다음을 통해 공유

제로 트러스트 규정 준수의 의미는 무엇인가요?

  • 아티클

이 문서에서는 제로 트러스트 지침 원칙을 해결하기 위해 개발자의 관점에서 애플리케이션 보안에 대한 개요를 제공합니다. 과거에 코드 보안은 사용자 고유의 앱에 관한 것이었습니다. 잘못된 경우 사용자 고유의 앱이 위험에 노출되었습니다. 오늘날 사이버 보안은 전 세계 고객과 정부에게 높은 우선 순위입니다.

사이버 보안 요구 사항을 준수하는 것은 많은 고객과 정부가 애플리케이션을 구매하기 위한 필수 구성 요소입니다. 예를 들어 미국 행정 명령 14028: 미국의 사이버 보안 및 미국 일반 서비스 관리 기존 요구 사항 요약을 참조하세요. 애플리케이션은 고객 요구 사항을 충족해야 합니다.

클라우드 보안은 가장 약한 링크만큼 안전한 조직 인프라의 고려 사항입니다. 단일 앱이 가장 약한 링크인 경우 악의적인 행위자가 중요 비즈니스용 데이터 및 작업에 액세스할 수 있습니다.

개발자 관점에서 애플리케이션 보안에는 제로 트러스트 접근 방식이 포함됩니다. 애플리케이션은 제로 트러스트 원칙을 다룹니다. 개발자는 위협 환경 및 보안 지침이 변경됨에 따라 애플리케이션을 지속적으로 업데이트합니다.

코드에서 제로 트러스트 원칙 지원

제로 트러스트 원칙을 준수하는 두 가지 키는 애플리케이션이 명시적으로 확인하고 최소 권한 액세스를 지원하는 기능입니다. 애플리케이션은 Microsoft Entra 토큰을 사용할 수 있도록 ID 및 액세스 관리를 Microsoft Entra ID에 위임해야 합니다. ID 및 액세스 관리를 위임하면 애플리케이션에서 다단계 인증, 암호 없는 인증 및 조건부 액세스 정책과 같은 고객 기술을 지원할 수 있습니다.

Microsoft ID 플랫폼 및 제로 트러스트 기술을 사용하도록 설정하면 Microsoft Entra 토큰을 사용하면 애플리케이션이 Microsoft의 전체 보안 기술 제품군과 통합되는 데 도움이 됩니다.

애플리케이션에 암호가 필요한 경우 고객이 피할 수 있는 위험에 노출될 수 있습니다. 악의적인 행위자가 암호 스프레이 공격과 같은 활동을 계속하여 회사 데이터에 액세스할 수 있는 기회로 모든 디바이스를 사용하여 모든 위치에서 작업하도록 전환합니다. 암호 스프레이 공격에서 악의적인 행위자가 사용자 계정 집합에서 유망한 암호를 시도합니다. 예를 들어 GoSeaHawks2022! 시애틀 지역의 사용자 계정에 대해 이 성공적인 공격 유형은 암호 없는 인증의 한 가지 근거입니다.

Microsoft Entra ID에서 액세스 토큰 획득

최소한 애플리케이션은 OAuth 2.0 액세스 토큰을 발급하는 Microsoft Entra ID에서 액세스 토큰을 획득해야 합니다. 클라이언트 애플리케이션은 이러한 토큰을 사용하여 사용자를 대신하여 API 호출을 통해 사용자 리소스에 대한 제한된 액세스를 얻을 수 있습니다. 액세스 토큰을 사용하여 각 API를 호출합니다.

위임된 ID 공급자가 ID를 확인하면 고객의 IT 부서에서 Microsoft Entra 권한 및 동의를 사용하여 최소 권한 액세스를 적용할 수 있습니다. Microsoft Entra ID는 애플리케이션에 토큰을 발급하는 시기를 결정합니다.

고객이 애플리케이션에서 액세스해야 하는 회사 리소스를 이해하면 액세스 요청을 올바르게 부여하거나 거부할 수 있습니다. 예를 들어 애플리케이션이 Microsoft SharePoint에 액세스해야 하는 경우 고객이 올바른 권한을 부여할 수 있도록 이 요구 사항을 문서화합니다.

다음 단계

  • 표준 기반 개발 방법론은 지원되는 표준 및 해당 이점에 대한 개요를 제공합니다.
  • id에 대한 제로 트러스트 접근 방식을 사용하여 앱을 빌드하면 사용 권한 및 액세스 모범 사례에 대한 개요를 제공합니다.
  • 토큰 사용자 지정은 Microsoft Entra 토큰에서 받을 수 있는 정보를 설명합니다. 최소한의 권한으로 애플리케이션 제로 트러스트 보안을 강화하면서 토큰을 사용자 지정하고 유연성과 제어를 향상시키는 방법을 알아봅니다.
  • 단일 및 다중 테넌트 앱 에 대해 지원되는 ID 및 계정 유형은 앱이 Microsoft Entra 테넌트의 사용자, Microsoft Entra 테넌트 또는 개인 Microsoft 계정을 가진 사용자만 허용하는지 여부를 선택하는 방법을 설명합니다.
  • API Protection은 등록을 통해 API를 보호하고, 사용 권한 및 동의를 정의하고, 제로 트러스트 목표를 달성하기 위해 액세스를 적용하는 모범 사례를 설명합니다.
  • 권한 부여 모범 사례는 애플리케이션에 대한 최상의 권한 부여, 권한 및 동의 모델을 구현하는 데 도움이 됩니다.