다음을 통해 공유

권한 있는 액세스 보안 수준

이 문서에서는 권한 있는 액세스 전략의 보안 수준에 대해 설명합니다. 이 전략을 채택하는 방법에 대한 로드맵은 RaMP(빠른 현대화 계획)참조하세요. 구현 지침은 권한 있는 액세스 배포 참조하세요.

이러한 수준은 주로 조직이 매우 중요한 보호를 신속하게 배포할 수 있도록 간단하고 간단한 기술 지침을 제공하도록 설계되었습니다. 권한 있는 액세스 전략은 조직에 고유한 요구 사항이 있지만 사용자 지정 솔루션으로 인해 복잡성이 발생하므로 시간이 지남에 따라 비용이 높아지고 보안이 낮아지는 것을 인식합니다. 이러한 요구 사항의 균형을 맞추기 위해 이 전략은 조직이 해당 수준의 요구 사항을 충족하는 데 필요한 각 역할을 선택할 수 있도록 함으로써 각 수준에 대한 확고한 규범적 지침을 제공합니다.

세 가지 보안 수준 정의

일을 간단하게 만드는 것은 사람들이 그것을 이해하는 데 도움이 그들이 혼란과 실수를 할 위험을 낮출 수 있습니다. 기본 기술은 거의 항상 복잡하지만 지원하기 어려운 사용자 지정 솔루션을 만드는 대신 간단하게 유지하는 것이 중요합니다. 자세한 내용은 보안 디자인 원칙을 참조하세요.

관리자 및 최종 사용자의 요구에 초점을 맞춘 솔루션을 디자인하면 간단하게 유지할 수 있습니다. 보안 및 IT 담당자가 (가능한 경우 자동화를 사용하여) 빌드, 평가 및 유지 관리하는 간단한 솔루션을 설계하면 보안 실수가 줄어들고 보안 보증이 더 안정적으로 보장됩니다.

권장되는 권한 있는 액세스 보안 전략은 계정, 디바이스, 중개자 및 인터페이스를 쉽게 배포할 수 있도록 설계된 여러 영역에 걸쳐 있는 간단한 3단계 보증 시스템을 구현합니다.

각 보안 투자 수준마다 공격자 비용 증가

각 연속 수준은 추가 수준의 Defender for Cloud 투자와 함께 공격자 비용을 높입니다. 수준은 수비수가 각 보안 투자에 대해 가장 많은 수익(공격자 비용 증가)을 얻을 수 있는 '스위트 스팟'을 대상으로 하도록 설계되었습니다.

사용자 환경의 각 역할은 이러한 수준 중 하나에 매핑되어야 하며 필요에 따라 보안 개선 계획의 일부로 증가해야 합니다. 각 프로필은 기술 구성으로 명확하게 정의되고 가능한 경우 자동화되어 배포를 용이하게 하고 보안 보호를 가속화합니다. 구현 세부 정보는 권한 있는 액세스 로드맵 문서를 참조하세요.

보안 수준

이 전략 전체에서 사용되는 보안 수준은 다음과 같습니다.

기업

  • Enterprise 보안 모든 엔터프라이즈 사용자 및 생산성 시나리오에 적합합니다. 신속한 현대화 계획의 진행에서 엔터프라이즈는 엔터프라이즈 보안의 보안 제어를 점진적으로 기반으로 하므로 전문화되고 권한 있는 액세스의 시작점 역할을 합니다.

    메모

    보안 구성이 약하지만 공격자가 사용할 수 있는 기술과 리소스로 인해 현재 엔터프라이즈 조직에는 Microsoft에서 권장하지 않습니다. 공격자가 어두운 시장에서 서로 구매할 수 있는 항목과 평균 가격에 대한 자세한 내용은 Azure Security 대한 상위 10가지 모범 사례 비디오를 참조하세요.

전문

  • 특수 보안 높은 비즈니스 영향(공격자 또는 악의적인 내부자에 의해 손상된 경우)이 있는 역할에 대해 향상된 보안 제어를 제공합니다.

    조직에서 특수 및 권한 있는 계정에 대한 기준을 문서화한 다음(예: 잠재적인 비즈니스 영향이 $1M USD 이상임) 해당 조건을 충족하는 모든 역할 및 계정을 식별해야 합니다. (특수 계정을 포함하여 이 전략 전체에서 사용됨)

    특수한 역할은 일반적으로 다음을 포함합니다.

    • 비즈니스에 중요한 시스템의 개발자.
    • 중요한 비즈니스 역할은 SWIFT 터미널 사용자, 중요한 데이터에 액세스할 수 있는 연구원, 공개 릴리스 전에 재무 보고에 액세스할 수 있는 직원, 급여 관리자, 중요한 비즈니스 프로세스 승인자 및 기타 영향력이 높은 역할과 같은 있습니다.
    • 중요한 정보를 정기적으로 처리하는 경영진 및 개인 비서 / 관리 비서.
    • 회사의 명성을 손상시킬 수 있는 영향력이 큰 소셜 미디어 계정.
    • 중요한 IT 관리자는 상당한 권한과 영향으로 있지만 엔터프라이즈 차원은 아닙니다. 이 그룹에는 일반적으로 영향을 많이 미치는 개별 워크로드의 관리자가 포함됩니다. (예: 엔터프라이즈 리소스 계획 관리자, 은행 관리자, 지원 센터 /기술 지원 역할 등)

    특수 계정 보안은 권한 있는 보안을 위한 중간 단계로도 사용되며, 이러한 제어를 기반으로 합니다. 권장되는 진행 순서에 대한 자세한 내용은 권한 있는 액세스 로드맵 참조하세요.

특권이 있는

  • 권한 있는 보안 공격자 또는 악의적인 내부자의 손에 조직에 중대한 인시던트 및 잠재적인 물질적 손상을 쉽게 초래할 수 있는 역할을 위해 설계된 최고 수준의 보안입니다. 이 수준에는 일반적으로 대부분의 또는 모든 엔터프라이즈 시스템에 대한 관리 권한이 있는 기술 역할이 포함되며 경우에 따라 몇 가지 중요 비즈니스용 역할이 포함됩니다.

    권한 있는 계정은 중요한 작업 작업을 쉽고 안전하게 수행할 수 있는 기능으로 정의된 생산성을 통해 먼저 보안에 초점을 맞췄습니다. 이러한 역할은 동일한 계정 또는 동일한 디바이스/워크스테이션을 사용하여 중요한 작업 및 일반 생산성 작업(웹 찾아보기, 설치 및 사용)을 모두 수행할 수 없습니다. 공격자 활동을 나타낼 수 있는 비정상적인 활동에 대한 작업 모니터링이 늘어나면서 매우 제한된 계정 및 워크스테이션이 있습니다.

    권한 있는 액세스 보안 역할은 일반적으로 다음을 포함합니다.

    • Microsoft Entra 관리자 역할
    • 엔터프라이즈 디렉터리, ID 동기화 시스템, 페더레이션 솔루션, 가상 디렉터리, 권한 있는 ID/액세스 관리 시스템 등에 대한 관리 권한이 있는 기타 ID 관리 역할
    • 이러한 온-프레미스 Active Directory 그룹의 멤버 자격이 있는 역할
      • 엔터프라이즈 관리자
      • 도메인 관리자
      • 스키마 관리자
      • BUILTIN\Administrators
      • 계정 관리자
      • 백업 사용자
      • 인쇄 담당자
      • 서버 연산자
      • 도메인 컨트롤러
      • 읽기 전용 도메인 컨트롤러
      • 그룹 정책 생성자 소유자
      • 암호화 연산자
      • 분산 COM 사용자
      • 중요한 온-프레미스 Exchange 그룹(Exchange Windows 사용 권한 및 Exchange 신뢰할 수 있는 하위 시스템 포함)
      • 기타 위임된 그룹 - 디렉터리 작업을 관리하기 위해 조직에서 만들 수 있는 사용자 지정 그룹입니다.
      • 위의 기능을 호스팅하는 기본 운영 체제 또는 클라우드 서비스 테넌트에 대한 모든 로컬 관리자
        • 로컬 관리자 그룹의 구성원
        • 루트 또는 기본 제공 관리자 암호를 알고 있는 직원
        • 해당 시스템에 에이전트가 설치된 관리 또는 보안 도구의 관리자

다음 단계