제로 트러스트를 통한 ID 보호

배경

클라우드 애플리케이션과 모바일 인력은 보안 경계를 다시 정의했습니다. 직원들은 BOYD(bring-your-own-device) 방식으로 원격으로 작업하고 있습니다. 데이터는 회사 네트워크 외부에서 액세스되고 파트너 및 공급업체와 같은 외부 협력자와 공유됩니다. 회사 애플리케이션과 데이터는 온-프레미스에서 하이브리드 및 클라우드 환경으로 이동하고 있습니다. 조직은 보안을 위해 기존 네트워크 제어에 더 이상 의존할 수 없습니다. 제어는 디바이스, 앱 내부, 파트너 등 데이터가 있는 곳으로 이동해야 합니다.

사람, 서비스 또는 IoT 디바이스를 나타내는 ID는 오늘날의 많은 네트워크, 엔드포인트 및 애플리케이션에서 공통적인 지배자입니다. 제로 트러스트 보안 모델에서 ID는 데이터에 대한 액세스를 제어하는 강력하고 유연하며 세분화된 방법입니다.

조직은 ID가 리소스에 액세스를 시도하기 전에 다음을 수행해야 합니다.

• 강력한 인증을 사용하여 ID를 확인합니다.

• 해당 ID의 액세스가 규정을 준수하고 일반적인지 확인합니다.

• 최소 권한 액세스 원칙을 따릅니다.

ID가 확인되면 조직 정책, 진행 중인 위험 분석 및 기타 도구에 따라 리소스에 대한 해당 ID의 액세스를 제어할 수 있습니다.

ID 제로 트러스트 배포 목표

대부분의 조직에서 제로 트러스트 과정을 시작하기 전에 온-프레미스 ID 공급자가 사용 중이고, 클라우드 및 온-프레미스 앱 사이에 SSO가 없고, ID 위험에 대한 가시성이 매우 제한적이라는 측면에서 ID에 대한 접근 방식이 문제가 됩니다.

ID의 엔드투엔드 제로 트러스트 프레임워크를 구현할 때는 다음과 같은 초기 배포 목표에 먼저 집중하는 것이 좋습니다.
	I.Cloud ID는 온-프레미스 ID 시스템과 페더레이션됩니다. Ii.조건부 액세스 정책은 액세스를 제어하고 수정 작업을 제공합니다. Iii.분석은 가시성을 향상시킵니다.
이러한 목표가 완료되면 다음과 같은 추가 배포 목표에 집중합니다.
	Iv.ID 및 액세스 권한은 ID 거버넌스를 사용하여 관리됩니다. V.User, 디바이스, 위치 및 동작을 실시간으로 분석하여 위험을 확인하고 지속적인 보호를 제공합니다. Vi.다른 보안 솔루션의 위협 신호를 통합하여 탐지, 보호 및 대응을 개선합니다.

ID 제로 트러스트 배포 가이드

이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 ID를 관리하는 데 필요한 단계를 안내합니다.

초기 배포 목표

9\. 클라우드 ID와 온-프레미스 ID 시스템 페더레이션

Microsoft Entra ID를 사용하면 강력한 인증, 엔드포인트 보안을 위한 통합 지점 및 사용자 중심 정책의 핵심을 통해 최소 권한 액세스를 보장할 수 있습니다. Microsoft Entra 조건부 액세스 기능은 액세스 지점에서 명시적으로 확인된 사용자 ID, 환경, 디바이스 상태 및 위험을 기반으로 리소스에 액세스하기 위한 정책 결정 지점입니다. Microsoft Entra ID를 사용하여 제로 트러스트 ID 전략을 구현하는 방법을 보여 드립니다.

모든 사용자를 Microsoft Entra ID로 커넥트 온-프레미스 ID 시스템과 페더레이션

직원 ID와 필요한 보안 아티팩트(권한 부여를 위한 그룹 및 추가 액세스 정책 제어를 위한 엔드포인트)의 정상적인 파이프라인을 유지 관리하면 클라우드에서 일관된 ID 및 제어를 사용하기에 가장 좋은 위치에 있게 됩니다.

다음 단계를 수행합니다.

1. 인증 옵션을 선택합니다. Microsoft Entra ID는 최상의 무차별 암호 대입, DDoS 및 암호 스프레이 보호를 제공하지만 조직 및 규정 준수 요구 사항에 적합한 결정을 내립니다.

2. 반드시 필요한 ID만 가져옵니다. 예를 들어 클라우드로 이동하여 온-프레미스에만 적합한 서비스 계정을 남겨둘 수 있는 기회로 사용합니다. 온-프레미스 권한 있는 역할을 남겨 둡니다.

3. 엔터프라이즈에 100,000명 이상의 사용자, 그룹 및 디바이스가 결합된 경우 수명 주기를 최신 상태로 유지하는 고성능 동기화 상자를 빌드합니다.

Microsoft Entra ID를 사용하여 Identity Foundation 설정

제로 트러스트 전략을 사용하려면 명시적으로 확인하고, 최소 권한 액세스 원칙을 사용하고, 위반을 가정해야 합니다. Microsoft Entra ID는 사용자, 엔드포인트, 대상 리소스 및 환경에 대한 인사이트를 기반으로 액세스 정책을 적용하는 정책 결정 지점 역할을 할 수 있습니다.

이 단계를 실행합니다.

• 모든 액세스 요청의 경로에 Microsoft Entra ID를 배치합니다. 이렇게 하면 모든 사용자와 모든 앱 또는 리소스가 하나의 ID 제어 평면을 통해 연결되고 Microsoft Entra ID에 인증/권한 부여 위험에 대한 최상의 결정을 내릴 수 있는 신호를 제공합니다. 또한 Single Sign-On 및 일관된 정책 보호책은 더 나은 사용자 환경을 제공하고 생산성 향상에 기여합니다.

모든 애플리케이션을 Microsoft Entra ID와 통합

Single Sign-On을 사용하면 사용자가 다양한 앱에서 자격 증명 복사본을 남기지 못하게 하며 과도한 프롬프트로 인해 사용자가 자격 증명을 포기하는 데 익숙해지는 것을 방지할 수 있습니다.

또한 사용자 환경에 여러 IAM 엔진이 없는지 확인합니다. 이렇게 하면 Microsoft Entra ID가 보는 신호의 양이 줄어들어 악의적인 행위자가 두 IAM 엔진 간의 이음새에 살 수 있게 될 뿐만 아니라 사용자 환경이 저하되고 비즈니스 파트너가 제로 트러스트 전략의 첫 번째 의심자가 될 수 있습니다.

다음 단계를 수행합니다.

1. OAuth2.0 또는 SAML을 사용하는 최신 엔터프라이즈 애플리케이션 을 통합합니다.

2. Kerberos 및 양식 기반 인증 애플리케이션의 경우 Microsoft Entra 애플리케이션 프록시를 사용하여 통합합니다.

3. 애플리케이션 배달 네트워크/컨트롤러를 사용하여 레거시 애플리케이션을 게시하는 경우 Microsoft Entra ID를 사용하여 대부분의 주요 애플리케이션(예: Citrix, Akamai 및 F5)과 통합 합니다.

4. ADFS 및 기존/이전 IAM 엔진에서 앱을 검색하고 마이그레이션하는 데 도움을 받으려면 리소스 및 도구를 검토하세요.

5. 다양한 클라우드 애플리케이션에 ID를 푸시합니다. 이렇게 하면 해당 앱 내에서 더 엄격한 ID 수명 주기 통합이 제공됩니다.

팁

애플리케이션에 대한 엔드투엔드 제로 트러스트 전략을 구현하는 방법을 알아보세요.

강력한 인증을 사용하여 명시적으로 확인

다음 단계를 수행합니다.

1. Microsoft Entra P1(다단계 인증)을 롤아웃합니다. 이는 사용자 세션 위험 감소의 기초입니다. 사용자가 새 디바이스 및 새 위치에서 나타나면 MFA 챌린지에 응답할 수 있는 것은 관리자가 개별 신호를 구문 분석하지 않고도 전 세계로 이동할 때 친숙한 디바이스/위치임을 사용자에게 가르칠 수 있는 가장 직접적인 방법 중 하나입니다.

2. 레거시 인증을 차단합니다. 악의적인 행위자에 대한 가장 일반적인 공격 벡터 중 하나는 최신 보안 문제를 수행할 수 없는 SMTP와 같은 레거시 프로토콜에 대해 도난/재생된 자격 증명을 사용하는 것입니다.

II. 조건부 액세스 정책으로 액세스 제어 및 수정 작업 제공

Microsoft Entra CA(조건부 액세스)는 사용자, 디바이스 및 위치와 같은 신호를 분석하여 의사 결정을 자동화하고 리소스에 대한 조직 액세스 정책을 적용합니다. CA 정책을 사용하여 MFA(다단계 인증)와 같은 액세스 제어를 적용할 수 있습니다. CA 정책을 사용하면 보안에 필요한 경우 사용자에게 MFA를 묻는 메시지를 표시하고 필요하지 않은 경우 사용자의 방해를 받지 않도록 할 수 있습니다.

Microsoft는 기본 보안 수준을 보장하는 보안 기본값이라는 표준 조건부 정책을 제공합니다. 그러나 조직에는 보안 기본값에서 제공하는 것보다 더 많은 유연성이 필요할 수 있습니다. 조건부 액세스를 사용하여 더 많은 세분성으로 보안 기본값을 사용자 지정하고 요구 사항에 맞는 새 정책을 구성할 수 있습니다.

조건부 액세스 정책을 미리 계획하고 활성 및 대체 정책을 갖추는 것은 제로 트러스트 배포에서 액세스 정책을 적용하기 위한 기초입니다. 시간을 들여 환경에 신뢰할 수 있는 IP 위치를 구성하세요. 조건부 액세스 정책에서 사용하지 않더라도 이러한 IP를 구성하면 위에서 멘션 ID 보호의 위험을 알 수 있습니다.

이 단계를 실행합니다.

• 복원력 있는 조건부 액세스 정책에 대한 배포 지침 및 모범 사례를 확인하세요.

Microsoft Entra ID를 사용하여 디바이스를 등록하여 취약하고 손상된 디바이스의 액세스를 제한합니다.

다음 단계를 수행합니다.

1. Microsoft Entra 하이브리드 조인 또는 Microsoft Entra 조인을 사용하도록 설정합니다. 사용자의 노트북/컴퓨터를 관리하는 경우 해당 정보를 Microsoft Entra ID로 가져와서 더 나은 의사 결정을 내리는 데 사용합니다. 예를 들어 조직이 제어하고 관리하는 컴퓨터에서 온 사용자임을 알고 있는 경우 데이터에 대한 리치 클라이언트 액세스(컴퓨터에 오프라인 복사본이 있는 클라이언트)를 허용하도록 선택할 수 있습니다. 이를 도입하지 않으면 리치 클라이언트의 액세스를 차단하도록 선택하기 쉬우며, 이로 인해 사용자가 보안을 우회하거나 섀도 IT를 사용하게 될 수 있습니다.

2. 사용자의 모바일 디바이스를 관리하고 디바이스를 등록하기 위해 EMS(Microsoft Endpoint Manager) 내에서 Intune 서비스를 사용하도록 설정합니다. 사용자 모바일 디바이스도 랩톱의 경우와 마찬가지입니다. 모바일 디바이스에 대해 많이 알수록(패치 수준, 탈옥, 루팅 등) 해당 디바이스를 신뢰하거나 신뢰하지 않을 이유가 보다 정확해지며, 액세스를 차단/허용하는 이유의 근거를 제공할 수 있습니다.

팁

엔드포인트에 대한 엔드투엔드 제로 트러스트 전략 구현에 대해 알아봅니다.

III. 분석으로 가시성 개선

인증, 권한 부여 및 프로비저닝을 사용하여 Microsoft Entra ID에서 자산을 빌드할 때 디렉터리에서 발생하는 일에 대한 강력한 운영 인사이트를 갖출 필요가 있습니다.

가시성을 향상하도록 로깅 및 보고 구성

이 단계를 실행합니다.

• Azure에서 또는 선택한 SIEM 시스템을 사용하여 Microsoft Entra ID의 로그를 유지 및 분석할 수 있도록 Microsoft Entra 보고 및 모니터링 배포 를 계획합니다.

추가 배포 목표

IV. ID 거버넌스를 통해 ID 및 액세스 권한 관리

처음 세 가지 목표를 달성한 후에는 보다 강력한 ID 거버넌스와 같은 추가 목표에 집중할 수 있습니다.

Privileged Identity Management를 사용하여 권한 있는 액세스 보호

사용자가 권한 있는 작업/역할에 액세스하는 데 사용하는 엔드포인트, 조건 및 자격 증명을 제어합니다.

다음 단계를 수행합니다.

1. 권한 있는 ID를 제어합니다. 디지털로 변환된 조직에서 권한 있는 액세스는 관리 액세스뿐만 아니라 중요 업무용 앱의 실행 및 데이터 처리 방식을 변경할 수 있는 애플리케이션 소유자 또는 개발자 액세스입니다.

2. Privileged Identity Management를 사용하여 권한 있는 ID를 보호합니다.

애플리케이션에 대한 사용자 동의 제한

애플리케이션에 대한 사용자 동의는 최신 애플리케이션이 조직 리소스에 액세스하는 매우 일반적인 방법이지만 몇 가지 모범 사례를 염두에 두어야 합니다.

다음 단계를 수행합니다.

1. 사용자 동의를 제한하고 동의 요청을 관리하여 조직의 데이터가 앱에 불필요하게 노출되지 않도록 합니다.

2. 조직 에서 이전/기존 동의를 검토하여 과도한 동의 또는 악의적인 동의를 확인합니다.

중요한 정보에 액세스하기 위한 전술로부터 보호하는 도구에 대한 자세한 내용은 ID 제로 트러스트 전략 구현 가이드에서 "사이버 위협 및 악성 앱에 대한 보호 강화"를 참조하세요.

권한 관리

Microsoft Entra ID에서 중앙에서 인증하고 구동하는 애플리케이션을 사용하면 이제 액세스 요청, 승인 및 재인증 프로세스를 간소화하여 올바른 사용자에게 올바른 액세스 권한이 있고 조직의 사용자가 액세스 권한이 있는 이유를 파악할 수 있습니다.

다음 단계를 수행합니다.

1. 권한 관리를 사용하여 사용자가 서로 다른 팀/프로젝트에 참가할 때 요청할 수 있고 연결된 리소스(예: 애플리케이션, SharePoint 사이트, 그룹 멤버 자격)에 대한 액세스를 할당할 수 있는 액세스 패키지를 만듭니다.

2. 현재 조직에서 권한 관리를 배포할 수 없는 경우 적어도 셀프 서비스 그룹 관리 및 셀프 서비스 애플리케이션 액세스를 배포하여 조직에서 셀프 서비스 패러다임을 사용하도록 설정합니다.

암호 없는 인증을 사용하여 피싱 및 암호 공격 위험 줄이기

FIDO 2.0 및 암호 없는 전화 로그인을 지원하는 Microsoft Entra ID를 사용하면 사용자(특히 중요/권한 있는 사용자)가 일상적인 사용 중인 자격 증명에서 바늘을 이동할 수 있습니다. 이러한 자격 증명은 위험을 완화할 수 있는 강력한 인증 요소입니다.

이 단계를 실행합니다.

• 조직에서 암호 없는 자격 증명 롤아웃을 시작합니다.

V. 사용자, 디바이스, 위치, 동작을 실시간으로 분석하여 위험을 파악하고 지속적인 보호 제공

실시간 분석은 위험과 보호를 확인하는 데 중요합니다.

Microsoft Entra 암호 보호 배포

다른 방법을 사용하여 사용자를 명시적으로 확인할 수 있지만 약한 암호, 암호 스프레이 및 위반 재생 공격을 무시하지 마세요. 그리고 클래식 복잡한 암호 정책은 가장 널리 퍼진 암호 공격을 방지하지 않습니다.

이 단계를 실행합니다.

• 클라우드 및 온-프레미스의 사용자에 대해 Microsoft Entra 암호 보호를 사용하도록 설정합니다.

ID 보호를 사용하도록 설정

ID 보호를 사용하여 더 세분화된 세션/사용자 위험 신호를 가져옵니다. 위험을 조사하고 손상 여부를 확인하거나 신호를 해제할 수 있으므로 엔진이 사용자 환경에서 어떤 위험이 표시되는지 더 잘 이해할 수 있습니다.

이 단계를 실행합니다.

• ID 보호를 사용하도록 설정합니다.

ID 보호와 클라우드용 Microsoft Defender 앱 통합을 사용하도록 설정

클라우드용 Microsoft Defender 앱은 SaaS 및 최신 애플리케이션 내에서 사용자 동작을 모니터링합니다. 이렇게 하면 사용자가 인증하고 토큰을 받은 후 발생한 일에 대해 Microsoft Entra ID에 알릴 수 있습니다. 사용자 패턴이 의심스러워 보이기 시작하면(예: 사용자가 OneDrive에서 기가바이트의 데이터를 다운로드하기 시작하거나 Exchange Online에서 스팸 전자 메일을 보내기 시작함) Microsoft Entra ID에 사용자가 손상되거나 위험이 높은 것 같다는 신호를 보낼 수 있습니다. 이 사용자의 다음 액세스 요청에서 Microsoft Entra ID는 사용자를 확인하거나 차단하는 작업을 올바르게 수행할 수 있습니다.

이 단계를 실행합니다.

• 클라우드용 Defender 앱 모니터링을 사용하도록 설정하여 ID 보호 신호를 보강합니다.

클라우드용 Microsoft Defender 앱과 조건부 액세스 통합 사용

인증 후 내보내는 신호를 사용하고 클라우드용 Defender 앱이 애플리케이션에 요청을 프록시하면 SaaS 애플리케이션으로 가는 세션을 모니터링하고 제한을 적용할 수 있습니다.

다음 단계를 수행합니다.

1. 조건부 액세스 통합을 사용하도록 설정합니다.

2. 조건부 액세스를 온-프레미스 앱으로 확장합니다.

액세스 결정에 사용할 수 있도록 제한된 세션 사용

사용자의 위험이 낮지만 알 수 없는 엔드포인트에서 로그인하는 경우 중요한 리소스에 대한 액세스를 허용할 수 있지만 조직이 비준수 상태로 유지되는 작업을 수행하도록 허용하지 않을 수 있습니다. 이제 사용자에게 전자 메일을 읽거나 파일을 볼 수 있는 제한된 세션을 제공하도록 Exchange Online 및 SharePoint Online을 구성할 수 있지만 다운로드하여 신뢰할 수 없는 장치에 저장할 수는 없습니다.

이 단계를 실행합니다.

• SharePoint Online 및 Exchange Online에 대한 제한된 액세스 사용

VI. 다른 보안 솔루션의 위협 신호를 통합하여 검색, 보호, 대응 개선

마지막으로 다른 보안 솔루션을 통합하여 효율성을 향상시킬 수 있습니다.

클라우드용 Microsoft Defender 앱과 Microsoft Defender for Identity를 통합합니다.

Microsoft Defender for Identity와 통합하면 Microsoft Entra ID는 사용자가 온-프레미스, 최신이 아닌 리소스(예: 파일 공유)에 액세스하는 동안 위험한 동작에 빠지고 있음을 알 수 있습니다. 그런 다음 이를 전반적인 사용자 위험에 포함시켜 클라우드에서의 추가 액세스를 차단할 수 있습니다.

다음 단계를 수행합니다.

1. 클라우드용 Microsoft Defender 앱에서 Microsoft Defender for Identity를 사용하도록 설정하여 온-프레미스 신호를 사용자에 대해 알고 있는 위험 신호로 가져옵니다.

2. 위험에 처한 각 사용자에 대해 결합된 조사 우선 순위 점수를 확인하여 SOC가 집중해야 하는 항목을 전체적으로 볼 수 있습니다.

엔드포인트용 Microsoft Defender 사용

엔드포인트용 Microsoft Defender를 사용하면 Windows 컴퓨터의 상태를 증명하고 손상된 상태인지 여부를 확인할 수 있습니다. 그런 다음, 해당 정보를 런타임 시 위험을 완화할 수 있도록 피드할 수 있습니다. Do기본 Join은 제어감을 제공하지만 엔드포인트용 Defender를 사용하면 여러 사용자 디바이스가 신뢰할 수 없는 사이트에 도달하는 패턴을 감지하여 거의 실시간으로 맬웨어 공격에 대응하고 런타임에 디바이스/사용자 위험을 높여 대응할 수 있습니다.

이 단계를 실행합니다.

• 엔드포인트용 Microsoft Defender 조건부 액세스를 구성합니다.

사이버 보안 및 OMB 각서 22-09에 대한 행정 명령 14028에 따른 ID 보안

국가 사이버 보안 및 OMB 각서 개선에 대한 행정 명령 14028 22-09에는 제로 트러스트 대한 구체적인 조치가 포함되어 있습니다. ID 작업에는 중앙 집중식 ID 관리 시스템 사용, 강력한 피싱 방지 MFA 사용 및 권한 부여 결정에 디바이스 수준 신호를 하나 이상 통합하는 작업이 포함됩니다. Microsoft Entra ID를 사용하여 이러한 작업을 무력화하는 방법에 대한 자세한 지침은 Microsoft Entra ID를 사용하여 각서 22-09의 ID 요구 사항 충족을 참조하세요.

이 가이드에서 설명하는 제품

Microsoft Azure

Microsoft Entra ID

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager(Microsoft Intune 포함)

엔드포인트에 대한 Microsoft Defender

SharePoint Online

Exchange Online

결론

ID는 성공적인 제로 트러스트 전략의 핵심입니다. 자세한 내용을 알고 싶거나 구현에 도움이 필요한 경우 고객 성공 팀에 문의하거나 제로 트러스트 주요 요소를 모두 다루는 이 가이드의 다른 챕터를 읽어 보세요.

제로 트러스트 배포 가이드 시리즈