Azure Active Directory에 대한 Azure 보안 기준

이 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Azure Active Directory에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark에서 정의한 보안 제어 및 Azure Active Directory에 적용되는 관련 지침에 따라 그룹화됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Active Directory에 적용할 수 없는 컨트롤 및 전역 지침이 그대로 권장되는 컨트롤은 제외되었습니다. Azure Active Directory가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 전체 Azure Active Directory 보안 기준 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-6: 네트워크 보안 규칙 간소화

지침: Azure Virtual Network 서비스 태그를 사용하여 Azure Active Directory 리소스에 대해 구성된 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다. 서비스 태그 이름(예: 'AzureActiveDirectory')을 규칙의 적절한 원본 또는 대상 필드에 지정하여 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. Microsoft에서는 서비스 태그에서 압축한 주소 접두사를 관리하고 주소를 변경하는 대로 서비스 태그를 자동으로 업데이트합니다.

책임: Customer

NS-7: 보안 DNS(Domain Name Service)

지침: Azure Active Directory는 기본 DNS 구성을 노출하지 않습니다. 이러한 설정은 Microsoft에서 유지 관리합니다.

책임: Microsoft

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

지침: Azure AD(Azure Active Directory)를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음 리소스에서 조직의 ID 및 액세스 관리를 관리해야 합니다.

  • Microsoft 클라우드 리소스(예: Azure Portal, Azure Storage, Azure Virtual Machines(Linux 및 Windows), Azure Key Vault, PaaS 및 SaaS 애플리케이션)
  • 조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)

Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 태세를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.

참고: Azure AD는 Microsoft 계정이 없는 사용자가 자신의 외부 ID를 사용하여 애플리케이션 및 리소스에 로그인할 수 있도록 외부 ID를 지원합니다.

책임: Customer

IM-2: 애플리케이션 ID를 안전하게 자동으로 관리

지침: Azure 리소스에 대한 관리 ID를 비사용자 계정(예: 서비스 또는 자동화)에 사용합니다. 리소스를 액세스하거나 실행할 수 있는 더 강력한 사용자 계정을 만드는 대신 Azure 관리 ID 기능을 사용하는 것이 좋습니다. 기본적으로 소스 코드 또는 구성 파일에서 하드 코딩된 자격 증명을 사용하지 않고 미리 정의된 액세스 허용 규칙을 통해 Azure AD(Azure Active Directory) 인증을 지원하는 Azure 서비스/리소스에 인증할 수 있습니다. Azure 관리 ID를 Azure AD 리소스에 할당할 수 없지만, Azure AD는 다른 서비스의 리소스에 할당된 관리 ID를 사용하여 인증하는 메커니즘입니다.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

지침: Azure Active Directory를 사용하여 Azure 리소스, 클라우드 애플리케이션, 온-프레미스 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다. 여기에는 엔터프라이즈 ID(예: 직원) 및 외부 ID(예: 파트너, 공급업체 및 공급자)가 포함됩니다. 이를 통해 SSO(Single Sign-On)가 온-프레미스 및 클라우드에서 조직의 데이터와 리소스에 대한 액세스를 관리하고 보호할 수 있습니다. 모든 사용자, 애플리케이션, 디바이스를 Azure AD에 연결하여 원활하고 안전하게 액세스하고 가시성과 제어를 강화할 수 있습니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자 보호 및 제한

지침: Azure AD의 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있습니다.

  • 전역 관리자: 이 역할의 사용자는 Azure AD의 모든 관리 기능뿐 아니라 Azure AD ID를 사용하는 서비스에도 액세스할 수 있습니다.

  • 권한 있는 역할 관리자: 이 역할의 사용자는 Azure AD뿐만 아니라 Azure AD PIM(Privileged Identity Management) 내에서도 역할 할당을 관리할 수 있습니다. 또한 이 역할을 통해 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.

참고: 특정 권한이 할당된 사용자 지정 역할을 사용하는 경우 관리해야 할 다른 중요한 역할이 있을 수 있습니다. 또한 중요한 비즈니스 자산의 관리자 계정에도 비슷한 제어를 적용할 수 있습니다.

Azure AD에는 권한이 높은 계정, 즉 전역 관리자 또는 권한 있는 역할 관리자 역할에 직접 또는 간접적으로 할당되거나 자격이 있는 사용자 및 서비스 주체와 Azure AD 및 Azure의 권한이 높은 기타 역할이 있습니다.

이 권한의 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있으므로 높은 권한이 있는 계정의 수를 제한하고 이러한 계정을 관리자 권한 수준에서 보호합니다.

Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정할 수 있습니다. JIT는 사용자가 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. 또한 PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수 있습니다.

책임: Customer

PA-3: 정기적으로 사용자 액세스 검토 및 조정

지침: 사용자 계정 액세스 할당을 정기적으로 검토하여 계정 및 해당 액세스가 유효한지 확인합니다. 특히 전역 관리자 및 권한 있는 역할 관리자를 포함한 권한이 높은 역할에 중점을 둡니다. Azure AD(Azure Active Directory) 액세스 검토를 사용하여 Azure AD 역할 및 Azure 역할 모두에 대한 그룹 멤버 자격, 엔터프라이즈 애플리케이션 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 검색하는 데 도움이 되는 로그를 제공할 수 있습니다. 또한 Azure AD Privileged Identity Management를 사용하여 검토 프로세스를 용이하게 하는 액세스 검토 보고서 워크플로를 만들 수 있습니다.

또한 Azure Privileged Identity Management는 과도한 수의 관리자 계정이 생성되었을 때 경고하도록 구성하고, 부실하거나 부적절하게 구성된 관리자 계정을 식별할 수 있습니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 안전성이 뛰어난 사용자 워크스테이션 또는 Azure Bastion을 사용합니다. Azure Active Directory, Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 관리형 보안 사용자 워크스테이션을 배포할 수 있습니다. 보안 워크스테이션을 중앙에서 관리하여 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리적 액세스 및 네트워크 액세스를 비롯한 보안 구성을 적용할 수 있습니다.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

지침: 고객은 사용자를 사용자가 관리 작업을 완료하는 데 필요한 최소 권한이 있는 역할에 할당하여 최소 권한으로 Azure AD(Azure Active Directory) 배포를 구성할 수 있습니다.

책임: Customer

PA-8: Microsoft 지원에 대한 승인 프로세스 선택

지침: Azure Active Directory는 고객 Lockbox를 지원하지 않습니다. Microsoft는 고객 데이터 액세스에 대한 승인을 위해 비 Lockbox 방법을 통해 고객과 협력할 수 있습니다.

책임: 공유됨

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-2: 중요한 데이터 보호

지침: 중요한 데이터 보호를 구현하려면 다음 지침을 고려합니다.

  • 격리: 디렉터리는 Azure AD(Azure Active Directory) 서비스에서 고객에 대한 데이터를 저장하고 처리하는 데이터 경계입니다. 고객은 디렉터리에서 국가 속성을 설정하여 대부분의 Azure AD 고객 데이터가 상주할 위치를 결정해야 합니다.

  • 조각화: 전역 관리자의 역할은 모든 디렉터리 데이터와 액세스 및 처리 명령을 제어하는 규칙을 완전히 제어합니다. 디렉터리는 관리 단위로 분할하고 해당 단위의 관리자가 관리하는 사용자 및 그룹을 프로비전할 수 있습니다. 전역 관리자는 미리 정의된 역할 또는 자신이 만들 수 있는 사용자 지정 역할에 할당하여 책임을 조직의 다른 원칙에 위임할 수 있습니다.

  • 액세스: 권한은 사용자, 그룹, 역할, 애플리케이션 또는 디바이스에 적용할 수 있습니다. 할당은 Privileged Identity Management 구성에 따라 영구적이거나 임시적일 수 있습니다.

  • 암호화: Azure AD는 모든 미사용 또는 전송 중 데이터를 암호화합니다. 제품에서는 고객이 자신의 암호화 키를 사용하여 디렉터리 데이터를 암호화할 수 있도록 허용하지 않습니다.

선택한 국가가 디렉터리의 물리적 위치에 매핑되는 방법을 확인하려면 '데이터 위치 문서'를 참조하세요.

고객이 디렉터리와 상호 작용하는 다양한 Azure AD 도구, 기능 및 애플리케이션을 사용하는 경우 'Azure Active Directory – 데이터 위치' 문서를 사용합니다.

책임: Customer

DP-4: 전송 중인 중요한 정보 암호화

지침: 액세스 제어를 보완하려면 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용하여 '대역 외' 공격(예: 트래픽 캡처)으로부터 전송 중 데이터를 보호해야 합니다.

Azure AD는 TLS v1.2 이상을 사용하여 전송 중 데이터 암호화를 지원합니다.

사설망의 트래픽에서는 선택 사항이지만, 외부 및 공용 네트워크의 트래픽에서 매우 중요합니다. HTTP 트래픽의 경우 Azure 리소스에 연결하는 모든 클라이언트에서 TLS v1.2 이상을 협상할 수 있는지 확인합니다. 원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다. 더 이상 사용되지 않는 SSL, TLS 및 SSH 버전/프로토콜 및 약한 암호는 사용하지 않도록 설정해야 합니다.

Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.

책임: Customer

DP-5: 중요한 미사용 데이터 암호화

지침: 액세스 제어를 보완하기 위해 Azure AD는 미사용 데이터를 암호화하여 암호화를 사용하여 대역 외 공격(예: 기본 스토리지 액세스)으로부터 보호합니다. 이렇게 하면 공격자가 데이터를 쉽게 읽거나 수정할 수 없습니다.

책임: Microsoft

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: Azure Security Center를 사용하여 보안 위험을 모니터링할 수 있도록 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 보안 팀에 부여합니다.

보안 팀의 책임이 구성된 방식에 따라 보안 위험 모니터링은 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 즉, 보안 인사이트 및 위험이 항상 조직 내의 중앙에서 집계되어야 합니다.

보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.

참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

지침: Azure AD(Azure Active Directory) Identity Protection 기본 제공 위협 탐지 기능을 Azure AD 리소스에 사용합니다.

Azure AD는 위협 탐지 및 위협 헌팅에 자주 사용되는 활동 로그를 생성합니다. Azure AD 로그인 로그는 사용자, 서비스 및 앱에 대한 인증 및 권한 부여 활동 기록을 제공합니다. Azure AD 감사 로그는 보안 상태를 개선하거나 감소시키는 변경을 포함하여 Azure AD 테넌트에 대한 변경 내용을 추적합니다.

책임: Customer

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

지침: Azure AD(Azure Active Directory)는 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure AD 보고에서 보거나 Azure Monitor, Azure Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 사용자 로그를 제공합니다.

  • 로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용 정보를 제공합니다.
  • 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.
  • 위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
  • 위험 사용자 - 위험 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

Identity Protection 위험 검색은 기본적으로 사용하도록 설정되며 온보딩 프로세스가 필요하지 않습니다. 세분성 또는 위험 데이터는 라이선스 SKU에 따라 결정됩니다.

책임: Customer

LT-4: Azure 리소스에 대한 로깅 사용

지침: Azure AD(Azure Active Directory)는 활동 로그를 생성합니다. 일부 Azure 서비스와 달리 Azure AD는 활동 로그와 리소스 로그를 구분하지 않습니다. 활동 로그는 Azure Portal의 Azure AD 섹션에서 자동으로 사용할 수 있으며 Azure Monitor, Azure Event Hubs, Azure Storage, SIEM 및 기타 위치로 내보낼 수 있습니다.

  • 로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용 정보를 제공합니다.

  • 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.

또한 Azure AD는 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure AD 보고에서 보거나 Azure Monitor, Azure Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 보안 관련 로그를 제공합니다.

  • 위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
  • 위험 사용자 - 위험 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

Identity Protection 위험 검색은 기본적으로 사용하도록 설정되며 온보딩 프로세스가 필요하지 않습니다. 세분성 또는 위험 데이터는 라이선스 SKU에 따라 결정됩니다.

책임: Customer

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: 고객은 더 쉬운 위협 헌팅 및 보안 상태 분석을 위해 보안 로그를 중앙 집중화하려는 경우 다음 지침을 따르는 것이 좋습니다.

  • 상관 관계를 사용하도록 설정하기 위해 로깅 스토리지 및 분석을 중앙 집중화합니다. Azure AD 내의 각 로그 원본에 대해 데이터 소유자, 액세스 지침, 스토리지 위치, 데이터를 처리하고 액세스하는 데 사용되는 도구 및 데이터 보존 요구 사항을 할당했는지 확인합니다.

  • Azure 활동 로그를 중앙 로깅에 통합합니다. Azure Monitor를 통해 로그를 수집하여 엔드포인트 디바이스, 네트워크 리소스, 기타 보안 시스템에 의해 생성된 보안 데이터를 집계합니다. Azure Monitor에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리하고 수행하며, 장기 및 기록 스토리지에 Azure Storage 계정을 사용할 수 있습니다.

  • 또한 데이터를 Azure Sentinel 또는 타사 SIEM에서 사용하도록 설정하고 온보딩할 수 있습니다.

많은 조직에서 자주 사용되는 "핫" 데이터에 Azure Sentinel을 사용하고, 낮은 빈도로 사용되는 "콜드" 데이터에는 Azure Storage를 사용합니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

지침: Azure Active Directory 로그인 로그, 감사 로그 및 위험 데이터 로그를 저장하는 데 사용되는 모든 스토리지 계정 또는 Log Analytics 작업 영역에 조직의 준수 규정에 따라 설정된 로그 보존 기간이 있는지 확인합니다.

Azure Monitor에서 조직의 준수 규정에 따라 Log Analytics 작업 영역의 보존 기간을 설정할 수 있습니다. 장기 및 보관 스토리지에 대한 Azure Storage, Data Lake 또는 Log Analytics 작업 영역 계정을 사용합니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

지침: Azure AD(Azure Active Directory)는 자체 시간 동기화 원본 구성을 지원하지 않습니다. Azure AD 서비스는 Microsoft 시간 동기화 원본에 의존하며 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

지침: Microsoft ID 및 액세스 관리 솔루션을 사용하면 IT가 온-프레미스 및 클라우드에서 애플리케이션 및 리소스에 대한 액세스를 보호할 수 있습니다. 조직은 보안 모범 사례에 따라 ID 및 액세스 관리 구현이 공격에 대해 안전하고 복원력이 더 높은지 확인해야 합니다.

조직은 ID 및 액세스 관리 구현 전략을 기반으로 하여 Microsoft 모범 사례 지침에 따라 ID 인프라를 보호해야 합니다.

외부 파트너와 협력하는 조직은 보안 위험을 줄이고 중요한 리소스를 보호하기 위해 적절한 거버넌스, 보안 및 규정 준수 구성을 추가로 평가하고 구현해야 합니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

지침: Microsoft Secure Score는 위협으로부터 조직을 보호하는 데 도움이 되는 보안 상태 및 권장 사항에 대한 측정 값을 제공합니다. 조직은 ID 보안 상태를 개선하기 위해 제안된 개선 작업에 대한 Secure Score를 정기적으로 검토하는 것이 좋습니다.

책임: Customer

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정해야 합니다. Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

다음 단계