신속한 보안 현대화 계획

  • 아티클

이 RAMP(빠른 현대화 계획)는 Microsoft의 권장 권한 있는 액세스 전략을 신속하게 채택하는 데 도움이 됩니다.

이 로드맵은 권한 있는 액세스 배포 참고 자료에 설정된 기술 컨트롤을 기반으로 합니다. 이러한 단계를 완료한 다음 이 RAMP의 단계를 사용하여 조직에 대한 컨트롤을 구성합니다.

Privileged access RAMP summary

참고 항목

이러한 단계의 대부분은 조직이 이미 배포되거나 구성된 계정에 보안 위험이 있는 경우가 많기 때문에 녹색/브라운필드 동적입니다. 이 로드맵은 먼저 새 보안 위험의 누적을 중지한 다음, 나중에 이미 누적된 다시 기본 항목을 클린 우선 순위를 지정합니다.

로드맵을 진행하면서 Microsoft 보안 점수를 활용하여 여정의 많은 항목을 추적하고 시간이 지남에 따라 유사한 조직의 다른 사용자와 비교할 수 있습니다. 보안 점수 개요 문서에서 Microsoft 보안 점수에 대해 자세히 알아봅니다.

이 RAMP의 각 항목은 OKR(목표 및 키 결과) 방법론을 기반으로 한 형식으로 추적하고 관리하는 이니셔티브로 구성됩니다. 각 항목에는 (목표), 이유, 사용자, 방법 및 측정 방법(주요 결과)이 포함됩니다. 일부 항목은 프로세스 및 사람들의 노하우/기술을 변경해야 하는 반면, 다른 항목은 더 간단한 기술 변경입니다. 이러한 이니셔티브의 대부분은 이러한 변경의 의사 결정 및 구현에 포함되어야 하지만 기존 IT 부서가 아닌 멤버들을 포함하여, 그들이 조직에 성공적으로 통합되게 합니다.

조직으로서 함께 일하고, 파트너십을 맺고, 전통적으로 이 과정에 속하지 않은 사람들을 교육하는 것이 중요합니다. 조직 전체에서 바이 인(buy-in)을 만들고 유지 관리하는 것이 중요하며, 그렇지 못할 경우 많은 프로젝트가 실패합니다.

권한 있는 계정 분리 및 관리

응급 액세스 계정

  • 내용: 긴급 상황에서 실수로 Microsoft Entra 조직에서 잠기지 않도록 합니다.
  • 이유: 응급 액세스 계정은 손상될 경우 거의 사용되지 않으며 조직에 큰 피해를 줄 수 있지만, 필요한 경우 몇 가지 시나리오에서도 조직에 대한 가용성이 매우 중요합니다. 예상 이벤트와 예기치 않은 이벤트를 모두 수용하는 액세스 연속성에 대한 계획이 있는지 확인합니다.
  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.
  • 방법: Microsoft Entra ID에서 응급 액세스 계정 관리의 지침을 따릅니다.
  • 주요 결과 측정:
    • 설정된 응급 액세스 프로세스는 조직의 요구 사항을 충족하는 Microsoft 지침을 기반으로 설계되었습니다.
    • 유지 관리된 응급 액세스는 지난 90일 이내에 검토 및 테스트되었습니다.

Microsoft Entra Privileged Identity Management 사용

  • 내용: Microsoft Entra 프로덕션 환경에서 Microsoft Entra PIM(Privileged Identity Management)을 사용하여 권한 있는 계정을 검색하고 보호합니다.
  • 이유: Privileged Identity Management는 과도한 액세스 권한, 불필요하거나 오용된 액세스 권한의 위험을 완화하기 위해 시간 기반 및 승인 기반 역할 활성화를 제공합니다.
  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.
  • 방법: Microsoft Entra PIM(Privileged Identity Management) 배포 문서의 지침을 사용하여 Microsoft Entra Privileged Identity Management를 배포하고 구성합니다.
  • 주요 결과 측정: 해당 권한 있는 액세스 역할의 100%가 Microsoft Entra PIM을 사용하고 있습니다.

권한 있는 계정 식별 및 분류(Microsoft Entra ID)

  • 대상: 비즈니스 영향이 높은 모든 역할 및 그룹을 식별하여 권한 있는 보안 수준(즉시 또는 시간에 따라)을 요구합니다. 이러한 관리자는 이후 단계 의 권한 있는 액세스 관리에서 계정을 절약해야 합니다.

  • 이유: 별도의 계정 및 권한 있는 액세스 보호가 필요한 사용자 수를 식별하고 최소화하려면 이 단계가 필요합니다.

  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.

  • 방법: Microsoft Entra Privileged Identity Management를 켠 후 조직 위험 정책에 따라 최소한 다음 Microsoft Entra 역할에 있는 사용자를 확인합니다.

    • 전역 관리자
    • 권한 있는 역할 관리자
    • Exchange 관리자
    • SharePoint 관리자

    관리자 역할의 전체 목록은 Microsoft Entra ID의 관리주제자 역할 권한을 참조하세요.

    이러한 역할에 더 이상 필요하지 않은 계정을 모두 제거합니다. 그런 다음, 관리자 역할에 할당된 나머지 계정을 분류합니다.

    • 관리자에게 할당되지만 이메일 읽기 및 응답 등의 관리 생산성이 아닌 용도로도 사용됩니다.
    • 관리 사용자에 할당되고 관리 목적으로만 사용되는 계정
    • 여러 사용자 간에 공유됩니다.
    • 비상(break-glass) 응급 액세스 시나리오용
    • 자동화된 스크립트용
    • 외부 사용자용

조직에 Microsoft Entra Privileged Identity Management가 없으면 PowerShell API를 사용할 수 있습니다. 전역 관리자에게는 조직이 가입한 모든 클라우드 서비스에 걸쳐 동일한 사용 권한이 있으므로 전역 관리자 역할부터 시작합니다. 이러한 권한은 할당된 위치(Microsoft 365 관리 센터, Azure Portal 또는 Microsoft PowerShell용 Azure AD 모듈)에 관계없이 부여됩니다.

  • 주요 결과 측정: 지난 90일 이내에 권한 있는 액세스 역할의 검토 및 식별이 완료되었습니다.

개별 계정(온-프레미스 AD 계정)

  • 대상: 아직 보안이 설정되지 않은 권한 있는 온-프레미스 관리 계정의 보안. 이 단계에는 다음이 포함됩니다.

    • 온-프레미스 관리 작업을 수행해야 하는 사용자를 위한 별도의 관리자 계정 만들기
    • Active Directory 관리자를 위한 권한 있는 액세스 워크스테이션 배포
    • 워크스테이션 및 서버에 대한 고유한 로컬 관리자 암호 만들기

  • 이유: 관리 작업에 사용되는 계정을 강화합니다. 관리자 계정에는 메일을 사용하지 않도록 설정해야 하며 개인 Microsoft 계정은 허용되지 않아야 합니다.

  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.

  • 방법: 관리 권한을 보유할 권한이 있는 모든 담당자는 사용자 계정과 별개의 관리 기능에 대해 별도의 계정이 있어야 합니다. 사용자 간에 이러한 계정을 공유하지 마세요.

    • 표준 사용자 계정 - 전자 메일, 웹 검색 및 LOB(기간 업무) 애플리케이션과 같은 표준 사용자 작업에 대해 부여되는 표준 사용자 권한입니다. 이러한 계정에는 관리 권한이 부여되지 않습니다.
    • 관리 계정 - 적절한 관리 권한이 할당된 직원을 위해 생성되는 별도의 계정입니다.

  • 주요 결과 측정: 온-프레미스 권한 있는 사용자의 100%는 별도의 전용 계정이 있습니다.

Microsoft Defender for Identity

  • 대상: Microsoft Defender for Identity는 클라우드 인사이트를 통해 온-프레미스 신호를 결합함으로써 보안 팀에서 다음 기능을 사용하여 ID 인프라에 대한 고급 공격을 검색할 수 있도록 하는 단순화된 포맷으로 이벤트를 모니터링, 보호, 조사합니다.

    • 모니터링 사용자, 엔터티 동작 및 학습 기반 분석을 사용한 활동
    • Active Directory에 저장된 사용자 ID 및 자격 증명 보호
    • 킬 체인 전체에 걸친 고급 공격 및 의심스러운 사용자 활동 식별 및 조사
    • 신속한 심사를 위해 단순한 타임라인에 대한 명확한 인시던트 정보 제공

  • 이유: 최신 공격자는 오랫동안 검색되지 않을 수 있습니다. 많은 위협은 전체 ID 환경에 대한 결합된 그림 없이는 찾기가 어렵습니다.

  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.

  • 방법: Microsoft Defender for Identity를 배포 및 사용하도록 설정하고 열려 있는 경고를 검토합니다.

  • 주요 결과 측정: 적절한 팀에서 검토 및 완화한 모든 열린 경고입니다.

자격 증명 관리 환경 개선

셀프 서비스 암호 재설정 및 결합된 보안 정보 등록 구현 및 문서화

  • 대상: 조직에서 SSPR(셀프 서비스 암호 재설정)를 사용 및 구성하고 결합된 보안 정보 등록 환경을 사용하도록 설정합니다.
  • 이유: 사용자가 등록한 후에는 자신의 암호를 재설정할 수 있습니다. 결합된 보안 정보 등록 환경은 Microsoft Entra 다단계 인증 및 셀프 서비스 암호 재설정에 대한 등록을 허용하는 더 나은 사용자 환경을 제공합니다. 이러한 도구를 함께 사용하면 기술 지원팀 비용을 절감하고 사용자 만족도를 높일 수 있습니다.
  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.
  • 방법: SSPR을 사용하도록 설정하고 배포하려면 Microsoft Entra 셀프 서비스 암호 재설정 배포 계획 문서를 참조하세요.
  • 주요 결과 측정: 셀프 서비스 암호 재설정이 완전히 구성되고 조직에서 사용할 수 있음

관리자 계정 보호 - Microsoft Entra ID 권한 있는 사용자에 대해 MFA/암호 없는 사용 및 필요

  • 내용: 강력한 다단계 인증을 사용하려면 Microsoft Entra ID의 모든 권한 있는 계정 필요

  • 이유: Microsoft 365에서 데이터 및 서비스에 대한 액세스를 보호하기 위한 것입니다.

  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.

    • 후원: 일반적으로 CISO, CIO 또는 ID 디렉터가 이 이니셔티브를 후원합니다.
    • 실행: 이 이니셔티브는 관련된 공동 작업입니다.

  • 방법: Microsoft Entra MFA(다단계 인증)를 켜고 다른 모든 높은 권한이 있는 단일 사용자가 페더레이션되지 않은 관리자 계정을 등록합니다. 다음과 같이 하나 이상의 Microsoft Entra 관리자 역할에 영구적으로 할당된 모든 개별 사용자에 대해 로그인 시 다단계 인증이 필요합니다.

    • 전역 관리자
    • 권한 있는 역할 관리자
    • Exchange 관리자
    • SharePoint 관리자

    관리자는 고유하고 길고 복잡한 암호와 함께 FIDO2 보안 키 또는 비즈니스용 Windows Hello와 같은 암호 없는 로그인 방법을 사용해야 합니다. 조직 정책 문서에 이 변경 내용을 적용합니다.

다음 문서의 지침에 따라 Microsoft Entra 다단계 인증 배포를 계획하고 Microsoft Entra ID에서 암호 없는 인증 배포를 계획합니다.

  • 주요 결과 측정: 권한 있는 사용자의 100%가 모든 로그온에 대해 암호 없는 인증 또는 강력한 형태의 다단계 인증을 사용하고 있습니다. 다단계 인증에 대한 설명은 Privileged Access 계정을 참조하세요.

권한 있는 사용자 계정에 대한 레거시 인증 프로토콜 차단

  • 내용: 권한 있는 사용자 계정에 대한 레거시 인증 프로토콜 사용을 차단합니다.

  • 이유: 다단계 인증을 적용할 수 없으므로 조직에서 이러한 레거시 인증 프로토콜을 차단해야 합니다. 레거시 인증 프로토콜을 사용하도록 설정된 상태로 두면 공격자가 들어올 진입점을 만들게 될 수 있습니다. 일부 레거시 애플리케이션은 이러한 프로토콜을 사용할 수 있으며 조직은 특정 계정에 대한 특정 예외를 만들 수 있습니다. 이러한 예외를 추적하고 추가 모니터링 컨트롤을 구현해야 합니다.

  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.

    • 후원: 일반적으로 CISO, CIO 또는 ID 디렉터가 이 이니셔티브를 후원합니다.
    • 실행: 이 이니셔티브는 관련된 공동 작업입니다.

  • 방법: 조직에서 레거시 인증 프로토콜을 차단하려면 방법: 조건부 액세스를 사용하여 Microsoft Entra ID에 대한 레거시 인증 차단 문서의 지침을 따릅니다.

  • 주요 결과 측정:

    • 레거시 프로토콜 차단: 모든 레거시 프로토콜은 권한 있는 예외만 사용하여 모든 사용자에 대해 차단됩니다.
    • 예외는 90일마다 검토되며 1년 이내에 영구적으로 만료됩니다. 애플리케이션 소유자는 첫 번째 예외 승인 후 1년 이내에 모든 예외를 수정해야 합니다.
  • 내용: Microsoft Entra 애플리케이션에 대한 최종 사용자 동의를 사용하지 않도록 설정합니다.

참고 항목

이렇게 변경하려면 조직의 보안 및 ID 관리 팀과 의사 결정 프로세스를 중앙 집중화해야 합니다.

  • 이유: 사용자가 조직 데이터를 악의적으로 액세스할 수 있는 앱에 대한 동의를 제공하여 실수로 조직 위험을 만들 수 있습니다.
  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.
    • 후원: 일반적으로 CISO, CIO 또는 ID 디렉터가 이 이니셔티브를 후원합니다.
    • 실행: 이 이니셔티브는 관련된 공동 작업입니다.
  • 방법: 문서의 지침에 따라 애플리케이션에 대한 동의 관리 및 동의 요청을 평가하여 데이터에 액세스할 수 있는 애플리케이션의 중앙 집중식 가시성 및 제어를 기본 중앙 집중식 동의 프로세스를 설정합니다.
  • 키 결과 측정: 최종 사용자가 Microsoft Entra 애플리케이션 액세스에 동의할 수 없음

계정 및 로그인 위험 정리

  • 내용: Microsoft Entra ID 보호를 사용하도록 설정하고 발견한 모든 위험을 클린.
  • 이유: 위험한 사용자 및 로그인 동작은 조직에 대한 공격의 원인일 수 있습니다.
  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.
    • 후원: 일반적으로 CISO, CIO 또는 ID 디렉터가 이 이니셔티브를 후원합니다.
    • 실행: 이 이니셔티브는 관련된 공동 작업입니다.
  • 방법: 사용자 및 로그인 위험을 모니터링하고 관리하는 프로세스를 만듭니다. Microsoft Entra 다단계 인증 및 SSPR을 사용하여 수정을 자동화할지, 아니면 관리자 개입을 차단하고 요구할지 결정합니다. 방법: 위험 정책 구성 및 사용 문서의 지침을 따릅니다.
  • 주요 결과 측정: 조직에는 해결되지 않은 사용자 및 로그인 위험이 없습니다.

참고 항목

조건부 액세스 정책은 새 로그인 위험의 발생을 차단하는 데 필요합니다. 권한 있는 액세스 배포의 조건부 액세스 섹션을 참조하세요.

워크스테이션 초기 배포 관리

  • 대상: 전역 관리자와 같은 권한 있는 계정은 관리 작업을 수행할 전용 워크스테이션을 보유하고 있습니다.
  • 이유: 권한 있는 관리 작업이 완료된 디바이스는 공격자의 대상입니다. 계정뿐만 아니라 이러한 자산의 보안은 공격 노출 영역을 줄이는 데 중요합니다. 이러한 구분으로 인해 메일 및 웹 검색과 같은 생산성 관련 작업에서 전달되는 일반적인 공격에 노출되는 것이 제한됩니다.
  • 사용자: 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처로 인해 발생합니다.
    • 후원: 일반적으로 CISO, CIO 또는 ID 디렉터가 이 이니셔티브를 후원합니다.
    • 실행: 이 이니셔티브는 관련된 공동 작업입니다.
  • 방법: 권한 있는 액세스 배포 문서에 설명된 대로 초기 배포가 엔터프라이즈 수준이어야 합니다.
  • 주요 결과 측정: 모든 권한 있는 계정에는 중요한 작업을 수행할 수 있는 전용 워크스테이션이 있습니다.

참고 항목

이 단계에서는 보안 기준을 신속하게 설정하고 가능한 한 빨리 전문화 및 권한 있는 수준으로 늘려야 합니다.

다음 단계