ID 및 액세스 관리 개요
Microsoft 온라인 서비스 무단 또는 악의적인 액세스로부터 프로덕션 시스템을 보호하려면 어떻게 해야 할까요?
Microsoft 온라인 서비스 Microsoft 엔지니어가 고객 콘텐츠에 액세스하지 않고 서비스를 운영할 수 있도록 설계되었습니다. 기본적으로 Microsoft 엔지니어는 고객 콘텐츠에 대한 ZSA(제로 스탠딩 액세스)를 가지며 프로덕션 환경에 대한 권한 있는 액세스 권한이 없습니다. Microsoft 온라인 서비스 JIT(Just-In-Time), JEA(Just-Enough-Access) 모델을 사용하여 Microsoft 온라인 서비스 지원하기 위해 이러한 액세스가 필요한 경우 서비스 팀 엔지니어에게 프로덕션 환경에 대한 임시 권한 있는 액세스를 제공합니다. JIT 액세스 모델은 기존의 지속적인 관리 액세스를 엔지니어가 필요할 때 권한 있는 역할로 임시 승격을 요청하는 프로세스로 대체합니다.
프로덕션 서비스를 지원하기 위해 서비스 팀에 할당된 엔지니어는 ID 및 액세스 관리 솔루션을 통해 서비스 팀 계정에 대한 자격을 요청합니다. 자격 요청은 엔지니어가 모든 클라우드 심사 요구 사항을 통과하고, 필요한 교육을 완료하고, 계정을 만들기 전에 적절한 관리 승인을 받았는지 확인하기 위해 일련의 직원 검사를 트리거합니다. 모든 자격 요구 사항을 충족한 후에만 요청된 환경에 대한 서비스팀 계정을 만들 수 있습니다. 서비스 팀 계정에 대한 자격을 유지하려면 직원은 매년 역할 기반 교육을 거쳐 2년마다 다시 심사해야 합니다. 이러한 검사를 완료하거나 통과하지 못하면 자격이 자동으로 해지됩니다.
서비스 팀 계정은 어떤 관리자 권한이나 고객 콘텐츠에 대한 액세스 권한을 부여하지 않습니다. 엔지니어가 Microsoft 온라인 서비스 지원하기 위해 추가 액세스 권한이 필요한 경우 Lockbox라는 액세스 관리 도구를 사용하여 필요한 리소스에 대한 임시 상승된 액세스를 요청합니다. Lockbox는 할당된 작업을 완료하는 데 필요한 최소 권한, 리소스 및 시간에 대한 상승된 액세스를 제한합니다. 권한 있는 검토자가 JIT 액세스 요청을 승인하면 엔지니어에게 할당된 작업을 완료하는 데 필요한 권한만 있는 임시 액세스 권한이 부여됩니다. 이 임시 액세스에는 다단계 인증이 필요하며 승인된 기간이 만료된 후 자동으로 해지됩니다.
JEA는 JIT 액세스 요청 시 자격 및 Lockbox 역할에 의해 적용됩니다. 엔지니어 자격의 scope 내 자산에 대한 액세스 요청만 수락되고 승인자에게 전달됩니다. Lockbox는 허용된 임계값을 초과하는 요청을 포함하여 엔지니어 자격 및 Lockbox 역할의 scope 벗어난 JIT 요청을 자동으로 거부합니다.
Microsoft 온라인 서비스 Lockbox에서 RBAC(역할 기반 액세스 제어)를 사용하여 최소 권한을 적용하려면 어떻게 해야 하나요?
서비스 팀 계정은 어떤 관리자 권한이나 고객 콘텐츠에 대한 액세스 권한을 부여하지 않습니다. 제한된 관리자 권한에 대한 JIT 요청은 Lockbox를 통해 관리됩니다. Lockbox는 RBAC를 사용하여 엔지니어가 수행할 수 있는 JIT 권한 상승 요청 유형을 제한하여 최소 권한을 적용하는 추가 보호 계층을 제공합니다. 또한 RBAC는 서비스 팀 계정을 적절한 역할로 제한하여 업무 분리를 적용하는 데 도움이 됩니다. 서비스를 지원하는 엔지니어에게 해당 역할에 따라 보안 그룹에 대한 멤버 자격이 부여됩니다. 보안 그룹의 멤버 자격은 권한 있는 액세스 권한을 부여하지 않습니다. 대신 보안 그룹을 사용하면 엔지니어가 Lockbox를 사용하여 시스템을 지원하는 데 필요한 경우 JIT 권한 상승을 요청할 수 있습니다. 엔지니어가 수행할 수 있는 특정 JIT 요청은 보안 그룹 멤버 자격에 의해 제한됩니다.
Microsoft 온라인 서비스 프로덕션 시스템에 대한 원격 액세스를 어떻게 처리합니까?
Microsoft 온라인 서비스 시스템 구성 요소는 운영 팀과 지리적으로 분리된 데이터 센터에 보관됩니다. 데이터 센터 직원은 Microsoft 온라인 서비스 시스템에 대한 논리적 액세스 권한이 없습니다. 따라서 Microsoft 서비스 팀 직원은 원격 액세스를 통해 환경을 관리합니다. Microsoft 온라인 서비스 지원하기 위해 원격 액세스가 필요한 서비스 팀 직원에게는 권한 있는 관리자의 승인 후에만 원격 액세스 권한이 부여됩니다. 모든 원격 액세스는 보안 원격 연결을 위해 FIPS 140-2 호환 TLS를 사용합니다.
Microsoft 온라인 서비스 서비스 팀 원격 액세스에 대한 보안 관리 워크스테이션(SAW)을 사용하여 Microsoft 온라인 서비스 환경을 손상으로부터 보호할 수 있습니다. 이러한 워크스테이션은 USB 포트를 잠그고 보안 관리 워크스테이션에서 사용할 수 있는 소프트웨어를 환경 지원에 필요한 소프트웨어로 제한하는 등 의도적이거나 의도하지 않은 프로덕션 데이터 손실을 방지하도록 설계되었습니다. 보안 관리 워크스테이션은 Microsoft 엔지니어가 악의적이거나 의도하지 않은 고객 데이터 손상을 감지하고 방지하기 위해 면밀히 추적 및 모니터링됩니다.
Microsoft 직원의 권한 있는 액세스는 2단계 인증을 사용하여 Microsoft에서 제어하는 TSG를 통해 특정 경로를 따릅니다. TSG를 통한 모든 액세스 및 활동은 면밀히 모니터링되며 경고 및 보고서는 비정상적인 연결을 식별하는 데 사용됩니다. 또한 서비스 팀은 추세 기반 모니터링을 구현하여 서비스 상태를 보장하고 비정상적인 사용 패턴을 검색합니다.
고객 Lockbox는 고객 콘텐츠에 대한 추가 보호를 어떻게 추가하나요?
고객은 고객 Lockbox를 사용하도록 설정하여 콘텐츠에 추가 수준의 액세스 제어를 추가할 수 있습니다. Lockbox 권한 상승 요청에 고객 콘텐츠에 대한 액세스가 포함된 경우 고객 Lockbox는 승인 워크플로의 최종 단계로 고객의 승인이 필요합니다. 이 프로세스는 조직에서 이러한 요청을 승인하거나 거부할 수 있는 옵션을 제공하고 고객에게 직접 액세스 제어를 제공합니다. 고객이 고객 Lockbox 요청을 거부하면 요청된 콘텐츠에 대한 액세스가 거부됩니다. 고객이 특정 기간 내에 요청을 거부하거나 승인하지 않으면 Microsoft가 고객 콘텐츠에 액세스하지 않고 요청이 자동으로 만료됩니다. 고객이 요청을 승인하면 문제 해결 작업을 완료하기 위해 할당된 시간이 만료된 후 고객 콘텐츠에 대한 Microsoft의 임시 액세스가 기록되고 감사 가능하며 자동으로 해지됩니다.
관련 외부 규정 & 인증
Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. ID 및 액세스 제어와 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.
Azure 및 Dynamics 365
외부 감사 | 섹션 | 최신 보고서 날짜 |
---|---|---|
ISO 27001 적용 가능성 설명 인증서 |
A.9.1: 액세스 제어의 비즈니스 요구 사항 A.9.2: 사용자 액세스 관리 A.9.3: 사용자 책임 A.9.4: 시스템 및 애플리케이션 액세스 제어 A.15.1: 공급자 관계의 정보 보안 |
2024년 4월 8일 |
ISO 27017 적용 가능성 설명 인증서 |
A.9.1: 액세스 제어의 비즈니스 요구 사항 A.9.2: 사용자 액세스 관리 A.9.3: 사용자 책임 A.9.4: 시스템 및 애플리케이션 액세스 제어 A.15.1: 공급자 관계의 정보 보안 |
2024년 4월 8일 |
SOC 1 SOC 2 SOC 3 |
OA-2: 액세스 프로비전 OA-7: JIT 액세스 OA-21: 보안 관리 워크스테이션 및 MFA |
2024년 8월 16일 |
Microsoft 365
외부 감사 | 섹션 | 최신 보고서 날짜 |
---|---|---|
FedRAMP | AC-2: 계정 관리 AC-3: 액세스 적용 AC-5: 의무 분리 AC-6: 최소 권한 AC-17: 원격 액세스 |
2024년 8월 21일 |
ISO 27001/27017 적용 가능성 설명 인증(27001) 인증(27017) |
A.9.1: 액세스 제어의 비즈니스 요구 사항 A.9.2: 사용자 액세스 관리 A.9.3: 사용자 책임 A.9.4: 시스템 및 애플리케이션 액세스 제어 A.15.1: 공급자 관계의 정보 보안 |
2024년 3월 |
SOC 1 | CA-33: 계정 수정 CA-34: 사용자 인증 CA-35: 권한 있는 액세스 CA-36: 원격 액세스 CA-57: 고객 Lockbox Microsoft 관리 승인 CA-58: 고객 Lockbox 서비스 요청 CA-59: 고객 Lockbox 알림 CA-61: JIT 검토 및 승인 |
2024년 8월 1일 |
SOC 2 | CA-32: 공유 계정 정책 CA-33: 계정 수정 CA-34: 사용자 인증 CA-35: 권한 있는 액세스 CA-36: 원격 액세스 CA-53: 타사 모니터링 CA-56: 고객 Lockbox 고객 승인 CA-57: 고객 Lockbox Microsoft 관리 승인 CA-58: 고객 Lockbox 서비스 요청 CA-59: 고객 Lockbox 알림 CA-61: JIT 검토 및 승인 |
2024년 1월 23일 |
SOC 3 | CUEC-15: 고객 Lockbox 요청 | 2024년 1월 23일 |