애플리케이션을 비밀 기반 인증에서 다른 인증 방식으로 마이그레이션합니다.

클라이언트 비밀을 사용하는 애플리케이션은 구성 파일에 저장하거나, 스크립트로 하드 코딩하거나, 다른 방법으로 노출될 위험이 있습니다. 비밀 관리 복잡성은 비밀이 누출에 취약하고 공격자에게 매력적입니다. 클라이언트 비밀이 노출되면 공격자에게 합법적인 자격 증명을 제공하여 합법적인 작업과 활동을 혼합하여 보안 제어를 더 쉽게 우회할 수 있습니다. 공격자가 애플리케이션의 클라이언트 비밀을 손상하는 경우 시스템 내에서 권한을 에스컬레이션하여 애플리케이션의 권한에 따라 더 광범위한 액세스 및 제어를 수행할 수 있습니다. 손상된 인증서를 교체하는 것은 매우 시간이 많이 걸리고 중단될 수 있습니다. 이러한 이유로 Microsoft는 모든 고객이 암호 또는 인증서 기반 인증을 토큰 기반 인증으로 이동하는 것이 좋습니다.

이 문서에서는 비밀 기반 인증에서 보다 안전하고 사용자에게 친숙한 인증 방법으로 애플리케이션을 마이그레이션하는 데 도움이 되는 리소스 및 모범 사례를 강조합니다.

애플리케이션을 비밀 기반 인증에서 멀리 마이그레이션하는 이유는 무엇인가요?

비밀 기반 인증에서 애플리케이션을 마이그레이션하면 다음과 같은 몇 가지 이점이 있습니다.

• 향상된 보안: 비밀 기반 인증은 누출 및 공격에 취약합니다. 관리 ID와 같은 보다 안전한 인증 방법으로 마이그레이션하면 보안을 개선하는 데 도움이 될 수 있습니다.

• 복잡성 감소: 비밀 관리는 복잡하고 오류가 발생하기 쉽습니다. 보다 안전한 인증 방법으로 마이그레이션하면 복잡성을 줄이고 보안을 향상시킬 수 있습니다.

• 확장성: 더 안전한 인증 방법으로 마이그레이션하면 애플리케이션을 안전하게 스케일링할 수 있습니다.

• 준수: 더 안전한 인증 방법으로 마이그레이션하면 규정 준수 요구 사항 및 보안 모범 사례를 충족하는 데 도움이 될 수 있습니다.

비밀 기반 인증에서 애플리케이션을 마이그레이션하는 방법

애플리케이션을 비밀 기반 인증에서 멀리 마이그레이션하려면 다음 모범 사례를 고려하세요.

Azure 리소스에 관리 ID 사용

관리 ID는 자격 증명을 관리하거나 코드에 자격 증명을 가질 필요 없이 클라우드 서비스에 애플리케이션을 인증하는 안전한 방법입니다. Azure 서비스는 이 ID를 사용하여 Microsoft Entra 인증을 지원하는 서비스에 인증합니다. 자세한 내용은 관리 ID 액세스를 애플리케이션 역할에 할당하는 것을 참조하세요.

단기적으로 마이그레이션할 수 없는 애플리케이션의 경우 비밀을 회전하고 Azure Key Vault 사용과 같은 보안 방법을 사용하는지 확인합니다. Azure Key Vault를 사용하면 클라우드 애플리케이션 및 서비스에서 사용하는 암호화 키와 비밀을 보호할 수 있습니다. 키, 비밀 및 인증서는 코드를 직접 작성할 필요 없이 보호되며 애플리케이션에서 쉽게 사용할 수 있습니다. 자세한 내용은 Azure Key Vault참조하세요.

워크로드 ID에 대한 조건부 액세스 정책 배포

워크로드 ID에 대한 조건부 액세스를 사용하면 Microsoft Entra ID Protection에서 감지한 위험을 기반으로 또는 인증 컨텍스트와 함께 알려진 공용 IP 범위 외부에서 서비스 주체를 차단할 수 있습니다. 자세한 내용은 워크로드 ID대한 조건부 액세스 참조하세요.

중요하다

서비스 주체로 범위가 지정된 조건부 액세스 정책을 만들거나 수정하려면 워크로드 ID 프리미엄 라이선스가 필요합니다. 적절한 라이선스가 없는 디렉터리에서는 워크로드 ID에 대한 기존 조건부 액세스 정책이 계속 작동하지만 수정할 수는 없습니다. 자세한 내용은 Microsoft Entra 워크로드 ID을(를) 참조하세요.  

비밀 검사 구현

리포지토리의 비밀 검사는 소스 코드의 전체 기록에서 이미 존재할 수 있는 비밀을 확인하고, 푸시 보호는 소스 코드에 새로운 비밀이 노출되지 않도록 방지합니다. 자세한 내용은 [비밀 검사]를 참조하십시오.

애플리케이션 인증 정책을 배포하여 보안 인증 방법 적용

애플리케이션 관리 정책을 사용하면 IT 관리자가 조직의 앱을 구성하는 방법에 대한 모범 사례를 적용할 수 있습니다. 예를 들어 관리자는 암호 비밀의 사용을 차단하거나 수명을 제한하는 정책을 구성할 수 있습니다. 자세한 내용은 Microsoft Entra 애플리케이션 관리 정책 API 개요참조하세요.

중요하다

프리미엄 라이선스는 애플리케이션 인증 정책 관리를 구현하는 데 필요합니다. 자세한 내용은 microsoft Entra 라이선스참조하세요.  

서비스 계정에 페더레이션 ID 사용

ID 페더레이션을 사용하면 외부 ID 공급자(IdP)와 Microsoft Entra ID의 앱 간에 신뢰 관계를 페더레이션 ID 자격 증명을 통해 설정하여, 지원되는 시나리오에서 비밀번호를 관리할 필요 없이 Microsoft Entra로 보호된 리소스에 액세스할 수 있습니다. 자세한 내용은 Microsoft Entra ID의 페더레이션 ID 자격 증명 개요()을 참조하세요.

애플리케이션 자격 증명을 회전하는 최소 권한의 사용자 지정 역할 만들기

Microsoft Entra 역할을 사용하면 최소 권한 원칙을 준수하여 관리자에게 세분화된 권한을 부여할 수 있습니다. 작업을 완료하는 데 필요한 권한만 부여되도록 애플리케이션 자격 증명을 회전하는 사용자 지정 역할을 만들 수 있습니다. 자세한 내용은 Microsoft Entra ID사용자 지정 역할 만들기를 참조하세요.

애플리케이션을 심사하고 모니터링하는 프로세스가 있는지 확인합니다.

이 프로세스에는 정기적인 보안 평가, 취약성 검사 및 인시던트 대응 절차가 포함되어야 합니다. 보안 환경을 유지 관리하려면 애플리케이션의 보안 상태를 인식하는 것이 중요합니다.

관련 콘텐츠

• 제로 트러스트 원칙을 적용하여 개발합니다.
• 제로 트러스트 신원 및 액세스 관리 개발 모범 사례