보안 제어 V2: ID 관리
참고
최신 Azure 보안 벤치마크는 여기에서 제공됩니다.
ID 관리는 Azure Active Directory를 사용하여 보안 ID 및 액세스 제어를 설정하기 위한 제어를 다룹니다. 여기에는 애플리케이션, 조건부 액세스 및 계정 변칙 모니터링을 위한 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 주체)의 사용이 포함됩니다.
적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: ID 관리를 참조하세요.
IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure AD(Azure Active Directory)는 Azure의 기본 ID 및 액세스 관리 서비스입니다. Azure AD를 표준화하여 다음 리소스에서 조직의 ID 및 액세스 관리를 관리해야 합니다.
Microsoft 클라우드 리소스(예: Azure Portal, Azure Storage, Azure Virtual Machines(Linux 및 Windows), Azure Key Vault, PaaS 및 SaaS 애플리케이션)
조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)
Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 Microsoft의 모범 사례 추천 사항과 관련하여 ID 보안 상태를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 추천 사항에 근접하게 일치하는 정도를 측정하고 보안 상태를 향상시킬 수 있습니다.
참고: Azure AD는 외부 ID 공급자를 지원하므로 Microsoft 계정이 없는 사용자가 외부 ID를 사용하여 애플리케이션 및 리소스에 로그인할 수 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
IM-2: 애플리케이션 ID를 안전하게 자동으로 관리
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-2 | 해당 없음 | AC-2, AC-3, IA-2, IA-4, IA-9 |
서비스 또는 자동화와 같은 사람이 아닌 계정의 경우 리소스에 액세스하거나 코드를 실행하기 위해 보다 강력한 사람 계정을 만드는 대신 Azure 관리 ID를 사용합니다. Azure 관리 ID는 Azure AD 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 소스 코드 또는 구성 파일에 자격 증명을 하드 코딩하는 것을 방지하기 위해 미리 정의된 액세스 권한 부여 규칙을 통해 인증을 사용할 수 있습니다.
관리 ID를 지원하지 않는 서비스의 경우 Azure AD를 사용하여 리소스 수준에서 제한된 권한을 가진 서비스 주체를 만듭니다. 인증서 자격 증명을 사용하여 서비스 사용자를 구성하고 클라이언트 암호를 대체하는 것이 좋습니다. 두 경우 모두 Azure 관리 ID와 함께 Azure Key Vault를 사용하므로 런타임 환경(예: Azure 함수)이 키 자격 증명 모음에서 자격 증명을 검색할 수 있습니다.
보안 주체 등록을 위해 Azure Key Vault 사용: authentication#authorize-a-security-principal-to-access-key-vault
책임: Customer
고객 보안 관련자(자세한 정보):
IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-3 | 4.4. | IA-2, IA-4 |
Azure AD는 Azure 리소스, 클라우드 애플리케이션 및 온-프레미스 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다. ID 및 액세스 관리는 직원과 같은 엔터프라이즈 ID는 물론 파트너, 공급자 및 공급자와 같은 외부 ID에도 적용됩니다.
Azure AD SSO(Single Sign-On)를 사용하여 온-프레미스 및 클라우드에서 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호합니다. 모든 사용자, 애플리케이션 및 디바이스를 Azure AD에 연결하여 원활하고 안전한 액세스와 향상된 가시성 및 제어를 제공합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
IM-4: 모든 Azure Active Directory 기반 액세스에 강력한 인증 제어 사용
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD는 MFA(다단계 인증)을 통한 강력한 인증 컨트롤 및 암호 없는 메서드를 지원합니다.
다단계 인증: Azure AD MFA를 사용하도록 설정하고 Azure Security Center의 "MFA 사용하도록 설정" 보안 제어의 권장 사항을 따릅니다. MFA는 로그인 조건 및 위험 요인에 따라 모든 사용자, 일부 사용자 또는 사용자 단위 수준에서 적용할 수 있습니다.
암호 없는 인증: 암호 없는 인증에서는 비즈니스용 Windows Hello, Microsoft Authenticator 앱 및 스마트 카드를 포함한 온-프레미스 인증 방법의 세 가지 옵션을 사용할 수 있습니다.
관리자 및 권한 있는 사용자의 경우 가장 높은 수준의 강력한 인증 방법을 사용하고 다른 사용자에게 적절하고 강력한 인증 정책을 롤아웃해야 합니다.
Azure AD 인증에 레거시 암호 기반 인증이 계속 사용되는 경우 클라우드 전용 계정(Azure에서 직접 만든 사용자 계정)에는 기본 기준 암호 정책이 있습니다. 그리고 하이브리드 계정(온-프레미스 Active Directory에서 가져온 사용자 계정)은 온-프레미스 암호 정책을 따릅니다. 암호 기반 인증을 사용하는 경우 Azure AD는 사용자가 추측하기 쉬운 암호를 설정하지 못하도록 하는 암호 보호 기능을 제공합니다. Microsoft는 원격 분석을 기반으로 업데이트되는 금지된 암호의 전역 목록을 제공하며 고객은 필요에 따라 목록을 늘릴 수 있습니다(예: 브랜딩, 문화적 참조 등). 이러한 암호 보호는 클라우드 전용 및 하이브리드 계정에 사용할 수 있습니다.
참고: 암호 자격 증명에만 기반한 인증은 일반적인 공격 방법에 취약합니다. 보안을 강화하려면 MFA 및 강력한 암호 정책과 같은 강력한 인증을 사용합니다. 기본 암호가 있을 수 있는 타사 애플리케이션 및 마켓플레이스 서비스의 경우 초기 서비스 설정 중에 암호를 변경해야 합니다.
책임: Customer
고객 보안 관련자(자세한 정보):
IM-5: 비정상 계정 활동 모니터링 및 경고
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD는 다음 데이터 원본을 제공합니다.
로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용 정보를 제공합니다.
감사 로그 - Azure AD의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통해 추적 기능을 제공합니다. 로그된 변경 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책의 추가 또는 제거가 있습니다.
위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.
이러한 데이터 원본은 Azure Monitor, Azure Sentinel 또는 타사 SIEM 시스템과 통합할 수 있습니다.
또한 Azure Security Center가 인증 시도 실패 횟수 제한을 초과한 경우나 구독에서 사용되지 않는 계정과 같은 의심스러운 특정 활동에 대해 경고할 수 있습니다.
Microsoft Defender for Identity는 온-프레미스 Active Directory 신호를 사용하여 지능형 위협, 손상된 ID 및 악의적인 내부 작업을 식별, 검색 및 조사할 수 있는 보안 솔루션입니다.
책임: Customer
고객 보안 관련자(자세한 정보):
IM-6: 조건에 따라 Azure 리소스 액세스 제한
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-6 | 해당 없음 | AC-2, AC-3 |
MFA 사용에 특정 IP 범위에서의 사용자 로그인을 요구하는 등 보다 세분화된 사용자 정의 조건 기반 액세스 제어를 위해서는 Azure AD 조건부 액세스를 사용합니다. 세분화된 인증 세션 관리는 다양한 사용 사례에 대한 Azure AD 조건부 액세스 정책을 통해 사용할 수도 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
IM-7: 의도하지 않은 자격 증명 노출 제거
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Azure DevOps 자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 더 안전한 위치(예: Azure Key Vault)로 이동하도록 추천합니다.
GitHub의 경우 기본 비밀 검사 기능을 사용하여 코드 내에서 자격 증명 또는 다른 형식의 비밀을 식별할 수 있습니다.
책임: Customer
고객 보안 관련자(자세한 정보):
IM-8: 레거시 애플리케이션에 대한 사용자 액세스 보호
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
레거시 애플리케이션과 애플리케이션이 저장 및 처리하는 데이터에 대한 최신 액세스 컨트롤 및 세션 모니터링이 있는지 확인합니다. VPN은 일반적으로 레거시 애플리케이션에 액세스하는 데 사용되지만, 기본 액세스 제어 및 제한된 세션 모니터링만 있는 경우가 많습니다.
Azure AD 애플리케이션 프록시를 사용하면 SSO(Single Sign-On)를 통해 원격 사용자에게 레거시 온-프레미스 애플리케이션을 게시하는 동시에 Azure AD 조건부 액세스를 통해 원격 사용자와 디바이스 모두의 신뢰성을 명시적으로 유효성 검사할 수 있습니다.
또는 Microsoft Defender for Cloud Apps 사용자의 애플리케이션 세션을 모니터링하고 작업을 차단하기 위한 제어를 제공할 수 있는 CASB(클라우드 액세스 보안 브로커) 서비스입니다(레거시 온-프레미스 애플리케이션 및 클라우드 SaaS(Software as a Service) 애플리케이션 모두).
책임: Customer
고객 보안 관련자(자세한 정보):