제로 트러스트 ID 및 디바이스 액세스 구성
오늘날의 인력은 기존의 회사 네트워크 경계를 넘어 존재하는 애플리케이션 및 리소스에 액세스해야 합니다. 네트워크 방화벽 및 VPN(가상 사설망)을 사용하여 리소스에 대한 액세스를 격리하고 제한하는 보안 아키텍처는 더 이상 충분하지 않습니다.
이 새로운 컴퓨팅 분야를 해결하기 위해 Microsoft는 다음과 같은 지침 원칙을 기반으로 하는 제로 트러스트 보안 모델을 적극 권장합니다.
- 명시적으로 확인: 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다. 이 확인은 제로 트러스트 ID 및 디바이스 액세스 정책이 로그인 및 지속적인 유효성 검사에 중요한 위치입니다.
- 최소 권한 액세스 사용: JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.
- 위반 가정: 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 촉진하며 방어를 향상시키세요.
제로 트러스트 전체 아키텍처는 다음과 같습니다.
제로 트러스트 ID 및 디바이스 액세스 정책은 다음의 명시적 지침 확인 원칙을 다룹니다.
- ID: ID가 리소스에 액세스하려고 할 때 강력한 인증을 사용하는 ID를 확인하고 요청된 액세스가 규정을 준수하고 일반적인지 확인합니다.
- 디바이스(엔드포인트라고도 함): 보안 액세스를 위해 디바이스 상태 및 규정 준수 요구 사항을 모니터링하고 적용합니다.
- 애플리케이션: 컨트롤 및 기술을 적용하여 다음을 수행합니다.
- 적절한 앱 내 권한을 확인합니다.
- 실시간 분석을 기반으로 액세스를 제어합니다.
- 비정상적인 동작 모니터링
- 사용자 작업을 제어합니다.
- 보안 구성 옵션을 확인합니다.
이 문서 시리즈에서는 Microsoft Entra ID, 조건부 액세스, Microsoft Intune 및 기타 기능을 사용하는 ID 및 디바이스 액세스 구성 및 정책 집합에 대해 설명합니다. 이러한 구성 및 정책은 엔터프라이즈 클라우드 앱 및 서비스, 기타 SaaS 서비스 및 Microsoft Entra 애플리케이션 프록시를 사용하여 게시된 온-프레미스 애플리케이션용 Microsoft 365에 대한 제로 트러스트 액세스를 제공합니다.
제로 트러스트 ID 및 디바이스 액세스 설정 및 정책은 다음 세 가지 계층에서 권장됩니다.
- 출발점.
- 엔터프라이즈.
- 높은 규제 또는 분류된 데이터가 있는 환경에 대한 특수 보안.
이러한 계층 및 해당 구성은 데이터, ID 및 디바이스에서 일관된 수준의 제로 트러스트 보호를 제공합니다. 이러한 기능 및 권장 사항은 다음과 같습니다.
- Microsoft 365 E3 및 Microsoft 365 E5 지원됩니다.
- Microsoft Entra ID Microsoft 보안 점수 및 ID 점수에 맞춰집니다. 권장 사항에 따라 organization 대한 이러한 점수가 증가합니다.
- ID 인프라를 보호하기 위해 이러한 5단계를 구현하는 데 도움이 됩니다.
organization 고유한 요구 사항 또는 복잡성이 있는 경우 이러한 권장 사항을 시작점으로 사용합니다. 그러나 대부분의 조직에서는 이러한 권장 사항을 규정된 대로 구현할 수 있습니다.
엔터프라이즈용 Microsoft 365의 ID 및 디바이스 액세스 구성에 대한 간략한 개요는 이 비디오를 시청하세요.
참고
Microsoft는 또한 Office 365 구독에 대한 EMS(Enterprise Mobility + Security) 라이선스를 판매합니다. EMS E3 및 EMS E5 기능은 Microsoft 365 E3 및 Microsoft 365 E5 기능과 동일합니다. 자세한 내용은 EMS 계획을 참조하세요.
대상
이러한 권장 사항은 Microsoft 365 클라우드 생산성 및 보안 서비스에 익숙한 엔터프라이즈 설계자 및 IT 전문가를 위한 것입니다. 이러한 서비스에는 Microsoft Entra ID(ID), Microsoft Intune(디바이스 관리) 및 Microsoft Purview Information Protection(데이터 보호)가 포함됩니다.
고객 환경
권장 정책은 Microsoft 클라우드 내에서 전적으로 운영되는 엔터프라이즈 조직과 하이브리드 ID 인프라를 사용하는 고객에게 적용됩니다. 하이브리드 ID 구조는 Microsoft Entra ID 동기화되는 온-프레미스 Active Directory 포리스트입니다.
대부분의 권장 사항은 다음 라이선스에서만 사용할 수 있는 서비스를 사용합니다.
- Microsoft 365 E5.
- E5 보안 추가 기능을 사용하여 Microsoft 365 E3.
- EMS E5.
- P2 라이선스를 Microsoft Entra ID.
이러한 라이선스가 없는 조직의 경우 모든 Microsoft 365 계획에 포함된 보안 기본값을 구현하는 것이 좋습니다.
주의 사항
organization 권장 구성과 다른 정책을 적용해야 하는 특정 권장 사항을 포함하여 규정 또는 기타 규정 준수 요구 사항이 적용될 수 있습니다. 이러한 구성은 지금까지 사용할 수 없었던 사용량 제어를 권장합니다. 이러한 컨트롤은 보안과 생산성 간의 균형을 나타내기 때문에 권장됩니다.
다양한 조직 보호 요구 사항을 고려하기 위해 최선을 다했지만 가능한 모든 요구 사항이나 organization 고유한 측면을 모두 설명할 수는 없습니다.
세 가지 수준의 보호
대부분의 조직은 보안 및 데이터 보호에 관한 구체적 요구 사항을 가지고 있습니다. 이러한 요구 사항은 산업 부문 및 조직 내의 직무 기능에 따라 달라집니다. 예를 들어 법률 부서 및 관리자는 다른 사업부에 필요하지 않은 전자 메일 서신에 대한 추가 보안 및 정보 보호 제어가 필요할 수 있습니다.
또한 각 산업마다 자체의 전문화된 규정을 가지고 있습니다. 가능한 모든 보안 옵션 목록 또는 업계 세그먼트 또는 작업 기능별 권장 사항을 제공하지 않습니다. 대신 요구 사항의 세분성에 따라 적용할 수 있는 세 가지 수준의 보안 및 보호에 대한 권장 사항을 제공하고 있습니다.
- 시작점: 모든 고객은 데이터에 액세스하는 ID 및 디바이스뿐만 아니라 데이터를 보호하기 위한 최소 표준을 설정하고 사용하는 것이 좋습니다. 이러한 권장 사항에 따라 모든 조직의 시작점으로 강력한 기본 보호를 제공할 수 있습니다.
- 엔터프라이즈: 일부 고객은 더 높은 수준에서 보호해야 하는 데이터의 하위 집합이 있거나 모든 데이터를 더 높은 수준에서 보호해야 합니다. Microsoft 365 환경의 모든 또는 특정 데이터 집합에 향상된 보호를 적용할 수 있습니다. 중요 데이터에 액세스하는 ID와 장치를 유사한 보안 수준으로 보호하는 것이 좋습니다.
- 특수 보안: 필요에 따라 일부 고객은 고도로 분류되거나 영업 비밀을 구성하거나 규제되는 소량의 데이터를 가지고 있습니다. Microsoft는 이러한 고객이 ID 및 디바이스에 대한 추가 보호를 포함하여 이러한 요구 사항을 충족하는 데 도움이 되는 기능을 제공합니다.
이 지침에서는 이러한 각 보호 수준에 대해 ID 및 디바이스에 대한 제로 트러스트 보호를 구현하는 방법을 보여줍니다. 이 지침을 organization 최소로 사용하고 organization 특정 요구 사항에 맞게 정책을 조정합니다.
ID, 디바이스 및 데이터에서 일관된 수준의 보호를 사용하는 것이 중요합니다. 예를 들어 임원, 리더, 관리자 등 우선 순위 계정이 있는 사용자에 대한 보호에는 ID, 디바이스 및 액세스하는 데이터에 대해 동일한 수준의 보호가 포함되어야 합니다.
또한 Microsoft 365 에 저장된 정보를 보호하기 위한 데이터 개인 정보 보호 배포 규정 솔루션을 참조하세요.
보안과 생산성의 절충
보안 전략을 구현하려면 보안과 생산성 간의 절차가 필요합니다. 각 결정이 보안, 기능 및 사용 편의성의 균형에 미치는 영향을 평가하는 것이 유용합니다.
제공된 권장 사항은 다음 원칙을 기반으로 합니다.
- 사용자를 알고 보안 및 기능 요구 사항에 유연하게 대처하세요.
- 적시에 보안 정책을 적용하고 의미 있는지 확인합니다.
제로 트러스트 ID 및 디바이스 액세스 보호를 위한 서비스 및 개념
엔터프라이즈용 Microsoft 365는 대규모 조직이 모든 사람이 창의적이고 안전하게 협력할 수 있도록 설계되었습니다.
이 섹션에서는 제로 트러스트 ID 및 디바이스 액세스에 중요한 Microsoft 365 서비스 및 기능에 대한 개요를 제공합니다.
Microsoft Entra ID
Microsoft Entra ID ID 관리 기능의 전체 제품군을 제공합니다. 이러한 기능을 사용하여 액세스를 보호하는 것이 좋습니다.
| 기능 또는 특징 | 설명 | 라이선싱 |
|---|---|---|
| MFA(다단계 인증) | MFA를 사용하려면 사용자 암호와 Microsoft Authenticator 앱의 알림 또는 전화 통화와 같은 두 가지 형태의 확인을 제공해야 합니다. MFA는 사용자 환경에 액세스하는 데 도난 당한 자격 증명을 사용할 수 있는 위험을 크게 줄입니다. Microsoft 365는 MFA 기반 로그인에 Microsoft Entra 다단계 인증 서비스를 사용합니다. | Microsoft 365 E3 혹은 E5 |
| 조건부 액세스 | Microsoft Entra ID 사용자 로그인 조건을 평가하고 조건부 액세스 정책을 사용하여 허용되는 액세스를 확인합니다. 예를 들어 이 지침에서는 중요한 데이터에 액세스하기 위해 디바이스 준수를 요구하는 조건부 액세스 정책을 만드는 방법을 보여 드립니다. 이렇게 하면 자체 디바이스 및 도난당한 자격 증명을 사용하는 해커가 중요한 데이터에 액세스할 수 있는 위험이 크게 줄어듭니다. 또한 디바이스가 상태 및 보안에 대한 특정 요구 사항을 충족해야 하므로 디바이스에서 중요한 데이터를 보호합니다. | Microsoft 365 E3 혹은 E5 |
| Microsoft Entra 그룹 | 조건부 액세스 정책, Intune 있는 디바이스 관리, organization 파일 및 사이트에 대한 권한도 사용자 계정 또는 Microsoft Entra 그룹에 대한 할당에 의존합니다. 구현하는 보호 수준에 해당하는 Microsoft Entra 그룹을 만드는 것이 좋습니다. 예를 들어, 임원진은 해커에게 더 높은 가치의 대상이 될 수 있습니다. 따라서 이러한 직원의 사용자 계정을 Microsoft Entra 그룹에 추가하고 액세스에 대해 더 높은 수준의 보호를 적용하는 조건부 액세스 정책 및 기타 정책에 이 그룹을 할당하는 것이 좋습니다. | Microsoft 365 E3 혹은 E5 |
| 디바이스 등록 | 디바이스를 Microsoft Entra ID 등록하여 디바이스에 대한 ID를 만듭니다. 이 ID는 사용자가 로그인할 때 디바이스를 인증하고 도메인 가입 또는 호환 PC가 필요한 조건부 액세스 정책을 적용하는 데 사용됩니다. 이 지침에서는 디바이스 등록을 사용하여 도메인에 가입된 Windows 컴퓨터를 자동으로 등록합니다. 디바이스 등록은 Intune 사용하여 디바이스를 관리하기 위한 필수 구성 요소입니다. | Microsoft 365 E3 혹은 E5 |
| Microsoft Entra ID Protection | organization ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. 이 지침은 이 위험 평가에 의존하여 다단계 인증을 위한 조건부 액세스 정책을 적용합니다. 이 지침에는 위험 수준이 높은 활동이 계정에 대해 검색된 경우 사용자가 암호를 변경하도록 요구하는 조건부 액세스 정책도 포함되어 있습니다. | Microsoft 365 E5, E5 보안 추가 기능, EMS E5 또는 Microsoft Entra ID P2 라이선스로 Microsoft 365 E3 |
| SSPR(셀프 서비스 암호 재설정) | 관리자가 제어할 수 있는 여러 인증 방법을 확인하여 사용자가 지원 센터 개입 없이 안전하게 암호를 재설정할 수 있도록 허용합니다. | Microsoft 365 E3 혹은 E5 |
| 암호 보호 Microsoft Entra | 알려진 약한 암호 및 해당 변형 및 organization 관련된 추가 약한 용어를 검색하고 차단합니다. 기본 전역 금지 암호 목록은 Microsoft Entra 테넌트에서 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 추가 항목을 정의할 수 있습니다. 사용자가 암호를 변경하거나 재설정하면 해당 금지된 암호 목록은 강력한 암호를 사용하도록 확인됩니다. | Microsoft 365 E3 혹은 E5 |
다음은 Intune 및 Microsoft Entra 개체, 설정 및 하위 서비스를 포함하여 제로 트러스트 ID 및 디바이스 액세스의 구성 요소입니다.
Microsoft Intune
Intune Microsoft의 클라우드 기반 모바일 디바이스 관리 서비스입니다. 이 지침은 Intune 사용하여 Windows PC의 디바이스 관리를 권장하고 디바이스 준수 정책 구성을 권장합니다. Intune 디바이스가 규정을 준수하는지 여부를 확인하고 조건부 액세스 정책을 적용할 때 사용할 Microsoft Entra ID 이 데이터를 보냅니다.
앱 보호 Intune
Intune 앱 보호 정책을 사용하여 디바이스를 관리에 등록하거나 등록하지 않고 모바일 앱에서 organization 데이터를 보호할 수 있습니다. Intune 정보를 보호하고, 직원이 생산성을 유지할 수 있도록 하고, 데이터 손실을 방지하는 데 도움이 됩니다. 앱 수준 정책을 구현하여 회사 리소스에 대한 액세스를 제한하고 IT 부서의 제어 내에서 데이터를 유지할 수 있습니다.
이 지침에서는 승인된 앱 사용을 적용하고 이러한 앱을 비즈니스 데이터와 함께 사용할 수 있는 방법을 결정하는 권장 정책을 만드는 방법을 보여줍니다.
Microsoft 365
이 지침에서는 Microsoft Teams, Exchange, SharePoint 및 OneDrive를 포함한 Microsoft 365 클라우드 서비스에 대한 액세스를 보호하는 정책 집합을 구현하는 방법을 보여 줍니다. 이러한 정책을 구현하는 것 외에도 다음 리소스를 사용하여 테넌트 보호 수준을 높이는 것이 좋습니다.
엔터프라이즈용 Microsoft 365 앱 Windows 11 또는 Windows 10
엔터프라이즈용 Microsoft 365 앱 Windows 11 또는 Windows 10 PC에 권장되는 클라이언트 환경입니다. Microsoft Entra 온-프레미스와 Microsoft Entra ID 모두에 가능한 가장 원활한 환경을 제공하도록 설계되었기 때문에 Windows 11 또는 Windows 10 것이 좋습니다. Windows 11 또는 Windows 10 Intune 통해 관리할 수 있는 고급 보안 기능도 포함됩니다. 엔터프라이즈용 Microsoft 365 앱 최신 버전의 Office 애플리케이션을 포함합니다. 이러한 인증은 보다 안전하고 조건부 액세스에 대한 요구 사항인 최신 인증을 사용합니다. 이러한 앱에는 향상된 규정 준수 및 보안 도구도 포함됩니다.
세 가지 수준의 보호에 이러한 기능 적용
다음 표에서는 세 가지 보호 수준에서 이러한 기능을 사용하기 위한 권장 사항을 요약합니다.
| 보호 메커니즘 | 출발점 | Enterprise | 특수 보안 |
|---|---|---|---|
| MFA 강제 적용 | 중간 이상 로그인 위험에 대해 | 낮음 이상 로그인 위험에 대해 | 모든 새 세션에 대해 |
| 암호 변경 적용 | 고위험 사용자의 경우 | 고위험 사용자의 경우 | 고위험 사용자의 경우 |
| Intune 애플리케이션 보호 적용 | 예 | 예 | 예 |
| organization 소유 디바이스에 대한 Intune 등록 적용 | 규격 또는 도메인에 가입된 PC가 필요하지만 BYOD(Bring-Your-Own Device) 휴대폰 및 태블릿 허용 | 규격 또는 도메인 가입 디바이스 필요 | 규격 또는 도메인 가입 디바이스 필요 |
장치 소유권
위의 표는 많은 조직에서 organization 소유 디바이스와 개인 또는 BYOD를 혼합하여 인력 전체에서 모바일 생산성을 가능하게 하는 추세를 반영합니다. Intune 앱 보호 정책은 organization 소유 디바이스와 BYOD 모두에서 전자 메일이 Outlook 모바일 앱 및 기타 Office 모바일 앱에서 반출되지 않도록 보호합니다.
organization 소유 디바이스는 Intune 관리하거나 도메인에 가입되어 추가 보호 및 제어를 적용하는 것이 좋습니다. 데이터 민감도에 따라 organization 특정 사용자 모집단 또는 특정 앱에 대해 BYOD를 허용하지 않도록 선택할 수 있습니다.
배포 및 앱
Microsoft Entra 통합 앱에 대한 제로 트러스트 ID 및 디바이스 액세스 구성을 구성하고 롤아웃하기 전에 다음을 수행해야 합니다.
보호할 organization 사용되는 앱을 결정합니다.
이 앱 목록을 분석하여 적절한 수준의 보호를 제공하는 정책 집합을 확인합니다.
앱 관리가 번거로울 수 있으므로 각 앱에 대해 별도의 정책 집합을 만들면 안 됩니다. 동일한 사용자에 대해 동일한 보호 요구 사항이 있는 앱을 그룹화할 것을 권장합니다.
예를 들어 시작 지점 보호를 위해 모든 사용자에 대한 모든 Microsoft 365 앱을 포함하는 정책 집합이 하나 있습니다. 인적 자원 또는 재무 부서에서 사용하는 것과 같은 모든 중요한 앱에 대한 두 번째 정책 집합을 가지고 해당 그룹에 적용합니다.
보호하려는 앱에 대한 정책 집합을 결정했으면 증분 방식으로 사용자에게 정책을 롤아웃하여 문제를 해결합니다. 예시:
- 모든 Microsoft 365 앱에 사용하려는 정책을 구성합니다.
- 필요한 변경 내용으로 Exchange만 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
- 필요한 변경 내용이 포함된 Teams를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
- 필요한 변경 내용으로 SharePoint를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
- 모든 Microsoft 365 앱을 포함하도록 이러한 시작점 정책을 자신 있게 구성할 수 있을 때까지 나머지 앱을 계속 추가합니다.
마찬가지로 중요한 앱의 경우 정책 집합을 만들고 한 번에 하나의 앱을 추가합니다. 중요한 앱 정책 집합에 모두 포함될 때까지 문제를 해결합니다.
일부 의도하지 않은 구성이 발생할 수 있으므로 모든 앱에 적용되는 정책 집합을 만들지 않는 것이 좋습니다. 예를 들어 모든 앱을 차단하는 정책은 관리자를 Microsoft Entra 관리 센터 잠글 수 있으며 Microsoft Graph와 같은 중요한 엔드포인트에 대해 제외를 구성할 수 없습니다.
제로 트러스트 ID 및 디바이스 액세스를 구성하는 단계
- 필수 구성 요소 ID 기능 및 해당 설정을 구성합니다.
- 공통 ID를 구성하고 조건부 액세스 정책에 액세스합니다.
- 게스트 및 외부 사용자에 대한 조건부 액세스 정책을 구성합니다.
- Microsoft Teams, Exchange 및 SharePoint와 같은 Microsoft 365 클라우드 앱에 대한 조건부 액세스 정책 및 Microsoft Defender for Cloud Apps 정책을 구성합니다.
ID 및 디바이스 액세스를 제로 트러스트 구성한 후 Microsoft Entra 기능 배포 가이드에서 액세스를 보호, 모니터링 및 감사하기 위해 고려하고 Microsoft Entra ID Governance 추가 기능의 단계별 검사 목록을 참조하세요.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기