권장 보안 방법
Azure Lighthouse를 사용하는 경우 보안 및 액세스 제어를 고려하는 것이 중요합니다. 테넌트의 사용자는 고객 구독 및 리소스 그룹에 직접 액세스할 수 있으므로 테넌트의 보안을 유지하는 데 도움이 되는 조치를 취하는 것이 중요합니다. 또한 고객의 리소스를 효과적으로 관리하는 데 필요한 최소 액세스만 사용하도록 설정하는 것이 좋습니다. 이 항목에서는 이러한 보안 사례를 구현하는 데 도움이 되는 권장 사항을 제공합니다.
팁
해당 권장 사항은 Azure Lighthouse를 통해 여러 테넌트를 관리하는 기업에도 적용됩니다.
Microsoft Entra 다단계 인증 필요
Microsoft Entra 다단계 인증(2단계 인증이라고도 함)에서는 여러 인증 단계를 요구하여 공격자가 계정에 대한 액세스 권한을 얻지 못하게 합니다. 위임된 고객 리소스에 대한 액세스 권한이 있는 사용자를 포함하여 관리 테넌트의 모든 사용자에 대해 Microsoft Entra 다단계 인증을 요구해야 합니다.
고객에게 테넌트에서도 Microsoft Entra 다단계 인증을 구현하도록 요청하는 것이 좋습니다.
Important
고객의 테넌트에 설정된 조건부 액세스 정책은 Azure Lighthouse를 통해 해당 고객의 리소스에 액세스하는 사용자에게 적용되지 않습니다. 관리 테넌트에 설정된 정책만 해당 사용자에게 적용됩니다. 관리 테넌트와 관리되는(고객) 테넌트 모두에 대해 Microsoft Entra 다단계 인증을 요구하는 것이 좋습니다.
최소 권한 원칙을 사용하여 그룹에 사용 권한 할당
관리를 더 쉽게 하려면 고객의 리소스를 관리하는 데 필요한 각 역할에 대해 Microsoft Entra 그룹을 사용합니다. 이렇게 하면 해당 사용자에게 직접 사용 권한을 할당하는 대신, 필요에 따라 그룹에서 개별 사용자를 추가하거나 제거할 수 있습니다.
Important
Microsoft Entra 그룹에 대한 사용 권한을 추가하려면 그룹 형식이 보안으로 설정되어 있어야 합니다. 이 옵션은 그룹을 만들 때 선택됩니다. 자세한 내용은 그룹 유형을 참조 하세요.
사용 권한 구조를 만들 때 사용자에게 작업을 완료하는 데 필요한 권한만 갖도록 최소 권한 원칙을 따라야 합니다. 사용자에 대한 사용 권한을 제한하면 실수로 오류가 발생할 가능성을 줄이는 데 도움이 될 수 있습니다.
예를 들어 다음과 같은 구조를 사용하려고 할 수 있습니다.
| 그룹 이름 | Type | principalId | 역할 정의 | 역할 정의 ID |
|---|---|---|---|---|
| 설계자 | 사용자 그룹 | <principalId> | 참가자 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 평가 | 사용자 그룹 | <principalId> | 판독기 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM 전문가 | 사용자 그룹 | <principalId> | VM 참가자 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 자동화 | SPN(서비스 주체 이름) | <principalId> | 참가자 | b24988ac-6180-42a0-ab88-20f7382dd24c |
이러한 그룹을 만든 후 필요에 따라 사용자를 할당할 수 있습니다. 해당 그룹에서 부여한 액세스 권한이 진정으로 필요한 사용자만 추가합니다.
그룹 멤버 자격을 정기적으로 검토하고 더 이상 포함할 필요가 없는 사용자를 제거해야 합니다.
퍼블릭 관리형 서비스 제품을 통해 고객을 온보딩할 경우 포함하는 모든 그룹(또는 사용자 또는 서비스 주체)은 해당 플랜을 구입하는 모든 고객에 대해 동일한 사용 권한을 갖습니다. 다른 고객과 함께 작업할 다른 그룹을 할당하려면 각 고객에게만 적용되는 별도의 프라이빗 플랜을 게시하거나 Azure Resource Manager 템플릿을 사용하여 고객을 개별적으로 온보딩해야 합니다. 예를 들어 매우 제한된 액세스 권한이 있는 공개 계획을 게시한 다음 각 고객과 직접 협력하여 필요에 따라 추가 액세스 권한을 부여하는 사용자 지정된 Azure 리소스 템플릿을 사용하여 리소스를 온보딩할 수 있습니다.
팁
관리 테넌트에서 사용자가 자신의 역할을 일시적으로 승격할 수 있는 적격 권한 부여를 만들 수도 있습니다. 적격 권한 부여를 사용하면 권한 있는 역할에 대한 사용자의 영구 할당 수를 최소화하여 테넌트의 사용자로 인한 권한 있는 액세스와 관련된 보안 위험을 줄일 수 있습니다. 이 기능에는 특정 라이선스 요구 사항이 있습니다. 자세한 내용은 적격 권한 부여 만들기를 참조하세요.
다음 단계
- Microsoft 클라우드 보안 벤치마크의 지침이 Azure Lighthouse에 적용되는 방식을 이해하기 위해 보안 기준 정보를 검토합니다.
- Microsoft Entra 다단계 인증을 배포합니다.
- 테넌트 간 관리 환경에 대해 알아봅니다.