ID 및 액세스 관리Identity and access management

Id는 높은 비율의 보안 보증의 기반을 제공 합니다.Identity provides the basis of a large percentage of security assurance. 이를 통해 클라우드 서비스에서 ID 인증 및 권한 부여 제어를 기반으로 액세스하여 데이터 및 리소스를 보호하고 어느 요청을 허용할지 결정할 수 있습니다.It enables access based on identity authentication and authorization controls in cloud services to protect data and resources and to decide which requests should be permitted.

IAM(ID 및 액세스 관리)은 퍼블릭 클라우드의 경계 보안입니다.Identity and access management (IAM) is boundary security in the public cloud. 안전하고 완벽하게 준수하는 퍼블릭 클라우드 아키텍처의 기반으로 취급되어야 합니다.It must be treated as the foundation of any secure and fully compliant public cloud architecture. Azure는 조직에서 여기에 설명 된 대로 매우 안전 하 고 운영상 효율적인 환경을 만들 수 있도록 하는 포괄적인 서비스, 도구 및 참조 아키텍처 집합을 제공 합니다.Azure offers a comprehensive set of services, tools, and reference architectures to enable organizations to make highly secure, operationally efficient environments as outlined here.

이 섹션에서는 엔터프라이즈 환경의 IAM과 관련 된 설계 고려 사항 및 권장 사항을 검토 합니다.This section examines design considerations and recommendations related to IAM in an enterprise environment.

Id 및 액세스 관리가 필요한 이유Why we need identity and access management

기업의 기술 환경은 복잡 하 고 다른 유형의 됩니다.The technological landscape in the enterprise is becoming complex and heterogenous. 이 환경에 대 한 준수 및 보안을 관리 하기 위해 IAM은 적절 한 시간에 적절 한 시간에 적절 한 사용자가 적절 한 시간에 적절 한 리소스에 액세스할 수 있도록 합니다.To manage compliance and security for this environment, IAM enables the right individuals to access the right resources at the right time for the right reasons.

ID 및 액세스 관리 계획Plan for identity and access management

엔터프라이즈 조직은 일반적으로 운영 액세스에 대한 최소 권한 접근 방법을 따릅니다.Enterprise organizations typically follow a least-privileged approach to operational access. Azure AD (Azure Active Directory), azure RBAC (역할 기반 액세스 제어) 및 사용자 지정 역할 정의를 통해 Azure를 고려 하려면이 모델을 확장 해야 합니다.This model should be expanded to consider Azure through Azure Active Directory (Azure AD), Azure role-based access control (Azure RBAC), and custom role definitions. Azure에서 리소스에 대 한 제어 및 데이터 평면 액세스를 제어 하는 방법을 계획 하는 것이 중요 합니다.It's critical to plan how to govern control- and data-plane access to resources in Azure. IAM 및 Azure RBAC에 대 한 모든 디자인은 수용 하기 전에 규제, 보안 및 운영 요구 사항을 충족 해야 합니다.Any design for IAM and Azure RBAC must meet regulatory, security, and operational requirements before it can be accepted.

ID 및 액세스 관리는 ID 통합 및 기타 보안 고려 사항(예: 레거시 인증 차단, 최신 암호 계획)에 대한 신중한 계획을 포함하는 다단계 프로세스입니다.Identity and access management is a multistep process that involves careful planning for identity integration and other security considerations, such as blocking legacy authentication and planning for modern passwords. 또한 준비 계획에는 B2B 또는 B2C ID 및 액세스 관리를 선택하는 프로세스가 포함됩니다.Staging planning also involves selection of business-to-business or business-to-consumer identity and access management. 이러한 요구 사항은 다르지만 엔터프라이즈 랜딩 존에 대해 고려해야 하는 일반적인 디자인 고려 사항 및 권장 사항이 있습니다.While these requirements vary, there are common design considerations and recommendations to consider for an enterprise landing zone.

ID 및 액세스 관리를 보여 주는 다이어그램.

그림 1: Id 및 액세스 관리Figure 1: Identity and access management.

디자인 고려 사항:Design considerations:

  • IAM 및 거버넌스에 대한 프레임워크를 결정할 때 고려해야 하는 사용자 지정 역할 및 역할 할당 수에는 제한이 있습니다.There are limits around the number of custom roles and role assignments that must be considered when you lay down a framework around IAM and governance. 자세한 내용은 AZURE RBAC 서비스 제한을 참조 하세요.For more information, see Azure RBAC service limits.
  • 구독 당 역할 할당은 2000 개로 제한 됩니다.There's a limit of 2,000 role assignments per subscription.
  • 관리 그룹당 역할 할당은 500 개로 제한 됩니다.There's a limit of 500 role assignments per management group.
  • 중앙 집중화 및 페더레이션된 리소스 소유권:Centralized versus federated resource ownership:
    • 공유 리소스 또는 네트워크와 같은 보안 경계를 구현하거나 적용하는 환경의 모든 측면이 중앙에서 관리되어야 합니다.Shared resources or any aspect of the environment that implements or enforces a security boundary, such as the network, must be managed centrally. 이 요구 사항은 많은 규제 프레임워크의 일부입니다.This requirement is part of many regulatory frameworks. 기밀 또는 중요한 비즈니스 리소스에 대한 액세스를 부여하거나 거부하는 모든 조직에서 표준 관행입니다.It's standard practice for any organization that grants or denies access to confidential or critical business resources.
    • 보안 경계를 위반하지 않는 애플리케이션 리소스 또는 보안 및 규정 준수를 유지하는 데 필요한 기타 측면에 대한 관리를 애플리케이션 팀에 위임할 수 있습니다.Managing application resources that don't violate security boundaries or other aspects required to maintain security and compliance can be delegated to application teams. 사용자가 안전하게 관리되는 환경 내에서 리소스를 프로비전할 수 있도록 하면 조직은 중요한 보안 또는 거버넌스 경계 위반을 방지하면서 클라우드의 Agile 특성을 활용할 수 있습니다.Allowing users to provision resources within a securely managed environment allows organizations to take advantage of the agile nature of the cloud while preventing the violation of any critical security or governance boundary.
    • 중앙 집중화 되거나 페더레이션 된 리소스 소유권의 정의에 따라 사용자 지정 역할은 다를 수 있습니다.Depending on the definition of the centralized or federated resource ownership, custom roles might differ. 중앙 리소스 소유권에 대 한 사용자 지정 역할은 제한 되며 책임 모델에 따라 추가 권한이 필요할 수 있습니다.The custom roles for the centralized resource ownership are limited and might need additional rights depending on the responsibility model. 예를 들어 일부 조직에서는 NetOps 역할이 글로벌 연결을 관리 하 고 구성 해야 할 수 있습니다.For example, in some organizations a NetOps role might only need to manage and configure global connectivity. 그러나 보다 중앙 집중화 된 방법이 필요한 다른 조직의 경우, NetOps 역할은 허브 및 스포크와 같은 피어 링 beetween 만들기와 같이 허용 되는 더 많은 작업을 보강 해야 합니다.But in other organizations that need a more centralized approach, the NetOps role needs to be enriched with more allowed actions like creating peering beetween the hub and the spokes.

디자인 권장 사항:Design recommendations:

  • AZURE RBAC 를 사용 하 여 리소스에 대 한 데이터 평면 액세스를 관리할 수 있습니다 (가능한 경우).Use Azure RBAC to manage data-plane access to resources, where possible. 예를 들면 Azure Key Vault, 스토리지 계정 또는 SQL 데이터베이스입니다.Examples are Azure Key Vault, a storage account, or a SQL database.
  • Azure 환경에 대한 권한이 있는 모든 사용자에게 Azure AD 조건부 액세스 정책을 배포합니다.Deploy Azure AD conditional-access policies for any user with rights to Azure environments. 이렇게 하면 제어된 Azure 환경을 무단 액세스로부터 보호하는 데 도움이 되는 또 하나의 메커니즘이 확보됩니다.Doing so provides another mechanism to help protect a controlled Azure environment from unauthorized access.
  • Azure 환경에 대 한 권한이 있는 모든 사용자에 대해 multi-factor authentication을 적용 합니다.Enforce multi-factor authentication for any user with rights to the Azure environments. 다단계 인증 적용은 많은 준수 프레임워크의 요구 사항 중 하나입니다.Multi-factor authentication enforcement is a requirement of many compliance frameworks. 이를 통해 자격 증명 도난 및 무단 액세스의 위험을 크게 줄일 수 있습니다.It greatly lowers the risk of credential theft and unauthorized access.
  • Azure AD Privileged Identity Management (PIM) 를 사용 하 여 0으로의 액세스 및 최소 권한을 설정 합니다.Use Azure AD Privileged Identity Management (PIM) to establish zero standing access and least privilege. 조직의 역할을 필요한 최소 수준 액세스에 매핑합니다.Map your organization's roles to the minimum level of access needed. Azure AD PIM은 기존 도구 및 프로세스의 확장 이거나, 설명 된 대로 Azure 네이티브 도구를 사용 하거나, 필요에 따라 둘 다 사용할 수 있습니다.Azure AD PIM can either be an extension of existing tools and processes, use Azure native tools as outlined, or use both as needed.
  • 리소스에 대한 액세스 권한을 부여하는 경우 Azure AD PIM의 Azure 컨트롤 플레인 리소스에 Azure AD 전용 그룹을 사용합니다.Use Azure-AD-only groups for Azure control-plane resources in Azure AD PIM when you grant access to resources.
    • 그룹 관리 시스템이 이미 있는 경우 온-프레미스 그룹을 Azure AD 전용 그룹에 추가합니다.Add on-premises groups to the Azure-AD-only group if a group management system is already in place.
  • Azure AD PIM 액세스 검토를 사용하여 정기적으로 리소스 자격을 검증합니다.Use Azure AD PIM access reviews to periodically validate resource entitlements. 액세스 검토는 많은 규정 준수 프레임워크의 일부입니다.Access reviews are part of many compliance frameworks. 따라서 많은 조직에는이 요구 사항을 해결 하기 위한 프로세스가 이미 있습니다.As a result, many organizations will already have a process in place to address this requirement.
  • Azure AD 로그를 플랫폼 중심 Azure Monitor와 통합 합니다.Integrate Azure AD logs with the platform-central Azure Monitor. Azure Monitor를 사용하면 Azure의 로그 및 모니터링 데이터에 대한 단일 원본을 얻을 수 있습니다. 이는 조직에게 로그 수집 및 보존에 대한 요구 사항을 충족할 수 있는 클라우드 네이티브 옵션을 제공합니다.Azure Monitor allows for a single source of truth around log and monitoring data in Azure, which gives organizations cloud-native options to meet requirements around log collection and retention.
  • 데이터 주권 요구 사항이 있는 경우 사용자 지정 사용자 정책을 배포하여 이를 적용할 수 있습니다.If any data sovereignty requirements exist, custom user policies can be deployed to enforce them.
  • 다음 주요 역할을 고려 하는 동안 Azure AD 테 넌 트 내에서 사용자 지정 역할 정의를 사용 합니다.Use custom role definitions within the Azure AD tenant while you consider the following key roles:
역할Role 사용량Usage 동작Actions 작업 없음No actions
Azure platform owner (예: 기본 제공 소유자 역할)Azure platform owner (such as the built-in Owner role) 관리 그룹 및 구독 수명 주기 관리Management group and subscription lifecycle management *
네트워크 관리 (NetOps)Network management (NetOps) 플랫폼 전체의 글로벌 연결 관리: 가상 네트워크, UDRs, NSGs, Nva, VPN, Azure Express 경로 및 기타Platform-wide global connectivity management: Virtual networks, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute, and others */read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/**/read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
보안 작업 (SecOps)Security operations (SecOps) 전체 Azure 공간 및 Azure Key Vault 제거 정책 전체에서 가로 보기를 사용 하는 보안 관리자 역할Security administrator role with a horizontal view across the entire Azure estate and the Azure Key Vault purge policy */read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/**/read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/*
구독 소유자Subscription owner 구독 소유자 역할에서 파생 된 구독 소유자에 대 한 위임 된 역할Delegated role for subscription owner derived from subscription Owner role * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
응용 프로그램 소유자 (DevOps/AppOps)Application owners (DevOps/AppOps) 리소스 그룹 수준에서 응용 프로그램/운영 팀에 대해 참가자 역할을 부여 합니다.Contributor role granted for application/operations team at resource group level * Microsoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/actionMicrosoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/action
  • 모든 IaaS(Infrastructure as a Service) 리소스에 Azure Security Center Just-In-Time 액세스를 사용하여 IaaS 가상 머신에 대한 임시 사용자 액세스에 네트워크 수준 보호를 사용하도록 설정합니다.Use Azure Security Center just-in-time access for all infrastructure as a service (IaaS) resources to enable network-level protection for ephemeral user access to IaaS virtual machines.
  • Azure 리소스에 대한 Azure AD 관리 ID를 사용하여 사용자 이름 및 암호를 기반으로 한 인증을 방지합니다.Use Azure AD managed identities for Azure resources to avoid authentication based on user names and passwords. 퍼블릭 클라우드 리소스에서 많은 보안 위반이 코드 또는 기타 텍스트 원본에 포함된 자격 증명의 도난으로 시작되기 때문에 프로그래밍 방식 액세스를 위해 관리 ID를 적용하면 자격 증명 도난 위험을 크게 줄일 수 있습니다.Because many security breaches of public cloud resources originate with credential theft embedded in code or other text sources, enforcing managed identities for programmatic access greatly reduces the risk of credential theft.
  • 관리자 액세스 권한이 필요한 자동화 Runbook에 권한 있는 ID를 사용합니다.Use privileged identities for automation runbooks that require elevated access permissions. 중요 한 보안 경계를 위반 하는 자동화 된 워크플로는 동일한 도구 및 정책 사용자가 관리 해야 합니다.Automated workflows that violate critical security boundaries should be governed by the same tools and policies users of equivalent privilege are.
  • 사용자를 Azure 리소스 범위에 직접 추가하지 마세요.Don't add users directly to Azure resource scopes. 대신 정의 된 역할에 사용자를 추가 합니다. 그러면 리소스 범위에 할당 됩니다.Instead add users to defined roles, which are then assigned to resource scopes. 직접 사용자 할당은 중앙 관리를 우회 하 여 제한 된 데이터에 대 한 무단 액세스를 방지 하는 데 필요한 관리를 크게 향상 시킵니다.Direct user assignments circumvent centralized management, greatly increasing the management required to prevent unauthorized access to restricted data.

랜딩 존 내부 인증 계획Plan for authentication inside a landing zone

Azure를 채택할 때 엔터프라이즈 조직에서 수행해야 하는 중요한 디자인 결정은 기존 온-프레미스 ID 도메인을 Azure로 확장할지 아니면 새 도메인을 만들지 여부입니다.A critical design decision that an enterprise organization must make when adopting Azure is whether to extend an existing on-premises identity domain into Azure or to create a brand new one. 랜딩 존 내부 인증에 대한 요구 사항은 철저하게 평가되고 Windows Server, Azure AD DS(Azure AD Domain Services) 또는 둘 다에서 AD DS(Active Directory Domain Services)를 배포하기 위한 계획으로 통합되어야 합니다.Requirements for authentication inside the landing zone should be thoroughly assessed and incorporated into plans to deploy Active Directory Domain Services (AD DS) in Windows Server, Azure AD Domain Services (Azure AD DS), or both. 대부분의 Azure 환경에서는 적어도 Azure 패브릭 인증 및 AD DS 로컬 호스트 인증과 그룹 정책 관리에 Azure AD를 사용합니다.Most Azure environments will use at least Azure AD for Azure fabric authentication and AD DS local host authentication and group policy management.

디자인 고려 사항:Design considerations:

  • 랜딩 존 내에 배포된 리소스를 관리하기 위한 위임된 중앙 집중식 책임을 고려합니다.Consider centralized and delegated responsibilities to manage resources deployed inside the landing zone.
  • 도메인 서비스에 의존 하 고 이전 프로토콜을 사용 하는 응용 프로그램은 Azure AD DS를 사용할 수 있습니다.Applications that rely on domain services and use older protocols can use Azure AD DS.

디자인 권장 사항:Design recommendations:

  • 위임된 중앙 집중식 책임을 사용하여 역할 및 보안 요구 사항에 따라 랜딩 존 내에 배포된 리소스를 관리합니다.Use centralized and delegated responsibilities to manage resources deployed inside the landing zone based on role and security requirements.
  • 서비스 주체 개체 만들기, Azure AD에 애플리케이션 등록, 인증서 또는 와일드카드 인증서 확보 및 처리 등 권한 있는 작업에는 특별한 권한이 필요합니다.Privileged operations such as creating service principal objects, registering applications in Azure AD, and procuring and handling certificates or wildcard certificates require special permissions. 어느 사용자가 이러한 요청을 처리할지와 필요한 실사 수준을 사용하여 계정을 보호하고 모니터링하는 방법을 고려합니다.Consider which users will be handling such requests and how to secure and monitor their accounts with the degree of diligence required.
  • Windows 통합 인증을 사용 하는 응용 프로그램을 Azure AD를 통해 원격으로 액세스 해야 하는 시나리오를 조직에서 사용 하는 경우 azure AD 응용 프로그램 프록시를 사용 하는 것이 좋습니다.If an organization has a scenario where an application that uses integrated Windows authentication must be accessed remotely through Azure AD, consider using Azure AD Application Proxy.
  • Azure AD, Azure AD DS, Windows Server에서 실행 되는 AD DS 간에는 차이가 있습니다.There's a difference between Azure AD, Azure AD DS, and AD DS running on Windows Server. 애플리케이션 요구 사항을 평가하고 각 애플리케이션에서 사용할 인증 공급자를 이해하고 문서화합니다.Evaluate your application needs, and understand and document the authentication provider that each one will be using. 모든 애플리케이션에 맞게 계획합니다.Plan accordingly for all applications.
  • Windows Server 기반 AD DS 및 Azure AD DS를 위한 워크로드 호환성을 평가합니다.Evaluate the compatibility of workloads for AD DS on Windows Server and for Azure AD DS.
  • 네트워크 설계에서 로컬 인증 및 관리를 위해 Windows Server에서 AD DS 필요한 리소스를 적절 한 도메인 컨트롤러에 액세스할 수 있도록 합니다.Ensure your network design allows resources that require AD DS on Windows Server for local authentication and management to access the appropriate domain controllers.
    • Windows Server 기반 AD DS의 경우 보다 큰 규모의 엔터프라이즈 수준 네트워크 컨텍스트에서 로컬 인증 및 호스트 관리를 제공하는 공유 서비스 환경을 고려합니다.For AD DS on Windows Server, consider shared services environments that offer local authentication and host management in a larger enterprise-wide network context.
  • 이 서비스는 하나의 구독에만 프로젝션될 수 있으므로 주 지역 내에 Azure AD DS를 배포합니다.Deploy Azure AD DS within the primary region because this service can only be projected into one subscription.
  • Azure 서비스에 대한 인증에 서비스 주체 대신 관리 ID를 사용합니다.Use managed identities instead of service principals for authentication to Azure services. 이 방법을 사용하면 자격 증명 도난 위험을 줄일 수 있습니다.This approach reduces exposure to credential theft.