DoD 제로 트러스트 전략 및 로드맵은 국방부 구성 요소 및 DIB(국방 산업 기지) 파트너가 제로 트러스트 원칙에 따라 새로운 사이버 보안 프레임워크를 채택할 수 있는 경로를 간략하게 설명합니다. 제로 트러스트 기존의 경계 및 신뢰 가정을 제거하여 보안, 사용자 환경 및 임무 성능을 향상시키는 보다 효율적인 아키텍처를 지원합니다.
이 가이드에는 DoD 제로 트러스트 기능 실행 로드맵의 152 제로 트러스트 활동에 대한 권장 사항이 있습니다. 섹션은 DoD 제로 트러스트 모델의 7가지 핵심 요소에 해당합니다.
다음 링크를 사용하여 가이드의 섹션으로 이동합니다.
1 사용자
이 섹션에는 사용자 핵심 요소의 DoD 제로 트러스트 활동에 대한 Microsoft 지침과 권장 사항이 있습니다. 자세한 내용은 제로 트러스트 사용하여 ID 보안을 참조하세요.
1.1 사용자 인벤토리
Microsoft Entra ID는 Microsoft 클라우드 서비스에 필요한 ID 플랫폼입니다. Microsoft Entra ID는 다중 클라우드 및 하이브리드 ID를 지원하는 ID 공급자(IdP) 및 거버넌스 플랫폼입니다. Microsoft Entra ID를 사용하여 AWS(Amazon Web Services), GCP(Google Cloud Platform), OCI(Oracle Cloud Infrastructure) 등과 같은 Microsoft가 아닌 클라우드에 대한 액세스를 제어할 수 있습니다. Microsoft Entra ID는 표준 ID 프로토콜을 사용하여 SaaS(Software as a Service), 최신 웹 애플리케이션, 데스크톱 및 모바일 앱, 레거시 온-프레미스 애플리케이션에도 적합한 IdP입니다.
Microsoft Entra ID를 사용하여 사용자 및 NPE(비인격 엔터티)를 확인하고, 앱 및 데이터에 대한 액세스 권한을 지속적으로 부여하고, 최소 권한 원칙에 따라 ID 및 해당 자격을 제어하고, JIT(Just-In-Time) 관리를 수행합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.1.1 인벤토리 사용자DoD 조직은 필요한 경우 사용자 인벤토리를 수동으로 설정하고 업데이트하여 이후 단계에서 자동화된 접근 방식을 준비합니다. IdP/ICAM에서 중앙에서 관리되고 시스템에서 로컬로 관리되는 계정은 모두 식별되고 인벤토리됩니다. 권한 있는 계정은 향후 감사를 위해 식별되며, 향후 마이그레이션 및/또는 서비스 해제를 위해 애플리케이션 및 시스템에 대한 로컬 표준 및 권한 있는 사용자 계정이 모두 식별됩니다. 결과: - 관리되는 일반 사용자 식별 - 관리 권한 있는 사용자 식별 - 비관리 및 관리 계정에 대해 자체 사용자 계정 관리를 사용하여 식별된 애플리케이션 |
Microsoft Entra ID 는 Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용하여 조직의 일반 및 권한 있는 사용자를 식별합니다. 사용자 활동은 Microsoft Sentinel과 같은 SIEM(보안 정보 이벤트 모니터링) 시스템과 통합될 수 있는 Microsoft Entra ID 로그인 및 감사 로그에 캡처됩니다. - Microsoft Entra ID - Microsoft Graph API 채택: 목록 사용자 - Microsoft Entra 활동 로그 통합 Microsoft Entra 및 Azure 역할 권한 있는 사용자는 Microsoft Entra ID 역할, Azure 역할 또는 Microsoft 365 또는 기타 애플리케이션에 대한 권한 있는 액세스 권한을 부여하는 Microsoft Entra ID 보안 그룹에 할당된 ID입니다. 권한 있는 액세스에는 클라우드 전용 사용자를 사용하는 것이 좋습니다. - 기본 제공 역할 은 클라우드용 Defender 앱을 사용하여 자체 ID 저장소를 사용하여 승인되지 않은 앱을 검색합니다. - 배포를 검색하고 관리하고 Id용 Microsoft Defender 센서를 구성하여 온-프레미스 Active Directory Domain Services 환경에 대한 ID 자산 인벤토리를 빌드합니다. Microsoft Defender for Identity 개요 - |
1.2 조건부 사용자 액세스
Microsoft Entra ID를 사용하면 조직에서 조건부 동적 사용자 액세스를 구현할 수 있습니다. 이 기능을 지원하는 기능에는 Microsoft Entra 조건부 액세스, Microsoft Entra ID 거버넌스, 사용자 지정 역할, 동적 보안 그룹, 앱 역할 및 사용자 지정 보안 특성이 포함됩니다.
조건부 액세스는 Microsoft Entra ID의 실시간 제로 트러스트 정책 엔진입니다. 조건부 액세스 정책은 사용자, 디바이스, 애플리케이션, 세션, 위험 등의 보안 신호를 사용하여 Microsoft Entra ID로 보호되는 리소스에 적응형 동적 권한 부여를 적용합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.2.1 엔터프라이즈당 앱 기반 사용 권한 구현조직과 함께 작업하는 DoD 엔터프라이즈는 인증 및 권한 부여를 위한 기본 사용자 특성 집합을 설정합니다. 이는 완전한 엔터프라이즈 표준을 위한 "엔터프라이즈 ID 수명 주기 관리 Pt1" 작업 프로세스와 통합됩니다. 엔터프라이즈 ID, 자격 증명 및 액세스 관리(ICAM) 솔루션은 솔루션 내에서 특성을 추가/업데이트하기 위한 셀프 서비스 기능을 사용할 수 있습니다. 남은 PAM(Privileged Access Management) 작업은 PAM 솔루션으로 완전히 마이그레이션됩니다. 결과: - 애플리케이션 함수 및/또는 데이터에 대한 사용자 권한 부여에 필요한 엔터프라이즈 역할/특성이 엔터프라이즈 ICAM 에 등록되었습니다. DoD Enterprise ICAM에는 애플리케이션 소유자가 특성을 추가하거나 기존 엔터프라이즈 특성을 사용할 수 있도록 하는 셀프 서비스 특성/역할 등록 서비스가 있습니다. 권한 있는 작업은 PAM으로 완전히 마이그레이션됩니다. |
Microsoft Entra Connect는 Microsoft Entra Connect를 사용하여 하이브리드 ID를 설정하여 Microsoft Entra ID 테넌트에 현재 디렉터리 시스템의 사용자 특성 데이터를 채웁니다. - Microsoft Entra Connect Microsoft Entra 애플리케이션은 애플리케이션을 Microsoft Entra ID와 통합합니다. 보안 그룹 및 앱 역할을 사용하여 애플리케이션 권한 부여 및 권한 모델을 디자인합니다. 앱 관리를 위임하려면 소유자를 할당하여 앱 구성을 관리하고, 앱 역할을 등록하고 할당합니다. - 애플리케이션에 대한 Microsoft Entra ID - 동적 보안 그룹 - 앱 역할과 앱 통합 Microsoft Entra ID 거버넌스 역할 또는 그룹에 대한 액세스를 요청할 수 있도록 권한 관리에서 액세스 패키지를 구성합니다. - Microsoft Entra ID로 보호되는 애플리케이션 및 서비스에 대한 동적 권한 부여를 위한 앱 - 구성 조건부 액세스 정책에 대한 액세스를 제어합니다. 조건부 액세스 정책에서 사용자 지정 보안 특성 및 애플리케이션 필터를 사용하여 민감도와 같은 애플리케이션 개체에 할당된 보안 특성 권한 부여의 범위를 지정합니다. - PIM 검색 및 인사이트를 사용하여 권한 있는 역할 및 그룹을 식별합니다. PIM을 사용하여 검색된 권한을 관리하고 사용자 할당을 영구에서 적격으로 변환합니다. - PIM 검색 및 인사이트 |
Target
1.2.2 규칙 기반 동적 액세스 Pt1DoD 조직은 "정기 인증" 활동의 규칙을 활용하여 권한을 동적으로 사용하도록 설정하고 사용하지 않도록 설정하는 기본 규칙을 작성합니다. 위험 수준이 높은 사용자 계정은 PAM 솔루션을 활용하여 Just-In-Time 액세스 및 Just Enough-Administration 메서드를 사용하여 동적 권한 있는 액세스로 이동합니다. 결과: - 애플리케이션/서비스의 함수 및/또는 데이터에 대한 액세스는 적절한 엔터프라이즈 특성을 가진 사용자로 제한됩니다. 가능한 모든 애플리케이션은 관리자에게 JIT/JEA 권한을 사용합니다. |
Microsoft Entra ID 는 Microsoft Entra ID 권한 부여 및 거버넌스 기능을 사용하여 사용자 특성, 역할 할당, 위험 및 세션 세부 정보에 따라 애플리케이션 액세스를 제한합니다. 1.2.1에서 Microsoft 지침을 참조하세요. Privileged Identity Management 는 Microsoft Entra 및 Azure 역할에 PIM을 사용합니다. PIM for Groups를 사용하여 PIM을 다른 Microsoft Entra ID 애플리케이션으로 확장합니다. - 그룹에 대한 Azure 역할 PIM에 대한 Microsoft Entra 역할 - - PIM에 대한 PIM |
Advanced
1.2.3 규칙 기반 동적 액세스 Pt2DoD 조직은 위험을 고려한 동적 액세스 의사 결정에 대한 규칙 개발을 확장합니다. 동적 액세스에 사용되는 솔루션은 자동화된 규칙 관리를 가능하게 하는 크로스 필러 Machine Learning 및 인공 지능 기능과 통합됩니다. 결과: - 구성 요소 및 서비스는 규칙을 완전히 활용하여 애플리케이션 및 서비스에 대한 동적 액세스를 가능하게 합니다. 규칙 기반 동적 액세스에 사용된 기술은 AI/ML 도구와의 통합을 지원합니다. |
Microsoft Entra ID Protection Microsoft Entra ID Protection은 ML(기계 학습) 알고리즘을 사용하여 사용자 및 로그인 위험을 검색합니다. 위험 수준에 따라 동적 액세스를 위해 조건부 액세스 정책의 위험 조건을 사용합니다. - Microsoft Entra ID Protection - 위험 검색 - 위험 기반 액세스 정책 Microsoft Defender XDR Microsoft Defender XDR은 XDR(확장 검색 및 응답) 솔루션입니다. 엔드포인트용 Microsoft Defender 배포하고 앱을 클라우드용 Microsoft Defender 통합을 구성합니다. - 엔드포인트용 Defender를 클라우드용 Defender 앱과 통합 |
Advanced
1.2.4 엔터프라이즈 거버넌스 역할 및 권한 Pt1DoD 조직에서는 나머지 사용자 및 그룹 특성을 엔터프라이즈 ID, 자격 증명 및 ICAM(액세스 관리) 솔루션에 적절하게 페더레이션합니다. 업데이트된 특성 집합은 조직에서 사용할 범용 역할을 만드는 데 사용됩니다. IdP(ID 공급자) 및 ID, 자격 증명 및 ICAM(액세스 관리) 솔루션의 핵심 함수는 클라우드 서비스 및/또는 환경으로 마이그레이션되어 복원력과 성능을 향상시킬 수 있습니다. 결과: - 엔터프라이즈 ICAM - 클라우드 기반 엔터프라이즈 IdP와 페더레이션된 구성 요소 특성 및 역할 데이터 리포지토리는 클라우드 및 온-프레미스 애플리케이션 에서 사용할 수 있습니다. 표준화된 역할 및 권한 집합이 만들어지고 특성에 맞춰집니다. |
Microsoft Entra ID Microsoft Entra ID는 다중 클라우드 중앙 관리 ID, 자격 증명 및 액세스 관리(ICAM) 플랫폼 및 ID 공급자(IdP)입니다. Microsoft Entra Connect를 사용하여 하이브리드 ID를 설정하여 디렉터리에서 사용자 데이터를 채웁다. - Microsoft Entra ID - 하이브리드 ID 애플리케이션을 Microsoft Entra ID와 통합하고 동적 보안 그룹, 애플리케이션 역할 및 사용자 지정 보안 특성을 사용하여 애플리케이션에 대한 액세스를 제어합니다. - 관리 앱 액세스 관리 레거시 인증 프로토콜을 사용하는 앱에 Microsoft Entra ID를 사용하거나, 애플리케이션 프록시를 배포 및 구성하거나, SHA(보안 하이브리드 액세스) 파트너 솔루션을 통합합니다.- |
Advanced
1.2.5 엔터프라이즈 거버넌스 역할 및 권한 Pt2DoD 조직은 IdP(ID 공급자) 및 ID, ICAM(자격 증명 및 액세스 관리) 솔루션의 가능한 모든 기능을 클라우드 환경으로 이동합니다. Enclave/DDIL은 연결이 끊긴 함수를 지원하기 위한 로컬 기능을 지원하지만 궁극적으로는 중앙 집중식 ID, 자격 증명 및 액세스 관리(ICAM) 솔루션에 의해 관리됩니다. 이제 업데이트된 역할은 사용이 의무화되며 위험 기반 접근 방식에 따라 예외를 검토합니다. 결과: - 대부분의 구성 요소는 클라우드 IdP 기능을 활용합니다. 가능한 온-프레미스 IdP가 서비스 해제되는 경우- 특성을 평가할 때 사용 권한 및 역할이 필수입니다. |
Microsoft Entra 애플리케이션은최신 애플리케이션을 AD FS(Active Directory Federation Services)에서 Microsoft Entra ID로 마이그레이션한 다음, AD FS 인프라를 서비스 해제합니다. - 앱 인증을 AD FS에서 Microsoft Entra ID 나머지 ICAM 및 애플리케이션 프로비저닝 프로세스를 온-프레미스 ID 관리 시스템에서 Microsoft Entra ID로 이동합니다. - 앱 프로비저닝 - |
1.3 다단계 인증
Microsoft Entra ID는 클라우드 및 하이브리드(동기화된) 사용자를 위해 다른 IdP와 페더레이션하지 않고도 DOD CAC(Common Access Cards) 및 PIV(개인 ID 확인)를 포함한 CBA(인증서 기반 인증)를 지원합니다. Microsoft Entra ID는 CBA, 비즈니스용 Windows Hello, FIDO2 보안 키 및 암호를 비롯한 여러 업계 표준 다단계 피싱 방지 암호 없는 인증 방법을 지원합니다.
조건부 액세스 정책을 만들어 인증 강도를 적용하고 위험 수준을 포함한 사용자, 디바이스 및 환경 조건에 따라 액세스 권한을 동적으로 부여할 수 있습니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.3.1 조직 MFA/IDPDoD 조직은 중앙 집중식 IdP(ID 공급자) 솔루션 및 MFA(Multi-Factor) 솔루션을 조달하고 구현합니다. 두 솔루션에서 자동화된 통합이 지원되는 경우 IdP 및 MFA 솔루션은 단일 애플리케이션에서 결합되거나 필요에 따라 분리될 수 있습니다. IdP 및 MFA는 엔터프라이즈 PKI 기능과의 통합을 지원하며 신뢰할 수 있는 루트 인증 기관에서 키 쌍에 서명할 수 있도록 합니다. 중요 업무용 애플리케이션 및 서비스는 사용자 및 그룹 관리를 위해 IdP 및 MFA 솔루션을 활용하고 있습니다. 결과: - 구성 요소가 중요한 애플리케이션/서비스에 대해 MFA와 함께 IdP를 사용하고 있습니다. 구성 요소는 중요한 서비스에 대해 DoD PKI 다단계 인증 - 조직 표준화된 PKI를 사용하도록 설정하는 IdP(ID 공급자)를 구현했습니다. |
Microsoft Entra 인증 방법은 DoD PKI를 사용하여 Microsoft Entra CBA를 구성합니다. 전역 보호 수준을 단일 단계 인증으로 설정합니다. DoD PKI를 다단계 인증 보호 수준으로 식별하기 위해 각 DoD 발급 CA 또는 정책 OID에 대한 규칙을 만듭니다. 구성 후 사용자는 DoD CAC를 사용하여 Microsoft Entra에 로그인합니다. - Microsoft Entra ID - Microsoft Entra CBA 구성 CBA - 스테이징 롤아웃 의 인증은 스테이징된 롤아웃을 사용하여 온-프레미스 페더레이션 서비스에서 Microsoft Entra CBA로 사용자 인증을 마이그레이션합니다. 1.2.4에서 Microsoft 지침을 참조하세요. Microsoft Entra 인증 강도 DoD CAC라는 새 인증 강도를 만듭니다. 인증서 기반 인증(다단계)을 선택합니다. 고급 옵션을 구성하고 DoD PKI에 대한 인증서 발급자를 선택합니다. - 인증 강도 - 사용자 지정 인증 강도 Microsoft Intune Microsoft Entra는 모바일 디바이스에서 인증서를 사용하는 두 가지 방법인 파생 자격 증명(디바이스 내 인증서) 및 하드웨어 보안 키를 지원합니다. 관리되는 모바일 디바이스에서 DoD PKI 파생 자격 증명을 사용하려면 Intune을 사용하여 DISA Purebred를 배포합니다. - 파생 자격 증명 - iOS 디바이스의 CBA - Android 디바이스의 CBA |
Advanced
1.3.2 대체 유연한 MFA Pt1DoD 조직의 IdP(ID 공급자)는 사이버 보안 요구 사항(예: FIPS 140-2, FIPS 197 등)을 준수하는 다단계 인증의 대체 방법을 지원합니다. 애플리케이션 기반 인증에 대체 토큰을 사용할 수 있습니다. Multi-Factor 옵션은 생체 인식 기능을 지원하며 셀프 서비스 접근 방식을 사용하여 관리할 수 있습니다. 가능한 다단계 공급자는 온-프레미스에서 호스트되는 대신 클라우드 서비스로 이동됩니다. 결과: - IdP는 사용자 셀프 서비스 대체 토큰 을 제공합니다. IdP는 정책당 승인된 애플리케이션에 대한 대체 토큰 MFA를 제공합니다. |
Microsoft Entra 인증 방법 사용자가 암호를 등록하도록 Microsoft Entra 인증 방법을 구성합니다(FIDO2 보안 키). 선택적 설정을 사용하여 FIPS 140-2를 준수하는 키에 대한 키 제한 정책을 구성합니다. - 암호 없는 보안 키 로그인 - 인증 방법 임시 액세스 패스 사용자가 CAC 없이 대체 암호 없는 인증자를 등록할 수 있도록 TAP(임시 액세스 패스) 구성 - TAP 조건부 액세스 구성 인증 강도가 필요한 조건부 액세스 정책 만들기: 보안 정보 등록을 위한 DoD CAC. 이 정책을 사용하려면 CAC에서 FIDO2 보안 키와 같은 다른 인증자를 등록해야 합니다. - 보안 정보 등록 1.3.1의 Microsoft 지침을 참조하세요. 비즈니스용 Windows Hello Windows 로그인에 PIN 또는 생체 인식 제스처와 함께 비즈니스용 Windows Hello 사용합니다. 엔터프라이즈에서 제공하는 Windows 디바이스의 비즈니스용 Windows Hello 등록에 디바이스 관리 정책을 사용합니다. - 비즈니스용 Windows Hello |
Advanced
1.3.3 대체 유연한 MFA Pt2대체 토큰은 "UAM(사용자 활동 모니터링) 및 UEBA(사용자 및 엔터티 동작 분석)"와 같은 교차 핵심 활동 활동에서 사용자 활동 패턴을 활용하여 액세스 의사 결정을 지원합니다(예: 패턴 편차가 발생할 때 액세스 권한 부여 안 함). 이 기능은 생체 인식 지원 대체 토큰으로도 확장됩니다. 결과: - 구현된 사용자 활동 패턴 |
Microsoft Entra ID Protection Microsoft Entra ID Protection은 ML(기계 학습) 및 위협 인텔리전스를 사용하여 위험한 사용자 및 로그인 이벤트를 검색합니다. 로그인 및 사용자 위험 조건을 사용하여 조건부 액세스 정책을 위험 수준으로 대상으로 지정합니다. 위험한 로그인에 MFA가 필요한 기준 보호부터 시작합니다. - Microsoft Entra ID 보호 - ID 보호 조건부 액세스 배포 위험이 증가함에 따라 더 강력한 보호를 요구하기 위해 권한 부여 및 세션 제어를 사용하는 위험 기반 조건부 액세스 정책 집합을 만듭니다. - 위험 정책 구성 및 사용 - 조건부 액세스: 세션 - 조건부 액세스 권한 부여 위험 기반 조건부 액세스 정책 예제: 중간 로그인 위험 - 인증 강도 필요: 피싱 방지 MFA - 규격 디바이스 필요 - 로그인 빈도: 1시간 높은 로그인 위험 - 인증 강도 필요: 피싱 방지 MFA - 규격 디바이스 필요 - 로그인 빈도: 매번 높은 사용자 위험 - 인증 강도 필요: 피싱 방지 MFA - 규격 디바이스 필요 - 로그인 빈도: Microsoft Sentinel - Sentinel용 Microsoft Entra ID Protection 커넥터 - User:revokeSignInSessions |
1.4 권한 있는 액세스 관리
Microsoft Entra ID 거버넌스를 사용하면 JIT(Just-In-Time) 관리, 권한 관리 및 정기적인 액세스 검토를 비롯한 PAM 기능을 사용할 수 있습니다. Microsoft Entra PIM(Privileged Identity Management)을 사용하면 조직에서 역할이 할당되는 방식을 검색할 수 있습니다. PIM을 사용하여 영구 역할 할당 JIT를 변환하고, 역할 할당 및 활성화 요구 사항을 사용자 지정하고, 액세스 검토를 예약합니다.
조건부 액세스는 권한 있는 액세스를 위해 인증 강도, 위험 수준 및 규격 PAW(Privileged Access Workstation) 디바이스를 적용합니다. Microsoft Entra ID의 관리 작업은 Microsoft Entra 감사 로그에 기록됩니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.4.1 시스템 구현 및 권한 있는 사용자 마이그레이션 Pt1DoD 조직은 모든 중요한 권한 있는 사용 사례를 지원하기 위해 PAM(Privileged Access Management) 솔루션을 조달하고 구현합니다. 애플리케이션/서비스 통합 지점은 PAM 솔루션에 대한 지원 상태를 확인하기 위해 식별됩니다. PAM 솔루션과 쉽게 통합되는 애플리케이션/서비스는 솔루션 사용과 정적 및 직접 권한 부여 권한으로 전환됩니다. 결과: - PAM(권한 액세스 관리) 도구가 구현됨 - 식별된 PAM 도구를 지원하고 지원하지 않는 애플리케이션 및 디바이스 - PAM을 지원하는 애플리케이션은 이제 긴급/기본 제공 계정을 제어하기 위해 PAM을 사용합니다. |
특권 계정 관리 PIM을 배포하여 Microsoft Entra ID 및 Azure 역할을 보호합니다. PIM 검색 및 인사이트를 사용하여 권한 있는 역할 및 그룹을 식별합니다. PIM을 사용하여 검색된 권한을 관리하고 사용자 할당을 영구에서 적격으로 변환합니다. - PIM 개요 - 역할에 대한 검색 및 인사이트 - Azure 리소스 Microsoft Intune Microsoft Entra, Microsoft 365 및 Azure 관리용 Intune 관리 PAW를 배포합니다. - 권한 있는 액세스 전략 조건부 액세스 조건부 액세스 정책을 사용하여 규격 디바이스를 요구합니다. PAW를 적용하려면 조건부 액세스 규격 디바이스 부여 제어에서 디바이스 필터를 사용합니다. - 디바이스에 대한 필터 |
Target
1.4.2 시스템 구현 및 권한 있는 사용자 마이그레이션 Pt2DoD 조직에서는 지원되는 애플리케이션 및 지원되지 않는 애플리케이션/서비스의 인벤토리를 활용하여 PAM(권한 있는 액세스 관리) 솔루션과 통합하여 통합을 확장합니다. PAM은 더욱 까다로운 애플리케이션/서비스와 통합되어 PAM 솔루션 범위를 최대화합니다. 예외는 PAM 솔루션을 지원하지 않는 애플리케이션/서비스를 마이그레이션 및/또는 서비스 해제를 목표로 위험 기반의 체계적인 접근 방식으로 관리됩니다. 결과: - 권한 있는 활동이 PAM으로 마이그레이션되고 액세스가 완전히 관리됩니다. |
Privileged Identity Management 사용 권한 액세스 그룹 및 그룹에 대한 PIM을 사용하여 Microsoft Entra ID 및 Azure를 넘어 JIT(Just-In-Time) 액세스를 확장합니다. Microsoft 365, Microsoft Defender XDR 또는 Microsoft Entra ID와 통합된 비 Microsoft 애플리케이션에 대한 권한 있는 역할 클레임에 매핑된 보안 그룹을 사용합니다. - 역할 할당 가능 그룹 - PIM으로 그룹 가져오기 - 앱에 대한 사용자 및 그룹 할당 조건부 액세스 관리자가 Microsoft Entra ID에서 높은 권한이 필요한 작업을 수행할 때 보호된 작업을 사용하여 다른 보호 계층을 추가합니다. 예를 들어 조건부 액세스 정책 및 테넌트 간 액세스 설정을 관리합니다. - 보호된 작업 활성 Microsoft Entra 역할 멤버 자격을 가진 사용자에 대한 조건부 액세스 정책을 만듭니다. 인증 강도 필요: 피싱 방지 MFA 및 규격 디바이스. 디바이스 필터를 사용하여 규격 PAW를 요구합니다. - 관리자용 MFA 필요 - 디바이스용 필터 |
Advanced
1.4.3 실시간 승인 및 JIT/JEA 분석 Pt1필요한 특성(사용자, 그룹 등)의 식별은 자동화되어 PAM(Privileged Access Management) 솔루션에 통합됩니다. 권한 액세스 요청은 자동화된 승인 및 거부를 위해 PAM 솔루션으로 마이그레이션됩니다. 결과: - 식별된 계정, 애플리케이션, 디바이스 및 우려되는 데이터(DoD 업무에 가장 큰 위험) - PAM 도구 사용, 고위험 계정에 JIT/JEA 액세스 적용 - 권한 있는 액세스 요청은 적절하게 자동화됩니다. |
Privileged Identity Mangement 는 Microsoft Entra 역할, 소유자 및 사용자 액세스 관리자와 같은 Azure 역할, 권한 있는 보안 그룹 등 사용자 환경에서 위험 수준이 높은 역할을 식별합니다. - 역할에 대한 모범 사례 - 권한 있는 역할 승인이 필요하도록 PIM 역할 설정을 구성합니다. - Azure 리소스 역할 설정 - Microsoft Entra 역할 설정 - 그룹용 PIM 설정 Microsoft Entra ID 거버넌스 액세스 패키지를 사용하여 역할 자격에 대한 보안 그룹을 관리합니다. 이 메커니즘은 적격 관리자를 관리합니다. 역할 자격에 대한 셀프 서비스 요청, 승인 및 액세스 검토를 추가합니다. - 자격 처리 권한 있는 역할에 대한 역할 할당 가능 그룹을 만들어 자격 요청 및 승인을 구성합니다. Privileged Role Eligible Admins라는 카탈로그를 만듭니다. 역할 할당 가능 그룹을 리소스로 추가합니다. - 역할 할당 가능 그룹 - 리소스 카탈로그 만들기 및 관리 Privileged Role Eligible Admins 카탈로그에서 역할 할당 가능 그룹에 대한 액세스 패키지를 만듭니다. 사용자가 자격 관리에서 자격을 요청하거나 PIM에서 활성화 시 승인이 필요하거나 둘 다 필요할 때 승인을 요구할 수 있습니다. - 액세스 패키지 |
Advanced
1.4.4 실시간 승인 및 JIT/JEA 분석 Pt2DoD 조직은 의사 결정을 위한 사용자 패턴 분석을 제공하는 PAM(Privileged Access Management) 솔루션과 UEBA(사용자 및 엔터티 동작 분석) 및 UAM(사용자 활동 모니터링) 솔루션을 통합합니다. 결과: - JIT/JEA 계정 승인을 위해 PAM 도구와 통합된 UEBA 또는 유사한 분석 시스템 |
조건부 액세스 권한 있는 액세스에 대한 인증 컨텍스트를 정의합니다. 권한 있는 액세스 인증 컨텍스트를 대상으로 하는 하나 이상의 조건부 액세스 정책을 만듭니다. 정책에서 위험 조건을 사용하고 권한 있는 액세스에 대한 권한 부여 및 세션 제어를 적용합니다. 피싱 방지 MFA, 규격 권한 있는 액세스 워크스테이션의 인증 강도가 필요한 것이 좋습니다. - 인증 컨텍스트 구성 1.4.1에서 Microsoft 지침을 참조하세요. 로그인 위험이 높은 경우 권한 있는 액세스를 차단하려면 높은 로그인 위험에 대한 조건으로 권한 있는 액세스 인증 컨텍스트를 대상으로 하는 더 많은 조건부 액세스 정책을 만듭니다. 높은 사용자 위험에 대한 정책을 사용하여 이 단계를 반복합니다. - 정책 배포 특권 계정 관리 인증 컨텍스트가 필요하도록 PIM 역할 설정을 구성합니다. 이 설정은 역할 활성화 시 선택한 인증 컨텍스트에 대한 조건부 액세스 정책을 적용합니다. - 인증 컨텍스트 필요 |
1.5 ID 페더레이션 및 사용자 자격 증명
Microsoft Entra ID는 ILM(ID 수명 주기 관리)에서 중요한 역할을 합니다. Microsoft Entra 테넌트는 하이퍼스케일 클라우드 디렉터리 서비스, ID, ICAM(자격 증명 및 액세스 관리) 솔루션 및 IdP(ID 공급자)입니다. Microsoft Entra ID 및 기타 앱에서 내부 사용자의 수명 주기를 관리하는 디렉터리 간 프로비저닝 및 앱 프로비저닝을 지원합니다.
Microsoft Entra ID 거버넌스 기능을 사용하면 앱, Microsoft Teams 및 보안 그룹 멤버 자격과 같은 자격에 대한 액세스 수명 주기를 관리할 수 있습니다. 권한 관리는 외부 게스트를 온보딩하고 관리하는 데 사용할 수도 있습니다. 마지막 액세스 패키지가 제거되면 액세스를 차단하고 게스트 사용자 개체를 제거할 수 있습니다. 조직에서 ILM 함수를 Microsoft Entra ID로 마이그레이션하는 방법을 이해하려면 클라우드로의 도로를 참조하세요.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.5.1 조직 ID 수명 주기 관리DoD 조직은 권한 있는 사용자와 표준 모두의 수명 주기 관리를 위한 프로세스를 설정합니다. IdP(조직 ID 공급자)를 활용하면 프로세스가 구현되고 그 뒤에 최대 사용자 수가 포함됩니다. 표준 프로세스를 벗어나는 모든 사용자는 위험 기반 예외를 통해 정기적으로 서비스 해제를 평가하도록 승인됩니다. 결과: - 표준화된 ID 수명 주기 프로세스 |
사용자, 관리자, 외부 사용자 및 애플리케이션 ID(서비스 주체)를 포함하여 ID에 대한 Microsoft Entra ID표준화 계정 수명 주기입니다. - ID 수명 주기 관리 - ID 및 액세스 관리 작업 는 테넌트에서 권한 있는 사용자 및 애플리케이션에 대한 정기적인 액세스 검토를 설정합니다. - |
Target
1.5.2 엔터프라이즈 ID 수명 주기 관리 Pt1DoD Enterprise는 조직과 협력하여 기존 ID 수명 주기 프로세스, 정책 및 표준을 검토하고 조정합니다. 최종 합의된 정책 및 지원 프로세스가 개발되고 DoD 조직이 그 뒤를 잇습니다. 중앙 집중식 또는 페더레이션 ID 공급자(IdP) 및 IdAM(ID 및 액세스 관리) 솔루션을 활용하여 DoD 조직은 최대 ID, 그룹 및 권한 수에 대한 엔터프라이즈 수명 주기 관리 프로세스를 구현합니다. 정책에 대한 예외는 위험 기반의 체계적인 접근 방식으로 관리됩니다. 결과: - 자동화된 ID 수명 주기 프로세스 - Enterprise ICAM 프로세스 및 도구와 통합 |
Microsoft Entra ID 조직에서 Active Directory를 사용하는 경우 Microsoft Entra Connect 동기화 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 사용자를 Microsoft Entra ID로 동기화합니다. 참고: 권한 있는 Active Directory 계정을 동기화하거나 권한 있는 클라우드 역할을 동기화된 계정에 할당하지 마세요. - - - - PIM을 사용하여 관리 액세스를 관리합니다. 권한 있는 Microsoft Entra 및 Azure 역할에 대한 액세스 검토 주기를 설정합니다. - 권한 있는 계정 Microsoft Entra 인증 방법은 클라우드 기반 피싱 방지 MFA 메서드를 사용합니다. DoD CAC(Common Access Cards)를 사용하여 MICROSOFT Entra CBA(인증서 기반 인증)를 설정하여 다른 암호 없는 자격 증명을 등록합니다. 1.3.2에서 Microsoft 지침을 참조하세요. |
Advanced
1.5.3 엔터프라이즈 ID 수명 주기 관리 Pt2DoD 조직은 엔터프라이즈 수명 주기 관리 프로세스에 따라 IdP(ID 공급자) 및 ID, 자격 증명 및 액세스 관리(ICAM) 솔루션의 중요한 자동화 기능을 추가로 통합하여 엔터프라이즈 자동화 및 분석을 가능하게 합니다. ID 수명 주기 관리 기본 프로세스는 클라우드 기반 엔터프라이즈 ICAM 솔루션에 통합됩니다. 결과: - 중요한 IDM/IDP 함수를 통한 통합 - 기본 ILM 함수는 클라우드 기반입니다. |
Microsoft Entra ID 거버넌스 권한 관리 및 액세스 검토를 사용하여 조직의 사용자 액세스 수명 주기 및 외부 게스트 ID 수명 주기를 관리합니다. - 권한 관리 는 Azure 리소스 및 워크로드 ID 페더레이션에 대한 관리 ID를 사용하여 애플리케이션 자격 증명을 관리하는 위험을 줄입니다.- 테넌트에서 애플리케이션에 추가된 자격 증명 유형을 제어하도록 앱 관리 정책을 구성합니다. passwordAddition 제한을 사용하여 애플리케이션에 인증서 자격 증명을 요구합니다. - 앱 메서드 API - 앱 인증 인증서 자격 증명 |
Advanced
1.5.4 엔터프라이즈 ID 수명 주기 관리 Pt3DoD 조직은 나머지 ID 수명 주기 관리 프로세스를 엔터프라이즈 ID, 자격 증명 및 액세스 관리 솔루션과 통합합니다. Enclave/DDIL 환경은 운영 권한이 있지만 클라우드 환경에 대한 로컬 커넥터를 사용하여 엔터프라이즈 ICAM과 통합됩니다. 결과: - 모든 ILM 함수가 클라우드로 적절하게 이동됨 - 모든 IDM/IDP 함수와 통합 |
Microsoft Entra 앱 프로비저닝 Microsoft Entra 앱 프로비저닝을 사용하여 ID를 SCIM, SQL, LDAP, PowerShell 및 웹 서비스 애플리케이션과 동기화합니다. API 기반 앱을 사용하여 사용자를 서로 다른 Active Directory 인스턴스로 프로비전합니다. - 앱 온-프레미스 앱 프로비저닝 - |
1.6 동작, 컨텍스트 ID 및 생체 인식
Microsoft Entra ID Protection을 사용하면 ML(기계 학습) 및 위협 인텔리전스를 사용하여 ID 위협을 감지, 수정 및 방지할 수 있습니다. 이 기능은 시간에 따라 계산된 사용자 로그인 및 오프라인 위험 중에 실시간 위험을 검색합니다. 위험에는 토큰 변칙, 비정상적인 로그인 속성, 불가능한 이동, 의심스러운 사용자 동작 등이 포함됩니다.
ID 보호는 Microsoft Defender XDR과 통합되어 Microsoft Defender 제품 제품군의 다른 구성 요소에서 감지한 ID 위험을 표시합니다.
자세한 내용은 위험 검색이란?을 참조 하세요.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.6.1 사용자 및 엔터티 동작 분석구현(UEBA) 및 UAM(사용자 활동 모니터링) 도구 DoD Organizations는 UEBA(사용자 및 엔터티 동작 분석) 및 UAM(사용자 활동 모니터링) 솔루션을 조달하고 구현합니다. Enterprise IdP와의 초기 통합 지점이 완료되어 향후 의사 결정에서 사용할 수 있습니다. 결과: - UEBA 및 UAM 기능은 엔터프라이즈 IDP에 대해 구현됩니다. |
Microsoft Entra ID Protection 은 Microsoft Entra ID Protection을 배포하여 사용자 및 로그인 이벤트에 대한 실시간 및 오프라인 위험 구금을 가져옵니다. Microsoft Entra 워크로드 ID 워크로드 ID Premium 버전을 사용하여 ID 위험 검색을 애플리케이션 ID(서비스 주체)로 확장합니다. - 워크로드 ID에 대한 보안 워크로드 ID - 위험 기반 정책은 1.3.3의 Microsoft 지침을 참조하세요. 클라우드용 Microsoft Defender 앱 클라우드용 Defender 앱을 배포하고 엔드포인트용 Microsoft Defender 및 외부 솔루션과의 통합을 구성합니다. 클라우드용 Defender 앱에서 변칙 검색 정책을 구성합니다. - 엔드포인트용 Defender와 클라우드용 Defender 앱 - 외부 솔루션 통합 - 엔드포인트를 엔드포인트용 Defender에 온보딩하여 의심스러운 사용자 활동을 검색합니다. 엔드포인트용 Defender와 Microsoft Intune 간의 통합을 구성합니다. - 엔드포인트용 Defender 및 기타 솔루션 은 엔드포인트용 Defender와의 통합을 구성하고 디바이스 준수 정책에서 엔드포인트용 Defender 컴퓨터 위험 점수를 사용합니다. - 규격 디바이스를 요구하는 조건부 액세스 만들기 정책 액세스 권한이 부여되기 전에 컨트롤에 Microsoft Intune에서 규격으로 표시된 디바이스가 필요합니다. 엔드포인트용 Defender와 Intune 간의 통합은 준수 상태에 따라 디바이스 상태 및 위험 수준에 대한 전반적인 그림을 제공합니다. - Inune 관리 디바이스 Connect 데이터 원본에 설정하고 감사 로그, 로그인 로그, Azure 활동 및 보안 이벤트에 대해 UEBA를 사용하도록 설정하는 규정 준수 정책입니다. - - |
Advanced
1.6.2 사용자 활동 모니터링 Pt1DoD 조직은 필요에 따라 확장된 가시성을 위해 UEBA(사용자 및 엔터티 동작 분석) 및 UAM(사용자 활동 모니터링) 솔루션을 IdP(조직 ID 공급자)와 통합합니다. 중요한 애플리케이션 및 서비스를 위해 UEBA 및 UAM에서 생성된 분석 및 데이터는 Just-In-Time 및 Just-Enough-Access 솔루션과 통합되어 의사 결정을 더욱 개선합니다. 결과: - UEBA는 조직 IDP와 적절하게 통합됩니다. UEBA는 중요한 서비스를 위해 JIT/JEA와 통합됩니다. |
Privileged Identity Management 는 PIM을 배포하고 권한 있는 역할을 온보딩합니다. 권한 있는 액세스에 대한 인증 컨텍스트를 정의합니다. 인증 컨텍스트에서 위험 조건을 사용하고 활성화 시 인증 컨텍스트를 요구하도록 PIM 역할 설정을 구성합니다. 1.4.4에서 Microsoft 지침을 참조하세요. Microsoft Sentinel Connect 데이터 원본을 Sentinel에 연결하고 감사 로그, 로그인 로그, Azure 활동 및 보안 이벤트에 대해 UEBA를 사용하도록 설정합니다. - UEBA - 고급 위협을 사용하도록 설정하고 클라우드용 Defender 앱을 사용하여 클라우드 애플리케이션에 대한 세션을 제어합니다. - - |
Advanced
1.6.3 사용자 활동 모니터링 Pt2DoD 조직은 Just-In-Time 및 Just-Enough-Access 솔루션에서 의사 결정이 발생할 때 모니터링되는 모든 애플리케이션 및 서비스에 대해 생성된 데이터를 사용하여 UEBA(사용자 및 엔터티 동작 분석) 및 UAM(사용자 활동 모니터링) 솔루션의 분석 사용을 계속합니다. 결과: - UEBA/엔터티 모니터링은 모든 서비스에 대해 JIT/JEA와 통합됩니다. |
Privileged Identity Management 는 그룹에 PIM을 사용하여 앱 역할을 사용하여 애플리케이션에 대한 JIT(Just-In-Time) 액세스를 확장합니다. PIM에서 관리하는 그룹을 권한 있는 앱 역할에 할당합니다. - 그룹에 - 대한 PIM 앱에 앱 역할 추가 |
1.7 최소 권한 액세스
Microsoft Entra ID를 사용하는 애플리케이션에 대한 액세스는 기본적으로 거부됩니다. 권한 관리 및 액세스 검토와 같은 Microsoft Entra ID 거버넌스 기능은 액세스가 시간 제한임을 보장하고, 최소 권한 원칙에 부합하며, 업무 분리를 위한 제어를 적용합니다.
Microsoft Entra 기본 제공 역할을 사용하여 작업별로 최소 권한 권한을 할당합니다. 관리 단위를 사용하면 Microsoft Entra ID 사용자 및 디바이스에 대한 리소스 기반 권한의 범위를 지정할 수 있습니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.7.1 기본 정책으로 사용자 거부DoD 조직에서는 사용 권한에 대한 내부 사용자 및 그룹 사용을 감사하고 가능한 경우 사용 권한을 취소합니다. 이 활동에는 애플리케이션/서비스 기반 ID 및 그룹에 대한 초과 사용 권한 및 액세스의 해지 및/또는 서비스 해제가 포함됩니다. 가능한 경우 정적 권한 있는 사용자가 서비스 해제되거나 향후 규칙/동적 기반 액세스를 준비하는 권한이 줄어듭니다. 결과: - 액세스 에 대한 특정 역할/특성이 필요한 함수/데이터에 대해 기본적으로 거부하도록 업데이트된 애플리케이션- 감소된 기본 권한 수준이 구현 됩니다. 애플리케이션/서비스는 모든 권한 있는 사용자를 검토/감사하고 해당 수준의 액세스가 필요하지 않은 사용자를 제거했습니다. |
Microsoft Entra ID는 Microsoft Entra ID 에서 기본 사용자 및 게스트 권한을 검토하고 제한합니다. 애플리케이션에 대한 사용자 동의를 제한하고 조직의 현재 동의를 검토합니다. - 기본 사용자 권한 - 사용자 동의 권한 제한 Microsoft Entra 응용 프로그램 Microsoft Entra 앱에 대한 액세스는 기본적으로 거부됩니다. Microsoft Entra ID는 자격을 확인하고 조건부 액세스 정책을 적용하여 리소스 액세스 권한을 부여합니다. - 앱 - 통합 Microsoft Entra ID 거버넌스 통합 권한 관리 ID 거버넌스 기능을 사용하여 ID 및 액세스 수명 주기를 관리합니다. 자동화된 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 찾습니다. - 권한 관리 - 액세스 검토 사용자 지정 역할은 리소스 관리에 Microsoft Entra ID 기본 제공 역할을 사용합니다. 그러나 역할이 조직의 요구 사항을 충족하지 않거나 관리 사용자에 대한 권한을 최소화하려면 사용자 지정 역할을 만듭니다. 사용자, 그룹, 디바이스, 애플리케이션 등을 관리할 수 있는 세분화된 권한을 사용자 지정 역할에 부여합니다. - 사용자 지정 역할 관리 단위 관리 단위는 사용자, 그룹 또는 디바이스와 같은 다른 Microsoft Entra 리소스를 포함하는 Microsoft Entra 리소스입니다. 관리 단위를 사용하여 조직 구조에 따라 관리자 하위 집합에 권한을 위임합니다. - 관리 단위 - 만들기 또는 삭제 PIM 검색 및 인사이트를 사용하여 권한을 관리하고 관리자 수를 줄입니다. 권한 있는 역할이 PIM 외부에서 할당될 때 PIM 경고를 구성합니다. - 검토 권한. 클라우드용 Defender 앱에서 위험한 OAuth 애플리케이션을 조사합니다. - 앱 - PIM을 사용하여 Sentinel 액세스를 위한 Azure 역할을 할당하고 쿼리 및 활동을 주기적으로 감사합니다. |
1.8 연속 인증
Microsoft Entra ID는 단기 및 장기 토큰을 사용하여 Microsoft Entra가 보호하는 애플리케이션 및 서비스에 정기적으로 사용자를 인증합니다. Microsoft Entra ID에는 표준 프로토콜을 개선하기 위한 CAE(연속 액세스 평가) 메커니즘이 있습니다. 정책 엔진은 거의 실시간으로 환경 변화에 대응하고 적응형 액세스 정책을 적용합니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.8.1 단일 인증DoD 조직에서는 기본 인증 프로세스를 사용하여 세션당 한 번 이상 사용자 및 NPI를 인증합니다(예: 로그온). 중요한 것은 인증되는 사용자는 애플리케이션/서비스 기반 ID 및 그룹을 사용하는 것과 IdP(조직 ID 공급자)를 사용하는 병렬 작업 "조직 MFA/IDP"에 의해 관리됩니다. 결과: - 세션당 애플리케이션 간에 구현된 인증 |
Microsoft Entra IDMicrosoft Entra ID는 조직에서 사용하는 Microsoft 클라우드 애플리케이션과 애플리케이션 간에 SSO(Single Sign-On)를 용이하게 하는 중앙 집중식 ID 공급자(IdP)입니다. - Microsoft Entra ID Single Sign-On SSO(Single Sign-On) 인증 방법을 사용하면 사용자가 Microsoft Entra ID 자격 증명을 사용하여 애플리케이션 및 서비스를 인증할 수 있습니다. 앱은 SaaS, 사용자 지정 기간 업무 애플리케이션 또는 온-프레미스 애플리케이션일 수 있습니다. Microsoft Entra 인증 및 제로 트러스트 기능을 사용하여 애플리케이션에 안전하고 쉽게 액세스할 수 있습니다. - SSO란? - Microsoft Entra ID를 앱의 중앙 집중식 ID 원본으로 사용합니다. 애플리케이션 또는 서비스 ID 및 사용자를 최소화합니다. - Microsoft Entra ID 워크로드서비스 주체 및 관리 ID를 프로비전하는 - 자동화된 프로비저닝 앱은 Microsoft Entra의 NPE(비인격 엔터티) ID입니다. Microsoft Entra로 보호되는 API에 대한 자동화된(비대화형) 액세스를 위해 서비스 주체를 사용합니다. - Microsoft Entra ID의 워크로드 ID - 서비스 주체 |
Target
1.8.2 정기 인증DoD 조직은 애플리케이션 및 서비스에 대해 기간 인증 요구 사항을 사용하도록 설정합니다. 일반적으로 기간 및/또는 기간 제한 시간을 기반으로 하지만 다른 기간 기반 분석을 사용하여 사용자 세션의 다시 인증을 위임할 수 있습니다. 결과: - 보안 특성에 따라 세션당 여러 번 구현된 인증 |
Microsoft Entra 애플리케이션 Microsoft Entra 애플리케이션은 사용자 상호 작용 없이 세션 새로 고침을 자동으로 관리합니다. 1.8.1에서 Microsoft 지침을 참조하세요. 조건부 액세스 조건부 액세스 에서 로그인 빈도 세션 제어를 구성하여 사용자 세션을 다시 인증합니다. 로그인이 위험하거나 사용자 디바이스가 관리되지 않거나 비준수인 경우 이 기능을 사용합니다. - 클라우드용 Defender 앱에서 인증 세션 관리 - 액세스 정책 구성 |
Advanced
1.8.3 연속 인증 Pt1DoD 조직의 애플리케이션/서비스는 요청된 보안 특성 및 액세스에 따라 여러 세션 인증을 활용합니다. 권한 변경 및 연결 트랜잭션 요청에는 사용자에게 MFA(Multi-Factor Authentication) 푸시와 같은 추가 인증 수준이 필요했습니다. 결과: - 보안 특성에 따라 세션당 구현된 트랜잭션 인증 |
지속적인 액세스 평가 CAE는 정책 위반에 대한 시간 기반 토큰 만료 및 새로 고침 메커니즘을 개선하는 OpenID 표준을 기반으로 합니다. CAE에는 신뢰할 수 있는 네트워크 위치에서 신뢰할 수 없는 위치로 이동하는 사용자와 같은 중요한 이벤트에 대한 응답으로 새로운 액세스 토큰이 필요합니다. 클라이언트 애플리케이션 및 백 엔드 서비스 API를 사용하여 CAE를 구현합니다. - 지속적인 액세스 평가 - 중요 이벤트 평가 Microsoft Graph API, Outlook Online API 및 SharePoint Online API를 사용하는 Microsoft Office 앱lications는 CAE를 지원합니다. 최신 MSAL(Microsoft 인증 라이브러리)을 사용하여 애플리케이션을 개발하여 CAE 지원 API에 액세스합니다. - 인증 컨텍스트를 사용하여 중요한 SharePoint 사이트, Microsoft Teams, 클라우드용 Microsoft Defender 앱 보호 애플리케이션, PIM 역할 활성화 및 사용자 지정 애플리케이션을 보호합니다. - SharePoint 사이트에 대한 인증 컨텍스트- - 관리자가 Microsoft에서 높은 권한이 필요한 작업을 수행할 때 보호된 작업을 사용하여 다른 보호 계층을 추가합니다. 조건부 액세스 정책 및 테넌트 간 액세스 설정 관리와 같은 Entra ID입니다. 보안 정보 등록 및 디바이스 조인과 같은 사용자 작업을 보호합니다. - 보호된 작업 - 대상 리소스 Privileged Identity Management 에는 PIM 역할 활성화를 위한 인증 컨텍스트가 필요합니다. 1.4.4에서 Microsoft 지침을 참조하세요. |
Advanced
1.8.4 연속 인증 Pt2DoD 조직에서는 사용자 패턴과 같은 통합을 포함하도록 트랜잭션 기반 인증을 계속 사용합니다. 결과: - 사용자 패턴을 포함하여 보안 특성에 따라 세션당 구현되는 트랜잭션 인증 |
Microsoft Entra ID Protection Microsoft Entra ID Protection이 비정상적이거나 의심스럽거나 위험한 동작을 감지하면 사용자 위험 수준이 증가합니다. 위험 조건을 사용하여 조건부 액세스 정책을 만들어 위험 수준의 보호를 강화합니다. - 위험 검색 1.3.3의 Microsoft 지침을 참조하세요. 지속적인 액세스 평가 위험 수준 증가는 중요한 CAE 이벤트입니다. CAE를 구현하는 서비스(예: Exchange Online API)는 클라이언트(Outlook)가 다음 트랜잭션에 대해 다시 인증해야 합니다. Microsoft Entra ID가 Exchange Online 액세스를 위한 새 액세스 토큰을 발급하기 전에 위험 수준 증가에 대한 조건부 액세스 정책이 충족됩니다. - 중요 이벤트 평가 |
1.9 통합 ICAM 플랫폼
Microsoft Entra ID는 사용자 및 NPE(비인격 엔터티)에 대해 외부 PKI(공개 키 인프라)에서 발급한 인증서를 사용하여 인증서 인증을 지원합니다. Microsoft Entra ID의 NPI는 애플리케이션 및 디바이스 ID입니다. Microsoft Entra 외부 ID 테넌트 간 액세스 설정은 DoD와 같은 다중 테넌트 조직이 테넌트 간에 원활하게 공동 작업하는 데 도움이 됩니다.
| DoD 활동 설명 및 결과 | Microsoft 지침 및 권장 사항 |
|---|---|
Target
1.9.1 Enterprise PKI/IDP Pt1DoD Enterprise는 조직과 협력하여 중앙 집중식 및/또는 페더레이션된 방식으로 PKI(Enterprise Public Key Infrastructure) 및 IdP(ID 공급자) 솔루션을 구현합니다. 엔터프라이즈 PKI 솔루션은 조직에서 신뢰할 수 있는 단일 또는 일련의 엔터프라이즈 수준 CA(루트 인증 기관)를 활용하여 중간 CA를 해제합니다. ID 공급자 솔루션은 단일 솔루션이거나 조직 전체의 표준 액세스 수준 및 표준화된 특성 집합이 있는 페더레이션된 조직 IDP 집합일 수 있습니다. 조직의 IdP 및 PKI 인증 기관은 엔터프라이즈 IdP 및 PKI 솔루션과 통합됩니다. 결과: - 구성 요소는 모든 애플리케이션/서비스에 대해 MFA와 함께 IdP를 사용하고 있습니다 . 모든 서비스에 대해 Enterprise MFA/PKI - 조직 표준화된 PKI와 통합된 조직 MFA/PKI |
Microsoft Entra ID 인증 방법 Microsoft Entra ID의 인증 방법 정책을 사용하여 사용자 인증 방법을 제어합니다. - Microsoft Entra CBA 1.3.1에서 Microsoft 지침을 참조하세요. 인증 강도 인증 강도를 사용하여 리소스에 대한 사용자 액세스를 제어합니다. - 인증 강도 Microsoft Entra 외부 ID DoD Microsoft Entra ID 테넌트에 대한 테넌트 간 액세스를 구성합니다. 신뢰 설정을 사용하여 신뢰할 수 있는 DoD 테넌트의 외부 ID에 대한 MFA 및 규격 디바이스 클레임을 수락합니다. - 테넌트 간 액세스 애플리케이션 관리 정책 테넌트 앱 관리 정책은 테넌트에서 애플리케이션에 대한 보안 모범 사례를 구현하는 프레임워크입니다. 정책을 사용하여 애플리케이션 자격 증명을 신뢰할 수 있는 PKI에서 발급한 인증서로 제한합니다. 신뢰의 인증서 체인을 만들려면 엔터프라이즈 PKI에 대한 중간 및 루트 CA 인증서에 새 CA(인증 기관) 컬렉션을 추가합니다. - certificateBasedApplicationConfiguration 리소스 유형 신뢰할 수 있는 CA에서 발급한 인증서를 요구하는 애플리케이션 관리 정책을 만들려면 passwordAddition을 허용하지 않도록 제한을 구성하고 trustedCertificateauthority를 요구합니다. 만든 신뢰할 수 있는 CA 컬렉션 ID를 지정합니다. - 앱 인증 방법 API Microsoft Intune Intune은 PKCS(프라이빗 및 퍼블릭 키 암호화 표준) 인증서를 지원합니다. - PKCS 인증서 |
Advanced
1.9.2 Enterprise PKI/IDP Pt2DoD 조직은 중요 업무/업무상 중요한 애플리케이션 및 서비스에 대해 IdP(ID 공급자)에서 생체 인식 지원을 적절하게 사용하도록 설정합니다. 생체 인식 기능은 조직 솔루션에서 엔터프라이즈로 이동됩니다. MFA(조직 다단계) 및 PKI(공개 키 인프라)는 서비스 해제되고 적절하게 엔터프라이즈로 마이그레이션됩니다. 결과: - 생체 인식 과 통합된 중요한 조직 서비스 - 구현된 엔터프라이즈 MFA/PKI- 엔터프라이즈 생체 인식 함수 대신 적절하게 조직 MFA/PKI 서비스 해제 |
Microsoft Entra IDMicrosoft는 Microsoft Entra ID 인증과 호환되는 여러 구성 요소에서 생체 인식을 지원합니다. 인증 방법 Microsoft Entra ID는 현재 상태 또는 지문을 사용하는 하드웨어 암호(FIDO2 보안 키)를 지원합니다. - FIDO 보안 키 비즈니스용 Windows Hello 지문 및 얼굴 스캔과 같은 생체 인식 제스처를 사용합니다. - 디바이스에는 디바이스 바인딩 자격 증명으로 로그인하기 위한 터치 ID와 같은 생체 인식이 있습니다. Apple 디바이스 - Mobile 디바이스 및 Authenticator는 암호 없는 인증에 터치와 얼굴을 사용합니다. Passkey 지원은 Authenticator의 또 다른 피싱 방지 인증 방법입니다. - 인증자 - 암호 없는 로그인 - 향상된 피싱 방지 인증 |
Advanced
1.9.3 Enterprise PKI/IDP Pt3DoD 조직은 나머지 애플리케이션/서비스를 생체 인식 기능과 통합합니다. 대체 MFA(Multi-Factor) 토큰을 사용할 수 있습니다. 결과: - 모든 조직 서비스 통합/생체 인식 |
Microsoft Entra 확인된 ID확인 ID를 사용하는 중심화된 ID 시나리오에서는 자격 증명 프레젠테이션 시 얼굴 확인이 필요할 수 있습니다. - 자세한 ID - 얼굴 확인 |
다음 단계
DoD 제로 트러스트 전략에 대한 Microsoft 클라우드 서비스를 구성합니다.