다음을 통해 공유


제로 트러스트를 통한 ID 보호

대부분의 조직에서 제로 트러스트 과정을 시작하기 전에 ID에 대한 접근 방식은 다양한 ID 공급자, 클라우드 및 온-프레미스 앱 간의 SSO(Single Sign-On) 부족, ID 위험에 대한 제한된 가시성으로 조각화될 수 있습니다.

클라우드 애플리케이션 및 모바일 작업자는 보안과 관련하여 새로운 사고 방식이 필요합니다. 많은 직원들이 자신의 디바이스를 가져와 하이브리드 방식으로 작업합니다. 데이터는 기존 회사 네트워크 경계 외부에서 정기적으로 액세스되고 파트너 및 공급업체와 같은 외부 협력자와 공유됩니다. 기존 회사 애플리케이션 및 데이터는 온-프레미스에서 하이브리드 및 클라우드 환경으로 이동하고 있습니다.

보안을 위한 기존 네트워크 컨트롤은 더 이상 충분하지 않습니다.

ID는 네트워크, 엔드포인트 및 애플리케이션에서 사람, 서비스 또는 디바이스를 나타냅니다. 제로 트러스트 보안 모델에서는 리소스에 대한 액세스를 제어하는 강력하고 유연하며 세분화된 수단으로 작동합니다.

조직은 ID가 리소스에 액세스를 시도하기 전에 다음을 수행해야 합니다.

  • 강력한 인증을 사용하여 ID를 확인합니다.
  • 해당 ID의 액세스가 규정을 준수하고 일반적인지 확인합니다.
  • 최소 권한 액세스 원칙을 따릅니다.

ID가 확인되면 조직 정책, 지속적인 위험 분석 및 기타 도구에 따라 리소스에 대한 액세스를 제어할 수 있습니다.

ID 제로 트러스트 배포 목표

ID의 엔드투엔드 제로 트러스트 프레임워크를 구현할 때는 다음과 같은 초기 배포 목표에 먼저 집중하는 것이 좋습니다.

이전 영역을 해결한 후 다음 배포 목표에 집중합니다.

9\. 클라우드 ID와 온-프레미스 ID 시스템 페더레이션

Microsoft Entra ID를 사용하면 강력한 인증, 엔드포인트 보안을 위한 통합 지점 및 사용자 중심 정책의 핵심을 통해 최소 권한 액세스를 보장할 수 있습니다. Microsoft Entra 조건부 액세스는 액세스 시 명시적으로 확인된 사용자 ID, 환경, 디바이스 상태 및 위험에 따라 리소스에 대한 액세스를 결정하는 데 사용되는 정책 엔진입니다. Microsoft Entra ID를 사용하여 제로 트러스트 ID 전략을 구현할 수 있습니다.

초기 배포 목표 1단계 내의 단계 다이어그램.

모든 사용자를 Microsoft Entra ID에 연결하고 온-프레미스 ID 시스템과 페더레이션

직원 ID의 정상 파이프라인과 액세스 정책 제어를 위한 권한 부여 그룹 및 엔드포인트를 비롯한 필요한 보안 아티팩트를 유지 관리하면 클라우드에서 일관된 ID 및 컨트롤을 사용하기에 가장 좋은 위치에 있습니다.

다음 단계를 수행합니다.

  1. 인증 옵션을 선택합니다. Microsoft Entra ID는 최상의 무차별 암호 대입, DDoS 및 암호 스프레이 보호를 제공하지만 조직 및 규정 준수 요구 사항에 적합한 결정을 내립니다.
  2. 반드시 필요한 ID만 가져옵니다. 클라우드로 이동하여 온-프레미스에만 적합한 서비스 계정을 남겨둘 수 있는 기회로 사용합니다. 온-프레미스 권한 있는 역할을 온-프레미스에서 그대로 둡니다.
  3. 조직의 크기에 따라 Microsoft Entra Connect Sync의 하드웨어 요구 사항을 충족하는지 확인합니다.

Microsoft Entra ID를 사용하여 Identity Foundation 설정

제로 트러스트 전략을 사용하려면 명시적으로 확인하고, 최소 권한 액세스 원칙을 사용하고, 위반을 가정해야 합니다. Microsoft Entra ID는 사용자, 엔드포인트, 대상 리소스 및 환경에 대한 인사이트를 기반으로 액세스 정책을 적용하는 정책 결정 지점 역할을 할 수 있습니다.

모든 액세스 요청의 경로에 Microsoft Entra ID를 배치합니다. 이 프로세스는 공통 ID 제어 평면을 통해 모든 사용자, 앱 및 리소스를 연결하고 Microsoft Entra ID에 인증/권한 부여 위험에 대한 최상의 결정을 내릴 수 있는 신호를 제공합니다. 또한 SSO(Single Sign-On) 및 일관된 정책 보호책은 더 나은 사용자 환경을 제공하고 생산성 향상에 기여합니다.

모든 애플리케이션을 Microsoft Entra ID와 통합

Single Sign-On은 사용자가 다양한 앱에서 자격 증명 복사본을 남기지 못하게 하며 과도한 프롬프트로 인한 피싱 공격 또는 MFA 피로를 방지하는 데 도움이 됩니다.

사용자 환경에 여러 IAM(ID 및 액세스 관리) 솔루션이 없는지 확인합니다. 이 중복은 Microsoft Entra ID가 보는 신호를 감소시키고, 잘못된 행위자가 두 IAM 엔진 사이의 그림자에 살 수 있게 하며, 사용자 환경이 저하됩니다. 이러한 복잡성으로 인해 비즈니스 파트너가 제로 트러스트 전략에 대한 의구심을 하게 될 수 있습니다.

다음 단계를 수행합니다.

  1. OAuth2.0 또는 SAML을 사용하는 최신 엔터프라이즈 애플리케이션 을 통합합니다.
  2. Kerberos 및 양식 기반 인증 애플리케이션의 경우 Microsoft Entra 애플리케이션 프록시를 사용하여 통합합니다.
  3. 애플리케이션 배달 네트워크/컨트롤러를 사용하여 레거시 애플리케이션을 게시하는 경우 Microsoft Entra ID를 사용하여 대부분의 주요 애플리케이션(예: Citrix, Akamai 및 F5)과 통합 합니다.
  4. ADFS 및 기존/이전 IAM 엔진에서 앱을 검색하고 마이그레이션하는 데 도움이 되도록 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 리소스를 검토합니다.
  5. 사용자 프로비저닝을 자동화합니다.

강력한 인증을 사용하여 명시적으로 확인

다음 단계를 수행합니다.

  1. Microsoft Entra 다단계 인증을 롤아웃합니다. 이러한 노력은 사용자 세션 위험을 줄이는 기본 요소입니다. 사용자가 새 디바이스 및 새 위치에서 나타나면 MFA 챌린지에 응답할 수 있는 것은 관리자가 개별 신호를 구문 분석하지 않고도 전 세계로 이동할 때 친숙한 디바이스/위치임을 사용자에게 가르칠 수 있는 가장 직접적인 방법 중 하나입니다.
  2. 레거시 인증을 차단합니다. 악의적인 행위자에 대한 가장 일반적인 공격 벡터 중 하나는 최신 보안 문제를 수행할 수 없는 SMTP와 같은 레거시 프로토콜에 대해 도난/재생된 자격 증명을 사용하는 것입니다.

II. 조건부 액세스 정책으로 액세스 제어 및 수정 작업 제공

Microsoft Entra 조건부 액세스는 사용자, 디바이스 및 위치와 같은 신호를 분석하여 결정을 자동화하고 리소스에 대한 조직 액세스 정책을 적용합니다. 조건부 액세스 정책을 사용하여 MFA(다단계 인증)와 같은 액세스 제어를 적용할 수 있습니다. 조건부 액세스 정책을 사용하면 보안에 필요한 경우 사용자에게 MFA를 묻는 메시지를 표시하고 필요하지 않은 경우 사용자의 방해를 받지 않도록 할 수 있습니다.

제로 트러스트의 조건부 액세스 정책 다이어그램.

Microsoft는 기본 보안 수준을 보장하는 보안 기본값이라는 표준 조건부 정책을 제공합니다. 그러나 조직에는 보안 기본값이 제공하는 것보다 더 많은 유연성이 필요할 수 있습니다. 조건부 액세스를 사용하여 더 많은 세분성으로 보안 기본값을 사용자 지정하고 요구 사항에 맞는 새 정책을 구성할 수 있습니다.

조건부 액세스 정책을 미리 계획하고 활성 및 대체 정책을 갖추는 것은 제로 트러스트 배포에서 액세스 정책을 적용하기 위한 기초입니다. 시간을 내어 사용자 환경에서 알려진 네트워크 위치를 구성합니다. 조건부 액세스 정책에서 이러한 네트워크 위치를 사용하지 않더라도 이러한 IP를 구성하면 Microsoft Entra ID Protection의 위험이 표시됩니다.

이 단계를 실행합니다.

Microsoft Entra ID를 사용하여 디바이스를 등록하여 취약하고 손상된 디바이스의 액세스를 제한합니다.

다음 단계를 수행합니다.

  1. Microsoft Entra 하이브리드 조인 또는 Microsoft Entra 조인을 사용하도록 설정합니다. 사용자의 노트북/컴퓨터를 관리하는 경우 해당 정보를 Microsoft Entra ID로 가져와서 더 나은 의사 결정을 내리는 데 사용합니다. 예를 들어 컴퓨터에 오프라인 복사본이 있는 리치 클라이언트를 허용하면 사용자가 조직에서 제어하고 관리하는 컴퓨터에서 오는 것을 알고 있는 경우 데이터에 액세스할 수 있습니다.
  2. 사용자의 모바일 디바이스를 관리하고 디바이스를 등록하기 위해 EMS(Microsoft Endpoint Manager) 내에서 Intune 서비스를 사용하도록 설정합니다. 노트북과 마찬가지로 사용자 모바일 디바이스에 대해서도 마찬가지입니다. (패치 수준, 탈옥, 루팅 등)에 대해 더 많이 알수록 액세스를 차단/허용하는 이유에 대한 근거를 더 많이 제공할 수 있습니다.

III. 분석으로 가시성 개선

인증, 권한 부여 및 프로비저닝을 사용하여 Microsoft Entra ID에서 자산을 빌드할 때 디렉터리에서 발생하는 일에 대한 강력한 운영 인사이트를 갖출 필요가 있습니다.

가시성을 향상하도록 로깅 및 보고 구성

이 단계를 실행합니다.

IV. ID 거버넌스를 통해 ID 및 액세스 권한 관리

초기 목표를 달성한 후에는 보다 강력한 ID 거버넌스와 같은 다른 목표에 집중합니다.

초기 배포 목표 4단계 내 세부 단계의 다이어그램.

Privileged Identity Management를 사용하여 권한 있는 액세스 보호

사용자가 권한 있는 작업/역할에 액세스하는 데 사용하는 엔드포인트, 조건 및 자격 증명을 제어합니다.

다음 단계를 수행합니다.

  1. 권한 있는 ID를 제어합니다. 권한 있는 액세스는 관리 액세스뿐만 아니라 중요 업무용 앱이 데이터를 실행하고 처리하는 방식을 변경할 수 있는 애플리케이션 또는 개발자 액세스입니다.
  2. Privileged Identity Management를 사용하여 권한 있는 ID를 보호합니다.

애플리케이션에 대한 사용자 동의는 최신 애플리케이션이 조직 리소스에 액세스하는 일반적인 방법이지만 몇 가지 모범 사례를 염두에 두어야 합니다.

다음 단계를 수행합니다.

  1. 사용자 동의를 제한하고 동의 요청을 관리하여 조직의 데이터가 앱에 불필요하게 노출되지 않도록 합니다.
  2. 조직 에서 이전/기존 동의를 검토하여 과도한 동의 또는 악의적인 동의를 확인합니다.

중요한 정보에 액세스하기 위한 전술로부터 보호하는 도구에 대한 자세한 내용은 ID 제로 트러스트 전략 구현 가이드에서 "사이버 위협 및 악성 앱에 대한 보호 강화"를 참조하세요.

권한 관리

Microsoft Entra ID에서 중앙에서 인증하고 구동하는 애플리케이션을 사용하면 액세스 요청, 승인 및 재인증 프로세스를 간소화하여 적절한 사용자에게 올바른 액세스 권한이 있는지, 조직의 사용자가 액세스 권한이 있는 이유를 파악할 수 있습니다.

다음 단계를 수행합니다.

  1. 권한 관리를 사용하여 사용자가 서로 다른 팀/프로젝트에 참가할 때 요청할 수 있고 연결된 리소스(예: 애플리케이션, SharePoint 사이트, 그룹 멤버 자격)에 대한 액세스를 할당할 수 있는 액세스 패키지를 만듭니다.
  2. 조직에서 현재 권한 관리를 배포할 수 없는 경우 최소한 셀프 서비스 그룹 관리셀프 서비스 애플리케이션 액세스를 배포하여 셀프 서비스 패러다임을 사용하도록 설정합니다.

암호 없는 인증을 사용하여 피싱 및 암호 공격 위험 줄이기

FIDO 2.0 및 암호 없는 전화 로그인을 지원하는 Microsoft Entra ID를 사용하면 사용자(특히 중요/권한 있는 사용자)가 일상적인 사용 중인 자격 증명에서 바늘을 이동할 수 있습니다. 이러한 자격 증명은 위험을 완화할 수 있는 강력한 인증 요소입니다.

이 단계를 실행합니다.

V. 사용자, 디바이스, 위치 및 동작을 실시간으로 분석하여 위험을 파악하고 지속적인 보호를 제공합니다.

실시간 분석은 위험과 보호를 확인하는 데 중요합니다.

추가 배포 목표 5단계의 세부 단계 다이어그램

Microsoft Entra 암호 보호 배포

다른 방법을 사용하여 사용자를 명시적으로 확인할 수 있지만 약한 암호, 암호 스프레이 및 위반 재생 공격을 무시하지 마세요. 그리고 클래식 복잡한 암호 정책은 가장 널리 퍼진 암호 공격을 방지하지 않습니다.

이 단계를 실행합니다.

Microsoft Entra ID Protection 사용

Microsoft Entra ID Protection을 사용하여 보다 세분화된 세션/사용자 위험 신호를 가져옵니다. 조직의 진화하는 보안 요구 사항에 따라 위험 조사 및 수정 옵션을 사용하도록 설정할 수 있습니다.

이 단계를 실행합니다.

Microsoft Entra ID 보호와 Microsoft Defender for Cloud Apps 통합 사용

클라우드용 Microsoft Defender 앱은 SaaS 및 최신 애플리케이션 내에서 사용자 동작을 모니터링합니다. 이 신호는 사용자가 인증하고 토큰을 받은 후 발생한 일에 대해 Microsoft Entra ID에 알릴 수 있습니다. 사용자 패턴이 의심스러워 보이기 시작하면 Microsoft Entra ID 보호 및 조건부 액세스에 사용자에게 손상되거나 높은 위험이 있음을 알리는 신호가 공급될 수 있습니다. 이 사용자의 다음 액세스 요청에서 Microsoft Entra ID는 사용자를 확인하거나 차단하는 작업을 올바르게 수행할 수 있습니다.

이 단계를 실행합니다.

클라우드용 Microsoft Defender 앱과 조건부 액세스 통합 사용

인증 후 내보내는 신호를 사용하고 클라우드용 Defender 앱이 애플리케이션에 요청을 프록시하면 SaaS 애플리케이션으로 가는 세션을 모니터링하고 제한을 적용할 수 있습니다.

다음 단계를 수행합니다.

  1. 조건부 액세스 통합을 사용하도록 설정합니다.

  2. 조건부 액세스를 온-프레미스 앱으로 확장합니다.

액세스 결정에 사용할 수 있도록 제한된 세션 사용

사용자의 위험이 낮지만 알 수 없는 엔드포인트에서 로그인하는 경우 리소스에 대한 액세스를 허용하지만 조직이 위험한 작업에 노출되는 작업을 수행하도록 허용하지 않을 수 있습니다. 사용자에게 전자 메일을 읽거나 파일을 볼 수 있는 제한된 세션을 제공하도록 Exchange Online 및 SharePoint Online을 구성할 수 있지만 다운로드하여 신뢰할 수 없는 장치에 저장할 수는 없습니다.

이 단계를 실행합니다.

  • SharePoint Online 및 Exchange Online대한 제한된 액세스를 사용하도록 설정합니다.

VI. 다른 보안 솔루션의 위협 신호를 통합하여 검색, 보호, 대응 개선

마지막으로 다른 보안 솔루션을 통합하여 효율성을 향상시킬 수 있습니다.

클라우드용 Microsoft Defender 앱과 Microsoft Defender for Identity를 통합합니다.

Microsoft Defender for Identity와 통합하면 Microsoft Entra ID는 사용자가 온-프레미스, 비모던 리소스(예: 파일 공유)에 액세스하는 동안 위험한 동작에 빠지고 있음을 알 수 있습니다. 이 신호는 전반적인 위험으로 간주되어 클라우드에서의 추가 액세스를 차단할 수 있습니다.

다음 단계를 수행합니다.

  1. 클라우드용 Microsoft Defender 앱에서 Microsoft Defender for Identity를 사용하도록 설정하여 온-프레미스 신호를 사용자에 대해 알고 있는 위험 신호로 가져옵니다.
  2. 위험에 처한 각 사용자에 대해 결합된 조사 우선 순위 점수를 확인하여 SOC가 집중해야 하는 항목을 전체적으로 볼 수 있습니다.

엔드포인트용 Microsoft Defender 사용

엔드포인트용 Microsoft Defender 통해 Windows 컴퓨터의 상태를 증명하고 손상이 발생하는지 여부를 확인할 수 있습니다. 그런 다음, 해당 정보를 런타임 시 위험을 완화할 수 있도록 피드할 수 있습니다. 도메인 조인은 제어감을 제공하는 반면, 엔드포인트용 Defender를 사용하면 여러 사용자 디바이스가 신뢰할 수 없는 사이트에 도달하는 패턴을 감지하여 거의 실시간으로 맬웨어 공격에 대응하고 런타임에 디바이스/사용자 위험을 발생시켜 대응할 수 있습니다.

이 단계를 실행합니다.

사이버 보안 및 OMB 각서 22-09에 대한 행정 명령 14028에 따른 ID 보안

국가 사이버 보안OMB 각서 개선에 대한 행정 명령 14028 22-09에는 제로 트러스트 대한 구체적인 조치가 포함되어 있습니다. ID 작업에는 중앙 집중식 ID 관리 시스템 사용, 강력한 피싱 방지 MFA 사용 및 권한 부여 결정에 디바이스 수준 신호를 하나 이상 통합하는 작업이 포함됩니다. Microsoft Entra ID를 사용하여 이러한 작업을 구현하는 방법에 대한 자세한 지침은 Microsoft Entra ID를 사용하여 각서 22-09의 ID 요구 사항 충족을 참조하세요.

이 가이드에서 설명하는 제품

결론

ID는 성공적인 제로 트러스트 전략의 핵심입니다. 구현에 대한 자세한 내용이나 도움말은 고객 성공 팀에 문의하거나 이 가이드의 다른 챕터를 계속 읽어보세요. 이 가이드는 모든 제로 트러스트 핵심 요소에 걸쳐 있습니다.



제로 트러스트 배포 가이드 시리즈

소개 아이콘

ID 아이콘

엔드포인트 아이콘

애플리케이션 아이콘

데이터 아이콘

인프라 아이콘

네트워크 아이콘

가시성, 자동화, 오케스트레이션 아이콘