권한 있는 액세스 스토리의 일부로 디바이스 보호

이 지침은 완전한 권한 있는 액세스 전략의 일부이며 권한 있는 액세스 배포의 일부로 구현됩니다.

권한 있는 액세스에 대한 종단 간 제로 트러스트 보안에는 세션에 대한 다른 보안 보증을 빌드하는 강력한 디바이스 보안 기반이 필요합니다. 세션에서 보안 보증이 향상될 수 있지만, 원래 디바이스에서 보안 보증이 얼마나 강력한지에 따라 항상 제한됩니다. 이 디바이스를 제어하는 공격자는 사용자를 가장하거나 나중에 가장하기 위해 자격 증명을 도용할 수 있습니다. 이 위험은 계정, 점프 서버와 같은 중개자 및 리소스 자체에 대한 다른 보증을 훼손합니다. 자세한 내용은 클린 소스 원칙을 참조하세요.

이 문서에서는 수명 주기 내내 중요한 사용자에게 보안 워크스테이션을 제공하는 보안 컨트롤의 개요를 제공합니다.

Workflow to acquire and deploy a secure workstation

이 솔루션은 Windows 10 운영 체제, Pertahanan Microsoft untuk Titik Akhir, Azure Active Directory 및 Microsoft InTune의 핵심 보안 기능을 사용합니다.

보안 워크스테이션의 이점은 Who?

모든 사용자와 운영자는 보안 워크스테이션을 사용하는 이점을 누릴 수 있습니다. PC 또는 디바이스를 손상시키는 공격자는 이를 사용하는 모든 계정에 대해 자격 증명/토큰을 가장하거나 도용하여 다른 많은 보안 보증을 훼손할 수 있습니다. 관리자 또는 중요한 계정의 경우 공격자가 권한을 에스컬레이션하고 조직에서 사용하는 액세스 권한을 높일 수 있으며, 종종 도메인, 전역 또는 엔터프라이즈 관리자 권한에 대한 액세스 권한을 크게 높일 수 있습니다.

보안 수준 및 어떤 수준에 할당해야 하는지에 대한 자세한 내용은 Privileged Access 보안 수준을 참조하세요.

디바이스 보안 컨트롤

보안 워크스테이션을 성공적으로 배포하려면 애플리케이션 인터페이스에 적용된 디바이스, 계정, 중개자 및 보안 정책을 비롯한 종단 간 접근 방식의 일부여야 합니다. 완전한 권한 있는 액세스 보안 전략을 위해 스택의 모든 요소를 처리해야 합니다.

이 표에서는 다양한 디바이스 수준에 대한 보안 컨트롤을 요약합니다.

프로필 Enterprise 전문 권한
MEM(Microsoft Endpoint Manager) 관리됨
BYOD 디바이스 등록 거부 아니요
MEM 보안 기준 적용됨
Pertahanan Microsoft untuk Titik Akhir 예*
Autopilot을 통해 개인 디바이스 조인 예* 예* 아니요
승인된 목록으로 제한된 URL 대부분 허용 대부분 허용 기본값 거부
관리자 권한 제거
애플리케이션 실행 제어(AppLocker) 감사 -> 적용됨
MEM에서만 설치된 애플리케이션

참고

솔루션은 새 하드웨어, 기존 하드웨어 및 BYOD(Bring Your Own Device) 시나리오를 사용하여 배포할 수 있습니다.

모든 수준에서 보안 업데이트에 대한 적절한 보안 유지 관리 위생은 Intune 정책에 의해 적용됩니다. 디바이스 보안 수준이 증가함에 따라 보안의 차이는 공격자가 악용하려고 시도할 수 있는 공격 노출 영역을 줄이는 데 초점을 맞추고 있습니다(최대한 많은 사용자 생산성을 유지하면서). Enterprise 및 특수 수준 디바이스는 생산성 애플리케이션 및 일반 웹 검색을 허용하지만 권한 있는 액세스 워크스테이션은 그렇지 않습니다. Enterprise 사용자는 자체 애플리케이션을 설치할 수 있지만 특수한 사용자는 워크스테이션의 로컬 관리자가 아닐 수 있습니다.

참고

여기서 웹 검색은 위험 수준이 높은 활동이 될 수 있는 임의의 웹 사이트에 대한 일반적인 액세스를 나타냅니다. 이러한 검색은 웹 브라우저를 사용하여 Azure, Microsoft 365, 다른 클라우드 공급자 및 SaaS 애플리케이션과 같은 서비스에 대해 잘 알려진 소수의 관리 웹 사이트에 액세스하는 것과는 분명히 다릅니다.

신뢰의 하드웨어 루트

보안 워크스테이션에 필수적인 것은 '신뢰의 루트'라는 신뢰할 수 있는 워크스테이션을 사용하는 공급망 솔루션입니다. 신뢰할 수 있는 하드웨어의 루트 선택에서 고려해야 하는 기술에는 최신 노트북에 포함된 다음 기술이 포함되어야 합니다.

이 솔루션의 경우 최신 기술 요구 사항을 충족하는 하드웨어와 함께 Windows Autopilot 기술을 사용하여 신뢰의 루트를 배포합니다. 워크스테이션을 보호하기 위해 Autopilot을 사용하면 Microsoft OEM 최적화 Windows 10 디바이스를 활용할 수 있습니다. 이러한 디바이스는 제조업체에서 알려진 양수 상태로 제공됩니다. Autopilot은 안전하지 않은 디바이스를 다시 설치하는 대신 Windows 10 디바이스를 "비즈니스 준비" 상태로 변환할 수 있습니다. 설정 및 정책을 적용하고, 앱을 설치하고, Windows 10 버전을 변경합니다.

Secure workstation Levels

디바이스 역할 및 프로필

이 지침에서는 Windows 10 강화하고 디바이스 또는 사용자 손상과 관련된 위험을 줄이는 방법을 보여 줍니다. 최신 하드웨어 기술과 신뢰 디바이스의 루트를 활용하기 위해 솔루션은 Device Health 증명을 사용합니다. 이 기능은 디바이스의 초기 부팅 중에 공격자가 지속될 수 없도록 하기 위해 존재합니다. 이렇게 하려면 정책 및 기술을 사용하여 보안 기능 및 위험을 관리할 수 있습니다.

Secure workstation profiles

  • Enterprise 디바이스 – 조직에서 최소 보안 표시줄을 높이려는 가정 사용자, 중소기업 사용자, 일반 개발자 및 기업에 첫 번째 관리되는 역할이 적합합니다. 이 프로필을 사용하면 사용자가 모든 애플리케이션을 실행하고 웹 사이트를 탐색할 수 있지만 Pertahanan Microsoft untuk Titik Akhir 같은 맬웨어 방지 및 엔드포인트 감지 및 응답(EDR) 솔루션이 필요합니다. 보안 태세를 강화하기 위한 정책 기반 접근 방식이 적용됩니다. 전자 메일 및 웹 검색과 같은 생산성 도구를 사용하는 동시에 고객 데이터로 작업할 수 있는 안전한 수단을 제공합니다. 감사 정책 및 Intune 통해 사용자 동작 및 프로필 사용에 대한 Enterprise 워크스테이션을 모니터링할 수 있습니다.

권한 있는 액세스 배포 지침의 엔터프라이즈 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.

  • 특수 디바이스 – 워크스테이션을 자체 관리하는 기능을 제거하고 권한 있는 관리자가 설치한 애플리케이션(프로그램 파일 및 사용자 프로필 위치의 사전 승인된 애플리케이션)으로만 실행할 수 있는 애플리케이션을 제한하여 엔터프라이즈 사용에서 중요한 한 걸음을 내디뎠습니다. 애플리케이션을 설치하는 기능을 제거하면 잘못 구현된 경우 생산성에 영향을 미칠 수 있으므로 사용자의 요구를 충족하기 위해 신속하게 설치할 수 있는 Microsoft 스토어 애플리케이션 또는 회사 관리형 애플리케이션에 대한 액세스 권한을 제공했는지 확인합니다. 특수 수준 디바이스를 사용하여 사용자를 구성해야 하는 지침은 Privileged Access 보안 수준을 참조하세요.
    • 특수 보안 사용자는 사용이 간편한 환경에서 전자 메일 및 웹 검색과 같은 작업을 수행할 수 있는 동시에 보다 제어된 환경을 요구합니다. 이러한 사용자는 쿠키, 즐겨찾기 및 기타 바로 가기와 같은 기능이 작동하기를 기대하지만 디바이스 운영 체제를 수정하거나 디버그하거나 드라이버를 설치하는 기능 또는 이와 유사한 기능이 필요하지 않습니다.

권한 있는 액세스 배포 지침의 특수 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.

  • PAW(Privileged Access Workstation) – 계정이 손상된 경우 조직에 중요하거나 중대한 영향을 미칠 매우 중요한 역할을 위해 설계된 가장 높은 보안 구성입니다. PAW 구성에는 로컬 관리 액세스 및 생산성 도구를 제한하는 보안 제어 및 정책이 포함되어 공격 노출 영역을 중요한 작업 수행에 절대적으로 필요한 것으로 최소화합니다. 따라서 PAW 디바이스는 피싱 공격에 대한 가장 일반적인 벡터인 이메일 및 웹 검색을 차단하기 때문에 공격자가 손상하기 어렵게 만듭니다. 이러한 사용자에게 생산성을 제공하려면 생산성 애플리케이션 및 웹 검색을 위해 별도의 계정과 워크스테이션을 제공해야 합니다. 불편하지만, 이는 계정이 조직의 대부분의 또는 모든 리소스에 손상을 줄 수 있는 사용자를 보호하는 데 필요한 제어입니다.
    • Privileged 워크스테이션은 명확한 애플리케이션 제어 및 애플리케이션 보호 기능을 제공하는 강화된 워크스테이션을 제공합니다. 워크스테이션은 자격 증명 보호, 디바이스 가드, 앱 가드 및 Exploit Guard를 사용하여 호스트를 악의적인 동작으로부터 보호합니다. 모든 로컬 디스크는 BitLocker로 암호화되고 웹 트래픽은 허용되는 대상의 제한 집합으로 제한됩니다(모두 거부).

권한 있는 액세스 배포 지침의 권한 있는 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.

다음 단계

보안 Azure 관리형 워크스테이션을 배포합니다.