온-프레미스 공격으로부터 Microsoft 365 보호
많은 고객이 프라이빗 회사 네트워크를 Microsoft 365에 연결하여 사용자, 디바이스, 애플리케이션에 이점을 제공합니다. 그러나 프라이빗 네트워크는 잘 문서화된 방식으로 손상될 수 있습니다. Microsoft 365는 많은 조직에서 일종의 신경계 역할을 합니다. 손상된 온-프레미스 인프라로부터 보호하는 것이 중요합니다.
이 문서에서는 다음 요소를 포함하여 온-프레미스 손상으로부터 Microsoft 365 클라우드 환경을 보호하도록 시스템을 구성하는 방법을 알아봅니다.
- Microsoft Entra 테넌트 구성 설정
- 온-프레미스 시스템에 Microsoft Entra 테넌트를 안전하게 연결하는 방법.
- 온-프레미스 클라우드 시스템이 손상되지 않도록 보호하는 방식으로 시스템을 운영하는 데 필요한 절충안.
이 지침을 구현하는 것이 좋습니다.
온-프레미스 환경의 위협 소스
Microsoft 365 클라우드 환경은 광범위한 모니터링 및 보안 인프라를 활용합니다. Microsoft 365는 기계 학습 및 휴먼 인텔리전스를 사용하여 전 세계 트래픽을 확인합니다. 공격을 신속하게 감지하고 거의 실시간으로 다시 구성할 수 있도록 해 줍니다.
하이브리드 배포는 온-프레미스 인프라를 Microsoft 365에 연결할 수 있습니다. 이러한 배포에서 많은 조직은 중요한 인증 및 디렉터리 개체 상태 관리 결정을 위해 온-프레미스 구성 요소에 신뢰를 위임합니다. 온-프레미스 환경이 손상되면 신뢰 관계는 공격자가 Microsoft 365 환경을 손상할 수 있는 기회가 됩니다.
두 가지 주요 위협 벡터는 페더레이션 신뢰 관계와 계정 동기화입니다. 두 벡터 모두 공격자에게 클라우드에 대한 관리 액세스 권한을 부여할 수 있습니다.
SAML(Security Assertions Markup Language) 인증과 같은 페더레이션 트러스트 관계를 사용하여 온-프레미스 ID 인프라를 통해 Microsoft 365에 인증합니다. SAML 토큰 서명 인증서가 손상되면 페더레이션을 통해 해당 인증서를 가진 모든 사용자가 클라우드의 모든 사용자를 가장할 수 있습니다.
가능한 경우 Microsoft 365 인증을 위해 페더레이션 트러스트 관계를 사용하지 않는 것이 좋습니다.
계정 동기화를 사용하여 권한이 있는 사용자(자격 증명 포함) 또는 Microsoft 365에서 관리 권한이 있는 그룹을 수정할 수 있습니다.
동기화된 개체는 Microsoft 365의 사용자 이상의 권한을 보유하지 않는 것이 좋습니다. 직접 또는 신뢰할 수 있는 역할 또는 그룹에 포함하여 권한을 제어할 수 있습니다. 해당 개체에 신뢰할 수 있는 클라우드 역할 또는 그룹의 직접 또는 중첩된 할당이 없는지 확인하세요.
온-프레미스 손상으로부터 Microsoft 365 보호
위에 설명된 위협을 해결하려면 다음 다이어그램에 설명된 원칙을 따르는 것이 좋습니다.
Microsoft 365 관리자 계정을 완전히 격리합니다. 이는 다음과 같아야 합니다.
- Microsoft Entra ID로 마스터됩니다.
- 다단계 인증을 사용하여 인증됨.
- Microsoft Entra 조건부 액세스.
- Azure 관리형 워크스테이션만을 사용하여 액세스됨.
해당 관리자 계정은 사용이 제한된 계정입니다. ‘온-프레미스 계정에는 Microsoft 365에 대한 관리자 권한이 없어야 합니다.’
자세한 내용은 관리자 역할 정보를 참조하세요. 또한 Microsoft Entra ID에서 Microsoft 365에 대한 역할을 참조하세요.
Microsoft 365에서 디바이스를 관리합니다. Microsoft Entra 조인 및 클라우드 기반 MDM(모바일 장치 관리)을 사용하여 온-프레미스 디바이스 관리 인프라에 대한 종속성을 제거합니다. 종속성은 디바이스 및 보안 제어를 손상할 수 있습니다.
Microsoft 365에 대해 상승된 권한이 있는 온-프레미스 계정이 없는지 확인합니다. 일부 계정은 NTLM, LDAP 또는 Kerberos 인증이 필요한 온-프레미스 애플리케이션에 액세스합니다. 해당 계정은 조직의 온-프레미스 ID 인프라에 있어야 합니다. 서비스 계정을 비롯한 해당 계정이 권한 있는 클라우드 역할 또는 그룹에 포함되어 있지 않은지 확인합니다. 해당 계정에 대한 변경 내용이 클라우드 환경의 무결성에 영향을 주지 않도록 해야 합니다. 권한이 있는 온-프레미스 소프트웨어는 Microsoft 365 권한이 있는 계정 또는 역할에 영향을 미치지 않습니다.
Microsoft Entra 클라우드 인증을 사용하여 온-프레미스 자격 증명에 대한 종속성을 제거합니다. Windows Hello, FIDO, Microsoft Authenticator 또는 Microsoft Entra 다단계 인증과 같은 강력한 인증을 항상 사용합니다.
특정 보안 권장 사항
다음 섹션에서는 위에서 설명한 원칙을 구현하는 방법에 대한 지침을 살펴봅니다.
권한이 있는 ID 분리
Microsoft Entra ID에서는 관리자와 같은 권한이 있는 역할을 가진 사용자가 나머지 환경을 빌드하고 관리하는 데 신뢰의 핵심입니다. 손상의 영향을 최소화하기 위해 다음 사례를 구현합니다.
Microsoft Entra ID 및 Microsoft 365 권한이 있는 역할에 대해 클라우드 전용 계정을 사용합니다.
높은 권한이 있는 각 역할에 대해 다음을 수행해야 합니다.
- 가지고
onPremisesImmutableId
있고onPremisesSyncEnabled
설정한 사용자를 검토합니다. Microsoft Graph API 사용자 리소스 유형을 참조하세요. - 해당 개인에 대한 클라우드 전용 사용자 계정을 만들고 권한 있는 역할에서 해당 하이브리드 ID를 제거합니다.
- 가지고
권한이 있는 액세스 디바이스를 배포하여 Microsoft 365 및 Microsoft Entra ID를 관리합니다. 디바이스 역할 및 프로필을 참조하세요.
권한이 있는 역할이 있는 모든 사용자 계정에 Just-In-Time 액세스하기 위해 PIM(Microsoft Entra Privileged Identity Management)을 배포합니다. 역할을 활성화하려면 강력한 인증이 필요합니다. Microsoft Entra Privileged Identity Management란 참조.
필요한 작업을 수행하는 데 필요한 최소 권한을 허용하는 관리자 역할을 부여합니다. Microsoft Entra ID의 작업별 최소 권한 역할 참조.
위임 및 여러 역할을 동시에 포함하는 효과적인 역할 할당 환경을 사용하려면 Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹을 사용하는 것이 좋습니다. 해당 그룹을 ‘클라우드 그룹’이라고 통칭합니다.
또한 역할 기반 액세스 제어를 사용합니다. 그룹에 Microsoft Entra 역할 할당 참조. 관리 단위를 사용하여 역할의 범위를 조직 일부분으로 제한할 수 있습니다. Microsoft Entra ID의 관리 단위 참조.
응급 액세스 계정을배포합니다. 자격 증명을 저장하는 데 온-프레미스 암호 자격 증명 모음을 ‘사용하지 마세요’. Microsoft Entra ID에서 응급 액세스 계정 관리 참조.
자세한 내용은 권한 있는 액세스 보안을 참조하세요. 또한 Microsoft Entra ID의 관리자 액세스 보안 사례 참조.
클라우드 인증 사용
자격 증명은 주요 공격 벡터입니다. 자격 증명을 더욱 안전하게 만들려면 다음 방법을 구현합니다.
암호 없는 인증을 배포합니다. 암호 없는 자격 증명을 배포하여 암호 사용을 최대한 줄입니다. 자격 증명은 클라우드에서 기본적으로 관리되고 유효성을 검사합니다. 자세한 내용은 Microsoft Entra ID에서 암호 없는 인증 배포 계획을 참조하세요.
다음 인증 방법 중에서 선택합니다.
다단계 인증을 배포합니다. 자세한 내용은 Microsoft Entra 다단계 인증 배포 계획을 참조하세요.
Microsoft Entra 다단계 인증을 사용하여 강력한 자격 증명을 여러 개를 프로비저닝합니다. 이렇게 하면 클라우드 리소스에 액세스할 때 온-프레미스 암호 외에도 Microsoft Entra ID에서 관리되는 자격 증명이 필요합니다. 자세한 내용은 자격 증명 관리를 사용하여 복원력 빌드 및 Microsoft Entra ID를 사용하여 복원력 있는 액세스 제어 관리 전략 만들기를 참조하세요.
제한 사항 및 절충안
하이브리드 계정 암호 관리에는 암호 보호 에이전트 및 비밀번호 쓰기 저장 에이전트와 같은 하이브리드 구성 요소가 필요합니다. 온-프레미스 인프라가 손상되면 공격자는 해당 에이전트가 있는 머신을 제어할 수 있습니다. 이 취약성은 클라우드 인프라를 손상하지는 않습니다. 그러나 클라우드 계정은 온-프레미스 손상으로부터 해당 구성 요소를 보호하지 않습니다.
Active Directory에서 동기화된 온-프레미스 계정은 Microsoft Entra ID에서 만료되지 않은 것으로 표시됩니다. 이 설정은 일반적으로 온-프레미스 Active Directory 암호 설정에 의해 완화됩니다. Active Directory의 인스턴스가 손상되어 동기화를 사용하지 않는 경우 암호 변경을 적용하도록 EnforceCloudPasswordPolicyForPasswordSyncedUsers 옵션을 설정해야 합니다.
클라우드에서 사용자 액세스 프로비저닝
‘프로비저닝’은 애플리케이션 또는 ID 공급자에서 사용자 계정 및 그룹 만들기를 의미합니다.
다음의 프로비저닝 방법을 권장합니다.
클라우드 HR 앱에서 Microsoft Entra ID로 프로비전합니다. 이 프로비저닝을 통해 온-프레미스 손상을 격리할 수 있습니다. 이러한 격리는 클라우드 HR 앱에서 Microsoft Entra ID로의 joiner-mover-leaver 주기를 방해하지 않습니다.
클라우드 애플리케이션. 가능한 경우 온-프레미스 프로비저닝 솔루션과 달리 Microsoft Entra 앱 프로비저닝을 배포합니다. 이 방법은 SaaS(software as a service) 앱 중 일부를 온-프레미스 위반 시 악성 해커 프로필로부터 보호합니다. 자세한 내용은 Microsoft Entra ID의 프로비전 로그란 무엇인가를 참조하세요.
외부 ID. Microsoft Entra B2B 협업을 사용하여 파트너, 고객 및 공급자와의 외부 협업을 위해 온-프레미스 계정에 대한 종속성을 줄입니다. 다른 ID 공급자와의 직접 페더레이션을 신중하게 평가합니다. 자세한 내용은 B2B 협업 개요를 참조하세요.
B2B 게스트 계정은 다음과 같은 방법으로 제한하는 것이 좋습니다.
- 디렉터리의 검색 그룹 및 기타 속성에 대한 게스트 액세스를 제한합니다. 외부 협업 설정을 사용하여 게스트의 구성원이 아닌 그룹 읽기 기능을 제한할 수 있습니다.
- Azure Portal에 대한 액세스를 차단합니다. 드물게 필요한 예외를 만들 수 있습니다. 모든 게스트 및 외부 사용자를 포함하는 조건부 액세스 정책을 만듭니다. 그런 다음 액세스를 차단하는 정책을 구현합니다. 조건부 액세스를 참조하세요.
연결이 끊긴 포리스트. Microsoft Entra 클라우드 프로비저닝을 사용하여 연결이 끊긴 포리스트에 연결합니다. 이 방법을 사용하면 온-프레미스 위반의 영향을 넓히는 포리스트 간 연결 또는 트러스트를 설정할 필요가 없습니다. 자세한 내용은 Microsoft Entra Connect란을 참조하세요.
제한 사항 및 절충안
하이브리드 계정을 프로비저닝하는 데 사용하는 경우 Microsoft Entra ID-클라우드-HR 시스템은 온-프레미스 동기화를 통해 Active Directory에서 Microsoft Entra ID로 데이터 흐름을 완료합니다. 동기화가 중단되면 Microsoft Entra ID에서 새 직원 레코드를 사용할 수 없습니다.
협업 및 액세스에 클라우드 그룹 사용
클라우드 그룹을 사용하여 온-프레미스 인프라에서 협업과 액세스를 분리할 수 있습니다.
- 공동 작업. 최신 협업을 위해 Microsoft 365 그룹 및 Microsoft Teams를 사용합니다. 온-프레미스 배포 목록 서비스를 해제하고 Outlook에서 배포 목록을 Microsoft 365 그룹으로 업그레이드합니다.
- 액세스. Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹 사용하여 Microsoft Entra ID로 애플리케이션에 대한 액세스 권한을 부여합니다.
- Office 365 라이선스. 그룹 기반 라이선스로 클라우드 전용 그룹을 사용하여 Office 365에 프로비저닝합니다. 이 메서드는 온-프레미스 인프라에서 그룹 멤버 자격 제어를 분리합니다.
액세스에 사용되는 그룹 소유자는 온-프레미스 손상의 멤버십 인수를 방지하기 위해 권한 있는 ID로 간주해야 합니다. 인수에는 온-프레미스에서 그룹 멤버 자격을 직접 조작하거나 Microsoft 365의 동적 멤버 자격 그룹에 영향을 줄 수 있는 온-프레미스 특성을 조작하는 것이 포함됩니다.
클라우드에서 장치 관리
Microsoft Entra 기능을 사용하여 디바이스를 안전하게 관리합니다.
모바일 디바이스 관리 정책을 사용하여 Microsoft Entra 조인 Windows 10 워크스테이션을 배포합니다. 완전히 자동화된 프로비저닝 환경을 위해 Windows Autopilot을 사용합니다. Microsoft Entra 조인 구현 계획 및 Windows Autopilot을 참조하세요.
- Windows 10 워크스테이션을 사용합니다.
- Windows 8.1 및 이전 버전을 실행하는 머신 사용을 중단합니다.
- 서버 운영 체제가 있는 컴퓨터를 워크스테이션으로 배포하지 마세요.
- 모든 디바이스 관리 워크로드에 대한 권한 기관으로 Microsoft Intune을 사용합니다. Microsoft Intune을 참조하세요.
- 권한 있는 액세스 디바이스를 배포합니다. 자세한 내용은 디바이스 역할 및 프로필을 참조하세요.
워크로드, 애플리케이션, 리소스
온-프레미스 SSO(single sign-on) 시스템
모든 온-프레미스 페더레이션 및 웹 액세스 관리 인프라를 사용 중단합니다. Microsoft Entra ID를 사용하도록 애플리케이션을 구성합니다.
최신 인증 프로토콜을 지원하는 SaaS 및 LOB(line-of-business) 애플리케이션
SSO에 Microsoft Entra ID를 사용합니다. 인증을 위해 Microsoft Entra ID를 사용하도록 구성하는 앱이 많을수록 온-프레미스 손상의 위험이 줄어듭니다. 자세한 내용은 Microsoft Entra ID에서 Single Sign-On이란을 참조하세요.
레거시 애플리케이션
최신 인증을 지원하지 않는 레거시 애플리케이션에 대한 인증, 권한 부여, 원격 액세스를 사용할 수 있습니다. Microsoft Entra 애플리케이션 프록시 사용. 또는 보안 하이브리드 액세스 파트너 통합을 사용하여 네트워크 또는 애플리케이션 제공 컨트롤러 솔루션을 통해 사용할 수 있습니다. Microsoft Entra ID를 사용하여 레거시 앱 보안 참조.
최신 인증을 지원하는 VPN 공급업체를 선택합니다. 인증을 Microsoft Entra ID와 통합합니다. 온-프레미스 손상에서는 Microsoft Entra ID를 사용하여 VPN을 사용하지 않음으로써 액세스를 사용하지 않거나 차단할 수 있습니다.
애플리케이션 및 워크로드 서버
필요한 서버를 Azure IaaS(infrastructure as a service)로 마이그레이션할 수 있는 애플리케이션 또는 리소스입니다. Microsoft Entra 도메인 서비스를 사용하여 Active Directory의 온-프레미스 인스턴스에 대한 트러스트 및 종속성을 분리합니다. 분리를 위해 Microsoft Entra 도메인 서비스에 사용되는 가상 네트워크가 회사 네트워크에 연결되어 있지 않은지 확인합니다. Microsoft Entra Domain Services 참조.
자격 증명 계층화를 사용합니다. 애플리케이션 서버는 일반적으로 계층 1 자산으로 간주합니다. 자세한 내용은 엔터프라이즈 액세스 모델을 참조하세요.
조건부 액세스 정책
Microsoft Entra 조건부 액세스를 사용하여 신호를 해석하고 이를 통해 인증 결정을 내립니다. 자세한 내용은 조건부 액세스 배포 계획을 참조하세요.
가능한 경우 조건부 액세스를 사용하여 레거시 인증 프로토콜을 차단합니다. 또한 애플리케이션 관련 구성을 사용하여 애플리케이션 수준에서 레거시 인증 프로토콜을 사용하지 않습니다. 레거시 인증 차단을 참조하세요.
자세한 내용은 레거시 인증 프로토콜을 참조하세요. 또는 Exchange online 및 SharePoint online에 관한 자세한 내용을 확인하세요.
권장 ID 및 디바이스 액세스 구성을 구현합니다. 일반 제로 트러스트 ID 및 디바이스 액세스 정책을 참조하세요.
조건부 액세스를 포함하지 않는 Microsoft Entra ID 버전을 사용하는 경우 Microsoft Entra ID에서 보안 기본값을 사용합니다.
Microsoft Entra 기능 라이선스에 대한 자세한 내용은 Microsoft Entra 가격 책정 가이드를 참조하세요.
Monitor
온-프레미스 손상으로부터 Microsoft 365를 보호하도록 환경을 구성한 후 환경을 사전 모니터링합니다. 자세한 내용은 Microsoft Entra란?을 참조하세요.
모니터링할 시나리오
조직과 관련된 시나리오 외에도 다음과 같은 주요 시나리오를 모니터링합니다. 예를 들어 중요 비즈니스용 애플리케이션 및 리소스에 대한 액세스를 사전에 모니터링해야 합니다.
의심스러운 활동
의심스러운 작업이 있는지 모든 Microsoft Entra 위험 이벤트를 모니터링합니다. 방법: 위험 조사를 참조하세요. Microsoft Entra ID 보호는 기본적으로 Microsoft Defender for Identity와 통합됩니다.
위치 기반 신호의 소음 검색을 방지하기 위해 네트워크 명명된 위치를 정의합니다. 조건부 액세스 정책에서 위치 조건 사용을 참조하세요.
UEBA(사용자 및 엔터티 동작 분석) 경고
UEBA를 사용하여 변칙 검색에 대한 인사이트를 얻습니다. Microsoft Defender for Cloud Apps는 클라우드의 UEBA를 제공합니다. 위험 사용자 조사를 참조하세요.
Azure ATP(Advanced Threat Protection)에서 온-프레미스 UEBA를 통합할 수 있습니다. 클라우드용 Microsoft Defender 앱은 Microsoft Entra ID 보호에서 신호를 읽습니다. Active Directory 포리스트에 연결을 참조하세요.
응급 액세스 계정 작업
응급 액세스 계정을 사용하는 모든 액세스를 모니터링합니다. Microsoft Entra ID에서 응급 액세스 계정 관리 참조. 조사에 대한 경고를 만듭니다. 이 모니터링에는 다음 작업이 포함되어야 합니다.
- 로그인
- 자격 증명 관리
- 그룹 멤버 자격에 대한 모든 업데이트.
- 애플리케이션 할당
권한 있는 역할 작업
Microsoft Entra PIM(Privileged Identity Management)에서 생성된 보안 경고를 구성하고 검토합니다. 사용자가 직접 할당될 때마다 경고를 생성하여 PIM 외부의 권한 있는 역할에 대한 직접 할당을 모니터링합니다. 보안 경고를 참조하세요.
Microsoft Entra 테넌트 전체 구성
테넌트 전체 구성에 변경 내용이 발생하면 시스템에서 경고를 생성해야 합니다. 이러한 변경 내용에는 다음 변경 내용을 비롯한 여러 가지가 포함됩니다.
- 사용자 지정 도메인이 업데이트됨
- Microsoft Entra B2B가 허용 목록 및 차단 목록으로 변경됩니다.
- Microsoft Entra B2B는 허용되는 ID 공급자(예: 직접 페더레이션 또는 소셜 로그인을 통한 SAML ID 공급자)로 변경됩니다.
- 조건부 액세스 또는 위험 정책이 변경됨
애플리케이션 및 서비스 주체 개체
- 조건부 액세스 정책이 필요할 수 있는 새 애플리케이션 또는 서비스 주체
- 서비스 주체에 추가된 자격 증명
- 애플리케이션 동의 작업
사용자 지정 역할
- 사용자 지정 역할 정의에 대한 업데이트
- 새로 만든 사용자 지정 역할
로그 관리
안정적인 도구 세트를 지원하기 위해 로그 스토리지 및 보존 전략, 디자인 및 구현을 정의합니다. 예를 들어 Microsoft Sentinel, 일반적인 쿼리, 조사 및 법적 고 플레이북과 같은 SIEM(보안 정보 및 이벤트 관리) 시스템을 고려할 수 있습니다.
Microsoft Entra 로그. 진단, 로그 보존, SIEM 수집 등 설정 관련 모범 사례를 일관되게 준수하여 생성된 로그 및 신호를 수집합니다.
로그 전략에는 다음 Microsoft Entra 로그가 포함되어야 합니다.
- 로그인 작업
- 감사 로그
- 위험 이벤트
Microsoft Entra ID는 로그인 활동 로그 및 감사 로그에 대한 Azure Monitor 통합을 제공합니다. Azure Monitor에서 Microsoft Entra 활동 로그 참조.
Microsoft Graph API를 사용하여 위험 이벤트를 수집합니다. Microsoft Graph ID Protection API 사용을 참조하세요.
Microsoft Entra 로그를 Azure Monitor 로그로 스트리밍할 수 있습니다. Microsoft Entra 로그를 Azure Monitor 로그와 통합을 참조하세요.
하이브리드 인프라 운영 체제 보안 로그. 모든 하이브리드 ID 인프라 운영 체제 로그는 노출 영역 영향으로 인해 계층 0 시스템으로 보관하고 신중하게 모니터링해야 합니다. 다음 요소를 포함합니다.
애플리케이션 프록시 에이전트
비밀번호 쓰기 저장 에이전트
암호 보호 게이트웨이 머신
Microsoft Entra 다단계 인증 RADIUS 확장이 있는 NPSs(네트워크 정책 서버)
Microsoft Entra Connect
ID 동기화를 모니터링하려면 Microsoft Entra Connect Health를 배포해야 합니다. Microsoft Entra Connect란 참조.