Microsoft Entra ID를 사용하여 각서 22-09의 ID 요구 사항을 충족합니다.
국가 사이버 보안 개선에 대한 행정 명령(14028)은 연방 정부의 디지털 인프라에 대한 성공적인 사이버 공격의 위험을 대폭 줄이는 보안 측정값을 강화하도록 연방 기관에 지시합니다. 2022년 1월 26일, EO(행정 명령) 14028을 지원하기 위해 OMB(관리 예산국)는 행정 부서 및 기관 책임자를 위한 M 22-09 각서에서 연방 제로 트러스트 전략을 발표했습니다.
이 문서 시리즈에는 각서 22-09에 설명된 대로 제로 트러스트 원칙을 구현할 때 Microsoft Entra ID를 중앙 집중식 ID 관리 시스템으로 사용하기 위한 지침이 포함되어 있습니다.
각서 22-09는 연방 정부의 제로 트러스트 이니셔티브를 지원합니다. 여기에는 연방 사이버 보안 및 데이터 개인 정보 보호법에 대한 규제 지침이 있습니다. 이 각서는 다음과 같은 US 국방부(DoD) 제로 트러스트 참조 아키텍처를 인용합니다.
"제로 트러스트 모델의 기본 신조는 외부 또는 보안 경계 내에서 작동하는 행위자, 시스템, 네트워크 또는 서비스를 신뢰할 수 없다는 것입니다. 대신 액세스를 설정하려는 모든 항목을 확인해야 합니다. 인프라, 네트워크 및 데이터를 경계에서 한 번 확인하는 것에서 각 사용자, 디바이스, 애플리케이션 및 트랜잭션의 지속적인 확인에 이르기까지 인프라, 네트워크 및 데이터를 보호하는 방법에 대한 철학의 극적인 패러다임 전환입니다."
이 각서는 CISA(사이버 보안 정보 시스템 아키텍처) 성숙 모델로 구성된 연방 정부가 도달할 수 있는 5가지 핵심 목표를 식별합니다. CISA 제로 트러스트 모델은 5가지 보완적인 노력 영역 또는 핵심 요소를 설명합니다.
- ID
- 장치
- 네트워크
- 애플리케이션 및 워크로드
- 데이터
핵심 요소는 다음과 교차합니다.
- 표시 유형
- 분석
- 자동화
- 오케스트레이션
- 거버넌스
지침의 범위
문서 시리즈를 사용하여 각서 요구 사항을 충족하는 계획을 수립합니다. Microsoft 365 제품과 Microsoft Entra 테넌트를 사용한다고 가정합니다.
자세히 알아보기: 빠른 시작: Microsoft Entra ID에서 새 테넌트 만들기
문서 시리즈 지침에는 메모의 ID 관련 작업에 부합하는 Microsoft 기술에 대한 기관 투자가 포함됩니다.
- 기관 사용자의 경우 기관은 애플리케이션 및 일반 플랫폼과 통합할 수 있는 중앙 집중식 ID 관리 시스템을 사용합니다.
- 기관은 전사적으로 강력한 MFA(다단계 인증)을 사용합니다.
- MFA는 네트워크 계층이 아닌 애플리케이션 계층에 적용됩니다.
- 기관 직원, 계약자 및 파트너의 경우 피싱 방지 MFA가 필요합니다.
- 퍼블릭 사용자의 경우 피싱 방지 MFA는 옵션입니다.
- 암호 정책에는 특수 문자 또는 정기적인 순환이 필요하지 않습니다.
- 기관은 사용자에게 리소스 액세스 권한을 부여할 때 인증된 사용자에 대한 ID 정보와 함께 적어도 하나 이상의 디바이스 수준 신호를 고려합니다.