Microsoft Entra를 사용하여 생성 AI 보안

디지털 환경이 빠르게 발전함에 따라 다양한 산업 전반의 기업들은 혁신을 주도하고 생산성을 향상시키기 위해 점점 더 많은 세대 AI(생성 인공 지능)를 채택하고 있습니다. 최근 연구에 따르면 기업의 93%가 AI 전략을 구현하거나 개발하고 있다고 합니다. 위험 리더의 대략적인 비율은 준비가 부족하거나 관련 위험을 해결하기 위해 다소 준비된 느낌을 보고합니다. Gen AI를 작업에 통합할 때 중요한 보안 및 거버넌스 위험을 완화해야 합니다.

Microsoft Entra는 AI 애플리케이션을 안전하게 관리하고, 액세스를 적절하게 제어하고, 중요한 데이터를 보호하는 포괄적인 기능 모음을 제공합니다.

• Microsoft Entra 사용 권한 관리(MEPM)
• Microsoft Entra ID 거버넌스
• Microsoft Entra CA(조건부 액세스 )
• Microsoft Entra PIM(Privileged Identity Management )
• Microsoft Purview 참가자 위험

이 문서에서는 Gen AI가 제기하는 특정 보안 과제와 Microsoft Entra를 사용하여 해결할 수 있는 방법을 자세히 설명합니다.

과민한 ID 검색

사용자에게 최소 권한의 보안 주체를 준수할 적절한 권한이 있는지 확인합니다. 원격 분석에 따라 ID의 90% 이상이 부여된 권한의 5% 미만을 사용합니다. 이러한 권한의 50% 이상이 위험이 높습니다. 손상된 계정은 치명적인 손상을 일으킬 수 있습니다.

IAM(ID 및 액세스 관리)과 보안 팀이 상호 기능적으로 공동 작업해야 하는 경우가 많기 때문에 다중 클라우드 환경 관리는 어렵습니다. 다중 클라우드 환경에서는 ID, 권한 및 리소스에 대한 포괄적인 보기를 제한할 수 있습니다. 이 제한된 보기는 지나치게 권한이 있는 역할과 권한 있는 계정을 가진 ID에 대한 공격 노출 영역을 증가합니다. 조직이 다중 클라우드를 채택함에 따라 사용 권한이 높은 사용되지 않는 손상된 계정의 위험이 증가합니다.

비인간 계정 식별

비인간 계정에는 반복 가능한 패턴이 있으며 시간이 지남에 따라 변경 가능성이 적습니다. 이러한 계정을 식별할 때 워크로드 또는 관리 ID 및 Microsoft Entra 사용 권한 관리 사용하는 것이 좋습니다. 권한 관리는 CIEM(클라우드 인프라 권한 관리) 도구입니다. Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 모든 ID에 할당하는 권한에 대한 포괄적인 가시성을 제공합니다.

역할을 제로 트러스트 최소 권한 액세스 보안 원칙으로 트리밍합니다. 슈퍼 ID(예: 서버리스 함수 및 앱)에 주의하세요. Gen AI 애플리케이션의 사용 사례를 고려합니다.

Microsoft Entra 역할에 Just-In-Time 액세스 적용

Microsoft Entra PIM(Privileged Identity Management)을 사용하면 Microsoft Entra ID, Azure 및 기타 Microsoft Online Services(예: Microsoft 365 또는 Microsoft Intune)의 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있습니다. PIM을 사용하지 않는 권한 있는 사용자는 자신의 권한이 필요하지 않은 경우에도 항상 할당된 역할에 상주할 수 있습니다. PIM 검색 및 인사이트 페이지에 는 영구 전역 관리자 할당, 높은 권한이 있는 역할이 있는 계정 및 권한 있는 역할 할당이 있는 서비스 주체가 표시됩니다. 이러한 사용 권한이 표시되면 사용자 환경에 대해 정상이어야 하는 사항을 기록해 둡니다. 이러한 역할을 축소하거나 PIM 적격 할당을 사용하여 JIT(Just-In-Time) 액세스로 줄이는 것이 좋습니다.

검색 및 인사이트 페이지 내에서 직접 권한 있는 역할을 PIM에 적용하여 대기 액세스를 줄일 수 있습니다. 권한 있는 액세스 권한이 필요하지 않은 경우 할당을 모두 제거할 수 있습니다. 전역 관리자에 대한 액세스 검토를 만들어 정기적으로 자신의 액세스를 검토하라는 메시지를 표시할 수 있습니다.

액세스 제어 사용

권한 크리프는 무단 액세스 및 제한된 회사 데이터 조작의 위험을 만듭니다. 모든 회사 리소스에 적용하는 것과 동일한 거버넌스 규칙을 사용하여 AI 애플리케이션을 보호합니다. 이 목표를 달성하려면 ID 거버넌스 및 Microsoft Entra 조건부 액세스를 사용하여 모든 사용자 및 회사 리소스(Gen AI 앱 포함)에 대한 세분화된 액세스 정책을 정의하고 롤아웃합니다.

적절한 사용자만 적절한 리소스에 대한 올바른 액세스 수준을 갖도록 합니다. 권한 관리, 수명 주기 워크플로, 액세스 요청, 검토 및 만료를 사용하여 컨트롤을 통해 대규모로 액세스 수명 주기를 자동화합니다.

수명 주기 워크플로를 사용하여 조인자, Mover 및 Leaver(Leaver) 사용자 프로세스를 제어하고 ID 거버넌스에서 액세스를 제어합니다.

사용자 액세스를 제어하도록 정책 및 컨트롤 구성

ID 거버넌스의 권한 관리를 사용하여 다단계 승인 정책을 사용하여 애플리케이션, 그룹, Teams 및 SharePoint 사이트에 액세스할 수 있는 사용자를 제어합니다.

권한 관리에서 자동 할당 정책을 구성하여 부서 또는 비용 센터와 같은 사용자 속성에 따라 리소스에 대한 액세스 권한을 사용자에게 자동으로 부여합니다. 이러한 속성이 변경되면 사용자 액세스를 제거합니다.

액세스 크기를 조정하려면 자격 관리 정책에 만료 날짜 및/또는 정기적인 액세스 검토를 적용하는 것이 좋습니다. 이러한 요구 사항은 사용자가 시간 제한 할당 및 반복적인 애플리케이션 액세스 검토를 통해 액세스를 무기한 유지하지 않도록 합니다.

Microsoft Entra 조건부 액세스를 사용하여 조직 정책 적용

조건부 액세스는 신호를 결합하여 결정을 내리고 조직 정책을 적용합니다. 조건부 액세스는 다양한 소스의 신호를 고려하여 정책 결정을 적용하는 Microsoft의 제로 트러스트 정책 엔진입니다.

최소 권한 원칙을 적용하고 올바른 액세스 제어를 적용하여 조건부 액세스 정책을 사용하여 조직을 안전하게 유지합니다. 조건부 액세스 정책은 특정 조건을 충족하는 ID가 MFA 또는 디바이스 준수 상태와 같은 특정 요구 사항을 충족하는 경우에만 리소스에 액세스할 수 있는 if-then 문이라고 생각합니다.

사용자, 그룹, 역할, 위치 또는 위험과 같은 신호에 따라 Gen AI 앱에 대한 액세스를 제한하여 정책 결정을 향상시킵니다.

• 리소스에 액세스하는 인증 방법의 조합을 지정하는 인증 강도 조건부 액세스 제어를 사용합니다. 사용자가 Gen AI 앱에 액세스하려면 피싱 방지 MFA(다단계 인증)를 완료해야 합니다.
• Microsoft Purview 적응형 보호를 배포하여 AI 사용 위험을 완화하고 관리합니다. 참가자 위험 조건을 사용하여 내부자 위험이 높은 사용자에 대한 Gen AI 앱 액세스를 차단합니다.
• Microsoft Intune 디바이스 준수 정책을 배포하여 디바이스 준수 신호를 조건부 액세스 정책 결정에 통합합니다. 디바이스 준수 조건을 사용하여 사용자에게 Gen AI 앱에 액세스할 수 있는 규격 디바이스가 있어야 합니다.

조건부 액세스 정책을 배포한 후 조건부 액세스 격차 분석기 통합 문서를 사용하여 이러한 정책을 적용하지 않는 로그인 및 애플리케이션을 식별합니다. 기준 액세스 제어를 보장하기 위해 모든 리소스를 대상으로 하는 조건부 액세스 정책을 하나 이상 배포하는 것이 좋습니다.

자동화를 사용하여 대규모 직원 ID 수명 주기 관리

사용자가 작업을 수행해야 하는 경우에만 정보 및 리소스에 대한 액세스 권한을 부여합니다. 이 방법은 중요한 데이터에 대한 무단 액세스를 방지하고 잠재적인 보안 위반 영향을 최소화합니다. 자동화된 사용자 프로비저닝을 사용하여 불필요한 액세스 권한 부여를 줄입니다.

ID 거버넌스의 수명 주기 워크플로를 사용하여 대규모 로 Microsoft Entra 사용자의 수명 주기 프로세스를 자동화합니다 . 주요 이벤트가 발생할 때 사용자 액세스 크기를 조정하도록 워크플로 작업을 자동화합니다. 예제 이벤트에는 새 직원이 조직에서 작업을 시작하도록 예약되기 전, 직원이 상태를 변경하고 직원이 조직을 떠날 때 등이 포함됩니다.

높은 권한의 관리 역할 액세스 제어

비상 계정과 같은 비즈니스/운영 요구 사항으로 인해 ID에 더 높은 권한 액세스가 필요한 경우가 있을 수 있습니다.

권한 있는 계정은 가장 높은 보호 수준을 가져야 합니다. 권한 있는 계정이 손상되면 조직 운영에 잠재적으로 중요하거나 중대한 영향을 줄 수 있습니다.

Microsoft Azure 및 Microsoft Entra의 관리 역할에 권한 있는 사용자만 할당합니다. Microsoft는 최소한 다음 역할에 대해 피싱 방지 MFA를 요구하는 것이 좋습니다.

• 전역 관리자
• 애플리케이션 관리자
• 인증 관리자
• 대금 청구 관리자
• 클라우드 애플리케이션 관리자
• 조건부 액세스 관리자
• Exchange 관리자
• 기술 지원팀 관리자
• 암호 관리자
• 권한 있는 인증 관리자
• 권한 있는 역할 관리자
• 보안 관리자
• SharePoint 관리자
• 사용자 관리자

조직에서 요구 사항에 따라 역할을 포함하거나 제외하도록 선택할 수 있습니다. 역할 멤버 자격을 검토하려면 디렉터리 역할 액세스 검토를 구성하고 사용합니다.

PIM(Privileged Identity Management) 및 JIT(Just-In-Time) 액세스를 사용하여 역할 기반 액세스 제어를 적용합니다. PIM은 시간 제한 액세스를 할당하여 리소스에 대한 JIT 액세스를 제공합니다. 과도하거나 오용된 액세스의 위험을 낮추기 위해 상시 액세스를 제거합니다. PIM은 승인 및 근거 요구 사항, 역할 활성화에 대한 MFA 적용 및 감사 기록을 허용합니다.

외부 게스트 ID 수명 주기 및 액세스 관리

대부분의 조직에서 최종 사용자는 B2B(비즈니스 파트너) 및 공급업체를 협업에 초대하고 애플리케이션에 대한 액세스를 제공합니다. 일반적으로 협업 파트너는 온보딩 프로세스 중에 애플리케이션 액세스를 받습니다. 협업에 명확한 종료 날짜가 없는 경우 사용자가 더 이상 액세스할 필요가 없는 경우 명확하지 않습니다.

권한 관리 기능을 사용하면 리소스에 액세스할 수 있는 외부 ID의 자동화된 수명 주기를 사용할 수 있습니다. 권한 관리를 통해 액세스를 관리하는 프로세스 및 절차를 설정합니다. 액세스 패키지를 통해 리소스를 게시합니다. 이 방법을 사용하면 리소스에 대한 외부 사용자 액세스를 추적하고 문제의 복잡성을 줄일 수 있습니다.

직원이 외부 사용자와 공동 작업할 수 있도록 권한을 부여하면 조직 외부의 모든 사용자를 초대할 수 있습니다. 외부 ID가 애플리케이션을 사용하는 경우 Microsoft Entra 액세스 검토를 통해 액세스를 검토할 수 있습니다. 리소스 소유자, 외부 ID 자체 또는 신뢰할 수 있는 다른 위임된 사용자가 지속적인 액세스가 필요한지 여부를 증명하도록 할 수 있습니다.

Microsoft Entra 액세스 검토를 사용하여 외부 ID가 테넌트에 로그인하고 30일 후에 테넌트에서 외부 ID를 삭제하지 못하도록 차단합니다.

Microsoft Purview를 사용하여 데이터 보안 및 규정 준수 보호 적용

Microsoft Purview를 사용하여 AI 사용과 관련된 위험을 완화하고 관리합니다. 해당 보호 및 거버넌스 컨트롤을 구현합니다. Microsoft Purview AI Hub는 현재 미리 보기로 제공됩니다. 사용하기 쉬운 그래픽 도구와 보고서를 제공하여 조직 내에서 AI 사용에 대한 인사이트를 빠르게 얻을 수 있습니다. 원클릭 정책은 데이터를 보호하고 규정 요구 사항을 준수하는 데 도움이 됩니다.

조건부 액세스 내에서 Microsoft Purview Adaptive Protection을 사용하여 내부자 위험을 나타내는 동작에 플래그를 지정할 수 있습니다. 다른 조건부 액세스 제어를 적용하여 사용자에게 MFA를 요청하거나 사용 사례에 따라 다른 작업을 제공할 때 적응형 보호를 적용합니다.

액세스 모니터링

모니터링은 잠재적인 위협 및 취약성을 조기에 감지하는 데 중요합니다. 비정상적인 활동 및 구성 변경을 감시하여 보안 위반을 방지하고 데이터 무결성을 유지합니다.

사용자 환경에 대한 액세스를 지속적으로 검토하고 모니터링하여 의심스러운 활동을 검색합니다. 의도치 않게 변경되면 권한 크리핑을 방지하고 경고를 받습니다.

• 구성 변경 및 의심스러운 활동에 대한 환경을 사전에 모니터링하려면 Azure Monitor와 Microsoft Entra ID 감사 로그를 통합합니다.
• 사용자가 권한 있는 역할을 활성화하는 시기를 모니터링하도록 보안 경고를 구성합니다.
• Microsoft Entra ID Protection을 사용하여 비정형 사용자 사용 패턴을 확인합니다. 비정형 사용법은 악의적인 행위자가 Gen AI 도구를 사용하여 주위를 찌르고 부적절하게 사용 중임을 나타낼 수 있습니다.

일부 시나리오에서는 AI 애플리케이션만 계절에 따라 사용할 수 있습니다. 예를 들어 금융 앱은 세금 및 감사 시즌 이외의 사용량이 적은 반면 소매 앱은 연말연시에 사용량이 급증할 수 있습니다. 수명 주기 워크플로를 사용하여 상당한 기간 동안 사용되지 않는 계정, 특히 외부 파트너 계정을 사용하지 않도록 설정합니다. JIT 또는 임시 계정 비활성화가 더 적합한 경우 계절성을 고려합니다.

이상적으로 모든 사용자는 액세스 정책을 따라 조직 리소스에 대한 액세스를 보호합니다. 개별 사용자 또는 게스트에 대한 제외와 함께 조건부 액세스 정책을 사용해야 하는 경우 정책 예외 감독을 방지할 수 있습니다. Microsoft Entra 액세스 검토를 사용하여 감사자에게 정기적인 예외 검토 증명을 제공합니다.

사용 권한 관리를 지속적으로 검토합니다. ID는 조직과 함께 유지되므로 새 프로젝트에서 작업하거나 팀을 이동하는 동안 권한을 수집하는 경향이 있습니다. 권한 관리 내에서 PCI(Permissions Creep Index) 점수를 모니터링하고 모니터링 및 경고 기능을 설정합니다. 이 방법은 점진적인 권한 크리핑을 줄이고 손상된 사용자 계정 주위의 폭발 반경을 줄입니다.

• 보고서를 정기적으로 실행하도록 구성합니다. 특정 사용 사례, 특히 Gen AI 앱에 액세스해야 하는 ID에 대한 사용자 지정 보고서를 구성합니다.
• Azure, AWS 및 GCP에서 권한 크리핑을 모니터링하려면 사용 권한 관리를 사용합니다. Gen AI 앱에 과도한 권한이 없거나 시간이 지남에 따라 필요한 것보다 더 많은 권한이 추가되지 않도록 워크로드 ID에 권장 사항을 적용합니다.

관련 콘텐츠

• Microsoft Security Copilot는 인시던트 대응, 위협 헌팅, 인텔리전스 수집 및 자세 관리와 같은 엔드투엔드 시나리오에서 보안 전문가를 지원합니다.
• Microsoft Purview 정보 장벽 은 개인 또는 그룹이 서로 통신하는 것을 방지할 수 있는 정책입니다. Microsoft Teams 의 정보 장벽은 무단 공동 작업을 결정하고 방지할 수 있습니다.
• Microsoft 365 Copilot 요구 사항의 경우 Microsoft 365 및 Microsoft Copilot용 코필로트의 엔터프라이즈 데이터 보호를 검토합니다.