ID 기준 분야 개선

ID 기준 분야는 애플리케이션 또는 워크로드를 호스트하는 클라우드 공급 기업에 관계 없이 사용자 ID의 일관성 및 연속성을 보장하는 정책을 설정하는 방법에 집중합니다. 클라우드 거 버 넌 스의 다섯 가지 분야에서, Id 기준 규칙에는 하이브리드 id 전략, id 리포지토리의 평가 및 확장, Single Sign-On 구현 (동일한 로그온), 무단 사용 또는 악의적인 행위자에 대 한 감사 및 모니터링과 관련 된 결정이 포함 됩니다. 경우에 따라 이 기준에는 여러 ID 공급 기업을 현대화 및 통합하는 결정도 포함될 수 있습니다.

이 문서에서는 ID 기준 분야를 더욱 효율적으로 개발하고 완성도를 높이기 위해 회사가 수행할 수 있는 몇 가지 작업을 간략하게 설명합니다. 이러한 작업은 클라우드 솔루션 구현의 계획, 구축, 채택 및 운영 단계로 나눌 수 있으며, 클라우드 거버넌스에 대한 점진적 접근 방식을 개발하는 과정에서 반복됩니다.

클라우드 거 버 넌 스에 대 한 증분 접근 방법 그림 1: 클라우드 거 버 넌 스에 대 한 증분 방식의 단계.

한 문서에서 모든 비즈니스의 요구 사항을 설명할 수는 없습니다. 따라서 이 문서에서는 거버넌스 완성 프로세스의 각 단계에서 권장되는 최소 활동과 수행할 가능성이 있는 활동의 예를 간략하게 설명합니다. 이러한 활동의 초기 목표는 정책 MVP 를 빌드하고 증분 정책 개선을 위한 프레임 워크를 설정 하는 데 도움을 주는 것입니다. 클라우드 거 버 넌 스 팀은 Id 기준 규칙을 개선 하기 위해 이러한 활동에 투자 하는 정도를 결정 해야 합니다.

주의

이 문서에 설명 된 최소 또는 잠재적인 활동은 특정 회사 정책이 나 타사 규정 준수 요구 사항에 부합 하지 않습니다. 이 지침은 클라우드 거버넌스 모델을 사용하여 두 요구 사항을 모두 충족하기 위한 논의를 원활하게 진행할 수 있도록 설계되었습니다.

계획 및 준비

이 거버넌스 완성 과정 단계에서는 서로 분리되어 있는 사업 결과와 실행 가능한 전략을 연결합니다. 이 프로세스에서는 리더십 팀이 특정 메트릭을 정의하여 디지털 자산에 매핑한 다음, 전반적인 마이그레이션 작업 계획을 시작합니다.

최소 제안 작업:

  • Id 기준 도구 체인 옵션을 평가 하 고 조직에 적합 한 하이브리드 전략을 구현 합니다.
  • 초안 아키텍처 지침 문서를 개발 하 고 주요 관련자에 게 배포 합니다.
  • 아키텍처 지침 개발의 영향을 받는 사용자와 팀을 교육하고 참여시킵니다.

잠재적 활동:

  • 클라우드에서 ID 및 액세스 관리를 제어하는 역할 및 할당을 정의합니다.
  • 온-프레미스 그룹을 정의하여 해당 클라우드 기반 역할에 매핑합니다.
  • 인벤토리 ID 공급 기업(사용자 지정 애플리케이션에서 사용되는 데이터베이스 기반 ID 포함).
  • 중복이 있는 id 공급자를 통합 하 고 통합 하 여 전체 id 솔루션을 단순화 하 고 위험을 줄입니다.
  • 기존 ID 공급 기업의 하이브리드 호환성을 평가합니다.
  • 하이브리드 호환성이 없는 ID 공급 기업의 경우 통합 옵션 또는 대체 옵션을 평가합니다.

빌드 및 배포 전

환경을 성공적으로 마이그레이션하려면 몇 가지 기술 및 비 기술적 필수 구성 요소가 필요 합니다. 이 프로세스는 의사 결정, 준비 및 마이그레이션을 진행하는 핵심 인프라에 중점을 둡니다.

최소 제안 작업:

  • Id 기준선 도구 체인을 구현 하기 전에 파일럿 테스트를 고려 하 여 가능한 한 사용자 환경을 단순화 합니다.
  • 파일럿 테스트에서 사전 배포에 피드백을 적용 합니다. 결과가 허용될 때까지 반복합니다.
  • 아키텍처 지침 문서를 업데이트 하 여 배포 및 사용자 채택 계획을 포함 하 고 주요 관련자에 게 배포 합니다.
  • 얼리어답터 프로그램을 설정하고 제한된 수의 사용자에게 롤아웃하는 것이 좋습니다.
  • 아키텍처 지침에서 영향을 가장 많이 받는 직원과 팀을 대상으로 지속적인 교육을 진행합니다.

잠재적 활동:

  • 논리적 및 물리적 아키텍처를 평가 하 고 하이브리드 id 전략을 결정 합니다.
  • 로그인 ID 할당과 같은 ID 액세스 관리 정책을 매핑하고, Azure AD의 적절한 인증 방법을 선택합니다.
    • 페더레이션한 경우 관리 계정에 대한 테넌트 제한을 사용하도록 설정합니다.
  • 온-프레미스 및 클라우드 디렉터리를 통합합니다.
  • 다음 액세스 모델을 사용하는 것이 좋습니다.
  • 모든 사전 통합 정보를 마무리 하 고 id 관리 및 액세스 제어 보안 모범 사례를 검토 합니다.
    • 원활한 SSO 라고도 하는 단일 id SSO (single sign-on)를 사용 하도록 설정 합니다.
    • 관리자에 대해 multi-factor authentication을 구성 합니다.
    • 필요한 경우 id 공급자를 통합 하거나 통합 합니다.
    • Id 관리를 중앙에서 관리 하는 데 필요한 도구를 구현 합니다.
    • JIT (just-in-time) 액세스 및 역할 변경 경고를 사용 하도록 설정 합니다.
    • 기본 제공 역할에 할당 하기 위한 주요 관리 활동의 위험 분석을 수행 합니다.
    • 모든 사용자에 대해 강력한 인증의 업데이트 된 롤아웃을 고려 합니다.
    • 추가 관리 역할에 대해 (PIM) for JIT (시간 제한 활성화 사용)를 Privileged Identity Management 사용 하도록 설정 합니다.
    • 관리자가 전자 메일을 실수로 열거나 전역 관리자 계정과 연결 된 프로그램을 실행 하지 않도록 하기 위해 전역 관리자 계정의 사용자 계정을 구분 합니다.

채택 및 마이그레이션

마이그레이션은 기존 디지털 자산의 애플리케이션이나 워크로드 이동, 테스트 및 도입에 중점을 두는 증분 방식 프로세스입니다.

최소 제안 작업:

  • Id 기준선 도구 체인 을 개발에서 프로덕션으로 마이그레이션합니다.
  • 아키텍처 지침 문서를 업데이트 하 고 주요 관련자에 게 배포 합니다.
  • 교육 자료와 설명서, 인식 커뮤니케이션, 인센티브 및 다른 프로그램을 개발하여 사용자의 채택을 촉진합니다.

잠재적 활동:

  • 배포 전 단계를 수행 하는 동안 정의 된 모범 사례가 올바르게 실행 되는지 확인 합니다.
  • 하이브리드 id 전략의 유효성을 검사 하 고 구체화 합니다.
  • 릴리스 전에 각 애플리케이션 또는 워크로드가 ID 전략에 적합한지 계속 확인합니다.
  • SSO(Single Sign-On) 및 원활한 SSO가 애플리케이션에 대해 예상 대로 작동하는지 확인합니다.
  • 대체 id 저장소의 수를 줄이거나 제거 합니다.
  • 모든 앱 내 또는 데이터베이스 내 ID 저장소의 필요성을 조사합니다. 적절한 ID 공급 기업(자사 또는 타사) 범위에 속하지 않는 ID는 애플리케이션 및 사용자에게 위험이 될 수 있습니다.
  • 온-프레미스 페더레이션된 애플리케이션에 대한 조건부 액세스를 사용하도록 설정합니다.
  • 지역 간 동기화를 사용하여 여러 허브의 글로벌 지역에 ID를 배포합니다.
  • 중앙 Azure Azure RBAC (역할 기반 액세스 제어) 페더레이션을 설정 합니다.

운영 및 구현 후

변환이 완료되면 애플리케이션이나 워크로드의 원래 수명 주기 동안 거버넌스와 관련 작업이 실행되어야 합니다. 이 거버넌스 완성 과정 단계에서는 일반적으로 솔루션이 구현되고 변환 주기가 안정화되기 시작한 후에 진행되는 활동을 중점적으로 수행합니다.

최소 제안 작업:

  • 조직의 변화 하는 요구에 따라 Id 기준선 도구 체인 을 사용자 지정 합니다.
  • 악의적인 위협 가능성에 대한 경고를 받을 수 있는 알림과 보고서를 자동화합니다.
  • 시스템 사용량 및 사용자 도입 진행률을 모니터링하고 보고합니다.
  • 배포 후 메트릭을 보고하여 관련자에게 배포합니다.
  • 아키텍처 지침을 구체화 하 여 향후 도입 프로세스를 안내 합니다.
  • 정기적으로 영향을 받는 팀과 통신하고 지속적으로 교육을 진행하여 아키텍처 지침을 계속 준수해야 합니다.

잠재적 활동:

  • ID 정책 및 준수 사례를 정기적으로 감사합니다.
  • 중요 한 사용자 계정 (예: 회사 임원 계정)이 multi-factor authentication 및 비정상적인 로그인 검색에 항상 사용 되는지 확인 합니다.
  • 악의적인 행위자 및 데이터 위반 특히, 잠재적인 관리자 계정 인수 같은 ID 사기와 관련된 행위를 정기적으로 검사합니다.
  • 모니터링 및 보고 도구를 구성합니다.
  • 사기 예방 및 보안 시스템과 더욱 긴밀하게 통합하는 것이 좋습니다.
  • 권한 상승된 사용자 또는 역할에 대한 액세스 권한을 정기적으로 검토합니다.
    • 관리자 권한을 활성화할 자격이 있는 모든 사용자를 식별합니다.
  • 온 보 딩, 오프 보 딩 및 자격 증명 업데이트 프로세스를 검토 합니다.
  • 높은 수준의 자동화 및 IAM(ID 액세스 관리) 모듈 간의 통신을 조사합니다.
  • 개발 보안 작업(DevSecOps) 방법을 구현하는 것이 좋습니다.
  • 비용, 보안 및 사용자 도입에 대 한 결과를 측정 하는 영향 분석을 수행 합니다.
  • 시스템에서 생성 된 메트릭의 변경 내용을 표시 하 고 하이브리드 id 전략의 비즈니스 영향을 예측 하는 영향 보고서를 주기적으로 생성 합니다.
  • Azure Security Center에서 권장되는 통합 모니터링을 설정합니다.

다음 단계

이제 클라우드 id 거 버 넌 스의 개념을 이해 했으므로 Id 기준 도구 체인 을 검토 하 여 azure 플랫폼에서 id 기준 규칙을 개발할 때 필요한 azure 도구 및 기능을 확인 합니다.