제로 트러스트를 통한 엔드포인트 보호

배경

최신 엔터프라이즈는 데이터에 액세스하는 엔드포인트의 놀라운 다양성을 가지고 있습니다. 모든 엔드포인트가 관리되거나 조직에서 소유하는 것은 아니고 디바이스 구성 및 소프트웨어 패치 수준이 다릅니다. 이렇게 하면 대규모 공격 노출 영역이 생성되고 해결되지 않은 상태로 두면 신뢰할 수 없는 엔드포인트에서 작업 데이터에 액세스하는 것이 제로 트러스트 보안 전략에서 가장 약한 링크가 될 수 있습니다.

제로 트러스트는 "절대 신뢰하지 말고 항상 확인"하라는 원칙을 준수합니다. 엔드포인트 측면에서는 항상 모든 엔드포인트를 확인합니다. 여기에는 계약자, 파트너, 게스트 디바이스뿐만 아니라 직원이 디바이스 소유권과 상관없이 회사 데이터에 액세스하는 데 사용하는 앱 및 디바이스도 포함됩니다.

제로 트러스트 접근 방식에서는 기업 소유인지 또는 BYOD(Bring Your Own Device)를 통한 개인 소유인지 여부와 IT 팀이 디바이스를 완전히 관리하는지 또는 애플리케이션 및 데이터만 보호하는지 여부에 관계없이 동일한 보안 정책이 적용됩니다. 이 정책은 보안 회사 네트워크, 홈 광대역 또는 공용 인터넷 등 어디서나 PC, Mac, 스마트 폰, 태블릿, 착용식 컴퓨터 또는 IoT 디바이스가 연결된 모든 엔드포인트에 적용됩니다.

가장 중요한 점은 이러한 엔드포인트에서 실행되는 앱의 상태와 신뢰성이 보안 상태에 영향을 미친다는 것입니다. 실수로 또는 악의적인 의도를 통해 회사 데이터가 신뢰할 수 없거나 알 수 없는 앱 또는 서비스로 누출되는 것을 방지해야 합니다.

제로 트러스트 모델에서 디바이스 및 엔드포인트를 보호하기 위한 몇 가지 주요 규칙이 있습니다.

• 제로 트러스트 보안 정책은 클라우드를 통해 중앙에서 적용되며 엔드포인트 보안, 디바이스 구성, 앱 보호, 디바이스 준수 및 위험 상태를 다룹니다.

• 디바이스에서 실행되는 앱뿐만 아니라 플랫폼은 안전하게 프로비전되고 올바르게 구성되며 최신 상태로 유지됩니다.

• 보안이 손상될 경우 앱 내에서 회사 데이터에 대한 액세스를 포함하는 자동화된 프롬프트 응답이 있습니다.

• 액세스 제어 시스템은 데이터에 액세스하기 전에 모든 정책 컨트롤이 적용되도록 합니다.

엔드포인트 제로 트러스트 배포 목표

대부분의 조직에서 제로 트러스트 과정을 시작하기 전에 엔드포인트 보안은 다음과 같이 설정됩니다.

• 엔드포인트는 그룹 정책 개체 또는 Configuration Manager와 같은 솔루션을 사용하여 기본 조인 및 관리됩니다. 이러한 옵션은 훌륭한 옵션이지만 최신 Windows 10 CSP를 활용하거나 클라우드 기반 디바이스에 대한 별도의 클라우드 관리 게이트웨이 어플라이언스 요구하지는 않습니다.

• 엔드포인트는 데이터에 액세스하려면 회사 네트워크에 있어야 합니다. 즉, 디바이스가 회사 네트워크에 액세스하기 위해 물리적으로 현장에 있어야 하거나 VPN 액세스가 필요하므로 손상된 디바이스가 중요한 회사 리소스에 액세스할 수 있는 위험이 높아집니다.

엔드포인트 보안을 위해 엔드투엔드 제로 트러스트 프레임워크를 구현할 때는 먼저 다음 초기 배포 목표에 중점을 두는 것이 좋습니다.
	I.Endpoint는 클라우드 ID 공급자에 등록됩니다. 한 사람이 사용하는 여러 엔드포인트에서 보안 및 위험을 모니터링하려면 리소스에 액세스할 수 있는 모든 디바이스 및 액세스 지점에서 가시성이 필요합니다. Ii.액세스 권한은 클라우드 관리형 및 규격 엔드포인트 및 앱에만 부여됩니다. 액세스 권한이 부여되기 전에 디바이스가 최소 보안 요구 사항을 충족하도록 규정 준수 규칙을 설정합니다. 또한 사용자가 문제를 해결하는 방법을 알 수 있도록 비호환 디바이스에 대한 수정 규칙을 설정합니다. Iii.DLP(데이터 손실 방지) 정책은 회사 디바이스 및 BYOD에 적용됩니다. 사용자가 액세스 권한이 있는 후 데이터로 수행할 수 있는 작업을 제어합니다. 예를 들어, 로컬 디스크와 같은 신뢰할 수 없는 위치에만 파일을 저장하도록 제한하거나, 소비자 통신 앱 또는 채팅 앱에서의 복사 및 붙여넣기 공유를 제한하여 데이터를 보호합니다.
컨트롤이 완료되면 추가 배포 목표에 초점을 맞춥니다.
	Iv.엔드포인트 위협 탐지는 디바이스 위험을 모니터링하는 데 사용됩니다. 단일 창에서 일관된 방식으로 모든 엔드포인트를 관리하고 SIEM을 사용하여 엔드포인트 로그 및 트랜잭션을 라우팅하여 더 적지만 실행 가능한 경고를 얻을 수 있습니다. V.Access 제어는 회사 디바이스와 BYOD 모두에 대한 엔드포인트 위험에 대해 제어됩니다. 엔드포인트용 Microsoft Defender 또는 기타 MTD(Mobile Threat Defense) 공급업체의 데이터를 디바이스 준수 정책 및 디바이스 조건부 액세스 규칙의 정보 원본으로 통합합니다. 그러면 디바이스 위험은 해당 디바이스의 사용자가 액세스할 수 있는 리소스에 직접적인 영향을 줍니다.

엔드포인트 제로 트러스트 배포 가이드

이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 디바이스를 보호하는 데 필요한 단계를 안내합니다.

초기 배포 목표

9\. 엔드포인트는 클라우드 ID 공급자에 등록됩니다.

위험 노출을 제한하려면 모든 엔드포인트를 모니터링하여 각 엔드포인트에 신뢰할 수 있는 ID가 있어야 하고, 보안 정책이 적용되고, 맬웨어 또는 데이터 반출과 같은 위험 수준이 측정, 수정 또는 허용 가능한 것으로 간주되었는지 확인합니다.

디바이스가 등록되면 사용자는 회사 사용자 이름 및 암호를 사용하여 조직의 제한된 리소스에 액세스하여 로그인(또는 비즈니스용 Windows Hello)할 수 있습니다.

Microsoft Entra ID를 사용하여 회사 디바이스 등록

다음 단계를 수행합니다.

새 Windows 10 디바이스

1. 새 디바이스를 시작하고 OOBE(기본 환경) 프로세스를 시작합니다.

2. Microsoft로 로그인 화면에서 회사 또는 학교 전자 메일 주소를 입력합니다.

3. 암호 입력 화면에서 암호를 입력합니다.

4. 모바일 디바이스에서 계정에 액세스할 수 있도록 디바이스를 승인합니다.

5. 개인 정보 설정 설정 및 Windows Hello 설정(필요한 경우)을 포함하여 OOBE 프로세스를 완료합니다.

6. 디바이스는 이제 조직의 네트워크에 가입되었습니다.

기존 Windows 10 디바이스

1. 설정을 열고 계정을 선택합니다.

2. 회사 또는 학교 액세스를 선택한 후 연결을 선택합니다.

   

3. 회사 또는 학교 계정 설정 화면에서 이 디바이스를 Microsoft Entra ID에 조인을 선택합니다.

   

4. 로그인해 보겠습니다. 화면에서 전자 메일 주소(예alain@contoso.com: )를 입력한 다음, 다음을 선택합니다.

5. 암호 입력 화면에서 암호를 입력한 다음 로그인을 선택합니다.

6. 모바일 디바이스에서 계정에 액세스할 수 있도록 디바이스를 승인합니다.

7. 내 조직인지 확인 화면에서 정보가 올바른지 검토한 후 조인을 선택합니다.

8. 모든 설정을 완료했습니다. 화면에서 완료를 클릭합니다.

Microsoft Entra ID를 사용하여 개인 Windows 디바이스 등록

다음 단계를 수행합니다.

1. 설정을 열고 계정을 선택합니다.

2. 회사 또는 학교 액세스를 선택한 다음, 회사 또는 학교 액세스 화면에서 연결을 선택합니다.

   

3. 회사 또는 학교 계정 추가 화면에서 회사 또는 학교 계정의 전자 메일 주소를 입력하고 다음을 선택합니다. 예들 들어 alain@contoso.com입니다.

4. 회사 또는 학교 계정에 로그인한 다음 로그인을 선택합니다.

5. ID 확인 요청 승인(2단계 인증을 사용하는 경우) 및 Windows Hello 설정(필요한 경우)을 포함하여 나머지 등록 프로세스를 완료합니다.

비즈니스용 Windows Hello 사용 및 구성

PIN, 바이오 메트릭 인증 또는 지문 판독기 등의 암호를 대체하는 대체 로그인 방법을 사용자에게 허용하려면 사용자의 Windows 10 디바이스에서 비즈니스용 Windows Hello 사용하도록 설정합니다.

다음 Microsoft Intune 및 Microsoft Entra 작업은 Microsoft Endpoint Manager 관리 센터에서 완료됩니다.

먼저 Microsoft Intune에서 비즈니스용 Windows Hello 등록 정책을 만듭니다.

1. 디바이스 > 등록 등록 > 디바이스 > Windows 등록 > 비즈니스용 Windows Hello 이동합니다.

   

2. 비즈니스용 Windows Hello 구성에 대한 다음 옵션 중에서 선택합니다.

   1. Disabled. 비즈니스용 Windows Hello 사용하지 않으려면 이 설정을 선택합니다. 사용하지 않도록 설정된 경우 프로비전이 필요할 수 있는 Microsoft Entra 가입 휴대폰을 제외하고 사용자는 비즈니스용 Windows Hello 프로비전할 수 없습니다.

   2. Enabled. 비즈니스용 Windows Hello 설정을 구성하려면 이 설정을 선택합니다. [사용]을 선택하면 Windows Hello에 대한 추가 설정이 표시됩니다.

   3. 구성 되지 않음합니다. Intune을 사용하여 비즈니스용 Windows Hello 설정을 제어하지 않으려면 이 설정을 선택합니다. Windows 10 디바이스의 기존 비즈니스용 Windows Hello 설정은 변경되지 않습니다. 창의 다른 모든 설정을 사용할 수 없습니다.

[사용 ]을 선택한 경우 등록된 모든 Windows 10 디바이스 및 Windows 10 모바일 디바이스에 적용되는 필수 설정을 구성합니다.

1. TPM(신뢰할 수 있는 플랫폼 모듈)을 사용합니다. TPM 칩은 추가적인 데이터 보안 계층을 제공합니다. 다음 값 중 하나를 선택합니다.

   1. 필수입니다. 액세스 가능한 TPM이 있는 디바이스만 비즈니스용 Windows Hello 프로비전할 수 있습니다.

   2. 기본 설정. 디바이스는 먼저 TPM을 사용하려고 시도합니다. 이 옵션을 사용할 수 없는 경우 소프트웨어 암호화를 사용할 수 있습니다.

2. 최소 PIN 길이와 최대 PIN 길이를 설정합니다. 이렇게 하면 보안 로그인을 보장하기 위해 지정한 최소 및 최대 PIN 길이를 사용하도록 디바이스가 구성됩니다. 기본 PIN 길이는 6자이지만 최소 길이는 4자까지 적용할 수 있습니다. 최대 PIN 길이는 127자입니다.

3. PIN 만료 기간(일)을 설정합니다. PIN의 만료 기간을 지정한 후 사용자가 PIN을 변경해야 하는 것이 좋습니다. 기본값은 41일입니다.

4. PIN 기록을 기억하십시오. 이전에 사용한 PIN의 재사용을 제한합니다. 기본적으로 마지막 5개의 PIN은 다시 사용할 수 없습니다.

5. 사용 가능한 경우 향상된 스푸핑 방지를 사용합니다. 이는 Windows Hello의 스푸핑 방지 기능이 이를 지원하는 디바이스에서 사용되는 시기를 구성합니다. 예를 들어 실제 얼굴 대신 얼굴 사진을 검색합니다.

6. 휴대폰 로그인을 허용합니다. 이 옵션을 예로 설정하면 사용자는 원격 여권을 사용하여 데스크톱 컴퓨터 인증을 위한 휴대용 도우미 디바이스로 사용할 수 있습니다. 데스크톱 컴퓨터는 Microsoft Entra에 가입되어 있어야 하며 도우미 디바이스는 비즈니스용 Windows Hello PIN으로 구성해야 합니다.

이러한 설정을 구성한 후 저장을 선택합니다 .

등록된 모든 Windows 10 디바이스 및 Windows 10 모바일 디바이스에 적용되는 설정을 구성한 후 비즈니스용 Windows Hello ID 보호 프로필을 설정하여 특정 최종 사용자 디바이스의 비즈니스용 Windows Hello 보안 설정을 사용자 지정합니다.

1. 디바이스 > 구성 프로필을 > 선택하여 프로필 > Windows 10 이상 ID 보호를 만듭니다>.

   

2. 비즈니스용 Windows Hello 구성합니다. 비즈니스용 Windows Hello 구성하는 방법을 선택합니다.

   

   1. 최소 PIN 길이입니다.

   2. PIN의 소문자입니다.

   3. PIN의 대문자입니다.

   4. PIN의 특수 문자입니다.

   5. PIN 만료(일).

   6. PIN 기록을 기억하십시오.

   7. PIN 복구를 사용하도록 설정합니다. 사용자가 비즈니스용 Windows Hello PIN 복구 서비스를 사용할 수 있습니다.

   8. TPM(신뢰할 수 있는 플랫폼 모듈)을 사용합니다. TPM 칩은 추가적인 데이터 보안 계층을 제공합니다.

   9. 생체 인식 인증을 허용합니다. 비즈니스용 Windows Hello PIN 대신 얼굴 인식 또는 지문과 같은 바이오 메트릭 인증을 사용하도록 설정합니다. 생체 인식 인증에 실패하는 경우에도 사용자는 계속 PIN을 구성해야 합니다.

   10. 사용 가능한 경우 향상된 스푸핑 방지를 사용합니다. Windows Hello의 스푸핑 방지 기능을 지원하는 디바이스에서 사용되는 경우를 구성합니다(예: 실제 얼굴 대신 얼굴 사진 검색).

   11. 로그인에 보안 키를 사용합니다. 이 설정은 Windows 10 버전 1903 이상을 실행하는 디바이스에서 사용할 수 있습니다. 로그인을 위해 Windows Hello 보안 키를 사용하는 지원을 관리하는 데 사용합니다.

마지막으로 회사 소유 디바이스를 추가로 잠그는 추가 디바이스 제한 정책을 만들 수 있습니다.

팁

엔드투엔드 ID 제로 전략 구현에 대해 알아봅니다.

II. 클라우드 관리 및 규정을 준수하는 엔드포인트와 앱에 대해서만 액세스 권한 부여

회사 리소스에 액세스하는 모든 엔드포인트에 대한 ID가 있고 액세스 권한이 부여되기 전에 조직에서 설정한 최소 보안 요구 사항을 충족하는지 확인하려고 합니다.

신뢰할 수 있는 엔드포인트 및 모바일 및 데스크톱 애플리케이션에 대한 회사 리소스 액세스를 제어하는 규정 준수 정책을 설정한 후 모든 사용자는 모바일 디바이스에서 조직 데이터에 액세스할 수 있으며 모든 디바이스에 최소 또는 최대 운영 체제 버전이 설치됩니다. 장치는 탈옥되거나 루팅되지 않습니다.

또한 비준수 디바이스를 차단하거나 사용자에게 준수를 위한 유예 기간을 제공하는 등 비규격 디바이스에 대한 수정 규칙을 설정합니다.

Microsoft Intune(모든 플랫폼)을 사용하여 규정 준수 정책 만들기

다음 단계에 따라 규정 준수 정책을 만듭니다.

1. 디바이스 > 준수 정책 > 정책 만들기 정책을 > 선택합니다.

2. 이 정책에 대한 플랫폼을 선택합니다(아래 예: Windows 10 사용).

3. 원하는 Device Health 구성을 선택합니다.

   

4. 최소 또는 최대 디바이스 속성을 구성합니다.

   

5. Configuration Manager 규정 준수를 구성합니다. 이렇게 하려면 Configuration Manager의 모든 규정 준수 평가가 규정을 준수해야 하며 공동 관리되는 Windows 10 디바이스에만 적용됩니다. 모든 Intune 전용 디바이스는 N/A를 반환합니다.

6. 시스템 보안 설정 구성합니다.

   

7. Microsoft Defender 맬웨어 방지를 구성합니다.

   

8. 필요한 엔드포인트용 Microsoft Defender 컴퓨터 위험 점수를 구성합니다.

   

9. 비준수에 대한 작업 탭에서 이 준수 정책을 충족하지 않는 디바이스에 자동으로 적용할 작업 시퀀스를 지정합니다.

   

알림 이메일 자동화 및 Intune의 비호환 디바이스에 대한 추가 수정 작업 추가(모든 플랫폼)

해당 엔드포인트 또는 앱이 비호환이 되면 사용자는 자체 수정에 대해 안내를 받습니다. 경고는 특정 임계값에 대해 설정된 추가 경보 및 자동화된 작업으로 자동으로 생성됩니다. 비준수 수정 작업을 설정할 수 있습니다.

다음 단계를 수행합니다.

1. 디바이스 > 규정 준수 정책 > 알림 > 알림 만들기를 선택합니다.

2. 알림 메시지 템플릿을 만듭니다.

   

3. 디바이스 > 준수 정책 정책을 >선택하고 정책 중 하나를 선택한 다음 속성을 선택합니다.

4. 비호환 작업> 추가를 선택합니다.

5. 비호환 작업을 추가합니다.

   

   1. 비규격 디바이스를 사용하는 사용자에게 자동화된 전자 메일을 설정합니다.

   2. 비호환 디바이스를 원격으로 잠그는 작업을 설정합니다.

   3. 설정된 일 수 후에 비규격 디바이스를 자동으로 사용 중지하도록 작업을 설정합니다.

III. 회사 디바이스 및 BYOD에 DLP(데이터 손실 방지) 정책 적용

데이터 액세스 권한이 부여되면 사용자가 데이터를 사용하여 수행할 수 있는 작업을 컨트롤하는 것이 좋습니다. 예를 들어 사용자가 회사 ID를 사용하여 문서에 액세스하는 경우 해당 문서가 보호되지 않는 소비자 스토리지 위치에 저장되거나 소비자 통신 또는 채팅 앱과 공유되지 않도록 방지하려고 합니다.

권장 보안 설정 적용

먼저 Microsoft에서 권장하는 보안 설정을 Windows 10 디바이스에 적용하여 회사 데이터를 보호합니다(Windows 10 1809 이상 필요).

Intune의 보안 기준을 사용하면 사용자와 디바이스를 안전하게 보호할 수 있습니다. 보안 기준은 관련 보안 팀에서 권장하는 알려진 설정 그룹 및 기본값을 적용하는 데 도움이 되는 미리 구성된 Windows 설정 그룹입니다.

다음 단계를 수행합니다.

1. 엔드포인트 보안 > 보안 기준을 선택하여 사용 가능한 기준 목록을 봅니다.

2. 사용할 기준을 선택한 다음 프로필 만들기를 선택합니다.

3. 구성 설정 탭에서 선택한 기준에서 사용할 수 있는 설정 그룹을 봅니다. 그룹을 확장하여 해당 그룹의 설정과 기준선에서 해당 설정의 기본값을 볼 수 있습니다. 특정 설정을 찾으려면 다음을 수행합니다.

   1. 그룹을 선택하여 사용 가능한 설정을 확장하고 검토합니다.

   2. 검색 창을 사용하고 검색 조건을 포함하는 그룹만 표시하도록 보기를 필터링하는 키워드(keyword) 지정합니다.

   3. 비즈니스 요구 사항에 맞게 기본 설정을 다시 구성합니다.

      

4. 할당 탭에서 포함할 그룹을 선택한 다음 하나 이상의 그룹에 기준을 할당합니다. 할당을 미세 조정하려면 그룹을 선택하여 제외합니다.

업데이트가 엔드포인트에 자동으로 배포되는지 확인

Windows 10 디바이스 구성

비즈니스용 Windows 업데이트 구성하여 사용자의 업데이트 관리 환경을 간소화하고 디바이스가 필요한 규정 준수 수준에 맞게 자동으로 업데이트되도록 합니다.

다음 단계를 수행합니다.

1. 업데이트 링을 만들고 Windows 10 업데이트가 설치될 시기를 구성하는 설정 컬렉션을 사용하도록 설정하여 Intune에서 Windows 10 소프트웨어 업데이트를 관리합니다.

   1. Windows Windows > 10 업데이트 링 > 만들기 디바이스 > 를 선택합니다.

   2. 업데이트 링 설정에서 비즈니스 요구 사항에 대한 설정을 구성합니다.

      

   3. 할당에서 포함할 그룹 선택 + 선택한 다음 하나 이상의 그룹에 업데이트 링을 할당합니다. 할당을 미세 조정하려면 + 제외할 그룹 선택을 사용합니다.

2. Intune에서 Windows 10 기능 업데이트를 관리하여 사용자가 지정한 Windows 버전(예: 1803 또는 1809)으로 디바이스를 가져오고 이후 Windows 버전으로 업데이트하도록 선택할 때까지 해당 디바이스에서 기능 집합을 동결합니다.

   1. 디바이스 > Windows > Windows 10 기능 업데이트 > 만들기를 선택합니다.

   2. 기본 사항에서 이름, 설명(선택 사항)을 지정하고, 기능 업데이트를 배포하려면 원하는 기능 집합이 있는 Windows 버전을 선택한 다음, 다음을 선택합니다.

   3. 할당에서 포함할 그룹을 선택하고 선택한 다음, 기능 업데이트 배포를 하나 이상의 그룹에 할당합니다.

iOS 디바이스 구성

회사 등록 디바이스의 경우, iOS 업데이트를 구성하면 사용자의 업데이트 관리 환경을 단순화하고 디바이스가 필수 규정 준수 수준을 충족하도록 자동으로 업데이트할 수 있습니다. iOS 업데이트 정책을 구성합니다.

다음 단계를 수행합니다.

1. 디바이스 > iOS/iPadOS 업데이트 정책 > 프로필 만들기를 선택합니다.

2. 기본 탭에서 이 정책의 이름을 지정하고 설명(선택 사항)을 지정한 다음 다음을 선택합니다.

3. 정책 설정 업데이트 탭에서 다음을 구성합니다.

   1. 설치할 버전을 선택합니다. 다음 중 하나를 선택할 수 있습니다.

      1. 최신 업데이트: iOS/iPadOS용으로 가장 최근에 릴리스된 업데이트를 배포합니다.

      2. 드롭다운 상자에서 사용할 수 있는 이전 버전입니다. 이전 버전을 선택하는 경우 소프트웨어 업데이트의 표시를 지연하는 디바이스 구성 정책도 배포해야 합니다.

   2. 일정 유형: 이 정책에 대한 일정을 구성합니다.

      1. 다음 검사 업데이트합니다. 다음에 Intune을 통해 체크 인할 때 디바이스에 업데이트가 설치됩니다. 이 옵션은 가장 간단한 옵션이며 추가 구성이 없습니다.

      2. 예약된 시간 동안 업데이트합니다. 체크 인 시 업데이트가 설치될 기간을 하나 이상 구성합니다.

      3. 예약된 시간 외에 업데이트합니다. 검사 업데이트가 설치되지 않는 기간 중 하나 이상의 기간을 구성합니다.

   3. 주별 일정: 다음 검사 업데이트 이외의 일정 유형을 선택하는 경우 다음 옵션을 구성합니다.

      

4. 표준 시간대를 선택합니다.

5. 시간 창을 정의합니다. 업데이트가 설치되는 시기를 제한하는 하나 이상의 시간 블록을 정의합니다. 옵션에는 시작 날짜, 시작 시간, 종료일 및 종료 시간이 포함되며, 시작일과 종료일을 사용하면 야간 블록이 지원됩니다. 시작 또는 종료 시간을 구성하지 않으면 구성에 제한이 없으며 업데이트가 언제든지 설치할 수 있습니다.

디바이스가 암호화되었는지 확인

Windows 10 디바이스를 암호화하도록 Bitlocker 구성

1. 디바이스 > 구성 프로필 > 프로필 만들기를 선택합니다.

2. 다음 옵션을 설정합니다.

   1. 플랫폼 Windows 10 이상

   2. 프로필 유형: 엔드포인트 보호

      

3. Windows 암호화를 설정 > 선택합니다.

   

4. 비즈니스 요구 사항에 맞게 BitLocker에 대한 설정을 구성한 다음 확인을 선택합니다.

macOS 디바이스에서 FileVault 암호화 구성

1. 디바이스 > 구성 프로필 > 프로필 만들기를 선택합니다.

2. 다음 옵션을 설정합니다.

   1. 플랫폼: macOS.

   2. 프로필 유형: 엔드포인트 보호.

      

3. 설정 > FileVault를 선택합니다.

   

4. FileVault의 경우 사용을 선택합니다.

5. 복구 키 유형의 경우 개인 키만 지원됩니다.

6. 비즈니스 요구 사항에 맞게 다시 기본 FileVault 설정을 구성한 다음 확인을 선택합니다.

앱 수준에서 회사 데이터를 보호하는 애플리케이션 보호 정책 만들기

데이터가 안전하거나 관리되는 앱에 포함되도록 기본 앱(앱 보호 정책)을 만듭니다. 정책은 사용자가 "회사" 데이터에 액세스하거나 이동하려고 할 때 적용되는 규칙이거나 사용자가 앱 내부에 있을 때 금지되거나 모니터링되는 일련의 작업 일 수 있습니다.

APP 데이터 보호 프레임워크는 세 가지 고유한 구성 수준으로 구성되며 각 수준은 이전 수준에서 빌드됩니다.

• 엔터프라이즈 기본 데이터 보호(레벨 1)는 앱이 PIN으로 보호되고 암호화되었는지 확인하며 선택적 초기화 작업을 수행합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. 이는 Exchange Online 사서함 정책에서 유사한 데이터 보호 컨트롤을 제공하고 IT 및 사용자 모집단을 APP에 도입하는 초급 수준 구성입니다.

• 엔터프라이즈 향상된 데이터 보호 (수준 2)에는 APP 데이터 누출 방지 메커니즘과 최소 OS 요구 사항이 도입되었습니다. 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용되는 구성입니다.

• 엔터프라이즈 고급 데이터 보호(레벨 3)는 고급 데이터 보호 메커니즘, 개선된 PIN 구성 및 APP 모바일 위협 방어를 도입합니다. 이 구성은 위험 수준이 높은 데이터에 액세스하는 사용자에게 적합합니다.

다음 단계를 수행합니다.

1. Intune 포털에서 앱>앱 보호 정책을 선택합니다. 이 옵션을 선택하면 새 정책을 만들고 기존 정책을 편집하는 앱 보호 정책 세부 정보가 열립니다.

2. 정책 만들기를 선택하고 iOS/iPadOS 또는 Android를 선택합니다. 정책 만들기 창이 표시됩니다.

3. 앱 보호 정책을 적용할 앱을 선택합니다.

4. 데이터 보호 설정을 구성합니다.

   1. iOS/iPadOS 데이터 보호. 자세한 내용은 iOS/iPadOS 앱 보호 정책 설정 - 데이터 보호를 참조하세요.

   2. Android 데이터 보호. 자세한 내용은 Android 앱 보호 정책 설정 - 데이터 보호를 참조하세요.

5. 액세스 요구 사항 설정을 구성합니다.

   1. iOS/iPadOS 액세스 요구 사항 자세한 내용은 iOS/iPadOS 앱 보호 정책 설정 - 액세스 요구 사항을 참조하세요.

   2. Android 액세스 요구 사항. 자세한 내용은 Android 앱 보호 정책 설정 - 액세스 요구 사항을 참조하세요.

6. 조건부 시작 설정을 구성합니다.

   1. iOS/iPadOS 조건부 시작 자세한 내용은 iOS/iPadOS 앱 보호 정책 설정 - 조건부 시작을 참조하세요.

   2. Android 조건부 시작. 자세한 내용은 Android 앱 보호 정책 설정 - 조건부 시작을 참조하세요.

7. [다음]을 클릭하여 [할당] 페이지를 표시합니다.

8. 완료되면 만들기를 클릭하여 Intune에서 앱 보호 정책을 만듭니다.

팁

데이터에 엔드투엔드 제로 트러스트 전략을 구현하는 방법을 알아보세요.

추가 배포 목표

IV. 엔드포인트 위협 검색을 사용하여 디바이스 위험 모니터링

처음 세 가지 목표를 달성하면 다음 단계는 고급 보호가 프로비전, 활성화 및 모니터링되도록 엔드포인트 보안을 구성하는 것입니다. 단일 창은 모든 엔드포인트를 일관되게 함께 관리하는 데 사용됩니다.

엔드포인트 로그 및 트랜잭션을 SIEM 또는 Power BI로 라우팅

Intune 데이터 웨어하우스 를 사용하여 디바이스 및 앱 관리 데이터를 보고 또는 SIEM 도구 로 보내 경고의 지능형 필터링을 통해 노이즈를 줄입니다.

다음 단계를 수행합니다.

1. 보고서 > Intune 데이터 웨어하우스 > 데이터 웨어하우스를 선택합니다.

2. 사용자 지정 피드 URL을 복사합니다. 예: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

3. Power BI Desktop 또는 SIEM 솔루션을 엽니다.

SIEM 솔루션에서

Odata 피드에서 데이터를 가져오거나 가져오는 옵션을 선택합니다.

PowerBI에서

1. 메뉴에서 파일 데이터 > 가져오기 OData 피드를 선택합니다.>

2. 이전 단계에서 복사한 사용자 지정 피드 URL을 OData 피드 창의 URL 상자에 붙여넣습니다.

3. 기본을 선택합니다.

4. 확인을 선택합니다.

5. 조직 계정을 선택한 다음 Intune 자격 증명으로 로그인합니다.

   

6. 연결을 선택합니다. 탐색기가 열리고 Intune 데이터 웨어하우스의 테이블 목록이 표시됩니다.

7. 디바이스 및 ownerTypes 테이블을 선택합니다. 로드를 선택합니다. Power BI는 모델에 데이터를 로드합니다.

8. 관계를 만듭니다. 여러 테이블을 가져와 단일 테이블의 데이터뿐만 아니라 테이블 간 관련 데이터를 분석할 수 있습니다. Power BI에는 관계를 찾아서 만들려고 시도하는 자동 검색이라는 기능이 있습니다. 데이터 웨어하우스의 테이블은 Power BI의 자동 검색 기능을 사용하도록 빌드되었습니다. 그러나 Power BI에서 자동으로 관계를 찾지 않더라도 관계를 관리할 수 있습니다.

9. 관계 관리 선택합니다.

10. Power BI에서 관계를 아직 검색하지 않은 경우 자동 검색을 선택합니다.

11. PowerBI 시각화를 설정하는 고급 방법을 알아봅니 다.

V. 회사 디바이스 및 BYOD 모두의 엔드포인트 위험에 대해 액세스 제어 통제

회사 디바이스는 DEP, Android Enterprise 또는 Windows AutoPilot과 같은 클라우드 등록 서비스에 등록됩니다.

사용자 지정된 운영 체제 이미지를 빌드하고 기본 것은 시간이 많이 걸리는 프로세스이며, 사용자 지정 운영 체제 이미지를 새 디바이스에 적용하여 사용하기 위해 준비하는 데 소요되는 시간을 포함할 수 있습니다.

• Microsoft Intune 클라우드 등록 서비스를 사용하면 사용자 지정 운영 체제 이미지를 빌드, 기본, 디바이스에 적용할 필요 없이 사용자에게 새 디바이스를 제공할 수 있습니다.

• Windows Autopilot은 새 디바이스를 설정하고 미리 구성하여 생산적인 사용을 준비하는 데 사용되는 기술 모음입니다. Windows Autopilot을 사용하여 디바이스를 초기화, 용도 변경 및 복구할 수도 있습니다.

• Microsoft Entra 조 인을 자동화하고 새 회사 소유 디바이스를 Intune에 등록하도록 Windows Autopilot을 구성합니다.

• iOS 및 iPadOS 디바이스를 자동으로 등록하도록 Apple DEP 를 구성합니다.

이 가이드에서 설명하는 제품

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Endpoint Manager (Microsoft Intune 및 Configuration Manager 포함)

엔드포인트에 대한 Microsoft Defender

BitLocker

제로 트러스트와 OT 네트워크

Microsoft Defender for IoT는 IoT 및 OT(운영 기술) 네트워크에서 디바이스, 취약성 및 위협을 식별하기 위해 특별히 빌드된 통합 보안 솔루션입니다. Defender for IoT를 사용하여 기본 제공 보안 에이전트가 없을 수 있는 기존 디바이스를 포함하여 전체 IoT/OT 환경에 보안을 적용합니다.

OT 네트워크는 종종 기존 IT 인프라와 다르며 제로 트러스트에 대한 특수한 접근 방식이 필요합니다. OT 시스템은 독점 프로토콜에서 고유한 기술을 사용하며, 연결 및 전력이 제한되거나 특정 안전 요구 사항 및 물리적 공격에 대한 고유한 노출이 있는 노후화된 플랫폼이 있을 수 있습니다.

Defender for IoT는 다음과 같은 OT 관련 문제를 해결하여 제로 트러스트 원칙을 지원합니다.

• OT 시스템에 대한 원격 연결을 제어하는 데 도움이 됩니다.
• 종속 시스템 간의 상호 연결을 검토하고 줄이는 데 도움이 됩니다.
• 네트워크에서 단일 실패 지점 찾기

Defender for IoT 네트워크 센서를 배포하여 디바이스 및 트래픽을 감지하고 OT 관련 취약성을 감시합니다. 센서를 네트워크 전체의 사이트 및 영역으로 분할하여 영역 간의 트래픽을 모니터링하고 Defender for IoT의 위험 기반 완화 단계를 수행하여 OT 환경에서 위험을 낮춥니다. 그런 다음 Defender for IoT는 디바이스에서 비정상 또는 무단 동작을 지속적으로 모니터링합니다.

Microsoft Sentinel과 같은 Microsoft 서비스 통합하고 SIEM 및 발권 시스템을 비롯한 기타 파트너 서비스와 통합하여 조직 전체에서 Defender for IoT 데이터를 공유합니다.

자세한 내용은 다음을 참조하세요.

• 제로 트러스트 및 OT 네트워크
• 제로 트러스트 원칙을 사용하여 OT 네트워크 모니터링
• Microsoft Sentinel을 사용하여 Defender for IoT 인시던트 조사

결론

제로 트러스트 접근 방식은 디바이스 및 엔드포인트의 보안 태세를 크게 강화할 수 있습니다. 구현에 대한 자세한 내용이나 도움말은 고객 성공 팀에 문의하거나 이 가이드의 다른 챕터에서 모든 제로 트러스트 핵심 요소를 계속 읽어보세요.

제로 트러스트 배포 가이드 시리즈