보다 안전한 환경 유지 관리

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

법률 번호 10: 기술은 만병 통치약이 아닙니다. - 10 변경할 수 없는 보안 관리

중요한 비즈니스 자산에 대해 관리가 용이하고 안전한 환경을 만든 경우 포커스가 기본 안전하게 유지되도록 해야 합니다. AD DS 설치의 보안을 강화하기 위해 특정 기술 제어를 받았지만 기술만으로는 IT가 비즈니스와 협력하여 안전하고 사용 가능한 인프라를 기본 수 없는 환경을 보호하지는 않습니다. 이 섹션의 상위 수준 권장 사항은 효과적인 보안뿐만 아니라 효과적인 수명 주기 관리를 개발하는 데 사용할 수 있는 지침으로 사용됩니다.

경우에 따라 IT 조직은 이미 사업부와 긴밀한 협력 관계를 맺고 있어 이러한 권장 사항을 쉽게 구현할 수 있습니다. IT 및 사업부가 긴밀하게 연결되지 않은 조직에서는 먼저 IT와 사업부 간의 긴밀한 관계를 맺기 위해 경영진의 후원을 받아야 할 수 있습니다. 임원 요약은 경영진 검토를 위한 독립 실행형 문서로 유용하며 조직의 의사 결정자에게 배포할 수 있습니다.

Active Directory에 대한 비즈니스 중심 보안 사례 만들기

과거에는 많은 조직 내의 정보 기술이 지원 구조 및 비용 센터로 간주되었습니다. IT 부서는 종종 비즈니스 사용자와 크게 분리되었으며, 상호 작용은 비즈니스가 리소스를 요청하고 IT가 응답하는 요청-응답 모델로 제한되었습니다.

기술이 진화하고 확산됨에 따라 "모든 데스크톱의 컴퓨터"에 대한 비전은 전 세계 대부분에 효과적으로 전달되었으며 오늘날 쉽게 접근 할 수있는 광범위한 기술에 의해 가려졌습니다. 정보 기술은 더 이상 지원 기능이 아니고 핵심 비즈니스 기능입니다. 모든 IT 서비스를 사용할 수 없는 경우 조직에서 계속 작동할 수 없는 경우 조직의 비즈니스는 적어도 부분적으로는 정보 기술입니다.

효과적인 손상 복구 계획을 만들려면 IT 서비스는 조직의 사업부와 긴밀히 협력하여 IT 환경의 가장 중요한 구성 요소뿐만 아니라 비즈니스에 필요한 중요한 기능을 식별해야 합니다. 조직 전체에 중요한 사항을 식별하여 가장 가치가 있는 구성 요소를 보호하는 데 집중할 수 있습니다. 이는 저가 시스템 및 데이터의 보안을 회피하기 위한 권장 사항이 아닙니다. 대신 시스템 작동 시간에 대한 서비스 수준을 정의하는 것처럼 자산의 중요도에 따라 보안 제어 및 모니터링 수준을 정의하는 것이 좋습니다.

안전하고 관리 가능한 최신 환경을 만드는 데 투자한 경우 효과적으로 관리하고 IT에서만 결정되는 것이 아니라 비즈니스에 의해 결정되는 효과적인 수명 주기 관리 프로세스가 있는지 확인하는 데 초점을 맞출 수 있습니다. 이를 위해서는 비즈니스와 파트너 관계를 맡을 뿐만 아니라 Active Directory의 데이터 및 시스템의 "소유권"에 비즈니스를 투자해야 합니다.

지정된 소유자, 비즈니스 소유자 및 IT 소유자 없이 Active Directory에 데이터 및 시스템을 도입하는 경우 프로비전, 관리, 모니터링, 업데이트 및 결국 시스템 서비스 해제에 대한 명확한 책임 체인이 없습니다. 이로 인해 시스템이 조직에 위험을 노출하지만 소유권이 불분명하기 때문에 서비스를 해제할 수 없는 인프라가 생성됩니다. Active Directory 설치에서 관리하는 사용자, 데이터, 애플리케이션 및 시스템의 수명 주기를 효과적으로 관리하려면 이 섹션에 설명된 원칙을 따라야 합니다.

Active Directory 데이터에 비즈니스 소유자 할당

Active Directory의 데이터에는 식별된 비즈니스 소유자, 즉 자산의 수명 주기에 대한 결정을 위한 연락 지점인 지정된 부서 또는 사용자가 있어야 합니다. 경우에 따라 Active Directory 구성 요소의 비즈니스 소유자는 IT 부서 또는 사용자가 됩니다. do기본 컨트롤러, DHCP 및 DNS 서버 및 Active Directory와 같은 인프라 구성 요소는 IT에서 "소유"할 가능성이 높습니다. 비즈니스를 지원하기 위해 AD DS에 추가된 데이터(예: 신입 직원, 새 애플리케이션 및 새 정보 리포지토리)의 경우 지정된 사업부 또는 사용자를 데이터와 연결해야 합니다.

Active Directory를 사용하여 디렉터리의 데이터 소유권을 기록하든, IT 자산을 추적하기 위해 별도의 데이터베이스를 구현하든, 사용자 계정을 만들지 않아야 하며, 서버 또는 워크스테이션을 설치하지 않아야 하며, 지정된 레코드 소유자 없이는 애플리케이션을 배포해서는 안 됩니다. 프로덕션 환경에 배포된 후 시스템의 소유권을 설정하려고 하는 것은 기껏해야 어려울 수 있으며 경우에 따라 불가능할 수 있습니다. 따라서 데이터가 Active Directory에 도입될 때 소유권을 설정해야 합니다.

비즈니스 기반 수명 주기 관리 구현

Active Directory의 모든 데이터에 대해 수명 주기 관리를 구현해야 합니다. 예를 들어 새 애플리케이션이 Active Directory에 도입될 때기본 애플리케이션의 비즈니스 소유자는 정기적으로 애플리케이션의 지속적인 사용을 증명해야 합니다. 새 버전의 애플리케이션이 릴리스되면 애플리케이션의 비즈니스 소유자에게 알리고 새 버전이 구현될 시기와 시기를 결정해야 합니다.

비즈니스 소유자가 새 버전의 애플리케이션 배포를 승인하지 않도록 선택하는 경우 해당 비즈니스 소유자는 현재 버전이 더 이상 지원되지 않는 날짜에 대한 알림을 받아야 하며 애플리케이션의 서비스 해제 또는 교체 여부를 결정해야 합니다. 레거시 애플리케이션을 실행 및 지원되지 않는 상태로 유지하는 것은 옵션이 아니어야 합니다.

Active Directory에서 사용자 계정을 만들 때 레코드 관리자는 개체를 만들 때 알림을 받아야 하며 정기적으로 계정의 유효성을 증명해야 합니다. 비즈니스 기반 수명 주기를 구현하고 데이터의 유효성을 정기적으로 증명함으로써 데이터의 변칙을 가장 잘 식별할 수 있는 사람은 데이터를 검토하는 사람입니다.

예를 들어 공격자는 조직의 명명 규칙 및 개체 배치에 따라 유효한 계정으로 보이는 사용자 계정을 만들 수 있습니다. 이러한 계정 생성을 감지하려면 지정된 비즈니스 소유자 없이 모든 사용자 개체를 반환하는 일상적인 작업을 구현하여 계정을 조사할 수 있습니다. 공격자가 지정된 비즈니스 소유자에게 새 개체 생성을 보고하는 작업을 구현하여 계정을 만들고 비즈니스 소유자를 할당하는 경우 비즈니스 소유자는 계정이 합법적인지 여부를 신속하게 식별할 수 있습니다.

보안 및 배포 그룹에 대한 유사한 접근 방식을 구현해야 합니다. 일부 그룹은 IT 부서에서 만든 기능 그룹일 수 있지만 지정된 소유자가 있는 모든 그룹을 만들어 지정된 사용자가 소유한 모든 그룹을 검색하고 사용자가 해당 멤버 자격의 유효성을 증명하도록 요구할 수 있습니다. 사용자 계정 만들기와 함께 수행된 접근 방식과 마찬가지로 지정된 비즈니스 소유자에 대한 보고 그룹 수정을 트리거할 수 있습니다. 비즈니스 소유자가 Active Directory에서 데이터의 유효성 또는 무효화를 입증하는 루틴이 많을수록 프로세스 오류 또는 실제 손상이 표시될 수 있는 변칙을 더 잘 식별할 수 있습니다.

모든 Active Directory 데이터 분류

디렉터리에 추가된 시점에 모든 Active Directory 데이터에 대한 비즈니스 소유자를 기록하는 것 외에도 비즈니스 소유자가 데이터에 대한 분류를 제공하도록 요구해야 합니다. 예를 들어 애플리케이션에서 중요 비즈니스용 데이터를 저장하는 경우 비즈니스 소유자는 조직의 분류 인프라에 따라 애플리케이션에 레이블을 지정해야 합니다.

일부 조직에서는 데이터 노출이 도난당하거나 노출된 경우 발생할 수 있는 피해에 따라 데이터에 레이블을 지정하는 데이터 분류 정책을 구현합니다. 다른 조직에서는 중요도, 액세스 요구 사항 및 보존에 따라 데이터에 레이블을 지정하는 데이터 분류를 구현합니다. 조직에서 사용 중인 데이터 분류 모델에 관계없이 "파일" 데이터뿐만 아니라 Active Directory 데이터에 분류를 적용할 수 있는지 확인해야 합니다. 사용자의 계정이 VIP 계정인 경우 자산 분류 데이터베이스에서 식별되어야 합니다(AD DS의 개체에 특성을 사용하여 구현하는지 또는 별도의 자산 분류 데이터베이스를 배포하는지 여부).

데이터 분류 모델 내에서 다음과 같은 AD DS 데이터에 대한 분류를 포함해야 합니다.

시스템

데이터를 분류할 뿐만 아니라 해당 서버 채우기도 분류하면 안 됩니다. 각 서버에 대해 설치된 운영 체제, 서버가 제공하는 일반적인 역할, 서버에서 실행되는 애플리케이션, 레코드의 IT 소유자 및 레코드의 비즈니스 소유자(해당하는 경우)를 알아야 합니다. 서버에서 실행되는 모든 데이터 또는 애플리케이션의 경우 분류가 필요하며 지원하는 워크로드에 대한 요구 사항 및 시스템 및 데이터에 적용되는 분류에 따라 서버를 보호해야 합니다. 또한 워크로드 분류를 통해 서버를 그룹화할 수 있으므로 가장 면밀하게 모니터링하고 가장 엄격하게 구성해야 하는 서버를 신속하게 식별할 수 있습니다.

애플리케이션

애플리케이션을 기능(수행하는 작업), 사용자 기반(애플리케이션을 사용하는 사용자) 및 애플리케이션이 실행되는 운영 체제별로 분류해야 합니다. 버전 정보, 패치 상태 및 기타 관련 정보가 포함된 레코드를 기본. 또한 앞에서 설명한 대로 처리되는 데이터 형식별로 애플리케이션을 분류해야 합니다.

사용자

"VIP" 사용자, 중요 계정 또는 다른 레이블을 사용하든, 공격자의 대상이 될 가능성이 가장 큰 Active Directory 설치의 계정은 태그를 지정하고 모니터링해야 합니다. 대부분의 조직에서 모든 사용자의 모든 활동을 모니터링하는 것은 불가능합니다. 그러나 Active Directory 설치에서 중요한 계정을 식별할 수 있는 경우 이 문서의 앞부분에서 설명한 대로 해당 계정에서 변경 내용을 모니터링할 수 있습니다.

계정을 감사할 때 이러한 계정에 대한 "예상 동작" 데이터베이스를 빌드할 수도 있습니다. 예를 들어, 특정 임원이 보안 워크스테이션을 사용하여 사무실과 집에서 중요 비즈니스용 데이터에 액세스하지만 다른 위치에서는 거의 액세스하지 않는 경우, 권한이 없는 컴퓨터 또는 경영진이 현재 위치하지 않은 지구 중간 지점의 위치에서 자신의 계정을 사용하여 데이터에 액세스하려는 시도가 표시되는 경우 이 비정상적인 동작을 보다 신속하게 식별하고 조사할 수 있습니다.

비즈니스 정보를 인프라와 통합하면 해당 비즈니스 정보를 사용하여 가양성 식별에 도움이 될 수 있습니다. 예를 들어 환경 모니터링을 담당하는 IT 직원이 액세스할 수 있는 일정에 임원 출장이 기록되는 경우 연결 시도를 임원의 알려진 위치와 상호 연결할 수 있습니다.

Executive A는 일반적으로 시카고에 있으며 보안 워크스테이션을 사용하여 책상에서 중요 비즈니스용 데이터에 액세스하고 애틀랜타에 있는 보안되지 않은 워크스테이션에서 데이터에 액세스하지 못해 이벤트가 트리거되었다고 가정해 보겠습니다. 경영진이 현재 애틀랜타에 있는지 확인할 수 있는 경우 임원 또는 임원의 도우미 연락하여 액세스 실패가 보안 워크스테이션을 사용하여 데이터에 액세스하는 것을 잊어버린 경영진의 결과인지 확인하여 이벤트를 해결할 수 있습니다. 손상 계획에 설명된 접근 방식을 사용하는 프로그램을 구성하면 Active Directory 설치에서 가장 "중요한" 계정에 대해 예상되는 동작의 데이터베이스를 빌드하여 공격을 더 빠르게 검색하고 대응하는 데 도움이 될 수 있습니다.