편집

다음을 통해 공유


보안 작업의 Microsoft Entra IDaaS

Microsoft Entra ID
Microsoft Sentinel

이 아키텍처는 SOC(보안 운영 센터) 팀이 Microsoft Entra ID 및 액세스 기능을 전체 통합 및 계층화된 제로 트러스트 보안 전략에 통합하는 방법을 보여 줍니다.

모든 서비스와 디바이스가 조직의 관리되는 네트워크에 포함되었을 때 네트워크 보안은 SOC 운영을 지배했습니다. 그러나 Gartner는 2022년까지 클라우드 서비스의 시장 규모가 전체 IT 서비스의 시장 규모보다 거의 3배 가까이 성장할 것으로 예측합니다. 더 많은 회사에서 클라우드 컴퓨팅을 채택함에 따라 사용자 ID를 기본 보안 경계로 취급하는 방향으로 이동하고 있습니다.

클라우드에서 ID를 보호하는 것은 높은 우선 순위입니다.

제로 트러스트 보안 모델은 모든 호스트를 인터넷 연결인 것처럼 처리하고 전체 네트워크가 잠재적으로 손상되고 적대적인 것으로 간주합니다. 이 방법은 강력한 인증(AuthN), 권한 부여 및 암호화를 구축하는 동시에 구획화된 액세스 및 더 나은 운영 민첩성을 제공하는 데 중점을 둡니다.

Gartner는 인시던트 대응 기반 전략을 prevent-detect-respond-predict 모델로 대체하는 적응형 보안 아키텍처를 홍보합니다. 적응형 보안은 액세스 제어, 동작 모니터링, 사용 관리 및 검색을 지속적인 모니터링 및 분석과 결합합니다.

MCRA(Microsoft 사이버 보안 참조 아키텍처)는 Microsoft의 사이버 보안 기능과 IDaaS(Identity-as-a-Service)에 Microsoft Entra ID를 사용하는 클라우드 및 하이브리드 환경을 비롯한 기존 보안 아키텍처와 통합하는 방법을 설명합니다.

이 문서에서는 IDaaS에 대한 제로 트러스트 적응형 보안 접근 방식을 개선하여 Microsoft Entra 플랫폼에서 사용할 수 있는 구성 요소를 강조합니다.

잠재적인 사용 사례

  • 새로운 보안 솔루션 설계
  • 기존 구현 개선 또는 통합
  • SOC 팀 교육

아키텍처

Microsoft Entra 관련 보안 기능

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

  1. 자격 증명 관리는 인증을 제어합니다.
  2. 프로비저닝권한 관리는 액세스 패키지를 정의하고, 사용자를 리소스에 할당하고, 증명을 위해 데이터를 푸시합니다.
  3. 권한 부여 엔진액세스 정책을 평가하여 액세스 권한을 결정합니다. 엔진은 또한 UEBA(사용자/엔터티 동작 분석) 데이터를 포함한 위험 검색를 평가하고 엔드포인트 관리를 위한 디바이스 규정 준수를 확인합니다.
  4. 승인된 경우 사용자 또는 디바이스는 조건부 액세스 정책 및 제어에 따라 액세스 권한을 얻습니다.
  5. 권한 부여에 실패하면 사용자는 실시간 수정을 수행하여 차단을 해제할 수 있습니다.
  6. 모든 세션 데이터는 분석 및 보고를 위해 로깅됩니다.
  7. SOC 팀의 SIEM(보안 정보 및 이벤트 관리) 시스템(SIEM(보안 정보 및 이벤트 관리) 은 클라우드 및 온-프레미스 ID에서 모든 로그, 위험 검색 및 UEBA 데이터를 수신합니다.

구성 요소

다음 보안 프로세스 및 구성 요소는 이 Microsoft Entra IDaaS 아키텍처에 기여합니다.

자격 증명 관리

자격 증명 관리에는 리소스 또는 서비스에 대한 액세스 권한을 발급, 추적 및 업데이트하는 서비스, 정책 및 관행이 포함됩니다. Microsoft Entra 자격 증명 관리에는 다음 기능이 포함됩니다.

  • SSPR(셀프 서비스 암호 재설정)을 사용하면 사용자가 스스로 암호를 분실하거나 잊어버렸거나 훼손된 상태로 다시 설정할 수 있습니다. SSPR은 헬프데스크 호출을 줄일 뿐만 아니라 사용자 유연성과 보안을 강화합니다.

  • 비밀번호 쓰기 저장은 클라우드에서 변경된 암호를 온-프레미스 디렉터리와 실시간으로 동기화합니다.

  • 금지된 암호는 일반적으로 사용되는 약하거나 손상된 암호를 노출하는 원격 분석 데이터를 분석하고 Microsoft Entra ID 전체에서 전역적으로 사용을 금지합니다. 환경에 맞게 이 기능을 사용자 지정하고 조직 내에서 금지할 사용자 지정 암호 목록을 포함할 수 있습니다.

  • 스마트 잠금은 합법적인 인증 시도와 무단 액세스를 위한 무차별 대입 시도를 비교합니다. 기본 스마트 잠금 정책에 따라 로그인 시도가 10회 실패하면 계정이 1분 동안 잠깁니다. 로그인 시도가 계속 실패하면 계정 잠금 시간이 늘어납니다. 정책을 사용하여 조직의 보안과 유용성을 적절하게 조합하여 설정을 조정할 수 있습니다.

  • 다단계 인증 에는 사용자가 보호된 리소스에 액세스하려고 할 때 여러 형태의 인증이 필요합니다. 대부분의 사용자는 리소스에 액세스할 때 암호를 입력하는 것처럼 알고 있는 것을 사용하는 데 익숙합니다. MFA는 사용자에게 신뢰할 수 있는 디바이스에 대한 액세스하거나 생체 인식 식별자를 통해 자신의 신분을 증명하도록 요청합니다. MFA는 전화 통화, 문자 메시지 또는 인증 앱을 통한 알림과 같은 다양한 종류의 인증 방법을 사용할 수 있습니다.

  • 암호 없는 인증은 인증 워크플로의 암호를 스마트폰이나 하드웨어 토큰, 생체 인식 식별자 또는 PIN으로 대체합니다. Microsoft 암호 없는 인증은 비즈니스용 Windows Hello 및 모바일 디바이스의 Microsoft 인증 앱과 같은 Azure 리소스와 함께 작동할 수 있습니다. WebAuthnFIDO Alliance의 CTAP(클라이언트-인증자) 프로토콜을 사용하는 FIDO2 호환 보안 키를 사용하여 암호 없는 인증을 사용하도록 설정할 수도 있습니다.

앱 프로비저닝 및 권한 부여

  • 권한 관리는 조직이 ID를 관리하고 대규모로 수명 주기에 액세스할 수 있도록 하는 Microsoft Entra ID 거버넌스 기능입니다. 권한 관리는 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화합니다.

  • Microsoft Entra 프로비저닝을 사용하면 사용자가 액세스해야 하는 애플리케이션에서 사용자 ID 및 역할을 자동으로 만들 수 있습니다. SuccessFactors, Workday과 같은 타사 SaaS(Software-as-a-Service) 앱에 대한 Microsoft Entra 프로비저닝을 구성할 수 있습니다.

  • Seamless SSO(Single Sign-On) 는 회사 디바이스에 로그인한 후 클라우드 기반 애플리케이션에 사용자를 자동으로 인증합니다. 암호 해시 동기화 또는 통과 인증과 함께 Microsoft Entra Seamless SSO를 사용할 수 있습니다.

  • Microsoft Entra 액세스 검토를 사용한 증명은 모니터링 및 감사 요구 사항을 충족하는 데 도움이 됩니다. 액세스 검토를 통해 관리자 수를 빠르게 식별하거나, 새 직원이 필요한 리소스에 액세스할 수 있는지 확인하거나, 사용자의 작업을 검토하여 여전히 액세스 권한이 필요한지 여부를 결정할 수 있습니다.

조건부 액세스 정책 및 컨트롤

조건부 액세스 정책은 할당 및 액세스 제어의 if-then 문입니다. 정책을 트리거하는 이유("이 경우")에 대한 응답("이 작업을 수행")을 정의하여 권한 부여 엔진이 조직 정책을 적용하는 결정을 내릴 수 있도록 합니다. Microsoft Entra 조건부 액세스를 사용하면 권한 있는 사용자가 앱에 액세스하는 방법을 제어할 수 있습니다. Microsoft Entra ID What If 도구 는 조건부 액세스 정책이 적용되었거나 적용되지 않은 이유 또는 특정 상황에서 사용자에게 정책이 적용되는지 여부를 이해하는 데 도움이 될 수 있습니다.

조건부 액세스 제어는 조건부 액세스 정책과 함께 작동하여 조직 정책을 적용하는 데 도움이 됩니다. Microsoft Entra 조건부 액세스 제어를 사용하면 모든 접근 방식에 맞는 한 가지 크기가 아닌 액세스 요청 시 검색된 요인에 따라 보안을 구현할 수 있습니다. 조건부 액세스 제어를 액세스 조건과 결합하면 추가 보안 컨트롤을 만들 필요가 줄어듭니다. 일반적인 예로 도메인에 조인된 디바이스의 사용자가 SSO를 사용하여 리소스에 액세스하도록 허용할 수 있지만 네트워크 외부에 있거나 자신의 디바이스를 사용하는 사용자에게는 MFA가 필요합니다.

Microsoft Entra ID는 조건부 액세스 정책과 함께 다음 조건부 액세스 제어를 사용할 수 있습니다.

위험 검색

Azure ID 보호에는 조직에서 의심스러운 사용자 작업에 대한 대응을 관리할 수 있도록 하는 여러 정책이 포함되어 있습니다. 사용자 위험은 사용자 ID가 손상될 확률입니다. 로그인 위험은 로그인 요청이 사용자로부터 오지 않을 확률입니다. Microsoft Entra ID는 동작 분석을 기반으로 실제 사용자로부터 시작된 로그인 요청의 확률에 따라 로그인 위험 점수를 계산합니다.

  • Microsoft Entra 위험 검색은 적응형 기계 학습 알고리즘 및 추론을 사용하여 사용자 계정과 관련된 의심스러운 작업을 검색합니다. 검색된 각 의심스러운 동작은 위험 검색이라는 레코드에 저장됩니다. Microsoft Entra ID는 이 데이터를 사용하여 사용자 및 로그인 위험 확률을 계산하며, Microsoft의 내부 및 외부 위협 인텔리전스 원본 및 신호를 통해 향상됩니다.

  • Microsoft Graph의 ID 보호 위험 검색 API를 사용하여 위험한 사용자 및 로그인에 대한 정보를 노출할 수 있습니다.

  • 실시간 수정을 통해 사용자는 SSPR 및 MFA를 사용하여 일부 위험 검색을 자가 수정하여 스스로 차단을 해제할 수 있습니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안성에 대한 디자인 검토 검사 목록을 참조하세요.

로깅

Microsoft Entra 감사 보고서는 감사 로그, 로그인 로그 및 위험한 로그인 및 위험한 사용자 보고서를 사용하여 Azure 활동에 대한 추적 가능성을 제공합니다. 서비스, 범주, 작업 및 상태를 포함한 여러 매개 변수를 기반으로 로그 데이터를 필터링하고 검색할 수 있습니다.

다음과 같은 엔드포인트로 Microsoft Entra ID 로그 데이터를 라우팅할 수 있습니다.

Microsoft Graph 보고 API 를 사용하여 사용자 고유의 스크립트 내에서 Microsoft Entra ID 로그 데이터를 검색하고 사용할 수도 있습니다.

온-프레미스 및 하이브리드 고려 사항

인증 방법은 하이브리드 시나리오에서 조직의 ID를 보호하는 데 중요합니다. Microsoft는 Microsoft Entra ID를 사용하여 하이브리드 인증 방법을 선택하는 방법에 대한 특정 지침을 제공합니다.

Microsoft Defender for Identity는 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사할 수 있습니다. Defender for Identity는 UEBA를 사용하여 내부자 위협을 식별하고 위험을 플래그 지정합니다. ID가 손상되더라도 Defender for Identity는 비정상적인 사용자 동작에 따라 손상 사항을 식별하는 데 도움이 될 수 있습니다.

Defender for Identity는 클라우드용 Defender 앱과 통합되어 클라우드 앱으로 보호를 확장합니다. Defender for Cloud Apps를 사용하여 다운로드 시 파일을 보호하는 세션 정책을 만들 수 있습니다. 예를 들어 특정 유형의 사용자가 다운로드한 파일에 대해 보기 전용 권한을 자동으로 설정할 수 있습니다.

실시간 모니터링을 위해 클라우드용 Defender 앱을 사용하도록 Microsoft Entra ID에서 온-프레미스 애플리케이션을 구성할 수 있습니다. Defender for Cloud Apps는 조건부 액세스 앱 제어를 사용하여 조건부 액세스 정책에 따라 실시간으로 세션을 모니터링하고 제어합니다. Microsoft Entra ID에서 애플리케이션 프록시를 사용하는 온-프레미스 애플리케이션에 이러한 정책을 적용할 수 있습니다.

Microsoft Entra 애플리케이션 프록시 사용하면 사용자가 원격 클라이언트에서 온-프레미스 웹 애플리케이션에 액세스할 수 있습니다. 애플리케이션 프록시를 사용하면 애플리케이션에 대한 모든 로그인 작업을 한 곳에서 모니터링할 수 있습니다.

Microsoft Entra ID Protection과 함께 Defender for Identity를 사용하여 Microsoft Entra Connect와 Azure에 동기화되는 사용자 ID를 보호할 수 있습니다.

일부 앱이 이미 기존 배달 컨트롤러 또는 네트워크 컨트롤러 를 사용하여 네트워크 외부 액세스를 제공하는 경우 Microsoft Entra ID와 통합할 수 있습니다. Akamai, Citrix, F5 Networks 및 Zscaler비롯한 여러 파트너는 Microsoft Entra ID와의 통합을 위한 솔루션 및 지침을 제공합니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화를 위한 디자인 검토 검사 목록을 참조하세요.

Microsoft Entra 가격 책정은 무료부터 SSO 및 MFA와 같은 기능의 경우 PIM 및 권한 관리와 같은 기능의 경우 프리미엄 P2까지 다양합니다. 가격 책정 세부 정보는 Microsoft Entra 가격 책정을 참조하세요.

다음 단계