Azure Identity Management 및 액세스 제어 보안 모범 사례Azure Identity Management and access control security best practices

이 문서에서는 Azure ID 관리 및 액세스 제어 보안 모범 사례 컬렉션에 대해 설명합니다.In this article, we discuss a collection of Azure identity management and access control security best practices. 이러한 모범 사례는 Azure AD에 대한 Microsoft의 경험 그리고 여러분 같은 고객의 경험에서 얻은 것입니다.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

각 모범 사례에 대해 다음과 같이 설명합니다.For each best practice, we explain:

  • 각 모범 사례What the best practice is
  • 해당 모범 사례를 사용해야 하는 이유Why you want to enable that best practice
  • 해당 모범 사례를 사용하지 않을 경우에 발생할 수 있는 결과What might be the result if you fail to enable the best practice
  • 해당 모범 사례를 대체할 수 있는 대안Possible alternatives to the best practice
  • 해당 모범 사례를 사용하는 방법을 알아보는 방법How you can learn to enable the best practice

이 Azure ID 관리 및 액세스 제어 보안 모범 사례 문서는 이 문서가 작성될 당시의 합의된 의견과 Azure 플랫폼 기능 및 특징 집합을 기반으로 합니다.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written.

이 문서는 핵심 기능과 서비스를 안내하는 “ID 인프라를 보호하는 5단계”에 따라 솔루션을 배포한 후 보다 강력한 보안 태세를 갖출 수 있도록 일반적인 로드맵을 제공하기 위해 작성되었습니다.The intention in writing this article is to provide a general roadmap to a more robust security posture after deployment guided by our “5 steps to securing your identity infrastructure” checklist, which walks you through some of our core features and services.

이 문서는 시간이 지남에 따라 변화하는 의견 및 기술을 반영하도록 주기적으로 업데이트 됩니다.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

이 문서에서 설명하는 Azure Identity Management 및 액세스 제어 보안 모범 사례는 다음과 같습니다.Azure identity management and access control security best practices discussed in this article include:

  • 기본 보안 경계로 ID 처리Treat identity as the primary security perimeter
  • ID 관리 중앙 집중화Centralize identity management
  • 연결된 테넌트 관리Manage connected tenants
  • Single Sign-On 사용Enable single sign-on
  • 조건부 액세스 설정Turn on Conditional Access
  • 정기 보안 강화 계획Plan for routine security improvements
  • 암호 관리 사용Enable password management
  • 사용자에 대한 다단계 인증 적용Enforce multi-factor verification for users
  • 역할 기반 액세스 제어 사용Use role-based access control
  • 권한 있는 계정의 낮은 노출Lower exposure of privileged accounts
  • 리소스가 있는 위치 제어Control locations where resources are located
  • 스토리지 인증에 Azure AD 사용Use Azure AD for storage authentication

기본 보안 경계로 ID 처리Treat identity as the primary security perimeter

다수가 ID를 보안에 대한 기본 경계라고 간주합니다.Many consider identity to be the primary perimeter for security. 기존 네트워크 보안에서 집중한 부분에서 전환되었습니다.This is a shift from the traditional focus on network security. 네트워크 경계에 더 많은 더 구멍이 생기고, 해당 경계 방어가 BYOD 디바이스 및 클라우드 애플리케이션이 급증하기 전처럼 효과적일 수 없습니다.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

Azure AD(Azure Active Directory)는 ID 및 액세스 관리를 위한 Azure 솔루션입니다.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD는 Microsoft의 다중 테넌트 클라우드 기반 디렉터리 및 ID 관리 서비스입니다.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. 여기에서는 핵심 디렉터리 서비스, 애플리케이션 액세스 관리 및 ID 보호를 하나의 솔루션으로 결합합니다.It combines core directory services, application access management, and identity protection into a single solution.

다음 섹션에서는 Azure AD를 사용하여 ID 및 액세스 보안에 대한 모범 사례를 나열합니다.The following sections list best practices for identity and access security using Azure AD.

모범 사례: 보안 컨트롤 및 검색을 중심으로 사용자 및 서비스 ID를 관리합니다.Best practice: Center security controls and detections around user and service identities. 세부 정보: Azure AD를 사용하여 컨트롤과 ID를 배치합니다.Detail: Use Azure AD to collocate controls and identities.

ID 관리 중앙 집중화Centralize identity management

하이브리드 ID 시나리오에서 온-프레미스와 클라우드 디렉터리를 통합하는 것이 좋습니다.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. 이렇게 통합하면 IT 팀이 계정을 만든 위치에 관계 없이 한 위치에서 계정을 관리할 수 있습니다.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. 또한 통합을 통해 클라우드 및 온-프레미스 리소스에 모두 액세스할 수 있는 공통 ID를 제공하여 사용자의 생산성을 높일 수 있습니다.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

모범 사례: 단일 Azure AD 인스턴스를 설정합니다.Best practice: Establish a single Azure AD instance. 일관성과 신뢰할 수 있는 단일 소스는 명확성을 높이고 사용자 오류와 복잡한 구성으로 인한 보안 위험을 줄입니다.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. 세부 정보: 단일 Azure AD 디렉터리를 회사 및 조직 계정의 신뢰할 수 있는 원본으로 지정합니다.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

모범 사례: Azure AD와 온-프레미스 디렉터리를 통합합니다.Best practice: Integrate your on-premises directories with Azure AD.
세부 정보: Azure AD Connect를 사용하여 온-프레미스 디렉터리를 클라우드 디렉터리와 동기화합니다.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

참고

Azure AD Connect의 성능에 영향을 주는 주요 요소가 있습니다.There are factors that affect the performance of Azure AD Connect. 성능이 떨어지는 시스템 때문에 보안과 생산성이 저하되는 일이 없도록 Azure AD Connect의 용량을 충분히 확보해야 합니다.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. 대규모 또는 복잡한 조직(개체를 100,000개 넘게 프로비저닝하는 조직)은 권장 사항에 따라 Azure AD Connect 구현을 최적화해야 합니다.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

모범 사례: 기존 Active Directory 인스턴스에서 높은 권한이 있는 Azure AD와 계정을 동기화하지 마세요.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. 세부 정보: 이러한 계정을 필터링하는 기본 Azure AD Connect 구성을 변경하지 마세요.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. 이 구성은 악의적 사용자가 클라우드 자산에서 온-프레미스 자산으로의 피벗하는 위험(이로 인해 심각한 사고가 발생할 수 있음)을 완화합니다.This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

모범 사례: 암호 해시 동기화를 켭니다.Best practice: Turn on password hash synchronization.
세부 정보: 암호 해시 동기화는 온-프레미스 Active Directory 인스턴스에서 클라우드 기반 Azure AD 인스턴스로 사용자 암호 해시를 동기화하는 데 사용되는 기능입니다.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. 이 동기화는 이전 공격에서 유출된 자격 증명이 재생되지 않도록 방지하는 데 도움이 됩니다.This sync helps to protect against leaked credentials being replayed from previous attacks.

AD FS(Active Directory Federation Service) 또는 다른 ID 공급자에서 페더레이션을 사용하도록 결정한 경우에도 온-프레미스 서버가 실패하거나 일시적으로 사용할 수 없게 되므로 필요에 따라 암호 해시 동기화를 백업으로 설정할 수 있습니다.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. 이렇게 동기화하면 사용자가 온-프레미스 Active Directory 인스턴스에 로그인하는 데 사용하는 것과 동일한 암호를 사용하여 서비스에 로그인할 수 있습니다.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. 또한 사용자가 Azure AD에 연결되지 않은 다른 서비스에서 동일한 이메일 주소와 암호를 사용하면 Identity Protection에서 동기화된 암호 해시를 손상된 것으로 알려진 암호와 비교하여 손상된 자격 증명을 감지할 수 있습니다.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

자세한 내용은 Azure AD Connect 동기화를 사용하여 암호 해시 동기화 구현을 참조하세요.For more information, see Implement password hash synchronization with Azure AD Connect sync.

모범 사례: 새 애플리케이션을 개발하는 경우 인증에 Azure AD를 사용합니다.Best practice: For new application development, use Azure AD for authentication. 세부 정보: 올바른 기능을 사용하여 인증을 지원합니다.Detail: Use the correct capabilities to support authentication:

  • 직원용 Azure ADAzure AD for employees
  • 게스트 사용자 및 외부 파트너를 위한 Azure AD B2BAzure AD B2B for guest users and external partners
  • 고객이 애플리케이션을 사용할 때 자신의 프로필을 가입하고 로그인하고 관리하는 방법을 제어하는 Azure AD B2CAzure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

클라우드 ID와 해당 온-프레미스 ID를 통합하지 않는 조직은 계정을 관리하는 데 추가 오버헤드가 발생할 수 있습니다.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. 이 오버헤드는 실수 및 보안 위반의 가능성을 증가시킵니다.This overhead increases the likelihood of mistakes and security breaches.

참고

중요한 계정이 상주할 디렉터리와 사용하는 관리자 워크스테이션을 새 클라우드 서비스에서 관리할 것인지 아니면 기존 프로세스에서 관리할 것인지 선택해야 합니다.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. 기존 관리 및 ID 프로비저닝 프로세스를 사용하면 일부 위험을 줄일 수 있지만, 공격자가 온-프레미스 계정을 손상시키고 클라우드로 피벗할 위험이 생길 수도 있습니다.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. 역할에 따라 다른 전략을 사용해야 합니다. 예를 들어 IT 관리자와 사업부 관리자는 서로 다른 전략을 사용해야 합니다.You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). 두 가지 옵션이 있습니다.You have two options. 첫 번째 옵션은 온-프레미스 Active Directory 인스턴스와 동기화되지 않는 Azure AD 계정을 만드는 것입니다.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. 관리자 워크스테이션을 Azure AD에 조인하면 Microsoft Intune을 사용하여 관리하고 패치할 수 있습니다.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. 두 번째 옵션은 온-프레미스 Active Directory 인스턴스와 동기화하여 기존 관리자 계정을 사용하는 것입니다.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. 관리 및 보안을 위해 Active Directory 도메인에서 기존 워크스테이션을 사용합니다.Use existing workstations in your Active Directory domain for management and security.

연결된 테넌트 관리Manage connected tenants

보안 조직에서는 위험을 평가하고 조직의 정책 및 규정 요구 사항이 준수되고 있는지 확인하기 위한 가시성이 필요합니다.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. 보안 조직에서는 Azure ExpressRoute 또는 사이트 간 VPN을 통해 프로덕션 환경 및 네트워크에 연결된 모든 구독 관련 정보를 볼 수 있어야 합니다.You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). Azure AD의 전역 관리자/회사 관리자사용자 액세스 관리자 역할에 대한 액세스 권한을 높일 수 있으며 환경에 연결된 모든 구독과 관리 그룹을 볼 수 있습니다.A Global Administrator/Company Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

환경에 연결된 모든 구독 또는 관리 그룹을 사용자와 보안 그룹이 볼 수 있게 하려면 모든 Azure 구독 및 관리 그룹을 관리하는 액세스 권한 상승을 참조하세요.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. 위험을 평가한 후에는 상승된 액세스 권한을 제거해야 합니다.You should remove this elevated access after you’ve assessed risks.

Single Sign-On 사용Enable single sign-on

사용자가 어디서나 언제나 생산성을 높일 수 있도록 모바일 우선, 클라우드 우선 환경에서 디바이스, 앱 및 서비스에 SSO(Single Sign-On)를 사용할 수 있도록 합니다.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. 관리할 ID 솔루션이 여러 개인 경우 이는 IT뿐만 아니라 여러 암호를 기억해야 하는 사용자에게도 관리 문제가 될 수 있습니다.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

모든 앱 및 리소스에 동일한 ID 솔루션을 사용하여 SSO를 설정할 수 있습니다.By using the same identity solution for all your apps and resources, you can achieve SSO. 사용자가 리소스가 온-프레미스 또는 클라우드에 있는지와 관계 없이 동일한 자격 증명 집합을 사용하여 로그인하고 필요한 리소스에 액세스할 수 있습니다.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

모범 사례: SSO를 사용하도록 설정합니다.Best practice: Enable SSO.
세부 정보: Azure AD는 온-프레미스 Active Directory를 클라우드로 확장합니다.Detail: Azure AD extends on-premises Active Directory to the cloud. 사용자가 작업을 수행하는 데 필요한 도메인에 조인된 디바이스, 회사 리소스 및 모든 웹 및 SaaS 애플리케이션에 대해 해당하는 기본 회사 또는 학교 계정을 사용할 수 있습니다.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. 사용자는 여러 사용자 이름과 암호들을 기억할 필요가 없고, 사용자의 애플리케이션 액세스는 조직 그룹 구성원 혹은 구성원의 상태에 따라 자동으로 프로비전되거나 프로비전이 해제될 수 있습니다.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. 그리고 Azure AD Application Proxy를 통해 개발 및 게시된 사용자 고유의 온-프레미스 앱이나 갤러리 앱에 대한 액세스를 제어할 수 있습니다.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

SSO를 사용하여 사용자가 Azure AD에서 회사 또는 학교 계정을 기반으로 해당 SaaS 애플리케이션에 액세스할 수 있습니다.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. 이 방법은 Microsoft SaaS 앱뿐만 아니라 Google AppsSalesforce 등 다른 앱에도 적용할 수 있습니다.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. Azure AD를 SAML 기반 ID 공급자로 사용하도록 애플리케이션을 구성할 수 있습니다.You can configure your application to use Azure AD as a SAML-based identity provider. 보안 컨트롤인 Azure AD는 Azure AD를 통해 액세스 권한을 부여한 경우가 아니면 사용자가 애플리케이션에 로그인하도록 허용하는 토큰을 발급하지 않습니다.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. 직접적으로 또는 사용자가 멤버인 그룹을 통해 액세스를 부여할 수 있습니다.You can grant access directly, or through a group that users are a member of.

사용자 및 애플리케이션에 대해 SSO를 설정하는 일반 ID를 만들지 않는 조직은 사용자에게 여러 개의 암호가 있는 시나리오에 더 많이 노출됩니다.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. 이러한 시나리오에서는 사용자가 암호를 다시 사용하거나 취약한 암호를 사용할 가능성이 높아집니다.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

조건부 액세스 설정Turn on Conditional Access

사용자가 다양한 디바이스와 앱을 사용하여 어디서나 조직의 리소스에 액세스할 수 있습니다.Users can access your organization's resources by using a variety of devices and apps from anywhere. IT 관리자는 이러한 디바이스가 보안 및 규정 준수에 대한 표준을 충족하게 만들어야 합니다.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. 리소스에 액세스할 수 있는 사용자에게만 초점을 맞추는 것은 더 이상 충분하지 않습니다.Just focusing on who can access a resource is not sufficient anymore.

보안과 생산성 간에 적절한 균형을 유지하려면 액세스 제어를 결정하기 전에 리소스 액세스 방법을 먼저 고민해야 합니다.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. Azure AD 조건부 액세스를 사용하면 이 요구 사항을 처리할 수 있습니다.With Azure AD Conditional Access, you can address this requirement. 조건부 액세스를 사용하면 클라우드 앱의 액세스 조건에 따라 자동으로 액세스 제어를 결정하는 시스템을 만들 수 있습니다.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

모범 사례: 회사 리소스에 대한 액세스를 관리 및 제어합니다.Best practice: Manage and control access to corporate resources.
세부 정보: SaaS 앱과 Azure AD가 연결하는 앱의 그룹, 위치 및 애플리케이션 민감도에 따라 공통 Azure AD 조건부 액세스 정책을 구성합니다.Detail: Configure common Azure AD Conditional Access policies based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

모범 사례: 레거시 인증 프로토콜을 차단합니다.Best practice: Block legacy authentication protocols. 세부 정보: 공격자는 매일 오래된 프로토콜의 취약점을 악용하며, 특히 암호 스프레이 공격을 시도합니다.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. 레거시 프로토콜을 하단하는 조건부 액세스를 구성하세요.Configure Conditional Access to block legacy protocols.

정기 보안 강화 계획Plan for routine security improvements

보안은 항상 진화하고 있으며, 클라우드 및 ID 관리 프레임워크에서 주기적으로 발전 상태를 보여주고 환경을 보호하는 새로운 방법을 검색할 수 있는 수단을 구축하는 것이 중요합니다.Security is always evolving, and it is important to build into your cloud and identity management framework a way to regularly show growth and discover new ways to secure your environment.

ID 보안 점수는 Microsoft에서 게시하는 권장 보안 컨트롤 세트로, 보안 상태를 객관적으로 측정하고 향후 보안 개선 방안을 계획하는 데 도움이 되는 숫자 점수를 제공합니다.Identity Secure Score is a set of recommended security controls that Microsoft publishes that works to provide you a numerical score to objectively measure your security posture and help plan future security improvements. 다른 산업의 점수와 비교하고 시간에 따른 추세를 살펴볼 수도 있습니다.You can also view your score in comparison to those in other industries as well as your own trends over time.

모범 사례: 해당 산업의 모범 사례에 따라 일상적인 보안 점검 및 개선 방안을 계획합니다.Best practice: Plan routine security reviews and improvements based on best practices in your industry. 세부 정보: ID 보안 점수 기능을 사용하여 개선 방안의 우선 순위를 결정합니다.Detail: Use the Identity Secure Score feature to rank your improvements over time.

암호 관리 사용Enable password management

테넌트가 여럿이거나 사용자가 자신의 암호를 재설정할 수 있도록 하려는 경우 남용을 방지하기 위해 적절한 보안을 사용해야 합니다.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

모범 사례: 사용자에 대해 SSPR(셀프 서비스 암호 재설정)을 설정합니다.Best practice: Set up self-service password reset (SSPR) for your users.
세부 정보: Azure AD 셀프 서비스 암호 재설정 기능을 사용합니다.Detail: Use the Azure AD self-service password reset feature.

모범 사례: SSPR을 실제로 사용하는 방법 또는 그러한 경우를 모니터링합니다.Best practice: Monitor how or if SSPR is really being used.
세부 정보: Azure AD 암호 재설정 등록 작업 보고서를 사용하여 등록하는 사용자를 모니터링합니다.Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. Azure AD에서 제공하는 보고 기능은 미리 작성된 보고서를 사용하여 질문에 대답하도록 도와줍니다.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. 적절히 라이선스를 받은 경우 사용자 지정 쿼리를 만들 수도 있습니다.If you're appropriately licensed, you can also create custom queries.

모범 사례: 클라우드 기반 암호 정책을 온-프레미스 인프라로 확장합니다.Best practice: Extend cloud-based password policies to your on-premises infrastructure. 세부 정보: 클라우드 기반 암호 변경과 마찬가지로 온-프레미스 암호 변경에 대해 동일한 검사를 수행하여 조직의 암호 정책을 개선합니다.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. 온-프레미스에 Windows Server Active Directory 에이전트용 Azure AD 암호 보호를 설치하여 금지 암호 목록을 기존 인프라로 확장합니다.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. 온-프레미스에서 암호를 변경, 설정 또는 다시 설정하는 사용자와 관리자는 클라우드 전용 사용자와 동일한 암호 정책을 준수해야 합니다.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

사용자에 대한 다단계 인증 적용Enforce multi-factor verification for users

모든 사용자에 대해 2단계 인증을 요구하는 것이 좋습니다.We recommend that you require two-step verification for all of your users. 해당 계정이 노출될 경우 상당한 영향을 미칠 수 있는 조직의 관리자 및 다른 사용자가 포함됩니다(예: 재무 책임자).This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

2단계 인증을 요구하는 여러 옵션이 있습니다.There are multiple options for requiring two-step verification. 최상의 옵션은 목표, 실행하는 Azure AD 버전 및 라이선스 프로그램에 따라 달라집니다.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. 사용자에 대해 2단계 인증을 요구하는 방법을 참조하여 최상의 옵션을 결정합니다.See How to require two-step verification for a user to determine the best option for you. 라이선스 및 가격 책정에 대 한 자세한 내용은 AZURE adazure ad Multi-Factor Authentication 가격 페이지를 참조 하세요.See the Azure AD and Azure AD Multi-Factor Authentication pricing pages for more information about licenses and pricing.

2단계 인증을 사용하도록 설정하는 옵션 및 혜택은 다음과 같습니다.Following are options and benefits for enabling two-step verification:

옵션 1: Azure AD 보안 기본값 혜택 을 사용하여 모든 사용자 및 로그인 메서드에 MFA를 사용하도록 설정합니다. 이 옵션을 사용하면 다음과 같은 엄격한 정책을 통해 환경의 모든 사용자에게 MFA를 쉽고 빠르게 적용할 수 있습니다.Option 1: Enable MFA for all users and login methods with Azure AD Security Defaults Benefit: This option enables you to easily and quickly enforce MFA for all users in your environment with a stringent policy to:

  • 관리 계정 및 관리자 로그온 메커니즘을 검사Challenge administrative accounts and administrative logon mechanisms
  • Microsoft Authenticator를 통해 모든 사용자에게 MFA 요구Require MFA challenge via Microsoft Authenticator for all users
  • 레거시 인증 프로토콜을 제한합니다.Restrict legacy authentication protocols.

이 방법은 모든 라이선스 계층에 사용할 수 있지만, 기존 조건부 액세스 정책과는 혼합할 수 없습니다.This method is available to all licensing tiers but is not able to be mixed with existing Conditional Access policies. AZURE AD 보안 기본값 에서 자세한 정보를 찾을 수 있습니다.You can find more information in Azure AD Security Defaults

옵션 2: 사용자 상태를 변경하여 Multi-Factor Authentication을 사용하도록 설정합니다.Option 2: Enable Multi-Factor Authentication by changing user state.
혜택: 2단계 인증을 요구하는 기존 메서드입니다.Benefit: This is the traditional method for requiring two-step verification. 클라우드 및 azure Multi-Factor Authentication 서버에서 AZURE AD Multi-Factor Authentication와 함께 작동 합니다.It works with both Azure AD Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. 이 방법을 사용할 경우 사용자는 로그인할 때마다 2단계 인증을 수행해야 하며, 이 방법은 조건부 액세스 정책을 재정의합니다.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Multi-Factor Authentication를 사용 하도록 설정 해야 하는 위치를 확인 하려면 조직에 적합 한 AZURE AD MFA의 버전을 참조 하세요.To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure AD MFA is right for my organization?.

옵션 3: 조건부 액세스 정책을 사용하여 Multi-Factor Authentication을 사용하도록 설정합니다.Option 3: Enable Multi-Factor Authentication with Conditional Access policy. 혜택: 이 옵션을 사용하면 조건부 액세스를 사용하여 특정 조건에서 2단계 인증을 요청할 수 있습니다.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. 특정 조건이란 위험한 것으로 간주하는 다른 위치, 신뢰할 수 없는 디바이스 또는 애플리케이션에서 사용자 로그인이 될 수 있습니다.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. 2단계 인증이 필요한 특정 조건을 정의하면 번거로운 사용자 환경일 수 있는 지속적인 메시지를 사용자에게 표시하지 않도록 할 수 있습니다.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

이것이 사용자에게 2단계 인증을 사용하도록 설정하는 가장 유연한 방법입니다.This is the most flexible way to enable two-step verification for your users. 조건부 액세스 정책을 사용 하도록 설정 하는 것은 클라우드의 Azure AD Multi-Factor Authentication에만 적용 되며 Azure AD의 프리미엄 기능입니다.Enabling a Conditional Access policy works only for Azure AD Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. 이 방법에 대 한 자세한 내용은 클라우드 기반 AZURE AD Multi-Factor Authentication 배포에서 확인할 수 있습니다.You can find more information on this method in Deploy cloud-based Azure AD Multi-Factor Authentication.

옵션 4: 위험 기반 조건부 액세스 정책을 평가하여 조건부 액세스 정책에서 Multi-Factor Authentication을 사용하도록 설정합니다.Option 4: Enable Multi-Factor Authentication with Conditional Access policies by evaluating Risk-based Conditional Access policies.
혜택: 이 옵션을 사용하면 다음을 수행할 수 있습니다.Benefit: This option enables you to:

  • 조직의 ID에 영향을 미치는 잠재적인 취약점 검색Detect potential vulnerabilities that affect your organization’s identities.
  • 조직 ID와 관련된 검색된 의심스러운 작업에 대한 자동화된 응답 구성Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • 의심스러운 인시던트 조사 및 해결할 적절한 작업 수행Investigate suspicious incidents and take appropriate action to resolve them.

이 방법은 Azure AD Identity Protection 위험 평가를 사용하여 모든 클라우드 애플리케이션에 대한 사용자 및 로그인 위험에 따라 2단계 인증이 필요한지 결정합니다.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. 이 방법에는 Azure Active Directory P2 라이선스가 필요합니다.This method requires Azure Active Directory P2 licensing. Azure Active Directory Identity Protection에서 이 방법에 대한 자세한 내용을 찾을 수 있습니다.You can find more information on this method in Azure Active Directory Identity Protection.

참고

옵션 2, 사용자 상태를 변경 하 여 Multi-Factor Authentication를 사용 하도록 설정 하는 것은 조건부 액세스 정책을 무시 합니다.Option 2, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. 옵션 3과 4는 조건부 액세스 정책을 사용 하므로 옵션 2를 사용할 수 없습니다.Because options 3 and 4 use Conditional Access policies, you cannot use option 2 with them.

2단계 인증과 같은 추가적인 ID 보호 계층을 추가하지 않는 조직은 자격 증명 도난 공격에 취약합니다.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. 자격 증명 도난 공격으로 인해 데이터 손상이 발생할 수 있습니다.A credential theft attack can lead to data compromise.

역할 기반 액세스 제어 사용Use role-based access control

클라우드 리소스에 대한 액세스 관리는 클라우드를 사용하는 모든 조직에서 중요한 부분입니다.Access management for cloud resources is critical for any organization that uses the cloud. Azure RBAC (역할 기반 액세스 제어) 를 통해 azure 리소스에 대 한 액세스 권한이 있는 사용자, 해당 리소스에서 수행할 수 있는 작업 및 해당 리소스에 액세스할 수 있는 영역을 관리할 수 있습니다.Azure role-based access control (Azure RBAC) helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

Azure에서 특정 기능을 담당하는 그룹이나 개별 역할을 지정하면 사람 및 자동화 오류로 인해 보안 위험이 발생할 수 있는 혼동을 피할 수 있습니다.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. 알아야 할 사항최소 권한 보안 원칙을 기반으로 액세스를 제한하는 것은 데이터 액세스에 보안 정책을 적용하고자 하는 조직의 경우 필수입니다.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

보안 팀은 위험을 평가하고 해결하기 위해 Azure 리소스에 대한 정보를 볼 수 있어야 합니다.Your security team needs visibility into your Azure resources in order to assess and remediate risk. 보안 팀에 운영 책임이 있는 경우 해당 작업을 수행할 수 있는 추가 권한이 필요합니다.If the security team has operational responsibilities, they need additional permissions to do their jobs.

AZURE RBAC 를 사용 하 여 특정 범위에서 사용자, 그룹 및 응용 프로그램에 권한을 할당할 수 있습니다.You can use Azure RBAC to assign permissions to users, groups, and applications at a certain scope. 역할 할당의 범위는 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다.The scope of a role assignment can be a subscription, a resource group, or a single resource.

모범 사례: 팀 내에서 업무를 분리하고 사용자에게 맡은 작업을 수행하는 데 꼭 필요한 권한만 부여합니다.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Azure 구독 또는 리소스에서 모든 사람에게 무제한 권한을 제공하지 말고, 특정 범위에서 특정 작업만 허용합니다.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. 세부 정보: Azure에서 azure 기본 제공 역할 을 사용 하 여 사용자에 게 권한을 할당 합니다.Detail: Use Azure built-in roles in Azure to assign privileges to users.

참고

특정 권한은 불필요한 복잡성과 혼동을 만들며, 이것이 누적되면 무언가를 부수지 않고는 해결하기 어려운 "레거시" 구성이 됩니다.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. 리소스별 사용 권한을 사용하지 않습니다.Avoid resource-specific permissions. 대신 엔터프라이즈 수준 권한에는 관리 그룹을 사용하고, 구독 내 권한에는 리소스 그룹을 사용합니다.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. 사용자별 권한을 사용하지 않습니다.Avoid user-specific permissions. 대신 Azure AD의 그룹에 대한 액세스 권한을 할당합니다.Instead, assign access to groups in Azure AD.

모범 사례: 위험을 평가하고 수정할 수 있도록 보안 팀에게 Azure 리소스를 볼 수 있는 Azure 책임 액세스를 부여합니다.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. 세부 정보: 보안 팀에 Azure RBAC 보안 읽기 권한자 역할을 부여 합니다.Detail: Grant security teams the Azure RBAC Security Reader role. 책임의 범위에 따라 루트 관리 그룹 또는 세그먼트 관리 그룹을 사용할 수 있습니다.You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • 모든 엔터프라이즈 리소스를 책임지는 팀의 루트 관리 그룹Root management group for teams responsible for all enterprise resources
  • 범위가 제한된(일반적으로 규정 또는 기타 조직 경계로 인해) 팀의 세그먼트 관리 그룹Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

모범 사례: 직접적인 운영 책임이 있는 보안 팀에게 적절한 권한을 부여합니다.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. 세부 정보: 해당 역할 할당에 대 한 Azure 기본 제공 역할을 검토 합니다.Detail: Review the Azure built-in roles for the appropriate role assignment. 기본 제공 역할이 조직의 특정 요구를 충족 하지 않는 경우 Azure 사용자 지정 역할을 만들 수 있습니다.If the built-in roles don't meet the specific needs of your organization, you can create Azure custom roles. 기본 제공 역할과 마찬가지로 구독, 리소스 그룹 및 리소스 범위에서 사용자 지정 역할을 사용자, 그룹 및 서비스 주체에 할당할 수 있습니다.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

모범 사례: Azure Security Center 액세스 권한이 필요한 보안 역할에 액세스 권한을 부여합니다.Best practices: Grant Azure Security Center access to security roles that need it. 보안 팀은 Security Center를 통해 신속하게 위험을 식별하고 수정할 수 있습니다.Security Center allows security teams to quickly identify and remediate risks. 세부 정보: 이러한 요구 사항이 포함 된 보안 팀을 Azure RBAC 보안 관리자 역할에 추가 하 여 보안 정책을 보고, 보안 상태를 보고, 보안 정책을 편집 하 고, 경고 및 권장 사항을 확인 하 고, 경고 및 권장 사항을 해제할 수 있습니다.Detail: Add security teams with these needs to the Azure RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. 책임의 범위에 따라 루트 관리 그룹 또는 세그먼트 관리 그룹을 사용하여 이 작업을 수행할 수 있습니다.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Azure RBAC와 같은 기능을 사용 하 여 데이터 액세스 제어를 적용 하지 않는 조직은 사용자에 게 필요한 것 보다 많은 권한을 제공할 수 있습니다.Organizations that don’t enforce data access control by using capabilities like Azure RBAC might be giving more privileges than necessary to their users. 이로 인해 사용자가 액세스 권한을 가지면 안 되는 형식의 데이터(예: 높은 비즈니스 영향)에 액세스할 수 있게 되어 데이터가 손상될 수 있습니다.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

권한 있는 계정의 낮은 노출Lower exposure of privileged accounts

권한 있는 액세스 보안은 비즈니스 자산 보호를 위해 중요한 첫 번째 단계입니다.Securing privileged access is a critical first step to protecting business assets. 보안 정보 또는 리소스에 액세스할 수 있는 사용자의 수를 최소화하면 악의적인 사용자가 해당 액세스 권한을 얻거나 권한이 있는 사용자가 실수로 중요한 리소스에 영향을 줄 가능성이 감소합니다.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

권한 있는 계정은 IT 시스템을 운영하고 관리하는 계정입니다.Privileged accounts are accounts that administer and manage IT systems. 사이버 공격자는 조직의 데이터와 시스템에 대한 액세스 권한을 얻기 위해 이러한 계정을 대상으로 지정합니다.Cyber attackers target these accounts to gain access to an organization’s data and systems. 권한 있는 액세스를 보호하려면 계정과 시스템을 악의적 사용자에게 노출될 위험으로부터 격리해야 합니다.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

사이버 공격자로부터 권한 있는 액세스를 보호하기 위한 로드맵을 개발하고 따르는 것이 좋습니다.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Azure AD, Microsoft Azure, Microsoft 365 및 기타 클라우드 서비스에서 관리 되거나 보고 되는 id 및 액세스를 보호 하기 위한 자세한 로드맵을 만드는 방법에 대 한 자세한 내용은 AZURE ad에서 하이브리드 및 클라우드 배포에 대 한 권한 있는 액세스 보안을 참조 하세요.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Microsoft 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

다음에서는 Azure AD에서 하이브리드 및 클라우드 배포를 위한 권한 있는 액세스 보안에 있는 모범 사례를 요약합니다.The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

모범 사례: 권한 있는 계정에 대한 액세스를 관리, 제어 및 모니터링합니다.Best practice: Manage, control, and monitor access to privileged accounts.
세부 정보: Azure AD Privileged Identity Management를 켭니다.Detail: Turn on Azure AD Privileged Identity Management. Privileged Identity Management가 설정되면 권한 있는 액세스 역할 변경에 대한 알림 이메일 메시지를 받게 됩니다.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. 이러한 알림에서는 디렉터리에서 권한이 높은 역할에 추가 사용자가 추가될 때 조기 경고를 제공합니다.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

모범 사례: 모든 중요 관리자 계정이 관리형 Azure AD 계정인지 확인합니다.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. 세부 정보: 중요한 관리자 역할(예: hotmail.com, live.com, outlook.com 등의 Microsoft 계정)에서 소비자 계정을 제거합니다.Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

모범 사례: 피싱이나 관리 권한을 손상시키는 기타 공격을 방지할 수 있도록 모든 중요 관리자 역할에서 관리 작업에 별도의 계정을 사용하게 합니다.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. 세부 정보: 관리 작업을 수행하는 데 필요한 권한이 할당된 별도의 관리자 계정을 만듭니다.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Microsoft 365 전자 메일 또는 임의 웹 검색과 같은 일상적인 생산성 도구에 대해 이러한 관리 계정을 사용 하지 못하도록 차단 합니다.Block the use of these administrative accounts for daily productivity tools like Microsoft 365 email or arbitrary web browsing.

모범 사례: 권한이 높은 역할이 있는 계정을 식별 및 분류합니다.Best practice: Identify and categorize accounts that are in highly privileged roles.
세부 정보: Azure AD Privileged Identity Management를 설정하면 글로벌 관리자, 권한 있는 역할 관리자 및 기타 권한이 높은 관리자에 속한 사용자를 확인합니다.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. 이러한 역할에 더 이상 필요하지 않은 계정을 제거하고 관리자 역할에 할당된 나머지 계정은 다음과 같이 분류합니다.Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • 관리 사용자에게 개별적으로 할당되고, 비관리 용도(예: 개인 이메일)로 사용될 수도 있습니다.Individually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • 관리 사용자에게 개별적으로 할당되고, 관리 용도로만 지정됩니다.Individually assigned to administrative users and designated for administrative purposes only
  • 여러 사용자 간에 공유됩니다.Shared across multiple users
  • 응급 액세스 시나리오용For emergency access scenarios
  • 자동화된 스크립트용For automated scripts
  • 외부 사용자용For external users

모범 사례: "JIT(Just-In-Time)" 액세스 권한을 구현하여 권한의 노출 시간을 줄이고 권한 있는 계정의 사용에 대한 가시성을 높입니다.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
세부 정보: Azure AD Privileged Identity Management를 통해 다음을 할 수 있습니다.Detail: Azure AD Privileged Identity Management lets you:

  • 사용자가 해당 권한 JIT에서만 사용하도록 제한합니다.Limit users to only taking on their privileges JIT.
  • 권한을 자동으로 해지하는 짧은 기간 동안 자신 있게 역할을 할당합니다.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

모범 사례: 둘 이상의 응급 액세스 계정을 정의합니다.Best practice: Define at least two emergency access accounts.
세부 정보: 응급 액세스 계정을 사용하면 조직이 기존 Azure Active Directory 환경 내에서 권한 있는 액세스를 제한할 수 있습니다.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. 이러한 계정은 높은 권한을 부여받으며 특정 개인에게 할당되지 않습니다.These accounts are highly privileged and are not assigned to specific individuals. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 시나리오로 제한됩니다.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. 조직에서는 응급 계정의 사용량을 필요한 기간으로만 제한해야 합니다.Organizations must limit the emergency account's usage to only the necessary amount of time.

전역 관리자 역할에 할당되었거나 적합한 계정을 평가합니다.Evaluate the accounts that are assigned or eligible for the global admin role. *.onmicrosoft.com 도메인을 사용하여 클라우드 전용 계정(응급 액세스용)이 표시되지 않으면 해당 계정을 만듭니다.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. 자세한 내용은 Azure AD에서 응급 액세스 관리 계정의 관리를 참조하세요.For more information, see Managing emergency access administrative accounts in Azure AD.

모범 사례: 긴급 상황을 대비한 "비상" 프로세스가 준비되어 있어야 합니다.Best practice: Have a “break glass" process in place in case of an emergency. 세부 정보: Azure AD에서 하이브리드 및 클라우드 배포를 위한 권한 있는 액세스 보안의 단계를 따릅니다.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

모범 사례: 모든 중요 관리자 계정에 암호 없이 액세스하게 하거나(기본 설정) Multi-Factor Authentication을 요구합니다.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. 세부 정보: 암호를 사용하지 않고 Microsoft Authenticator 앱을 사용하여 모든 Azure AD 계정에 로그인합니다.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. 비즈니스용 Windows Hello와 마찬가지로 Microsoft Authenticator는 키 기반 인증을 사용하여 디바이스에 연결되고 생체 인식 또는 PIN을 사용하는 사용자 자격 증명을 사용하도록 설정합니다.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

하나 이상의 Azure AD 관리자 역할 (전역 관리자, 권한 있는 역할 관리자, Exchange Online 관리자 및 SharePoint Online 관리자)에 영구적으로 할당 된 모든 개별 사용자에 대해 로그인 시 Azure AD Multi-Factor Authentication 필요 합니다.Require Azure AD Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. 관리자 계정에 Multi-Factor Authentication을 사용하도록 설정하고, 관리자 계정 사용자를 등록하게 합니다.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

모범 사례: 중요한 관리자 계정의 경우 프로덕션 작업(검색 및 이메일)이 허용되지 않는 관리자 워크스테이션을 사용합니다.Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). 이렇게 하면 검색 및 이메일을 사용하는 공격 벡터로부터 관리자 계정을 보호하고 중대한 사고 발생 위험을 크게 낮출 수 있습니다.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. 세부 정보: 관리자 워크스테이션을 사용합니다.Detail: Use an admin workstation. 워크스테이션 보안 수준을 선택합니다.Choose a level of workstation security:

  • 매우 안전한 생산성 디바이스는 검색 및 기타 생산성 작업을 위한 고급 보안을 제공합니다.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • PAW(권한 있는 액세스 워크스테이션)는 인터넷 공격 및 위협 벡터로부터 중요한 작업을 보호하는 전용 운영 체제를 제공합니다.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

모범 사례: 직원이 퇴사할 때 관리자 계정의 프로비전을 해제합니다.Best practice: Deprovision admin accounts when employees leave your organization. 세부 정보: 직원이 퇴사할 때 관리자 계정을 사용하지 않도록 설정하거나 삭제하는 프로세스를 마련합니다.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

모범 사례: 최신 공격 기술을 사용하여 관리자 계정을 정기적으로 테스트합니다.Best practice: Regularly test admin accounts by using current attack techniques. 세부 정보: Microsoft 365 공격 시뮬레이터 또는 타사 제품을 사용 하 여 조직에서 현실적인 공격 시나리오를 실행 합니다.Detail: Use Microsoft 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. 이렇게 하면 실제 공격이 발생하기 전에 취약한 사용자를 찾는 데 도움이 됩니다.This can help you find vulnerable users before a real attack occurs.

모범 사례: 가장 많이 사용되는 공격 기술을 완화하는 단계를 수행합니다.Best practice: Take steps to mitigate the most frequently used attacked techniques.
세부 정보: 직장 또는 학교 계정으로 전환해야 하는 관리 역할의 Microsoft 계정 식별Detail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

글로벌 관리자 계정에 대해 별도의 사용자 계정 및 메일 전달 보장Ensure separate user accounts and mail forwarding for global administrator accounts

관리 계정의 암호가 최근에 변경되었는지 확인Ensure that the passwords of administrative accounts have recently changed

암호 해시 동기화 설정Turn on password hash synchronization

모든 권한이 있는 역할의 사용자 및 노출된 사용자에 대해 Multi-Factor Authentication 요구Require Multi-Factor Authentication for users in all privileged roles as well as exposed users

Microsoft 365 보안 점수 얻기 (Microsoft 365를 사용 하는 경우)Obtain your Microsoft 365 Secure Score (if using Microsoft 365)

Microsoft 365를 사용 하는 경우 Microsoft 365 보안 지침 검토Review the Microsoft 365 security guidance (if using Microsoft 365)

Microsoft 365 작업 모니터링 구성 (Microsoft 365를 사용 하는 경우)Configure Microsoft 365 Activity Monitoring (if using Microsoft 365)

인시던트/비상 대응 계획 소유자 설정Establish incident/emergency response plan owners

권한 있는 온-프레미스 관리 계정 보호Secure on-premises privileged administrative accounts

권한 있는 액세스를 보호하지 않는 경우 권한이 높은 역할에 너무 많은 사용자가 포함되면 공격에 더 취약할 수 있습니다.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. 사이버 공격자를 포함한 악의적인 행위자는 자격 증명 도난을 사용하여 중요한 데이터 및 시스템에 대해 액세스하는 권한 있는 액세스의 관리자 계정 및 기타 요소를 대상으로 지정하는 경우가 많습니다.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

리소스를 만든 위치 제어Control locations where resources are created

클라우드 운영자가 조직의 리소스를 관리하는 데 필요한 규칙을 위반하지 않으면서도 작업을 수행할 수 있도록 하는 것이 아주 중요합니다.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. 리소스가 만들어지는 위치를 제어하고자 하는 조직은 이러한 위치를 하드 코딩해야 합니다.Organizations that want to control the locations where resources are created should hard code these locations.

Azure Resource Manager를 사용하여 명시적으로 거부된 작업 또는 리소스를 설명하는 정의가 포함된 보안 정책을 만들 수 있습니다.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. 구독, 리소스 그룹 또는 개별 리소스와 같이 원하는 범위에서 해당 정책 정의를 할당합니다.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

참고

보안 정책은 Azure RBAC와 동일 하지 않습니다.Security policies are not the same as Azure RBAC. 실제로 Azure RBAC를 사용 하 여 사용자에 게 해당 리소스를 만들 수 있는 권한을 부여 합니다.They actually use Azure RBAC to authorize users to create those resources.

리소스를 만드는 방법을제어하지 않는 조직은 사용자가 필요 이상으로 많은 리소스를 만들어 서비스를 남용할 수 있는 상황에 직면할 가능성이 더 높습니다.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. 리소스 만들기 프로세스의 강화는 다중 테넌트 시나리오를 보호하기 위한 중요한 단계입니다.Hardening the resource creation process is an important step to securing a multitenant scenario.

의심스러운 활동을 적극적으로 모니터링Actively monitor for suspicious activities

활성 ID 모니터링 시스템은 의심스러운 동작을 신속하게 검색하고 추가로 조사하기 위해 경고를 트리거할 수 있습니다.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. 다음 표에서는 조직이 해당 ID를 모니터링할 수 있도록 하는 두 개의 Azure AD 기능을 보여줍니다.The following table lists two Azure AD capabilities that can help organizations monitor their identities:

모범 사례: 식별할 방법을 보유합니다.Best practice: Have a method to identify:

세부 정보: Azure AD Premium 비정상 보고서를 사용합니다.Detail: Use Azure AD Premium anomaly reports. IT 관리자가 매일 또는 필요 시(대개 사고 대응 시나리오에서) 이러한 보고서를 실행하도록 하는 프로세스 및 절차를 시행합니다.Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

모범 사례: 위험을 알려주고 위험 수준(높음, 중간 또는 낮음)을 비즈니스 요구 사항에 맞게 조정할 수 있는 활성 모니터링 시스템이 있습니다.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
세부 정보: Azure AD ID Protection을 사용하여 자체 대시보드에 현재 위험을 플래그로 표시하고 이메일을 통해 일일 요약 알림을 보냅니다.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. 조직의 ID를 보호하려면 지정된 위험 수준에 도달했을 때 검색된 문제에 자동으로 대응하는 위험 기반 정책을 구성할 수 있습니다.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

해당 ID 시스템을 적극적으로 모니터링하지 않는 조직은 사용자 자격 증명이 손상될 위험에 직면합니다.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. 이러한 자격 증명을 통해 의심스러운 활동이 일어나고 있다는 것을 알아야 이 형식의 위협을 완화시킬 수 있습니다.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

스토리지 인증에 Azure AD 사용Use Azure AD for storage authentication

Azure Storage는 Blob storage 및 Queue storage에 Azure AD를 사용하는 인증 및 권한 부여를 지원합니다.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Azure AD 인증을 사용하면 Azure 역할 기반 액세스 제어를 사용하여 개별 BLOB 컨테이너 또는 큐의 범위까지 사용자, 그룹 및 애플리케이션에 특정 권한을 부여할 수 있습니다.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

스토리지에 대한 액세스 인증에는 Azure AD를 사용하는 것이 좋습니다.We recommend that you use Azure AD for authenticating access to storage.

다음 단계Next step

Azure 보안 모범 사례 및 패턴에서 Azure를 사용하여 클라우드 솔루션을 디자인하고, 배포하고, 관리할 때 사용할 수 있는 더 많은 보안 모범 사례를 참조하세요.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.