ID 기준 정책 준수 프로세스Identity Baseline policy compliance processes

이 문서에서는 Id 기준 규칙을 제어 하는 정책 준수 프로세스에 대 한 접근 방식을 설명 합니다.This article discusses an approach to policy adherence processes that govern the Identity Baseline discipline. 효과적인 ID 거버넌스를 위한 첫걸음은 ID 정책 도입 및 수정을 안내하는 되풀이 수동 프로세스입니다.Effective governance of identity starts with recurring manual processes that guide identity policy adoption and revisions. 이렇게 하려면 클라우드 거 버 넌 스 팀과 관심이 있는 비즈니스 및 IT 관련자의 정기적인 참여를 통해 정책을 검토 하 고 업데이트 하 고 정책 준수를 확인 해야 합니다.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. 또한 도구를 통해 여러 지속적인 모니터링 및 적용 프로세스를 자동화하거나 보완하여 거버넌스의 오버헤드를 줄이고 정책 위반에 더 빠르게 대응할 수 있습니다.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

계획, 검토 및 보고 프로세스Planning, review, and reporting processes

ID 관리 도구는 클라우드 배포 내에서 사용자 관리 및 액세스 제어를 크게 도와주는 기능을 제공합니다.Identity management tools offer capabilities and features that greatly assist user management and access control within a cloud deployment. 또한 조직의 목표를 지원 하기 위해 잘 고려 되는 프로세스 및 정책이 필요 합니다.They also require well-considered processes and policies to support your organization's goals. 다음은 ID 기준 분야에서 일반적으로 사용되는 예제 프로세스 세트입니다.The following is a set of example processes commonly involved in the Identity Baseline discipline. 거버넌스 지침을 작업으로 전환하는 임무를 맡은 IT 팀의 피드백과 비즈니스 변경 내용에 따라 ID 정책을 지속적으로 업데이트할 수 있는 프로세스를 계획할 때 이러한 예제를 시작점으로 사용합니다.Use these examples as a starting point when planning the processes that will allow you to continue to update identity policy based on business change and feedback from the IT teams tasked with turning governance guidance into action.

초기 위험 평가 및 계획: 처음 도입 된 Id 기준 규칙의 일환으로 클라우드 id 관리와 관련 된 핵심 비즈니스 위험 및 허용치를 확인 합니다.Initial risk assessment and planning: As part of your initial adoption of the Identity Baseline discipline, identify your core business risks and tolerances related to cloud identity management. 이 정보를 사용하여 ID 서비스 관리를 맡고 있는 IT 팀원과 구체적인 기술 위험을 논의하고, 이러한 위험을 완화하기 위한 보안 정책 기준 세트를 개발하여 초기 거버넌스 전략을 수립합니다.Use this information to discuss specific technical risks with members of your IT teams responsible for managing identity services and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

배포 계획: 배포 하기 전에 모든 워크 로드에 대 한 액세스 요구 사항을 검토 하 고 설정 된 회사 id 정책에 부합 하는 액세스 제어 전략을 개발 합니다.Deployment planning: Before any deployment, review the access needs for any workloads and develop an access control strategy that aligns with established corporate identity policy. 필요에 따라 정책 업데이트가 필요한 지 여부를 확인 하 고 필요에 따라 정책을 수정 하려면 필요와 현재 정책 사이에 간격을 문서화 합니다.Document any gaps between needs and current policy to determine whether policy updates are required, and modify policy as needed.

배포 테스트: 배포의 일부로 클라우드 거 버 넌 스 팀은 id 서비스를 담당 하는 IT 팀과 협력 하 여 id 정책 준수의 유효성을 검사 하는 배포를 검토할 책임이 있습니다.Deployment testing: As part of the deployment, the cloud governance team, in cooperation with IT teams responsible for identity services, will be responsible for reviewing the deployment to validate identity policy compliance.

연간 계획: 연간 기준으로 id 관리 전략에 대 한 높은 수준의 검토를 수행 합니다.Annual planning: On an annual basis, perform a high-level review of identity management strategy. 계획된 ID 서비스 환경의 변경 내용과 업데이트된 클라우드 도입 전략을 살펴보고 현재 ID 인프라 패턴을 수정해야 하는 잠재적 위험 증가 또는 요구 사항이 있는지 확인합니다.Explore planned changes to the identity services environment and updated cloud adoption strategies to identify potential risk increase or need to modify current identity infrastructure patterns. 또한 이 기회에 최신 ID 관리 모범 사례를 검토하고 정책 및 검토 프로세스에 통합합니다.Also use this time to review the latest identity management best practices and integrate these into your policies and review processes.

분기별 계획: 분기별 기반으로 id 및 액세스 제어 감사 데이터에 대 한 일반적인 검토를 수행 하 고, 클라우드 채택 팀과 협력 하 여 id 정책 또는 액세스 제어 전략의 변경에 대 한 업데이트가 필요한 잠재적 새 위험 또는 운영 요구 사항을 파악 합니다.Quarterly planning: On a quarterly basis perform a general review of identity and access control audit data, and meet with the cloud adoption teams to identify any potential new risks or operational requirements that would require updates to identity policy or changes in access control strategy.

또한이 계획 프로세스를 통해 클라우드 거 버 넌 스 팀의 현재 구성원 자격을 평가 하 여 신규 또는 id와 관련 된 정책 및 위험과 관련 된 지식 격차를 확인할 수 있습니다.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to identity. 관련 IT 담당자가 임시 기술 고문 또는 팀의 상임 구성원으로 검토와 계획에 참여하도록 초빙합니다.Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

교육 및 교육: Bimonit에서는 IT 직원과 개발자가 최신 id 정책 요구 사항에 최신 상태를 유지할 수 있도록 교육 세션을 제공 합니다.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest identity policy requirements. 이 프로세스의 일부로 설명서, 지침 또는 기타 교육 자산을 검토 하 고 업데이트 하 여 최신 회사 정책 문과 동기화 되도록 합니다.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

월간 감사 및 보고 리뷰: 매월 모든 클라우드 배포에 대 한 감사를 수행 하 여 id 정책에 대 한 지속적인 정렬을 보장 합니다.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with identity policy. 이 검토를 사용 하 여 사용자에 게 클라우드 리소스에 대 한 올바른 액세스 권한이 있는지 확인 하 고, Azure RBAC와 같은 액세스 전략을 지속적으로 준수 하는지 확인 합니다.Use this review to check user access against business change to ensure users have correct access to cloud resources, and ensure access strategies such as Azure RBAC are being followed consistently. 권한 있는 계정을 식별하여 그 용도를 문서화합니다.Identify any privileged accounts and document their purpose. 이 검토 프로세스는 정책에 대 한 전반적인 준수를 자세히 설명 하는 클라우드 전략 팀 및 각 클라우드 채택 팀에 대 한 보고서를 생성 합니다.This review process produces a report for the cloud strategy team and each cloud adoption team detailing overall adherence to policy. 또한 이 보고서는 감사 및 법적 목적으로 저장됩니다.The report is also stored for auditing and legal purposes.

진행 중인 모니터링 프로세스Processes for ongoing monitoring

성공적인 Id 기준 전략은 id 시스템의 현재 상태와 과거 상태를 표시 하는 방법에 따라 달라 집니다.A successful Identity Baseline strategy depends on visibility into the current and past state of your identity systems. 클라우드 배포의 관련 메트릭과 관련 데이터를 분석할 수 없다면 위험의 변화를 파악하거나 위험 허용 범위의 위반을 탐지할 수 없습니다.Without the ability to analyze your cloud deployment's relevant metrics and related data, you cannot identify changes in your risks or detect violations of your risk tolerances. 위에서 설명한 지속적인 거버넌스 프로세스를 갖추려면 변화하는 비즈니스 요구 사항을 지원하도록 정책을 수정할 수 있는 품질 데이터가 필요합니다.The ongoing governance processes discussed above require quality data to ensure policy can be modified to support the changing needs of your business.

IT 팀에서 ID 서비스에 대한 자동화 모니터링 시스템을 구현하여 위험을 평가하는 데 필요한 로그 및 감사 정보를 캡처하고 있는지 확인하세요.Ensure that your IT teams have implemented automated monitoring systems for your identity services that capture the logs and audit information you need to evaluate risk. 이러한 시스템을 선제적으로 모니터링하여 잠재적인 정책 위반을 신속하게 탐지 및 완화하고, ID 인프라 변경 내용을 모니터링 전략에 적용해야 합니다.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure any changes to your identity infrastructure are reflected in your monitoring strategy.

위반 트리거 및 적용 작업Violation triggers and enforcement actions

ID 정책 위반은 중요한 데이터에 대한 무단 액세스로 이어질 수 있으며 중요 업무용 애플리케이션 및 서비스의 심각한 중단을 야기할 수 있습니다.Violations of identity policy can result in unauthorized access to sensitive data and lead to serious disruption of mission-critical application and services. 위반이 탐지되면 최대한 신속하게 정책을 다시 준수하도록 조치를 취해야 합니다.When violations are detected, you should take actions to realign with policy as soon as possible. IT 팀은 ID 기준 도구 체인에 설명된 도구를 사용하여 대부분의 위반 트리거를 자동화할 수 있습니다.Your IT team can automate most violation triggers using the tools outlined in the Identity Baseline toolchain.

트리거 및 적용 작업은은 모니터링 데이터를 사용하여 정책 위반을 해결하는 방법을 계획할 때 참조할 수 있는 예제를 제공합니다.The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • 의심 스러운 활동이 검색 됨: 익명 프록시 IP 주소에서 검색 한 사용자 로그인, 익숙하지 않은 위치에서 검색 된 사용자 로그인 또는 지리적으로 떨어져 있는 지리적 위치에서 연속 로그인을 통해 잠재적인 계정 위반 또는 악의적인 액세스 시도를 나타낼 수 있습니다.Suspicious activity detected: User logins detected from anonymous proxy IP addresses, unfamiliar locations, or successive logins from impossibly distant geographical locations may indicate a potential account breach or malicious access attempt. 사용자 ID를 확인하고 암호를 재설정할 때까지 로그인이 차단됩니다.Login will be blocked until user identity can be verified and password reset.
  • 누출 사용자 자격 증명: 사용자의 사용자 이름과 암호가 유출 된 계정은 사용자 id를 확인 하 고 암호를 다시 설정할 때까지 사용 하지 않도록 설정 됩니다.Leaked user credentials: Accounts that have their username and password leaked to the internet will be disabled until user identity can be verified and password reset.
  • 액세스 제어 부족 검색 됨: 액세스 제한이 보안 요구 사항을 충족 하지 않는 보호 된 자산은 리소스를 준수할 때까지 액세스가 차단 됩니다.Insufficient access controls detected: Any protected assets where access restrictions do not meet security requirements will have access blocked until the resource is brought into compliance.

다음 단계Next steps

Id 기준 규칙 템플릿을 사용 하 여 현재 클라우드 도입 계획에 맞는 프로세스 및 트리거를 문서화할 수 있습니다.Use the Identity Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

도입 계획에 따라 클라우드 관리 정책을 실행하는 방법에 대한 지침은 분야 개선에 대한 문서를 참조하세요.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.