FedRAMP High Impact 수준을 충족하도록 ID 액세스 제어 구성
액세스 제어는 Federal Risk and Authorization Management Program(FedRAMP) High Impact 작동에 있어 중요한 부분입니다.
다음과 같은 액세스 제어(AC) 제품군의 컨트롤 및 컨트롤 기능 향상 목록에는 Microsoft Entra ID 테넌트의 구성이 필요할 수 있습니다.
| 컨트롤 제품군 | 설명 |
|---|---|
| AC-2 | 계정 관리 |
| AC-6 | 최소 권한 |
| AC-7 | 실패한 로그온 시도 |
| AC-8 | 시스템 사용 알림 |
| AC-10 | 동시 세션 컨트롤 |
| AC-11 | 세션 잠금 |
| AC-12 | 세션 종료 |
| AC-20 | 외부 정보 시스템의 사용 |
아래 표의 각 행은 컨트롤 또는 컨트롤 기능 향상을 위한 모든 공유 책임에 대한 조직의 대응을 작성하는 데 도움이 되는 규범적인 지침을 제공합니다.
구성
| FedRAMP 컨트롤 ID 및 설명 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| AC-2 계정 관리 조직의 역할 (b.) 정보 시스템 계정에 계정 관리자를 할당합니다. (c.) 그룹 및 역할 멤버 자격에 대한 조건을 설정합니다. (d.) 정보 시스템의 권한 있는 사용자, 그룹 및 역할 멤버 자격, 각 계정에 대한 액세스 권한(즉, 권한) 및 기타 특성(필요한 경우)을 지정합니다. (e.) 정보 시스템 계정 생성 요청에 대해 [할당: 조직에서 정의한 담당자 또는 역할]의 승인이 필요합니다. (f.) [할당: 조직에서 정의한 절차 또는 조건]에 따라 정보 시스템 계정을 생성, 활성화, 수정, 비활성화 및 제거합니다. (g.) 정보 시스템 계정의 사용을 모니터링합니다. (h.) 다음의 경우 계정 관리자에게 알립니다. (i.) 다음을 기준으로 정보 시스템에 대한 액세스 권한을 부여합니다. (j.) 계정 관리 요구 사항인 [FedRAMP 할당: 액세스 권한이 있는 경우 매월, 권한이 없는 액세스의 경우 6개월마다]를 준수하는지 계정을 검토합니다. 그리고 (k.) 개인이 그룹에서 제거될 때 공유/그룹 계정 자격 증명(배포된 경우)을 다시 발행하는 프로세스를 설정합니다. |
고객 제어 계정에 대한 계정 수명 주기 관리를 구현합니다. 계정 사용을 모니터링하고 계정 관리자에게 계정 수명 주기 이벤트를 알립니다. 권한 있는 액세스의 경우 매달마다, 권한 없는 액세스의 경우 6개월마다 계정 관리 요구 사항을 준수하고 있는지 계정을 검토합니다. Microsoft Entra ID를 사용하여 외부 HR 시스템, 온-프레미스 Active Directory 또는 클라우드에서 직접 계정을 프로비전합니다. 모든 계정 수명 주기 작업은 Microsoft Entra 감사 로그 내에서 감사됩니다. Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용하여 로그를 수집하고 분석할 수 있습니다. 또는 Azure Event Hubs를 사용하여 로그를 타사 SIEM 솔루션과 통합하여 모니터링 및 알림을 사용할 수 있습니다. 액세스 검토에 Microsoft Entra 권한 관리를 사용하여 계정의 준수 상태를 확인합니다. 계정 프로비전 계정 모니터링 계정 검토 리소스
|
| AC-2(1) 조직은 자동화된 메커니즘을 사용하여 정보 시스템 계정 관리를 지원합니다. |
자동화된 메커니즘을 사용하여 고객이 제어하는 계정의 관리를 지원합니다. 외부 HR 시스템 또는 온-프레미스 Active Directory에서 고객이 제어하는 계정에 대한 자동화된 프로비전을 구성합니다. 애플리케이션 프로비저닝을 지원하는 애플리케이션의 경우 사용자가 액세스해야 하는 클라우드 SaaS(Software as a Solution) 애플리케이션에서 사용자 ID와 역할을 자동으로 만들도록 Microsoft Entra ID를 구성합니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함됩니다. 계정 사용에 대한 모니터링을 용이하게 하려면 위험한 사용자, 위험한 로그인 및 위험 검색을 표시하는 Microsoft Entra ID 보호 로그와 Microsoft Sentinel 또는 Event Hubs에 직접 감사 로그를 스트리밍할 수 있습니다. 프로비전 모니터링 및 감사 |
| AC-2(2) 정보 시스템은 [FedRAMP 할당: 마지막 사용 후 24시간] 후에 임시 및 비상 계정을 자동으로 [FedRAMP 선택: 사용 안 함]을 수행합니다. AC-02(3) AC-2 (3) 추가 FedRAMP 요구 사항 및 지침: |
자동화된 메커니즘을 사용하여 마지막으로 사용한 지 24시간이 지난 임시 및 비상 계정과 35일 비활성 기간이 지난 모든 고객 제어 계정을 자동으로 제거하고 사용하지 않도록 설정하는 것을 지원합니다. Microsoft Graph 및 Microsoft Graph PowerShell을 사용하여 계정 관리 자동화를 구현합니다. Microsoft Graph를 사용하여 로그인 작업을 모니터링하고 Microsoft Graph PowerShell을 사용하여 필요한 시간 내에 계정에 대한 작업을 수행합니다. 비활성 확인 계정 삭제 또는 사용 중지 Microsoft Graph에서 디바이스 작업 Microsoft Graph PowerShell 설명서를 참조하세요. |
| AC-2(4) 정보 시스템은 계정 생성, 수정, 활성화, 비활성화 및 제거 작업을 자동으로 감사하고 [FedRAMP 할당: 조직 및/또는 서비스 제공업체 시스템 소유자]에게 알립니다. |
고객 제어 계정을 관리하는 수명 주기에 대해 자동화된 감사 및 알림 시스템을 구현합니다. 모든 계정 수명 주기 작업(계정 만들기, 수정, 사용, 사용 안 함, 제거 작업)은 Azure 감사 로그 내에서 감사됩니다. Microsoft Sentinel 또는 Event Hubs에 직접 로그를 스트리밍하여 알림을 지원할 수 있습니다. 감사 알림 |
| AC-2(5) 조직에서는 [FedRAMP 할당: 비활성이 십오(15)분을 초과할 것으로 예상]될 때 사용자가 로그아웃하도록 요구합니다. AC-2(5) 추가 FedRAMP 요구 사항 및 지침: |
15분 동안 비활성 상태가 지난 후 디바이스 로그아웃을 실행합니다. 규정 준수 디바이스에 대한 액세스를 제한하는 조건부 액세스 정책을 사용하여 디바이스 잠금을 구현합니다. Intune과 같은 MDM(모바일 디바이스 관리) 솔루션을 사용하여 OS 수준에서 디바이스 잠금을 적용하도록 디바이스에서 정책 설정을 구성합니다. Endpoint Manager 또는 그룹 정책 개체를 하이브리드 배포에서 고려할 수도 있습니다. 관리되지 않는 디바이스의 경우 사용자가 다시 인증하도록 로그인 빈도 설정을 구성합니다. 조건부 액세스 MDM 정책 |
| AC-2(7) 조직의 역할: |
사용자가 제어하는 계정에 대한 역할 기반 액세스 체계에 따라 권한 있는 역할 할당을 관리하고 모니터링합니다. 더 이상 적절하지 않은 경우 계정에 대한 권한 액세스를 사용하지 않도록 설정하거나 취소합니다. Microsoft Entra ID의 권한 있는 역할에 대한 액세스 검토에 Microsoft Entra Privileged Identity Management를 구현하여 역할 할당을 모니터링하고 더 이상 적절하지 않은 경우 역할 할당을 제거합니다. 모니터링에 도움이 되도록 감사 로그를 Microsoft Sentinel 또는 Event Hubs로 직접 스트리밍할 수 있습니다. 관리 Monitor |
| AC-2(11) 정보 시스템은 [할당: 조직에서 정의한 정보 시스템 계정]에 대해 [할당: 조직에서 정의한 환경 및/또는 사용 조건]을 적용합니다. |
고객 정의 조건 또는 상황을 충족하도록 고객 제어 계정의 사용을 시행합니다. 사용자 및 디바이스에 걸쳐 액세스 제어 결정을 적용하는 조건부 액세스 정책을 만듭니다. 조건부 액세스 |
| AC-2(12) 조직의 역할: AC-2(12) (a) 및 AC-2(12) (b) 추가 FedRAMP 요구 사항 및 지침: |
권한 있는 액세스를 갖는 고객 제어 계정의 비정상적 사용을 모니터링하고 보고합니다. Microsoft Entra ID Protection 로그(위험 사용자, 위험한 로그인, 위험 검색 표시)와 감사 로그(권한 할당과의 상관관계 지원)를 Microsoft Sentinel과 같은 SIEM 솔루션에 직접 스트리밍하여 비정상적 사용을 모니터링할 수 있습니다. Event Hubs를 사용하여 타사 SIEM 솔루션과 로그를 통합할 수도 있습니다. ID 보호 계정 모니터링 |
| AC-2(13) 조직은 위험을 발견한 후 [FedRAMP 할당: 한(1)시간]에 상당한 위험을 초래하는 사용자의 계정을 사용하지 않도록 설정합니다. |
1시간 안에 심각한 위험을 초래하는 사용자의 고객 관리 계정을 사용하지 않도록 설정합니다. Microsoft Entra ID 보호에서 임계값을 높음으로 설정하여 사용자 위험 정책을 구성하고 사용합니다. 위험 사용자 및 위험한 로그인에 대한 액세스를 차단하는 조건부 액세스 정책을 만듭니다. 사용자가 후속 로그인 시도를 자동으로 재구성하고 차단 해제할 수 있도록 위험 정책을 구성합니다. ID 보호 조건부 액세스 |
| AC-6(7) 조직의 역할: |
매년 권한 있는 액세스를 가진 모든 사용자에 대한 검토와 유효성 검사를 합니다. 조직의 업무 및 비즈니스 요구 사항에 맞게 권한을 다시 할당(또는 필요한 경우 제거)해야 합니다. 권한 있는 사용자에 대한 액세스 검토에 Microsoft Entra 권한 관리를 사용하여 권한 있는 액세스가 필요한지 확인합니다. 액세스 검토 |
| AC-7 실패한 로그인 시도 조직의 역할: |
15분 이내에 고객이 배포한 리소스에 대해 실패한 로그인 시도를 3회 이하로 제한합니다. 최소 3시간 동안 또는 관리자가 잠금을 해제할 때까지 계정을 차단합니다. 사용자 지정 스마트 차단 설정을 사용합니다. 이러한 요구 사항을 구현하기 위해 잠금 임계값 및 잠금 기간(초)을 구성합니다. 스마트 차단 |
| AC-8 시스템 사용 알림 정보 시스템 역할: (b.) 사용자가 사용 조건을 확인하고 정보 시스템에 로그온하거나 추가로 액세스하기 위해 명시적인 작업을 수행할 때까지 화면에 알림 메시지 또는 배너를 유지합니다. 그리고 (c.) 공개적으로 액세스할 수 있는 시스템의 경우: AC-8 추가 FedRAMP 요구 사항 및 지침: |
정보 시스템에 대한 액세스 권한을 부여하기 전에 개인 정보와 보안 고지에 대한 사용자 승인을 표시하고 요구합니다. Microsoft Entra ID를 통해 액세스 권한을 부여하기 전에 승인을 요구하고 기록하는 모든 앱에 대한 알림 또는 배너 메시지를 제공할 수 있습니다. 이러한 사용 약관 정책을 특정 사용자(멤버 또는 게스트)에게 적용할 수 있습니다. 조건부 액세스 정책을 통해 애플리케이션별로 사용자 지정할 수도 있습니다. 사용 약관 |
| AC-10 동시 세션 컨트롤 정보 시스템은 각 [할당: 조직에서 정의한 계정 및/또는 계정 유형]에 대한 동시 세션 수를 [FedRAMP 할당: 권한 있는 액세스를 위한 세(3) 개의 세션과 권한 없는 액세스를 위한 두(2) 개의 세션]으로 제한합니다. |
권한 있는 액세스에 대해 3개, 권한 없는 액세스에 대해 2개로 동시 세션을 제한합니다. 현재 사용자는 여러 디바이스에서 연결하며 때로는 동시에 연결합니다. 동시 세션을 제한하면 사용자 환경이 저하되고 제한된 보안 가치가 제공됩니다. 이러한 제어의 의도를 처리하는 더 나은 방법은 제로 트러스트 보안 태세를 도입하는 것입니다. 세션이 생성되기 전에 조건의 유효성을 명시적으로 검사하고 세션의 수명 동안 지속적으로 유효성을 검사합니다. 추가로 다음 보정 컨트롤을 사용합니다. 조건부 액세스 정책을 사용하여 준수 디바이스에 대한 액세스를 제한합니다. Intune과 같은 MDM 솔루션을 사용하여 OS 수준에서 사용자 로그인 제한을 적용하도록 디바이스에서 정책 설정을 구성합니다. Endpoint Manager 또는 그룹 정책 개체를 하이브리드 배포에서 고려할 수도 있습니다. Privileged Identity Management를 사용하여 권한 있는 계정을 추가로 제한하고 제어합니다. 잘못된 로그인 시도에 대해 스마트 계정 차단을 구성합니다. 구현 지침 제로 트러스트 조건부 액세스 디바이스 정책 리소스 자세한 세션 재평가 및 위험 완화 지침은 AC-12를 참조하세요. |
| AC-11 세션 잠금 정보 시스템 역할: (a) [FedRAMP 할당: 십오(15)분] 동안 활동이 없거나 사용자로부터 요청을 받으면 세션 잠금을 시작하여 시스템에 대한 추가 액세스를 방지합니다. 그리고 (b) 사용자가 설정된 ID 및 인증 절차를 사용하여 액세스를 다시 설정할 때까지 세션 잠금을 유지합니다. AC-11(1) |
15분 동안 비활성 또는 사용자로부터 요청을 수신한 후 세션 잠금을 구현합니다. 사용자가 다시 인증할 때까지 세션 잠금을 유지합니다. 세션 잠금이 시작될 때 이전에 보이던 정보를 숨깁니다. 규정 준수 디바이스에 대한 액세스를 제한하는 조건부 액세스 정책을 사용하여 디바이스 차단을 구현합니다. Intune과 같은 MDM 솔루션을 사용하여 OS 수준에서 디바이스 차단을 적용하도록 디바이스에서 정책 설정을 구성합니다. Endpoint Manager 또는 그룹 정책 개체를 하이브리드 배포에서 고려할 수도 있습니다. 관리되지 않는 디바이스의 경우 사용자가 다시 인증하도록 로그인 빈도 설정을 구성합니다. 조건부 액세스 MDM 정책 |
| AC-12 세션 종료 정보 시스템은 [할당: 세션 연결 끊기가 필요한 조직에서 정의한 조건 또는 트리거 이벤트] 이후 사용자 세션을 자동으로 종료합니다. |
조직에서 정의한 조건 또는 트리거 이벤트가 발생하는 경우 사용자 세션을 자동으로 종료합니다. 위험 기반 조건부 액세스와 지속적인 액세스 권한 평가와 같은 Microsoft Entra 기능을 사용하여 자동 사용자 세션 재평가를 구현합니다. AC-11에서 설명하는 것과 같이 디바이스 수준에서 비활성 상태를 실행할 수 있습니다. 리소스 |
| AC-12(1) 정보 시스템 역할: (a.) 인증을 사용하여 [할당: 조직에서 정의한 정보 리소스]에 액세스 할 때마다 사용자가 시작한 통신 세션에 대한 로그아웃 기능을 제공합니다. (b.) 사용자에게 인증된 통신 세션의 안정적인 종료를 나타내는 명시적 로그아웃 메시지를 표시합니다. AC-8 추가 FedRAMP 요구 사항 및 지침: |
모든 세션에 대한 로그아웃 기능을 제공하고 명시적 로그아웃 메시지를 표시합니다. 모든 Microsoft Entra ID에 표시되는 웹 인터페이스는 사용자가 시작한 통신 세션에 대해 로그아웃 기능을 제공합니다. SAML 애플리케이션이 Microsoft Entra ID에 통합되면 Single Sign-Out을 구현합니다. 로그아웃 기능 메시지 표시
리소스 |
| AC-20 외부 정보 시스템의 사용 조직은 외부 정보 시스템을 소유, 운영 및/또는 유지 관리하는 다른 조직과 설정된 신뢰 관계에 부합하는 계약조건을 설정하여 권한 있는 개인이 다음을 수행할 수 있도록 합니다. (a.) 외부 정보 시스템에서 정보 시스템에 액세스합니다. 그리고 (b.) 외부 정보 시스템을 사용하여 조직 제어 정보를 처리, 저장 또는 전송합니다. AC-20(1) |
권한 있는 개인이 관리되지 않는 디바이스와 외부 네트워크와 같은 외부 정보 시스템에서 고객이 배포한 리소스에 액세스할 수 있도록 허용하는 사용 약관을 설정합니다. 외부 시스템의 리소스에 액세스하는 권한 있는 사용자에 대한 사용 약관 동의가 필요합니다. 외부 시스템의 액세스를 제한하는 조건부 액세스 정책을 구현합니다. 조건부 액세스 정책은 외부 시스템의 클라우드 및 온-프레미스 애플리케이션에 대한 컨트롤을 제공하기 위해 클라우드용 Defender Apps와 통합될 수 있습니다. Intune의 모바일 애플리케이션 관리는 외부 시스템과 상호 작용하는 관리 디바이스에서 사용자 지정 앱과 스토어 앱을 포함한 애플리케이션 수준에서 조직 데이터를 보호할 수 있습니다. 예를 들어 클라우드 서비스에 액세스할 수 있습니다. 조직 소유의 디바이스와 개인 디바이스에서 앱 관리를 사용할 수 있습니다. 사용 약관 조건부 액세스 MDM 리소스 |
