Active Directory Domain Services에 대한 Privileged Access Management

  • 아티클

MIM PAM(Privileged Access Management)은 조직이 기존 및 격리된 Active Directory 환경 내에서 권한 있는 액세스를 제한할 수 있도록 지원하는 솔루션입니다.

Privileged Access Management는 다음 두 가지 목표를 수행합니다.

  • 악의적인 공격에 영향을 받지 않는 별도의 배스천 환경을 유지 관리함으로써 손상된 Active Directory 환경에 대한 제어를 다시 설정합니다.
  • 권한 있는 계정의 사용을 격리하여 해당 자격 증명의 도난 위험을 줄입니다.

참고

MIM PAM에서 제공하는 PAM 접근 방식은 인터넷에 연결된 환경의 새 배포에는 권장되지 않습니다. MIM PAM은 인터넷 액세스를 사용할 수 없는 격리된 AD 환경에 대한 사용자 지정 아키텍처에서 사용되며, 이 구성은 규제에 의해 요구되거나 오프라인 연구 실험실 및 연결이 끊긴 운영 기술 또는 감독 제어 및 데이터 취득 환경과 같은 영향력이 큰 격리 환경에서 사용됩니다. MIM PAM은 PIM(Microsoft Entra Privileged Identity Management)과 다릅니다. Microsoft Entra PIM은 Microsoft Entra ID, Azure 및 기타 Microsoft Online Services(예: Microsoft 365 또는 Microsoft Intune)의 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있는 서비스입니다. 온-프레미스 인터넷에 연결된 환경 및 하이브리드 환경에 대한 지침은 자세한 내용은 권한 있는 액세스 보안을 참조하세요.

MIM PAM이 해결하는 데 도움이 되는 문제는 무엇인가요?

오늘날 공격자가 Domain Admins 계정 자격 증명을 얻기가 너무 쉽기 때문에 사실 이후에 이러한 공격을 검색하기가 너무 어렵습니다. PAM의 목표는 악의적인 사용자가 권한을 얻을 수 있는 기회를 줄이는 반면 환경에 대한 사용자의 제어 및 인식을 높이는 것입니다.

PAM을 사용하면 공격자가 네트워크에 침투하고 권한 있는 계정 액세스 권한을 얻기 어려워집니다. PAM은 다양한 도메인에 조인된 컴퓨터 및 해당 컴퓨터의 애플리케이션에서 액세스를 제어하는 권한 있는 그룹을 추가로 보호합니다. 또한 자세한 모니터링, 자세한 표시 및 더 세분화된 컨트롤을 추가합니다. 그러면 조직에서 권한 있는 관리자 및 해당 관리자의 작업을 볼 수 있습니다. PAM은 환경에서 관리 계정이 어떻게 사용되는지 조직이 확인할 수 있습니다.

MIM에서 제공하는 PAM 접근 방식은 인터넷 액세스를 사용할 수 없거나, 이 구성이 규제에 필요하거나, 오프라인 연구 실험실, 연결이 끊긴 운영 기술 또는 감독 제어 및 데이터 취득 환경과 같은 영향력이 높은 격리된 환경에서 사용할 수 있는 격리된 환경의 사용자 지정 아키텍처에서 사용됩니다. Active Directory가 인터넷에 연결된 환경의 일부인 경우 시작할 위치에 대한 자세한 내용은 권한 있는 액세스 보안을 참조하세요.

MIM PAM 설정

PAM은 Just-in-Time 관리의 원칙을 작성하며 JEA(Just Enough Administration)와 관련됩니다. JEA는 권한 있는 작업을 수행하기 위한 명령 집합을 정의하는 Windows PowerShell 도구 키트입니다. 관리자가 명령을 실행하는 권한 부여를 얻을 수 있는 엔드포인트입니다. JEA에서 관리자는 특정 권한이 있는 사용자가 특정 작업을 수행할 수 있도록 결정합니다. 적합한 사용자가 해당 작업을 수행해야 할 때마다 해당 사용 권한을 사용할 수 있습니다. 악의적인 사용자가 액세스 권한을 도용할 수 없도록 사용 권한은 지정된 기간 후 만료됩니다.

PAM 설정 및 작업은 네 단계가 있습니다.

PAM 단계: 준비, 보호, 작동, 모니터링 - 다이어그램

  1. 준비: 기존 포리스트에서 어떤 그룹이 상당한 권한이 있는지 식별합니다. 배스천 포리스트에서 구성원 없이 이러한 그룹을 다시 만듭니다.
  2. 보호: 사용자가 Just-In-Time 관리를 요청할 때 수명 주기 및 인증 보호를 설정합니다.
  3. 작동: 인증 요구 사항이 충족되고 요청이 승인된 후에 사용자 계정을 배스천 포리스트의 권한 있는 그룹에 일시적으로 추가합니다. 미리 설정 시간 동안 관리자는 해당 그룹에 할당되는 모든 권한 및 액세스 권한을 갖습니다. 이 시간 후 계정이 그룹에서 제거됩니다.
  4. 모니터링: PAM은 권한 있는 액세스 요청의 감사, 경고 및 보고서를 추가합니다. 권한 있는 액세스의 기록을 검토할 수 있으며 작업을 수행한 사용자를 참조할 수 있습니다. 활동이 유효한지를 결정하고 원래 포리스트에서 권한 있는 그룹에 직접 사용자를 추가하려는 시도와 같은 권한 없는 활동을 식별할 수 있습니다. 이 단계는 "내부" 공격자를 추적할 뿐만 아니라 악성 소프트웨어를 식별하기도 합니다.

MIM PAM은 어떻게 작동하나요?

PAM은 AD DS의 새로운 기능, 특히 도메인 계정 인증 및 권한, 그리고 Microsoft Identity Manager의 새로운 기능을 기반으로 합니다. PAM은 기존 Active Directory 환경에서 권한 있는 계정을 분리합니다. 권한 있는 계정을 사용해야 하는 경우 먼저 요청한 다음 승인해야 합니다. 승인 후에 권한 있는 계정은 사용자 또는 애플리케이션의 현재 포리스트가 아닌 새 요새 포리스트에서 외래 주체 그룹을 통해 권한이 주어집니다. 방호 포리스트를 사용하면 조직은 사용자가 권한 있는 그룹의 멤버일 경우 사용자 인증을 하는 방법과 같은 제어를 강화합니다.

또한 Active Directory, MIM 서비스 및 솔루션의 다른 부분은 고가용성 구성으로 배포할 수 있습니다.

다음 예제에서는 PIM가 작동하는 방법을 자세히 보여줍니다.

PIM 프로세스 및 참가자 - 다이어그램

배스천 포리스트는 시간 제한된 그룹 구성원 자격을 발급한 다음 시간 제한된 TGT(Ticket-Granting Ticket)를 생성합니다. 앱과 서비스가 배스천 포리스트를 신뢰하는 포리스트에 있는 경우 Kerberos 기반 애플리케이션 또는 서비스는 이러한 TGT를 처리할 수 있습니다.

일상적인 사용자 계정은 새 포리스트로 이동할 필요가 없습니다. 컴퓨터, 애플리케이션 및 해당 그룹도 마찬가지입니다. 기존 포리스트에서 현재 있는 곳을 유지합니다. 요즘 이러한 사이버 안보 문제를 우려하지만 즉시 계획이 Windows Server의 다음 버전에 서버 인프라를 업그레이드할 즉각적인 계획이 없는 조직의 예를 살펴보십시오. 해당 조직은 MIM 및 새 요새 포리스트를 사용하여 이 결합된 솔루션을 활용할 수 있고 기존 리소스에 액세스를 더 잘 제어할 수 있습니다.

PAM은 다음과 같은 이점이 있습니다.

  • 권한의 격리/범위: 사용자는 메일 확인이나 인터넷 검색 등 권한 없는 작업에도 사용되는 계정에서 권한이 없습니다. 사용자는 권한을 요청해야 합니다. 요청은 PAM 관리자가 정의한 MIM 정책을 기반으로 승인 또는 거부됩니다. 요청이 승인될 때까지 권한 있는 액세스는 사용할 수 없습니다.

  • 버전 업그레이드 및 증명: 별도 관리자 계정의 수명 주기를 관리할 수 있는 새 인증 및 권한 부여 과제입니다. 사용자는 관리 계정의 권한 상승을 요청할 수 있으며 해당 요청은 MIM 워크플로를 거칩니다.

  • 추가 로깅: 기본 제공 MIM 워크플로와 함께 요청, 요청 인증 방법 및 승인 후에 발생하는 이벤트를 식별하는 PAM에 대한 추가 로깅이 있습니다.

  • 사용자 지정 가능한 워크플로: MIM 워크플로는 다른 시나리오에서 구성할 수 있고 요청하는 사용자 또는 요청된 역할의 매개 변수를 기반으로 다양한 워크플로를 사용할 수 있습니다.

사용자가 권한 있는 액세스를 요청하는 방법

사용자는 다음과 같이 다양한 방법으로 요청을 제출할 수 있습니다.

  • MIM 서비스 웹 서비스 API
  • REST 엔드포인트
  • Windows PowerShell(New-PAMRequest)

권한 있는 액세스 관리 cmdlet에 대해 자세히 알아보세요.

어떤 워크플로 및 모니터링 옵션을 사용할 수 있습니까?

예를 들어 PAM이 설정되기 전에 사용자가 관리 그룹의 구성원이었다고 가정해 보겠습니다. PAM 설정의 일부로 사용자가 관리 그룹에서 제거되고 MIM에서 정책이 만들어집니다. 정책은 사용자가 관리 권한을 요청하는 경우 요청이 승인되고 사용자에 대한 별도의 계정이 배스천 포리스트의 권한 있는 그룹에 추가되도록 지정합니다.

요청이 승인되었다고 가정하고 작업 워크플로가 직접 요새 포리스트 Active Directory와 통신하여 그룹에 사용자를 넣습니다. 예를 들어 Jen이 HR 데이터베이스 관리를 요청하면 Jen에 대한 관리 계정은 몇 초 이내 요새 포리스트에서 권한 있는 그룹에 추가됩니다. 해당 그룹의 관리 계정 멤버 자격은 시간 제한 후에 만료됩니다. Windows Server 2016 이상에서는 해당 멤버 자격이 Active Directory에 시간 제한과 연결됩니다.

참고

그룹에 새 멤버를 추가하면 변경을 요새 포리스트의 다른 도메인 컨트롤러(DC)에 복제해야 합니다. 복제 대기 시간은 리소스에 액세스하는 사용자에 대한 성능에 영향을 줄 수 있습니다. 복제 대기 시간에 대한 자세한 내용은 Active Directory 복제 토폴로지 작동 방법을 참조하십시오.

반면 SAM(보안 계정 관리자)은 만료되는 링크를 실시간으로 평가합니다. 그룹 구성원 추가는 액세스 요청을 수신하는 DC에서 복제해야 하지만 그룹 구성원 제거는 모든 DC에서 즉각적으로 평가됩니다.

이 워크플로는 특별히 이러한 관리 계정의 대상입니다. 권한 있는 액세스에 가끔식 액세스가 필요한 관리자(또는 스크립트)는 해당 액세스를 정확하게 요청할 수 있습니다. MIM은 Active Directory에서 요청 및 변경 내용을 기록하여 System Center 2012 - Operations Manager ACS(Audit Collection Services) 또는 기타 타사 도구와 같은 솔루션을 모니터링하는 회사에 데이터를 전송하거나 이벤트 뷰어에서 볼 수 있습니다.

다음 단계