제로 트러스트 및 Windows 디바이스 상태

조직에는 최신 작업 환경의 복잡성에 보다 효과적으로 적응하는 보안 모델이 필요합니다. IT 관리자는 어디에 있든 사람, 디바이스, 앱 및 데이터를 보호하면서 하이브리드 작업 공간을 수용해야 합니다. 보안을 위한 제로 트러스트 모델을 구현하면 오늘날의 복잡한 환경을 해결하는 데 도움이 됩니다.

제로 트러스트 원칙은 다음과 같습니다.

• 명시적으로 확인합니다. 사용자 ID, 위치, 디바이스 상태, 서비스 또는 워크로드, 데이터 분류 및 변칙 모니터링을 포함하여 사용 가능한 모든 데이터 요소를 기반으로 항상 인증 및 권한 부여
• 최소 권한 액세스를 사용합니다. Just-In-Time 및 Just-Enough-access, 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한하여 데이터를 보호하고 생산성을 유지합니다.
• 위반을 가정합니다. 공격자가 액세스 권한을 획득하지 못하도록 하여 데이터 및 시스템에 대한 잠재적 손상을 최소화합니다. 권한 있는 역할을 보호하고, 엔드 투 엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하여 방어를 개선합니다.

확인의 제로 트러스트 개념은 디바이스와 사용자 모두에 의해 발생하는 위험에 명시적으로 적용됩니다. Windows를 사용하면 회사 리소스에 대한 액세스 권한을 부여하는 데 사용되는 디바이스 상태 증명 및 조건부 액세스 기능을 사용할 수 있습니다.

조건부 액세스 는 ID 신호를 평가하여 사용자가 회사 리소스에 대한 액세스 권한을 부여하기 전에 자신이 누구인지 확인합니다.

Windows 11 디바이스 상태 증명을 지원하여 디바이스가 양수 상태이고 변조되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 사용자가 사무실, 집 또는 출장 중일 때 회사 리소스에 액세스하는 데 도움이 됩니다.

증명은 필수 구성 요소의 ID 및 상태 확인하고 디바이스, 펌웨어 및 부팅 프로세스가 변경되지 않았는지 확인하는 데 도움이 됩니다. 펌웨어, 부팅 프로세스 및 소프트웨어에 대한 정보는 디바이스의 보안 상태의 유효성을 검사하는 데 사용됩니다. 이 정보는 보안 공동 프로세서 TPM(신뢰할 수 있는 플랫폼 모듈)에 암호화 방식으로 저장됩니다. 디바이스가 증명되면 리소스에 대한 액세스 권한을 부여할 수 있습니다.

Windows의 디바이스 상태 증명

이 프로세스가 전체 시스템의 가장 권한 있는 구성 요소가 될 수 있으므로 부팅 프로세스 중에 많은 보안 위험이 발생할 수 있습니다. 확인 프로세스는 원격 증명을 보안 채널로 사용하여 디바이스의 상태를 확인하고 표시합니다. 원격 증명은 다음을 결정합니다.

• 디바이스를 신뢰할 수 있는 경우
• 운영 체제가 올바르게 부팅된 경우
• OS에 올바른 보안 기능 집합이 사용하도록 설정된 경우

이러한 결정은 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하여 보안 신뢰 루트의 도움을 받아 결정됩니다. 디바이스는 TPM이 사용하도록 설정되어 있고 디바이스가 변조되지 않았음을 확인할 수 있습니다.

Windows에는 맬웨어 및 공격으로부터 사용자를 보호하는 데 도움이 되는 많은 보안 기능이 포함되어 있습니다. 그러나 플랫폼이 예상대로 부팅되고 변조되지 않은 경우에만 Windows 보안 구성 요소를 신뢰할 수 있습니다. Windows는 UEFI(Unified Extensible Firmware Interface) 보안 부팅, ELAM(조기 출시 맬웨어 방지), DRTM(Dynamic Root of Trust for Measurement), 신뢰할 수 있는 부팅 및 기타 하위 수준 하드웨어 및 펌웨어 보안 기능을 사용합니다. 맬웨어 방지가 시작될 때까지 PC에서 전원을 켜면 Windows가 적절한 하드웨어 구성으로 지원되어 안전하게 보호됩니다. 부팅 로더 및 BIOS에서 구현되는 측정 및 신뢰할 수 있는 부팅은 연결된 방식으로 부팅의 각 단계를 확인하고 암호화하여 기록합니다. 이러한 이벤트는 신뢰의 루트 역할을 하는 TPM(보안 공동 처리기)에 바인딩됩니다. 원격 증명은 이러한 이벤트를 서비스에서 읽고 확인하여 확인 가능하고 편견이 없으며 변조 복원력 있는 보고서를 제공하는 메커니즘입니다. 원격 증명은 시스템 부팅의 신뢰할 수 있는 감사자이므로 특정 엔터티가 디바이스를 신뢰할 수 있습니다.

디바이스 쪽의 증명 및 제로 트러스트 관련된 단계에 대한 요약은 다음과 같습니다.

1. 부팅 프로세스의 각 단계(예: 파일 로드, 특수 변수 업데이트 등)에서 파일 해시 및 서명과 같은 정보는 TPM PCR에서 측정됩니다. 측정값은 기록할 수 있는 이벤트와 각 이벤트의 형식을 지정하는 TCG(신뢰할 수 있는 컴퓨팅 그룹 사양 )에 의해 바인딩됩니다.

2. Windows가 부팅되면 attestor/verifier는 TPM에 TCG 로그와 함께 PCR(플랫폼 구성 레지스터)에 저장된 측정값을 가져오도록 요청합니다. 이러한 두 구성 요소의 측정값은 함께 증명 증거를 형성한 다음 증명 서비스로 전송됩니다.

3. TPM은 Azure Certificate Service를 사용하여 칩셋에서 사용할 수 있는 키/암호화 자료를 사용하여 확인됩니다.

4. 이 정보는 디바이스가 안전한지 확인하기 위해 클라우드의 증명 서비스로 전송됩니다. Microsoft Endpoint Manger는 Microsoft Azure Attestation 통합하여 디바이스 상태를 포괄적으로 검토하고 이 정보를 Microsoft Entra 조건부 액세스와 연결합니다. 이 통합은 신뢰할 수 없는 디바이스에 트러스트를 바인딩하는 데 도움이 되는 제로 트러스트 솔루션의 핵심입니다.

5. 증명 서비스는 다음 작업을 수행합니다.

   • 증거의 무결성을 확인합니다. 이 확인은 TCG 로그를 재생하여 다시 계산된 값과 일치하는 PCR의 유효성을 검사하여 수행됩니다.
   • TPM에 인증된 TPM에서 발급한 유효한 증명 ID 키가 있는지 확인합니다.
   • 보안 기능이 예상 상태인지 확인합니다.

6. 증명 서비스는 증명 서비스에 구성된 정책에 따라 보안 기능에 대한 정보가 포함된 증명 보고서를 반환합니다.

7. 그런 다음, 디바이스는 Microsoft Intune 클라우드로 보고서를 보내 관리자가 구성한 디바이스 규정 준수 규칙에 따라 플랫폼의 신뢰성을 평가합니다.

8. 조건부 액세스는 디바이스 준수 상태와 함께 액세스를 허용하거나 거부하기로 결정합니다.

기타 리소스

제로 트러스트 지침 센터에서 Microsoft 제로 트러스트 솔루션에 대해 자세히 알아보세요.