암호 없는 전략 개요
이 문서에서는 Microsoft의 암호 없는 전략과 Windows 보안 기능이 이를 구현하는 데 어떻게 도움이 되는지 설명합니다.
암호 자유를 위한 4단계
Microsoft는 암호가 더 이상 필요하지 않은 세상을 만들기 위해 노력하고 있습니다. Microsoft는 조직의 암호 시대를 종료하기 위한 4단계 접근 방식을 구상하고 있습니다.
암호 대체 옵션 배포
암호에서 벗어나기 전에 암호를 대체해야 합니다. 비즈니스용 Windows Hello 및 FIDO2 보안 키는 Microsoft Entra ID 및 Active Directory에 대한 Single Sign-On을 가능하게 하는 강력한 하드웨어 보호 2단계 자격 증명을 제공합니다.
비즈니스용 Windows Hello 또는 FIDO2 보안 키 배포는 암호 없는 환경을 향한 첫 번째 단계입니다. 사용자는 특히 생체 인식과 결합된 경우 편의상 이러한 기능을 사용할 가능성이 높습니다. 그러나 일부 워크플로 및 애플리케이션에는 여전히 암호가 필요할 수 있습니다. 이 초기 단계는 암호에 대한 대체 솔루션을 구현하고 사용자에게 익숙해지는 것입니다.
사용자가 볼 수 있는 암호 노출 영역 줄이기
암호 대체 옵션과 암호가 환경에서 공존하는 경우 다음 단계는 암호 노출 영역을 줄이는 것입니다. 환경 및 워크플로는 암호 요청을 중지해야 합니다. 이 단계의 목표는 사용자가 암호를 알고 있지만 절대 사용하지 않는 상태를 달성하는 것입니다. 이 상태는 암호 프롬프트가 컴퓨터에 표시할 때마다 사용자가 암호를 제공하지 못하도록 디코딩하는 데 도움이 됩니다. 이 동작은 암호가 피싱되는 방법입니다. 암호를 거의 사용하지 않는 사용자는 암호를 제공하지 않을 수 있습니다. 암호 프롬프트는 더 이상 표준이 아닙니다.
암호 없는 배포로 전환
사용자가 볼 수 있는 암호 화면이 제거되면 organization 사용자를 암호 없는 환경으로 전환하기 시작할 수 있습니다. 이 단계에서 사용자는 암호를 입력하거나 변경하거나 알지 못합니다.
사용자는 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하여 Windows에 로그인하고 Microsoft Entra ID 및 Active Directory 리소스에 대한 Single Sign-On을 즐깁니다. 사용자가 인증해야 하는 경우 인증은 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용합니다.
ID 디렉터리에서 암호 제거
암호 없는 여정의 마지막 단계는 암호가 없는 경우입니다. 이 단계에서는 ID 디렉터리가 어떤 형태의 암호도 저장하지 않습니다.
암호 없는 여정 준비
암호 없는 길은 여정입니다. 여정 기간은 각 organization 따라 다릅니다. IT 의사 결정자는 해당 여정의 길이에 영향을 미치는 기준을 이해하는 것이 중요합니다.
가장 직관적인 대답은 organization 크기이지만 정확히 크기를 정의하는 것은 무엇입니까? 이러한 요인을 살펴보고 organization 크기를 요약할 수 있습니다.
| 크기 계수 | 세부 정보 |
|---|---|
| 부서 수 | organization 내의 부서 수는 다양합니다. 대부분의 조직에는 경영진,인사, 회계, 영업 및 마케팅과 같은 공통 부서 집합 이 있습니다. 소규모 조직은 부서를 명시적으로 분할하지 않을 수 있지만 더 큰 조직은 부서를 분할할 수 있습니다. 또한 해당 하위 부분의 하위 부분 및 하위 부분도 있을 수 있습니다. organization 내의 모든 부서를 알아야 하며 컴퓨터를 사용하는 부서와 그렇지 않은 부서를 알아야 합니다. 부서에서 컴퓨터를 사용하지 않는 경우 괜찮습니다(드물지만 허용 가능). 이러한 상황은 자신이 염려해야 하는 부서가 하나 적다는 것을 의미합니다. 그럼에도 불구하고 이 부서가 목록에 있고 해당 부서가 적용되지 않는지 확인합니다. 부서의 수는 철저하고 정확해야 하며, 귀하와 귀하의 직원을 암호의 자유로이 가는 길에 놓인 부서의 이해 관계자를 알고 있어야 합니다. 현실적으로, 우리 중 많은 사람들이 조직도와 시간이 지남에 따라 어떻게 성장하거나 축소되는지를 보지 못하고 있습니다. 이러한 실현은 모든 인벤토리를 만들어야 하는 이유입니다. 또한 공급업체 또는 페더레이션 파트너와 같은 외부 부서를 포함해야 합니다. organization 암호가 없지만 파트너가 계속해서 암호를 사용하여 회사 리소스에 액세스하는 경우 이를 알고 암호 없는 전략에 포함해야 합니다. |
| 조직 또는 부서 계층 구조 | 조직 및 부서 계층 구조는 부서 내의 관리 계층 또는 전체 organization. 디바이스 사용 방법, 애플리케이션 및 사용 방법은 각 부서와 부서 구조 간에 다를 수 있습니다. 올바른 암호 없는 전략을 확인하려면 organization 이러한 차이점을 알아야 합니다. 임원은 영업 부서의 중간 관리 구성원과는 다르게 디바이스를 사용할 가능성이 높습니다. 이러한 두 사용자 사례는 고객 서비스 부서의 개별 기여자 디바이스를 사용하는 방식과 다를 수 있습니다. |
| 애플리케이션 및 서비스의 수 및 유형 | 대부분의 조직에는 많은 애플리케이션이 있으며 정확한 중앙 집중식 목록이 거의 없습니다. 애플리케이션 및 서비스는 암호 없는 평가에서 가장 중요한 항목입니다. 애플리케이션 및 서비스는 다른 유형의 인증으로 전환하기 위해 상당한 노력을 기울입니다. 정책 및 절차를 변경하는 것은 어려운 작업이 될 수 있습니다. 내부적으로 개발된 CRM 애플리케이션의 중요한 경로에서 100줄 이상의 인증 코드를 변경하는 것과 비교하여 표준 운영 절차 및 보안 정책 업데이트 간의 장차를 고려합니다. 부서, 해당 계층 구조 및 관련자가 있으면 사용되는 애플리케이션 수를 캡처하는 것이 더 쉽습니다. 이 방법에서는 각 부서의 조직된 목록과 계층 구조가 있어야 합니다. 이제 각 부서 내의 모든 수준에서 사용되는 애플리케이션을 연결할 수 있습니다. 또한 애플리케이션이 내부적으로 개발되었는지 아니면 상용으로 사용할 수 있는지 문서화하려고 합니다. 후자의 경우 제조업체 및 버전을 문서화합니다. 또한 애플리케이션을 인벤토리할 때 웹 기반 애플리케이션 또는 서비스를 잊지 마세요. |
| 작업 페르소나 수 | 작업 가상 사용자는 이전의 세 가지 노력이 수렴되는 곳입니다. 부서, 각 부서 내의 조직 수준, 각각에서 사용하는 애플리케이션 수 및 애플리케이션 유형을 알고 있습니다. 이 정보에서 작업 페르소나를 만들려고 합니다. 회사 페르소나는 특정 부서 내의 사용자, 타이틀 또는 역할(개별 기여자, 관리자, 중간 관리자 등)의 범주를 사용되는 애플리케이션 컬렉션으로 분류합니다. 작업 가상 사용자가 많을 가능성이 높습니다. 이러한 작업 가상 사용자는 작업 단위가 되며 설명서 및 모임에서 참조합니다. 이름을 지정해야 합니다. Amanda - Accounting, Mark - Marketing 또는 Sue - Sales와 같은 쉽고 직관적인 이름을 가상 사용자에게 제공합니다. organization 수준이 부서 간에 공통적인 경우 부서의 공통 수준을 나타내는 이름을 결정합니다. 예를 들어 Amanda는 특정 부서의 개별 기여자 이름이 될 수 있으며, Sue라는 이름은 특정 부서의 중간 관리에서 온 사람을 나타낼 수 있습니다. 또한 접미사(예: I, II, Senior 등)를 사용하여 지정된 가상 사용자에 대한 부서 구조를 추가로 정의할 수 있습니다. 궁극적으로 이해 관계자와 파트너가 긴 테이블 목록 또는 비밀 디코더 링을 읽을 필요가 없는 명명 규칙을 만듭니다. 또한 가능하면 참조를 사람의 이름으로 유지합니다. 결국, 해당 부서에 있고 특정 소프트웨어를 사용하는 사람에 대해 이야기하고 있습니다. |
| 조직의 IT 구조 | IT 부서 구조는 organization 이상 다를 수 있습니다. 일부 IT 부서는 중앙 집중식이지만 다른 부서도 분산되어 있습니다. 또한 암호의 자유를 위해 클라이언트 인증 팀, 배포 팀, 보안 팀, PKI 팀, ID 팀, 클라우드 팀 등과 상호 작용할 수 있습니다. 이러한 팀의 대부분은 암호 자유를 향한 여정의 파트너입니다. 이러한 각 팀에 암호 없는 이해 관계자가 있는지, 그리고 이러한 노력을 이해하고 자금을 지원해야 합니다. |
organization 평가
이제 이것이 빠른 작업이 아닌 여정인 이유를 이해할 수 있습니다. 각 회사 가상 사용자에 대해 사용자가 볼 수 있는 암호 표면을 조사해야 합니다. 암호 표면을 식별한 후에는 암호를 완화해야 합니다. 일부 암호 표면을 확인하는 것은 간단합니다. 즉, 솔루션이 환경에 이미 존재하며 사용자를 이동시키는 문제일 뿐입니다. 일부 암호 화면에 대한 해결 방법이 존재할 수 있지만 사용자 환경에 배포되지는 않습니다. 이 해결을 통해 프로젝트를 계획, 테스트 및 배포해야 합니다. 이 프로젝트는 여러 사람이 있는 여러 IT 부서와 하나 이상의 분산 시스템을 포괄할 가능성이 높습니다. 이러한 유형의 프로젝트는 시간이 걸리며 전용 주기가 필요합니다. 사내 소프트웨어 개발에서도 마찬가지입니다. 민첩한 개발 방법론을 사용하더라도 누군가가 애플리케이션에 인증하는 방식을 변경하는 것이 중요합니다. 적절한 계획과 테스트가 없으면 생산성에 심각한 영향을 미칠 수 있습니다.
암호 없는 여정을 완료하는 시간은 암호 없는 전략에 대한 조직의 정렬에 따라 달라집니다. 암호 없는 환경이 organization 목표라는 하향식 규약은 대화를 더 쉽게 만듭니다. 대화가 쉬워진다는 것은 사람들을 설득하는 데 소요되는 시간이 줄어들고 목표를 향해 나아가는 데 더 많은 시간을 할애한다는 것을 의미합니다. 하향식 계약은 다른 진행 중인 IT 프로젝트의 순위 내에서 우선 순위로 모든 사람이 기존 프로젝트의 우선 순위를 지정하는 방법을 이해하는 데 도움이 됩니다. 우선 순위에 대한 합의는 관리자 및 경영진 수준의 에스컬레이션을 줄이고 최소화해야 합니다. 이러한 조직 토론 후에는 암호 없는 작업을 계속하기 위해 최신 프로젝트 관리 기법이 사용됩니다. organization 우선 순위에 따라 리소스를 할당합니다(전략에 동의한 후). 이러한 리소스는 다음을 수행합니다.
- 작업 가상 사용자를 통해 작업
- 사용자 승인 테스트 구성 및 배포
- 사용자 표시 암호 표면에 대한 사용자 동의 테스트 결과 평가
- 이해 관계자와 협력하여 사용자 표시 암호 표면을 완화하는 솔루션을 만듭니다.
- 프로젝트 백로그에 솔루션을 추가하고 다른 프로젝트에 우선 순위를 지정합니다.
- 솔루션 배포
- 사용자 동의 테스트를 수행하여 솔루션이 사용자에게 표시되는 암호 표면을 완화하는지 확인합니다.
- 필요에 따라 테스트를 반복합니다.
organization 암호의 자유를 향한 여정에는 다소 시간이 걸릴 수 있습니다. 작업 페르소나 수와 애플리케이션 수를 계산하는 것은 투자에 대한 좋은 지표입니다. organization 증가하여 가상 사용자 목록과 애플리케이션 목록이 축소될 가능성이 낮아지길 바랍니다. 오늘 암호 없는 작업을 n이면 내일 암호 없는 상태가 n x 2 이상, n x n입니다. 프로젝트의 크기나 기간이 방해가 되지 않도록 합니다. 각 작업 페르소나를 진행하면서 사용자와 관련자에게 작업 및 작업이 더 친숙해집니다. 프로젝트의 범위를 크기 조정 가능하고 현실적인 단계로 지정하고 올바른 작업 가상 사용자를 선택하면 곧 암호 없는 상태로 전환할 organization 일부가 표시됩니다.
암호 자유를 향한 여정을 시작하는 가장 좋은 지침은 무엇인가요? 가능한 한 빨리 경영진에게 개념 증명을 표시하려고 합니다. 이상적으로 암호 없는 여정의 각 단계에서 표시하려고 합니다. 암호 없는 전략을 최우선으로 유지하고 일관된 진행 상황을 보여 주면 모든 사람이 집중할 수 있습니다.
회사 페르소나
먼저 작업 가상 사용자로 시작합니다. 이러한 내용은 준비 프로세스의 일부였습니다. Amanda - Accounting II와 같은 가상 사용자 이름 또는 organization 정의한 다른 명명 규칙이 있습니다. 해당 작업 페르소나에는 Amanda 가 회계 부서에서 할당된 업무를 수행하는 데 사용하는 모든 애플리케이션 목록이 포함되어 있습니다. 시작하려면 회사 페르소나를 선택해야 합니다. 이 작업은 여정을 완료할 수 있는 대상 작업 가상 사용자입니다.
팁
IT 부서의 작업 페르소나를 사용하지 마십시오. 이 방법은 암호 없는 여정을 시작하는 최악의 방법일 수 있습니다. IT 역할은 매우 어렵고 시간이 많이 걸립니다. IT 작업자는 일반적으로 여러 자격 증명을 가지고 있고, 다양한 스크립트 및 사용자 지정 애플리케이션을 실행하며, 암호 사용의 최악의 위반자입니다. 여행의 중간 또는 끝을 위해 이러한 작업 페르소나를 저장하는 것이 좋습니다.
작업 페르소나 컬렉션을 검토합니다. 암호 없는 경험 초기에 애플리케이션이 가장 적은 가상 사용자를 식별합니다. 이러한 작업 가상 사용자는 전체 부서 또는 두 개의 부서를 나타낼 수 있습니다. 이러한 역할은 POC(개념 증명) 또는 파일럿을 위한 완벽한 작업 페르소나입니다.
대부분의 조직은 테스트 랩 또는 환경에서 POC를 호스팅합니다. 암호 없는 전략으로 테스트를 수행하는 경우 더 어렵고 시간이 더 걸릴 수 있습니다. 랩에서 테스트하려면 먼저 대상 가상 사용자의 환경을 복제해야 합니다. 이 프로세스는 대상 작업 가상 사용자의 복잡성에 따라 며칠 또는 몇 주가 걸릴 수 있습니다.
랩 테스트와 결과를 신속하게 관리에 제공하는 균형을 맞추려고 합니다. 암호의 자유를 향한 여정에서 계속 발전하는 것은 항상 좋은 일입니다. 위험이 낮거나 전혀 없는 프로덕션 환경에서 테스트할 수 있는 방법이 있는 경우 타임라인 유리할 수 있습니다.
암호의 자유를 향한 여정은 프로세스의 각 단계를 통해 각 작업 페르소나를 수행하는 것입니다. 처음에는 팀 구성원과 이해 관계자가 프로세스에 익숙해지도록 한 번에 하나의 가상 사용자와 함께 작업하는 것이 좋습니다. 프로세스에 익숙해지면 리소스가 허용하는 한 많은 작업 가상 사용자를 병렬로 처리할 수 있습니다. 프로세스는 다음과 같습니다.
- 대상 작업 가상 사용자를 나타내는 테스트 사용자 식별
- 비즈니스용 Windows Hello 배포하여 사용자 테스트
- 암호 및 비즈니스용 Windows Hello 작동하는지 확인합니다.
- 암호 사용에 대한 설문 조사 테스트 사용자 워크플로
- 암호 사용 현황 식별 및 암호 완화 계획, 개발 및 배포
- 모든 사용자 암호 사용이 완화될 때까지 반복
- Windows에서 암호 기능 제거
- 워크플로에 암호가 필요하지 않은지 확인합니다.
- 인식 캠페인 및 사용자 교육
- 작업 가상 사용자에 맞는 나머지 사용자 포함
- 회사 가상 사용자의 암호가 필요하지 않은 지 확인합니다.
- 암호 인증을 방지하도록 사용자 계정 구성
작업 가상 사용자를 암호 자유로 이동한 후 나머지 작업 가상 사용자의 우선 순위를 지정하고 프로세스를 반복할 수 있습니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기