보안 역할은 일반적으로 다음을 포함합니다.

    • Microsoft Entra Global 관리istrators 및 관련 역할
    • 엔터프라이즈 디렉터리, ID 동기화 시스템, 페더레이션 솔루션, 가상 디렉터리, 권한 있는 ID/액세스 관리 시스템 등에 대한 관리 권한이 있는 기타 ID 관리 역할
    • 이러한 온-프레미스 Active Directory 그룹의 멤버 자격이 있는 역할
      • Enterprise Admins
      • Domain Admins
      • Schema Admin
      • BUILTIN\Administrators
      • Account Operators
      • Backup Operators
      • Print Operators
      • Server Operators
      • 도메인 컨트롤러 하나 이상
      • Read-only Domain Controllers
      • Group Policy Creator Owners
      • Cryptographic Operators
      • Distributed COM Users
      • 중요한 온-프레미스 Exchange 그룹(Exchange Windows 권한 및 Exchange 신뢰할 수 있는 하위 시스템 포함)
      • 기타 위임된 그룹 - 디렉터리 작업을 관리하기 위해 조직에서 만들 수 있는 사용자 지정 그룹입니다.
      • 위의 기능을 호스팅하는 기본 운영 체제 또는 클라우드 서비스 테넌트에 대한 모든 로컬 관리자
        • 로컬 관리자 그룹의 구성원
        • 루트 또는 기본 제공 관리자 암호를 알고 있는 직원
        • 해당 시스템에 설치된 에이전트를 사용하는 모든 관리 또는 보안 도구의 관리자

다음 단계