동적 액세스 제어: 시나리오 개요

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Windows Server 2012에서는 파일 서버 전체에 데이터 거버넌스를 적용하여 정보에 액세스할 수 있는 사용자를 제어하고 정보에 액세스한 사용자를 감사할 수 있습니다. 동적 Access Control을 통해 다음을 수행할 수 있습니다.

  • 자동 및 수동 파일 분류를 사용하여 데이터 식별. 예를 들어 전사적으로 파일 서버의 데이터에 태그를 지정할 수 있습니다.

  • 중앙 액세스 정책을 사용하는 보안 네트워크 정책을 적용하여 파일에 대한 액세스 제어. 예를 들어 조직 내에서 건강 정보에 액세스할 수 있는 사용자를 정의할 수 있습니다.

  • 준수 보고 및 법정 분석을 위해 중앙 감사 정책을 사용하여 파일에 대한 액세스 감사 예를 들어 매우 중요한 정보에 액세스한 사용자를 식별할 수 있습니다.

  • 중요한 Microsoft Office 문서에 자동 RMS(Rights Management Services) 암호화를 사용하여 RMS 보호 적용. 예를 들어 HIPAA(Health Insurance Portability and Accountability Act) 정보가 포함된 모든 문서를 암호화하도록 RMS를 구성할 수 있습니다.

동적 액세스 제어 기능 집합은 파트너 및 LOB(기간 업무) 애플리케이션이 유용하게 사용할 수 있는 향상된 인프라에 기반을 두고 있고, Active Directory를 사용하는 조직은 이러한 기능으로 뛰어난 가치를 얻을 수 있습니다. 이러한 인프라에 포함된 요소는 다음과 같습니다.

  • 조건식 및 중앙 정책을 처리할 수 있는 새로운 Windows용 권한 부여 및 감사 엔진

  • 사용자 클레임 및 디바이스 클레임에 대한 Kerberos 인증 지원

  • FCI(파일 분류 인프라) 기능 향상

  • 파트너가 Microsoft가 아닌 타사 파일을 암호화하는 솔루션을 제공할 수 있도록 RMS 확장성 지원

이 시나리오의 내용

이 콘텐츠 집합에는 다음과 같은 시나리오 및 지침이 포함되어 있습니다.

동적 Access Control 콘텐츠 로드맵

시나리오 Evaluate 계획 배포 운영
시나리오: 중앙 액세스 정책

파일에 대한 중앙 액세스 정책을 만들면 사용자 클레임, 디바이스 클레임 및 리소스 속성을 사용하여 조건식을 포함하는 권한 부여 정책을 중앙에서 배포하고 관리할 수 있습니다. 이러한 정책은 규정 준수 및 비즈니스 규정 요구 사항에 기반을 둡니다. 이러한 정책은 Active Directory에서 생성되고 호스트되므로 관리 및 배포가 더욱 간편합니다.

포리스트 간에 클레임 배포

Windows Server 2012에서 AD DS는 각 포리스트에 '클레임 사전'을 기본 포리스트 내에서 사용 중인 모든 클레임 유형이 Active Directory 포리스트 수준에서 정의됩니다. 보안 주체가 트러스트 경계를 트래버스해야 하는 시나리오가 많이 있습니다. 이러한 시나리오는 클레임이 트러스트 경계를 트래버스하는 방법을 설명합니다.

 동적 액세스 제어: 시나리오 개요

포리스트에 클레임 배포

 계획: 중앙 액세스 정책 배포

- 중앙 액세스 정책에 비즈니스 요청을 매핑하는 프로세스
- 동적 액세스 제어에 대한 관리 위임
- 중앙 액세스 정책을 계획하기 위한 예외 메커니즘

사용자 클레임 사용에 대한 모범 사례

- 사용자에서 클레임을 사용하도록 설정하는 올바른 구성을 선택합니다기본
- 사용자 클레임을 사용하도록 설정하는 작업
- 중앙 액세스 정책을 사용하지 않고 파일 서버 임의 ACL에서 사용자 클레임을 사용하기 위한 고려 사항

디바이스 클레임 및 디바이스 보안 그룹 사용

- 정적 디바이스 클레임 사용에 대한 고려 사항
- 디바이스 클레임을 사용하도록 설정하는 작업

배포 도구

-

중앙 액세스 정책 배포(시연 단계)

포리스트에 클레임 배포(데모 단계)

 - 중앙 액세스 정책 모델링
시나리오: 파일 액세스 감사

보안 감사는 기업의 보안을 유지 관리할 수 있는 가장 효율적인 도구 중 하나입니다. 보안 감사의 주요 목표 중 하나는 규정 준수입니다. 예를 들어 Sarbanes Oxley, HIPAA, PCI(Payment Card Industry) 등의 업계 표준에서는 기업에서 데이터 보안 및 개인 정보와 관련된 엄격한 규칙 집합을 따르도록 규정하고 있습니다. 보안 감사를 통해 이러한 정책의 유무를 파악하여 해당 표준 준수 여부를 증명할 수 있습니다. 또한 보안 감사를 사용하면 비정상적인 동작을 파악하고, 보안 정책의 결함을 파악 및 완화하며, 법정 분석에 사용할 수 있는 사용자 작업 레코드를 만들어 무책임한 행위를 방지할 수 있습니다.

 시나리오: 파일 액세스 감사 파일 액세스 감사 계획 중앙 감사 정책으로 보안 감사 배포(시연 단계) - 파일 서버에 적용되는 중앙 액세스 정책 모니터링
- 파일 및 폴더와 연결된 중앙 액세스 정책 모니터링
- 파일 및 폴더의 리소스 특성 모니터링
- 클레임 유형 모니터링
- 로그인하는 동안 사용자 및 디바이스 클레임 모니터링
- 중앙 액세스 정책 및 규칙 정의 모니터링
- 리소스 특성 정의 모니터링
- 이동식 스토리지 디바이스 사용 모니터링
시나리오: 액세스 거부 지원

오늘날 사용자가 파일 서버의 원격 파일에 액세스하려고 하면 액세스가 거부되었다는 메시지만 표시됩니다. 이로 인해 지원 센터 또는 IT 관리자에게 문제 확인 문의가 발생하고, 관리자들은 사용자에게 정확한 정황 정보를 얻기가 곤란해 문제 해결이 더욱 어려워집니다.
Windows Server 2012에서 목표는 IT가 관여하기 전에 데이터의 정보 근로자 및 비즈니스 소유자가 액세스 거부 문제를 처리하도록 돕고 IT가 관여할 때 빠른 해결을 위해 모든 올바른 정보를 제공하는 것입니다. 이 목표를 달성하기 위한 과제 중 하나는 액세스 거부를 처리하는 중앙 방법이 없고 모든 애플리케이션이 다르게 처리하므로 Windows Server 2012에서 Windows 탐색기의 액세스 거부 환경을 개선하는 것입니다.

 시나리오: 액세스 거부 지원 액세스 거부 지원 계획

- 액세스 거부 지원 모델 확인
- 액세스 요청을 처리해야 하는 사용자 결정
- 액세스 거부 지원 메시지 사용자 지정
- 예외 계획
- 액세스 거부 지원을 배포하는 방법 확인

 액세스 거부 지원 배포(시연 단계)
시나리오: Office 문서에 대한 분류 기반 암호화

중요한 정보를 보호하는 가장 큰 이유는 조직의 위험을 완화하기 위함입니다. HIPAA 또는 PCI-DSS(Payment Card Industry Data Security Standard)와 같은 다양한 규정에 정보의 암호화가 명시되어 있고, 비즈니스 측면에서 중요한 비즈니스 정보를 암호화해야 하는 이유는 다양합니다. 그러나 정보 암호화는 비용이 많이 들고 비즈니스 생산성을 저하시킬 수 있습니다. 따라서 조직마다 정보 암호화의 접근 방식과 우선 순위가 다양한 편입니다.
이 시나리오를 지원하기 위해 Windows Server 2012는 분류에 따라 중요한 Windows Office 파일을 자동으로 암호화하는 기능을 제공합니다. 이 기능은 파일이 파일 서버에서 중요한 파일로 식별되고 몇 초 후 중요한 문서에 대한 AD RMS(Active Directory Rights Management Server) 보호를 호출하는 파일 관리 작업을 통해 수행됩니다.

 시나리오: Office 문서에 대한 분류 기반 암호화 문서의 분류 기반 암호화를 위해 배포 계획 Office 파일 암호화 배포(시연 단계)
시나리오: 분류를 사용하여 데이터에 대한 인사이트 가져오기

대부분의 조직에서 데이터 및 스토리지 리소스에 대한 의존도가 점점 높아지고 있습니다. IT 관리자는 점점 커지고 복잡해지는 스토리지 인프라를 관리하는 동시에 총 소유 비용을 합리적인 수준으로 유지해야 하는 과제에 직면했습니다. 스토리지 리소스 관리는 더 이상 데이터의 볼륨이나 가용성에만 국한되지 않습니다. 회사 정책을 적용하고 스토리지가 어떻게 소비되고 있는지 파악하여 효율성을 높이고 규정 준수를 강화함으로써 위험을 완화하는 방법까지 고려해야 합니다. 파일 분류 인프라는 데이터를 보다 효율적으로 관리할 수 있도록 분류 프로세스를 자동화함으로써 데이터에 대한 정보를 제공합니다. 파일 분류 인프라에서는 수동, 프로그래밍 방식, 자동과 같은 분류 방법을 사용할 수 있습니다. 이 시나리오에서는 자동 파일 분류 방법에 중점을 둡니다.

 시나리오: 분류를 사용하여 데이터에 대한 인사이트 가져오기 자동 파일 분류 계획 자동 파일 분류 배포(시연 단계)
시나리오: 파일 서버에서 정보 보존 구현

보존 기간은 문서가 만료되기 전에 보관되어야 하는 기간입니다. 조직에 따라 보존 기간이 다를 수 있습니다. 폴더의 파일을 단기, 중기 또는 장기 보존 기간으로 분류한 다음 각 기간의 시간 범위를 할당할 수 있습니다. 파일에 법적 보존을 설정하여 파일을 무기한으로 보관할 수도 있습니다.
파일 분류 인프라 및 파일 서버 리소스 관리자는 파일 관리 작업 및 파일 분류를 사용하여 파일 집합의 보존 기간을 적용합니다. 폴더에 보존 기간을 할당한 다음 파일 관리 작업을 사용하여 할당된 보존 기간을 얼마나 오래 유지할지 구성할 수 있습니다. 폴더의 파일이 곧 만료될 경우 파일 소유자에게 알림 메일이 전송됩니다. 또한 파일 관리 작업으로 인해 파일이 만료되지 않도록 파일을 법적 보존이 설정된 것으로 분류할 수도 있습니다.

 시나리오: 파일 서버에서 정보 보존 구현 파일 서버의 정보 보존 계획 파일 서버에 정보 보존 구현 배포(데모 단계)

참고 항목

ReFS(복원 파일 시스템)에서는 동적 Access Control이 지원되지 않습니다.

참고 항목

콘텐츠 유형 참조
제품 평가 - 동적 Access Control 검토자 가이드
- 동적 Access Control 개발자 지침
계획 - 중앙 액세스 정책 배포 계획
- 파일 액세스 감사 계획
배포 - Active Directory 배포
- 파일 및 스토리지 서비스 배포
작업 동적 Access Control PowerShell 참조

|커뮤니티 리소스|디렉터리 서비스 포럼|