CMMC 수준 2 AC(Access Control) 컨트롤 구성
Microsoft Entra ID를 사용하면 각 CMMC(사이버 보안 성숙도 모델 인증) 수준에서 ID 관련 실무 요구 사항을 충족할 수 있습니다. CMMC V2.0 수준 2의 요구 사항을 준수하려면 미국 DoD(국방부)와 협력하여 다른 구성 또는 프로세스를 완료하는 것은 회사의 책임입니다.
CMMC 수준 2에는 ID와 관련된 하나 이상의 사례가 있는 13개의 도메인이 있습니다.
- AC(액세스 제어)
- AU(감사 및 책임)
- CM(구성 관리)
- IA(식별 및 인증)
- 인시던트 응답(IR)
- 유지 관리(MA)
- MP(미디어 보호)
- PS(직원 보안)
- PE(물리적 보호)
- RA(위험 평가)
- CA(보안 평가)
- 시스템 및 통신 보호(SC)
- SI(시스템 및 정보 무결성)
이 문서의 나머지 부분에서는 AC(Access Control) 도메인에 대한 지침을 제공합니다. 연습을 수행하기 위한 단계별 지침을 제공하는 콘텐츠에 대한 링크가 포함된 표가 있습니다.
AC(액세스 제어)
다음 표에는 Microsoft Entra ID로 이러한 요구 사항을 충족할 수 있도록 하는 실무 문 및 목표, Microsoft Entra 지침 및 권장 사항 목록이 나열되어 있습니다.
CMMC 연습 설명 및 목표 | Microsoft Entra 지침 및 권장 사항 |
---|---|
AC.L2-3.1.3 연습 문: 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. 목표: 다음을 확인합니다. [a.] 정보 흐름 제어 정책이 정의되어 있는지 여부 [b.] CUI 흐름을 제어하기 위한 메서드 및 적용 메커니즘이 정의되어 있는지 여부 [c.] 시스템 내의 CUI 및 intercfeetonnected 시스템 간에 지정된 원본 및 대상(예: 네트워크, 개인 및 디바이스)이 식별되는지 여부 [d.] CUI 흐름을 제어하기 위한 권한 부여가 정의되어 있는지 여부, 그리고 [e.] CUI의 흐름을 제어하기 위해 승인된 권한이 적용되는지 여부 |
신뢰할 수 있는 위치, 신뢰할 수 있는 디바이스, 승인된 애플리케이션에서 CUI의 흐름을 제어하고 앱 보호 정책이 필요하도록 조건부 액세스 정책을 구성합니다. CUI에 대한 세분화된 권한 부여를 위해 앱 적용 제한(Exchange/SharePoint Online), 앱 제어(Microsoft Defender for Cloud Apps 사용), 인증 컨텍스트를 구성합니다. 온-프레미스 애플리케이션에 대한 액세스를 보호하기 위해 Microsoft Entra 애플리케이션 프록시를 배포합니다. Microsoft Entra 조건부 액세스의 위치 조건 조건부 액세스 정책에서 컨트롤 권한 부여 - 디바이스를 준수 상태로 표시해야 함 조건부 액세스 정책의 제어 권한 부여 - Microsoft Entra 하이브리드 조인 디바이스 필요 조건부 액세스 정책에서 컨트롤 권한 부여 - 승인된 클라이언트 앱 필요 조건부 액세스 정책에서 컨트롤 권한 부여 - 앱 보호 정책 필요 조건부 액세스 정책의 세션 컨트롤 - 애플리케이션 적용 제한 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 보호 조건부 액세스 정책의 클라우드 앱, 작업 및 인증 컨텍스트 Microsoft Entra 애플리케이션 프록시를 사용하여 온-프레미스 앱에 대한 원격 액세스 인증 컨텍스트 인증 컨텍스트 구성 및 조건부 액세스 정책 할당 정보 보호 데이터를 파악하고 보호하며 데이터 손실을 방지합니다. Microsoft Purview를 사용하여 민감 데이터 보호 조건부 액세스 AIP(Azure Information Protection)에 대한 조건부 액세스 애플리케이션 프록시 Microsoft Entra 애플리케이션 프록시를 사용하여 온-프레미스 앱에 대한 원격 액세스 |
AC.L2-3.1.4 연습 문: 개인의 의무를 구분하여 공모 없이 악의적인 활동의 위험을 줄입니다. 목표: 다음을 확인합니다. [a.] 분리가 필요한 개인의 의무가 정의되어 있는지 여부 [b.] 분리가 필요한 의무에 대한 책임은 개별 개인에게 할당되는지 여부, 그리고 [c.] 개인이 분리가 필요한 의무를 이행할 수 있도록 하는 액세스 권한은 개별 개인에게 부여되는지 여부 |
적절한 액세스 범위를 지정하여 적절한 의무 분리 보장. 애플리케이션, 그룹, Teams 및 SharePoint 사이트에 대한 액세스를 제어하도록 권한 관리 액세스 패키지를 구성합니다. 사용자가 과도한 액세스 권한을 얻지 않도록 액세스 패키지 내에서 의무 분리 검사를 구성합니다. Microsoft Entra 권한 관리에서 액세스 패키지를 통해 액세스해야 하는 각 사용자 커뮤니티에 대해 각기 다른 설정으로 여러 정책을 구성할 수 있습니다. 이 구성에는 정책에 따라 특정 그룹의 사용자 또는 이미 다른 액세스 패키지가 할당된 사용자에게 다른 액세스 패키지가 할당되지 않도록 하는 제한이 포함됩니다. 권한 있는 역할을 가진 관리자가 제한된 디렉터리 개체(사용자, 그룹, 디바이스) 집합에 대해서만 해당 권한을 갖도록 Microsoft Entra ID의 관리 단위를 구성하여 관리 권한 범위를 지정합니다. 권한 관리란? 액세스 패키지는 무엇이며, 이를 통해 관리할 수 있는 리소스는 무엇일까요? Microsoft Entra 권한 관리에서 액세스 패키지에 대한 의무 분리 구성 Microsoft Entra ID의 관리 장치 |
AC.L2-3.1.5 연습 문: 특정 보안 기능 및 권한 있는 계정을 포함하여 최소 권한 원칙을 적용합니다. 목표: 다음을 확인합니다. [a.] 권한 있는 계정이 식별됩니다. [b.] 권한 있는 계정에 대한 액세스 권한은 최소 권한 원칙에 따라 부여되는지 여부 [c.] 보안 함수가 식별되는지 여부, 그리고 [d.] 보안 기능에 대한 액세스는 최소 권한 원칙에 따라 승인되는지 여부 |
귀하는 최소 권한의 규칙을 구현하고 적용할 책임이 있습니다. 이 작업은 적용, 모니터링 및 경고를 구성하기 위해 Privileged Identity Management를 사용하여 수행할 수 있습니다. 역할 멤버 자격에 대한 요구 사항 및 조건을 설정합니다. 권한 있는 계정이 식별 및 관리되면 자격 수명 주기 관리 및 액세스 검토를 사용하여 적절한 액세스를 설정, 유지 및 감사합니다. MS Graph API를 사용하여 디렉터리 역할을 검색하고 모니터링합니다. 역할 할당 PIM에서 Microsoft Entra 역할 할당 Privileged Identity Management에서 Azure 리소스 역할 할당 그룹에 대한 PIM에 적합한 소유자 및 멤버 할당 역할 설정 지정 PIM에서 Microsoft Entra 역할 설정 구성 PIM에서 Azure 리소스 역할 설정 구성 PIM에서 그룹에 대한 PIM 설정 구성 경고 설정 PIM의 Microsoft Entra 역할에 대한 보안 경고 Privileged Identity Management에서 Azure 리소스 역할에 대한 보안 경고 구성 |
AC.L2-3.1.6 연습 문: 비보안 기능에 액세스할 때 권한 없는 계정 또는 역할을 사용합니다. 목표: 다음을 확인합니다. [a.] 비보안 함수가 식별되는지 여부, 그리고 [b.] 사용자는 비보안 기능에 액세스할 때 권한 없는 계정 또는 역할을 사용해야 합니다. AC.L2-3.1.7 연습 문: 권한 없는 사용자가 권한 있는 기능을 실행하지 못하도록 방지하고 이러한 기능의 실행을 감사 로그에 캡처합니다. 목표: 다음을 확인합니다. [a.] 권한 있는 함수가 정의되어 있는지 여부 [b.] 권한이 없는 사용자가 정의되어 있는 여부 [c.] 권한이 없는 사용자는 권한 있는 함수를 실행할 수 없는지 여부, 그리고 [d.] 권한 있는 함수의 실행이 감사 로그에 캡처되는지 여부 |
AC.L2-3.1.6 및 AC.L2-3.1.7의 요구 사항은 서로를 보완합니다. 권한 있는 사용 및 권한 없는 사용을 위해 별도의 계정이 필요합니다. PIM(Privileged Identity Management)을 구성하여 JIT(Just-In-Time) 권한 있는 액세스를 가져오고 고정 액세스를 제거합니다. 권한 있는 사용자의 생산성 애플리케이션에 대한 액세스를 제한하도록 역할 기반 조건부 액세스 정책을 구성합니다. 권한이 높은 사용자의 경우 권한 있는 액세스 스토리의 일부로 디바이스를 보호합니다. 모든 권한 있는 작업은 Microsoft Entra 감사 로그에 캡처됩니다. 권한 있는 액세스 보안 개요 PIM에서 Microsoft Entra 역할 설정 구성 조건부 액세스 정책의 사용자 및 그룹 권한 있는 액세스 디바이스가 중요한 이유 |
AC.L2-3.1.8 연습 문: 실패한 로그온 시도를 제한합니다. 목표: 다음을 확인합니다. [a.] 실패한 로그온 시도를 제한하는 수단이 정의되어 있는지 여부, 그리고 [b.] 실패한 로그온 시도를 제한하는 정의된 수단이 실행되는지 여부 |
사용자 지정 스마트 잠금 설정을 사용합니다. 이러한 요구 사항을 구현하기 위해 잠금 임계값 및 잠금 기간(초)을 구성합니다. Microsoft Entra 스마트 잠금을 사용하여 공격으로부터 사용자 계정 보호 Microsoft Entra 스마트 잠금 값 관리 |
AC.L2-3.1.9 연습 문: 해당 CUI 규칙에 일치하는 개인 정보 및 보안 통지를 제공합니다. 목표: 다음을 확인합니다. [a.] CUI 지정 규칙에 필요한 개인 정보 및 보안 알림은 식별되고 일관되며 특정 CUI 범주와 연결되는지 여부, 그리고 [b.] 개인 정보 및 보안 알림이 표시되는지 여부 |
Microsoft Entra ID를 통해 액세스 권한을 부여하기 전에 승인을 요구하고 기록하는 모든 앱에 대한 알림 또는 배너 메시지를 제공할 수 있습니다. 이러한 사용 약관 정책을 특정 사용자(멤버 또는 게스트)에게 적용할 수 있습니다. 조건부 액세스 정책을 통해 애플리케이션별로 사용자 지정할 수도 있습니다. 조건부 액세스 Microsoft Entra ID의 조건부 액세스란? 사용 약관 Microsoft Entra 사용 약관 사용 약관에 동의/거부한 사람에 대한 보고서 보기 |
AC.L2-3.1.10 연습 문: 일정 시간 동안 사용하지 않을 경우 데이터에 액세스하고 볼 수 없도록 패턴 숨기기 디스플레이와 함께 세션 잠금을 사용합니다. 목표: 다음을 확인합니다. [a.] 시스템이 세션 잠금을 시작한 후 비활성 기간이 정의되어 있는지 여부 [b.] 시스템에 대한 액세스 및 데이터 보기가 정의된 비활성 기간 후에 세션 잠금을 시작하여 방지되는지 여부, 그리고 [c.] 이전에 표시된 정보는 정의된 비활성 기간 후에 패턴 숨기기 디스플레이를 통해 숨겨지는지 여부 |
규정 준수 또는 Microsoft Entra 하이브리드 조인된 디바이스에 대한 액세스를 제한하는 조건부 액세스 정책을 사용하여 디바이스 차단을 구현합니다. Intune과 같은 MDM 솔루션을 사용하여 OS 수준에서 디바이스 차단을 적용하도록 디바이스에서 정책 설정을 구성합니다. Microsoft Intune, Configuration Manager 또는 그룹 정책 개체를 하이브리드 배포에서 고려할 수도 있습니다. 관리되지 않는 디바이스의 경우 사용자가 다시 인증하도록 로그인 빈도 설정을 구성합니다. 디바이스를 준수 상태로 표시해야 함 조건부 액세스 정책의 제어 권한 부여 - Microsoft Entra 하이브리드 조인 디바이스 필요 사용자 로그인 빈도 화면이 잠기기 전까지 디바이스의 최대 비활성 시간(분)을 구성합니다(Android, iOS, Windows 10). |
AC.L2-3.1.11 연습 문: 정의된 조건 후에 사용자 세션을 (자동으로) 종료합니다. 목표: 다음을 확인합니다. [a.] 사용자 세션을 종료해야 하는 조건이 정의되어 있는지 여부, 그리고 [b.] 정의된 조건이 발생한 후 사용자 세션이 자동으로 종료되는지 여부 |
지원되는 모든 애플리케이션에 대해 CAE(지속적인 액세스 권한 평가)를 사용하도록 설정합니다. CAE를 지원하지 않는 애플리케이션 또는 CAE에 적용되지 않는 조건의 경우 Microsoft Defender for Cloud Apps 정책을 구현하여 조건이 발생할 때 세션을 자동으로 종료합니다. 또한 사용자 및 로그인 위험을 평가하도록 Microsoft Entra ID Protection을 구성합니다. ID Protection와 함께 조건부 액세스를 사용하여 사용자가 위험을 자동으로 수정할 수 있도록 합니다. Microsoft Entra ID에서의 지속적인 액세스 권한 평가 정책을 생성하여 클라우드 앱 사용량 제어 Microsoft Entra ID 보호란? |
AC.L2-3.1.12 연습 문: 원격 액세스 세션을 모니터링하고 제어합니다. 목표: 다음을 확인합니다. [a.] 원격 액세스 세션이 허용되는지 여부 [b.] 허용되는 원격 액세스 유형이 식별되는지 여부 [c.] 원격 액세스 세션이 제어되는지 여부, 그리고 [d.] 원격 액세스 세션이 모니터링되는지 여부 |
오늘날 사용자는 알 수 없거나 신뢰할 수 없는 네트워크에서 거의 독점적으로 원격으로 클라우드 기반 애플리케이션에 액세스합니다. 제로 트러스트 보안 주체를 채택하려면 이러한 액세스 패턴을 보호하는 것이 중요합니다. 최신 클라우드 환경에서 이러한 제어 요구 사항을 충족하려면 각 액세스 요청을 명시적으로 확인하고 최소 권한을 구현하고 위반을 가정해야 합니다. 내부 네트워크와 외부 네트워크를 구분하도록 명명된 위치를 구성합니다. 클라우드용 Microsoft Defender Apps를 통해 액세스를 라우팅하도록 조건부 액세스 앱 제어를 구성합니다. 모든 세션을 제어하고 모니터링하도록 클라우드용 Defender 앱을 구성합니다. Microsoft Entra ID용 제로 트러스트 배포 가이드 Microsoft Entra 조건부 액세스의 위치 조건 Microsoft Entra 앱에 대한 Microsoft Cloud App Security 조건부 액세스 앱 제어 배포 클라우드 앱용 Microsoft Defender란? Microsoft Defender for Cloud Apps에서 발생한 경고를 모니터링 |
AC.L2-3.1.13 연습 문: 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘을 사용합니다. 목표: 다음을 확인합니다. [a.] 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘이 식별되는지 여부, 그리고 [b.] 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘이 실행되는지 여부 |
모든 Microsoft Entra 고객 관련 웹 서비스는 TLS(전송 계층 보안) 프로토콜로 보호되며 FIPS 검증 암호화를 사용하여 구현됩니다. Microsoft Entra 데이터 보안 고려 사항(microsoft.com) |
AC.L2-3.1.14 연습 문: 관리되는 액세스 제어 지점을 통해 원격 액세스를 라우팅합니다. 목표: 다음을 확인합니다. [a.] 관리형 액세스 제어 지점이 식별되고 구현되는지 여부, 그리고 [b.] 원격 액세스가 관리되는 네트워크 액세스 제어 지점을 통해 라우팅되는지 여부 |
내부 네트워크와 외부 네트워크를 구분하도록 명명된 위치를 구성합니다. 클라우드용 Microsoft Defender Apps를 통해 액세스를 라우팅하도록 조건부 액세스 앱 제어를 구성합니다. 모든 세션을 제어하고 모니터링하도록 클라우드용 Defender 앱을 구성합니다. 권한 있는 액세스 스토리의 일부로 권한 있는 계정에서 사용하는 디바이스를 보호합니다. Microsoft Entra 조건부 액세스의 위치 조건 조건부 액세스 정책의 세션 제어 권한 있는 액세스 보안 개요 |
AC.L2-3.1.15 연습 문: 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. 목표: 다음을 확인합니다. [a.] 원격 실행에 대해 권한이 부여된 권한 있는 명령이 식별되는지 여부 [b.] 원격으로 액세스할 수 있는 권한이 부여된 보안 관련 정보가 식별되는지 여부 [c.] 원격 액세스를 통해 식별된 권한 있는 명령의 실행 권한이 부여되는지 여부, 그리고 [d.] 원격 액세스를 통해 식별된 보안 관련 정보에 대한 액세스 권한이 부여되는지 여부 |
조건부 액세스는 인증 컨텍스트와 결합된 경우 앱에 대한 액세스를 위한 정책을 대상으로 하는 제로 트러스트 컨트롤 플레인입니다. 이러한 앱에서 다른 정책을 적용할 수 있습니다. 권한 있는 액세스 스토리의 일부로 권한 있는 계정에서 사용하는 디바이스를 보호합니다. 권한 있는 명령을 수행할 때 권한 있는 사용자가 이러한 보안 디바이스를 사용하도록 조건부 액세스 정책을 구성합니다. 조건부 액세스 정책의 클라우드 앱, 작업 및 인증 컨텍스트 권한 있는 액세스 보안 개요 조건부 액세스 정책의 조건으로 사용되는 디바이스에 대한 필터 |
AC.L2-3.1.18 연습 문: 모바일 디바이스의 연결을 제어합니다. 목표: 다음을 확인합니다. [a.] CUI를 처리, 저장 또는 전송하는 모바일 디바이스가 식별되는지 여부 [b.] 모바일 디바이스 연결에 권한이 부여되는지 여부, 그리고 [c.] 모바일 디바이스 연결이 모니터링되고 기록되는지 여부 |
MDM(예: Microsoft Intune), Configuration Manager 또는 GPO(그룹 정책 개체)를 통해 장치 관리 정책을 구성하여 모바일 디바이스 구성 및 연결 프로필을 적용합니다. 디바이스 규정 준수를 적용하도록 조건부 액세스 정책을 구성합니다. 조건부 액세스 디바이스를 준수 상태로 표시해야 함 Microsoft Entra 하이브리드 조인 디바이스 필요 InTune Microsoft Intune의 디바이스 규정 준수 정책 Microsoft Intune의 앱 관리란? |
AC.L2-3.1.19 연습 문: 모바일 디바이스 및 모바일 컴퓨팅 플랫폼에서 CUI를 암호화합니다. 목표: 다음을 확인합니다. [a.] CUI를 처리, 저장 또는 전송하는 모바일 디바이스 및 모바일 컴퓨팅 플랫폼이 식별되는지 여부, 그리고 [b.] 식별된 모바일 디바이스 및 모바일 컴퓨팅 플랫폼에서 CUI를 보호하기 위해 암호화가 사용되는지 여부 |
관리 디바이스 규정 준수 또는 Microsoft Entra 하이브리드 조인 디바이스를 적용하고 CUI를 암호화하기 위해 디바이스 관리 솔루션을 통해 관리 디바이스가 적절하게 구성되도록 조건부 액세스 정책을 구성합니다. 관리되지 않는 디바이스 앱 보호 정책을 요구하도록 조건부 액세스 정책을 구성합니다. 조건부 액세스 정책에서 컨트롤 권한 부여 - 디바이스를 준수 상태로 표시해야 함 조건부 액세스 정책의 제어 권한 부여 - Microsoft Entra 하이브리드 조인 디바이스 필요 조건부 액세스 정책에서 컨트롤 권한 부여 - 앱 보호 정책 필요 |
AC.L2-3.1.21 연습 문: 외부 시스템에서 휴대용 스토리지 디바이스의 사용을 제한합니다. 목표: 다음을 확인합니다. [a.] 외부 시스템에서 CUI가 포함된 휴대용 스토리지 디바이스의 사용을 식별하고 문서화합니다. [b.] 외부 시스템에서 CUI를 포함하는 휴대용 스토리지 디바이스의 사용에 대한 제한이 정의됩니다. 그리고 [c.] 외부 시스템에서 CUI가 포함된 휴대용 스토리지 디바이스의 사용은 정의된 대로 제한됩니다. |
MDM(예: Microsoft Intune), Configuration Manager 또는 GPO(그룹 정책 개체)를 통해 장치 관리 정책을 구성하여 시스템에서 휴대용 스토리지 디바이스의 사용을 제어합니다. OS 수준에서 휴대용 스토리지 사용을 완전히 금지하거나 제한하도록 Windows 디바이스에서 정책 설정을 구성합니다. 휴대용 스토리지에 대한 액세스를 세밀하게 제어할 수 없는 다른 모든 디바이스의 경우 Microsoft Defender for Cloud Apps를 사용하여 다운로드를 완전히 차단합니다. 디바이스 규정 준수를 적용하도록 조건부 액세스 정책을 구성합니다. 조건부 액세스 디바이스를 준수 상태로 표시해야 함 Microsoft Entra 하이브리드 조인 디바이스 필요 인증 세션 관리 구성 Intune Microsoft Intune의 디바이스 규정 준수 정책 Microsoft Intune에서 관리 템플릿을 사용하여 USB 디바이스 제한 Microsoft Defender for Cloud 앱 클라우드용 Defender 앱에서 세션 정책 만들기 |