Microsoft Entra ID를 사용하여 FedRAMP High Impact 수준을 충족하도록 ID 및 인증 컨트롤 구성
식별 및 인증은 FedRAMP(Federal Risk and Authorization Management Program) High Impact 수준을 달성하는 데 중요합니다.
다음과 같은 IA(식별 및 인증) 제품군의 컨트롤 및 컨트롤 기능 향상 목록에는 Microsoft Entra 테넌트의 구성이 필요할 수 있습니다.
| 컨트롤 제품군 | 설명 |
|---|---|
| IA-2 | 식별 및 인증(조직 사용자) |
| IA-3 | 디바이스 식별 및 인증 |
| IA-4 | 식별자 관리 |
| IA-5 | 인증자 관리 |
| IA-6 | 인증자 피드백 |
| IA-7 | 암호화 모듈 인증 |
| IA-8 | 식별 및 인증(비조직 사용자) |
아래 표의 각 행은 컨트롤 또는 컨트롤 기능 향상을 위한 모든 공유 책임에 대한 조직의 대응을 작성하는 데 도움이 되는 규범적인 지침을 제공합니다.
구성
| FedRAMP 컨트롤 ID 및 설명 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| IA-2 사용자 식별 및 인증 정보 시스템은 조직 사용자(또는 조직 사용자를 대신하는 프로세스)를 고유하게 식별 및 인증합니다. |
사용자 또는 사용자를 위해 작동하는 프로세스를 고유하게 식별하고 인증합니다. Microsoft Entra ID는 사용자 및 서비스 주체 개체를 직접 고유하게 식별합니다. Microsoft Entra ID는 여러 인증 방법을 제공하며, NIST(National Institute of Standards and Technology) AAL(인증 보증 수준) 3을 준수하는 메서드를 구성할 수 있습니다. 식별자 인증 및 다단계 인증 |
| IA-2(1) 정보 시스템은 네트워크를 통해 권한 있는 계정에 액세스하기 위한 다단계 인증을 구현합니다. IA-2(3) 정보 시스템은 권한 있는 계정에 로컬로 액세스하기 위한 다단계 인증을 구현합니다. |
권한 있는 계정의 모든 액세스에 대한 다단계 인증 권한 있는 계정의 모든 액세스에 다단계 인증이 필요한지 확인하려면 전체 솔루션에 대해 다음 요소를 구성합니다. 모든 사용자에 대해 다단계 인증을 요구하도록 조건부 액세스 정책을 구성합니다. Privileged Identity Management 활성화 요구 사항을 통해 네트워크 액세스 없이 권한 계정 활성화를 수행할 수 없으므로 로컬 액세스에는 권한이 없습니다. 다단계 인증 및 Privileged Identity Management |
| IA-2(2) 정보 시스템은 네트워크를 통해 권한 없는 계정에 액세스하기 위한 다단계 인증을 구현합니다. IA-2(4) 정보 시스템은 권한 없는 계정에 로컬로 액세스하기 위한 다단계 인증을 구현합니다. |
권한 없는 계정의 모든 액세스에 대한 다단계 인증 구현 권한 없는 계정의 모든 액세스에 MFA가 필요한지 확인하려면 다음 요소를 전체 솔루션으로 구성합니다. 모든 사용자에게 MFA를 요구하도록 조건부 액세스 정책을 구성합니다. AAL3을 달성하려면 다단계 암호화 하드웨어 인증자(예: FIDO2 보안 키, 비즈니스용 Windows Hello(하드웨어 TPM 포함) 또는 스마트 카드)를 사용하는 것이 좋습니다. 클라우드에 기반을 둔 조직에서는 FIDO2 보안 키 또는 비즈니스용 Windows Hello를 사용하는 것이 좋습니다. 비즈니스용 Windows Hello는 필수 FIPS 140 보안 수준에서 유효성이 검사되지 않았으므로 이를 AAL3으로 수락하기 전에 위험 평가 및 평가를 수행해야 합니다. 비즈니스용 Windows Hello FIPS 140 유효성 검사에 대한 자세한 내용은 Microsoft NIST AAL을 참조하세요. MDM 정책에 관한 지침은 인증 방법에 따라 약간씩 다릅니다. 스마트 카드/비즈니스용 Windows Hello 하이브리드만 스마트 카드만 FIDO2 보안 키 인증 방법 추가 리소스: |
| IA-2(5) 그룹 인증자가 사용되면 조직에서는 개인 인증자를 사용하여 개인을 인증해야 합니다. |
여러 사용자가 공유 또는 그룹 계정 암호에 액세스할 수 있는 경우, 각 사용자에게 개별 인증자를 사용하여 먼저 인증하도록 요구합니다. 사용자당 개별 계정을 사용합니다. 공유 계정이 필요한 경우 Microsoft Entra ID는 각 사용자가 개별 인증자를 사용할 수 있도록 여러 인증자를 계정에 바인딩하는 것을 허용합니다. 리소스 |
| IA-2(8) 정보 시스템은 네트워크를 통해 권한 있는 계정에 액세스하기 위한 재생 공격 방어 인증을 구현합니다. |
권한 있는 계정에 대한 네트워크 액세스를 위해 재생 방지 인증 메커니즘 구현 모든 사용자에 대해 다단계 인증을 요구하도록 조건부 액세스 정책을 구성합니다. 인증 보장 수준 2 및 3의 모든 Microsoft Entra 인증 방법은 nonce 또는 챌린지를 사용하며, 재생 공격에 대한 저항력이 있습니다. 참조 |
| IA-2(11) 정보 시스템은 권한 있는 계정 및 권한 없는 계정에 원격으로 액세스하기 위한 다단계 인증을 구현하며, 인증 중 하나는 액세스 권한을 얻는 시스템과 분리된 디바이스에서 제공하고 해당 디바이스는 [FedRAMP 할당: FIPS 140-2, NIAP 인증 또는 NSA 승인*]을 충족합니다. *NIAP(National Information Assurance Partnership) 추가 FedRAMP 요구 사항 및 지침: 지침: PIV = 별도의 디바이스 파생 PIV(개인 ID 검증) 자격 증명에 대한 NIST SP 800-157 지침을 참조하세요. FIPS 140-2는 CMVP(암호화 모듈 유효성 검사 프로그램)에서 유효성을 검사하는 것을 의미합니다. |
FIPS-140-2, NIAP 인증 또는 NSA 승인을 충족하는 경우 액세스 권한을 획득하는 시스템과 별도의 디바이스에서 이러한 요소 중 하나를 제공하도록 Microsoft Entra 다단계 인증을 구현하여 고객 배포 리소스에 원격으로 액세스합니다. IA-02(1-4)에 대한 참고 자료를 참조하세요. 별도의 디바이스 요구 사항을 충족하는 AAL3에서 고려해야 할 Microsoft Entra 인증 방법은 다음과 같습니다. FIDO2 보안 키 참조 |
| **IA-2(12)* 정보 시스템은 PIV(개인 ID 검증) 자격 증명을 수락하고 전자적으로 검증합니다. IA-2(12) 추가 FedRAMP 요구 사항 및 지침: 지침: CAC(Common Access Card), 즉 PIV/FIPS 201/HSPD-12의 DoD 기술 구현을 포함합니다. |
PIV(개인 ID 검증) 자격 증명을 수락하고 확인합니다. 고객이 PIV 자격 증명을 배포하지 않는 경우에는 이 컨트롤을 적용할 수 없습니다. PIV(인증서 인증)를 기본 및 다단계 인증 방법으로 수락하고, PIV를 사용하는 경우 다단계 인증(MultipleAuthN) 클레임을 실행하도록 AD FS(Active Directory Federation Services)를 사용하여 페더레이션 인증을 구성합니다. Microsoft Entra ID에서 시작되는 다단계 인증 요청을 Active Directory Federation Services로 전달하려면 federatedIdpMfaBehavior를 리소스 |
| IA-3 디바이스 식별 및 인증 정보 시스템은 [할당: 조직에서 정의한 특정 디바이스 및/또는 특정 유형의 디바이스]를 고유하게 식별 및 인증한 후 [선택(하나 이상): 로컬, 원격, 네트워크] 연결을 설정합니다. |
연결을 설정하기 전에 디바이스 식별 및 인증을 구현합니다. 등록된 Microsoft Entra, 조인된 Microsoft Entra, Microsoft Entra 하이브리드 조인된 디바이스를 식별하고 인증하도록 Microsoft Entra ID를 구성합니다. 리소스 |
| IA-04 식별자 관리 조직은 다음을 통해 사용자 및 디바이스에 대한 정보 시스템 식별자를 관리합니다. (a.) 개인, 그룹, 역할 또는 디바이스 식별자를 할당하기 위해 [최소한 FedRAMP 할당, ISSO(또는 조직 내의 유사한 역할)]에서 권한 부여를 받습니다. (b.) 개인, 그룹, 역할 또는 디바이스를 식별하는 식별자를 선택합니다. (c.) 의도한 개인, 그룹, 역할 또는 디바이스에 식별자를 할당합니다. (d.) [FedRAMP 할당: 최소 2년]에 대한 식별자 재사용을 방지합니다. (e.) [FedRAMP 할당: 35일(추가 요구 사항 및 지침 참조)] 후에 식별자를 사용하지 않도록 설정합니다. IA-4e 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 서비스 공급자는 디바이스 식별자의 비활성 기간을 정의합니다. 지침: DoD 클라우드의 경우 FedRAMP를 초과하는 특정 DoD 요구 사항은 DoD 클라우드 웹 사이트를 참조하세요. IA-4(4) 이 조직에서 각 개인을 [FedRAMP 할당: 계약자, 외국인]으로 고유하게 식별하여 개별 식별자를 관리합니다. |
비활성 35일 후 계정 식별자를 비활성화하고 2년 동안 다시 사용하지 않도록 설정합니다. 각 개인(예: 계약자 및 외국인)을 고유하게 식별하여 개별 식별자를 관리합니다. AC-02에 정의된 기존 조직 정책에 따라 Microsoft Entra ID에서 개별 계정 식별자 및 상태를 할당하고 관리합니다. AC-02(3)에 따라 사용하지 않은 지 35일이 지나면 사용자 및 디바이스 계정을 자동으로 사용하지 않도록 설정합니다. 조직 정책이 사용하지 않는 상태로 유지되는 모든 계정을 최소 2년 동안 유지 관리해야 합니다. 이 시간 후에 제거할 수 있습니다. 비활성 확인 |
| IA-5 인증자 관리 조직은 다음을 통해 정보 시스템 인증자를 관리합니다. (a.) 초기 인증자 배포 과정에서 인증자를 수신하는 개인, 그룹, 역할 또는 디바이스 ID를 확인합니다. (b.) 조직에서 정의한 인증자에 대한 초기 인증자 콘텐츠를 설정합니다. (c.) 인증자가 의도한 용도로 충분한 메커니즘 강도를 갖도록 보장합니다. (d.) 초기 인증자 배포, 인증자 분실/손실 또는 손상, 인증자 취소에 대한 관리 절차를 설정 및 구현합니다. (e.) 정보 시스템 설치 전에 인증자의 기본 콘텐츠를 변경합니다. (f.) 인증자에 대한 최소 및 최대 수명 제한 사항 및 재사용 조건을 설정합니다. (g.) 인증자 변경/새로 고침 [할당: 인증자 유형별로 조직에서 정의한 기간]. (h.) 인증자 콘텐츠를 무단 공개 및 수정으로부터 보호합니다. (i.) 개인에게 인증자를 보호하는 특정 보안 조치를 선택하여 디바이스에 구현하도록 요구함으로써 정보 시스템 인증자를 관리합니다. (j.) 그룹/역할 계정의 멤버 자격이 변경되면 그룹/역할 계정의 인증자를 변경합니다. IA-5 추가 FedRAMP 요구 사항 및 지침: 요구 사항: 인증자는 NIST SP 800-63-3 디지털 ID 지침 IAL, AAL, FAL 수준 3을 준수해야 합니다. 링크 https://pages.nist.gov/800-63-3 |
정보 시스템 인증자를 구성하고 관리합니다. Microsoft Entra ID에서는 다양한 인증 방법을 지원합니다. 기존 조직 정책을 관리에 사용할 수 있습니다. IA-02(1-4)에서 인증자 선택에 대한 지침을 참조하세요. SSPR 및 Microsoft Entra 다단계 인증의 결합 등록에서 사용자를 사용하도록 설정하고, 자체 수정이 용이하도록 사용자에게 허용되는 다단계 인증 방법을 최소 두 가지 이상 등록하도록 요구합니다. 인증 방법 API를 사용하여 언제든지 사용자가 구성한 인증자를 해지할 수 있습니다. 인증자 강도/인증자 콘텐츠 보호 인증 방법 및 결합 등록 인증자 해지 |
| IA-5(1) 암호 기반 인증을 위한 정보 시스템: (a.) [할당: 각 유형의 최소 요구 사항을 포함하여 조직에서 대/소문자 구분, 문자 수, 대문자 조합, 소문자 조합, 숫자 및 특수 문자에 대해 정의한 요구 사항]의 최소 암호 복잡성을 적용합니다. (b.) 새 암호를 만들 때 변경된 문자 수를 최소한 적용합니다. [FedRAMP 할당: 50% 이상]. (c.) 암호화로 보호된 암호만 저장하고 전송합니다. (d.) [할당: 조직에서 정의한 최소 수명, 최대 수명]의 암호 최소 및 최대 수명 제한을 적용합니다. (e.)** [FedRAMP 할당: 24] 세대에 대한 암호 재사용 금지, (f.) 영구 암호를 즉시 변경하여 시스템 로그온에 임시 암호 사용을 허용합니다. IA-5 (1) a 및 d 추가 FedRAMP 요구 사항 및 지침: 지침: 암호 정책이 NIST SP 800-63B 저장된 비밀(섹션 5.1.1) 지침을 준수하는 경우 컨트롤이 규정을 준수하는 것으로 간주될 수 있습니다. |
암호 기반 인증 요구 사항을 구현합니다. NIST SP 800-63B 섹션 5.1.1에 따라 일반적으로 사용되는 암호, 필요한 암호 또는 손상된 암호의 목록을 유지 관리합니다. Microsoft Entra 암호 보호를 사용하면 Microsoft Entra 테넌트의 모든 사용자에게 기본 전역 금지 암호 목록이 자동으로 적용됩니다. 사용자의 비즈니스 및 보안 요구 사항을 지원하기 위해 사용자 지정 금지 암호 목록에 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다. 암호 없는 전략을 강력하게 권장합니다. 이 컨트롤은 암호 인증자에만 적용할 수 있으므로 사용 가능한 인증자로 암호를 제거하면 이 컨트롤을 적용할 수 없게 렌더링됩니다. NIST 참조 문서 리소스 |
| IA-5(2) PKI 기반 인증을 위한 정보 시스템: (a.) 인증서 상태 정보 검사를 포함하여 허용된 트러스트 앵커에 대한 인증 경로를 생성 및 검증하여 인증의 유효성을 검사합니다. (b.) 해당 프라이빗 키에 대한 권한 있는 액세스를 적용합니다. (c.) 인증된 ID를 개인 또는 그룹의 계정에 매핑합니다. (d.) 네트워크를 통해 해지 정보에 액세스할 수 없는 경우에 경로 검색 및 유효성 검사를 지원할 수 있도록 해지 데이터의 로컬 캐시를 구현합니다. |
PKI 기반 인증 요구 사항을 구현합니다. AD FS를 통해 Microsoft Entra ID를 페더레이션하여 PKI 기반 인증을 구현합니다. 기본적으로 AD FS는 인증서의 유효성을 검사하고, 로컬에서 해지 데이터를 캐시하고, Active Directory의 인증된 ID에 사용자를 매핑합니다. 리소스 |
| IA-5(4) 조직에서 자동화된 도구를 사용하여 암호 인증자가 [FedRAMP 할당: IA-5(1) 제어 향상(H) 파트 A에서 식별된 복잡성]을 충분히 충족할 수 있는지 확인합니다. IA-5(4) 추가 FedRAMP 요구 사항 및 지침: 지침: 만들 때 암호 인증자 강도를 적용하는 자동화된 메커니즘을 사용하지 않는 경우 자동화된 메커니즘을 사용하여 생성된 암호 인증자의 강도를 감사해야 합니다. |
자동화된 도구를 사용하여 암호 강도 요구 사항의 유효성을 검사합니다. Microsoft Entra ID는 생성 시 암호 인증자 강도를 적용하는 자동화된 메커니즘을 구현합니다. 이 자동화된 메커니즘을 확장하여 온-프레미스 Active Directory에 대한 암호 인증자 강도를 적용할 수도 있습니다. NIST 800-53의 Revision 5는 IA-04(4)를 철회하고 요구 사항을 IA-5(1)에 통합했습니다. 리소스 |
| IA-5(6) 조직에서는 인증자를 사용하여 액세스를 허용하는 정보 보안 범주에 비례하여 인증자를 보호합니다. |
FedRAMP High Impact 수준에 정의된 인증자를 보호합니다. Microsoft Entra ID가 인증자를 보호하는 방법에 대한 자세한 내용은 Microsoft Entra 데이터 보안 고려 사항을 참조하세요. |
| IA-05(7) 조직에서는 암호화되지 않은 정적 인증자가 애플리케이션에 포함되거나 스크립트에 액세스하거나 함수 키에 저장되지 않도록 보장합니다. |
암호화되지 않은 정적 인증자(예: 암호)가 애플리케이션에 포함되거나 스크립트에 액세스하거나 함수 키에 저장되지 않도록 보장합니다. 인증서만 사용하여 구성된 관리 ID 또는 서비스 주체 개체를 구현합니다. 리소스 |
| IA-5(8) 조직에서는 개인이 여러 정보 시스템에 계정을 갖고 있어서 발생할 수 있는 보안 위험을 관리하기 위해 [FedRAMP 할당: 다른 시스템의 다른 인증자]를 구현합니다. |
개인에게 여러 정보 시스템에 대한 계정이 있는 경우 보안 보호 기능을 구현합니다. 여러 정보 시스템에 대한 개별 계정을 확보하지 않고 모든 애플리케이션을 Microsoft Entra에 연결하여 Single Sign-On을 구현합니다. |
| IA-5(11) 하드웨어 토큰 기반 인증을 위한 정보 시스템은 [할당: 조직에서 정의한 토큰 품질 요구 사항]을 충족하는 메커니즘을 사용합니다. |
FedRAMP High Impact 수준에서 요구하는 하드웨어 토큰 품질 요구 사항이 있어야 합니다. AAL3을 충족하는 하드웨어 토큰 사용을 요구합니다. |
| IA-5(13) 정보 시스템은 [할당: 조직에서 정의한 기간]이 경과하면 캐시된 인증자 사용을 금지합니다. |
캐시된 인증자 만료를 적용합니다. 캐시된 인증자는 네트워크를 사용할 수 없을 때 로컬 머신에 인증하는 데 사용됩니다. 캐시된 인증자의 사용을 제한하려면 이를 사용하지 않도록 Windows 디바이스를 구성합니다. 이 작업이 가능하지 않거나 실용적이지 않은 경우 다음 보정 컨트롤을 사용합니다. Office 애플리케이션에 애플리케이션 적용 제한을 사용하여 조건부 액세스 세션 컨트롤을 구성합니다. 리소스 |
| IA-6 인증자 피드백 정보 시스템은 권한 없는 개인이 정보를 악용/사용할 수 없도록 인증 프로세스 중에 인증 정보 피드백을 보이지 않게 가립니다. |
인증 프로세스 중에 인증 피드백 정보를 가립니다. 기본적으로 Microsoft Entra ID는 모든 인증자 피드백을 모호하게 합니다. |
| IA-7 암호화 모듈 인증 정보 시스템은 인증과 관련된 해당 연방법, 임원의 명령, 지시, 정책, 규정, 표준, 지침의 요구 사항에 맞춰 암호화 모듈에 인증하기 위한 메커니즘을 구현합니다. |
적용 가능한 연방법을 충족하는 암호화 모듈에 대한 인증 메커니즘을 구현합니다. FedRAMP High Impact 수준에는 AAL3 인증자가 필요합니다. AAL3의 Microsoft Entra ID가 지원하는 모든 인증자는 필요에 따라 모듈에 대한 운영자 액세스를 인증하는 메커니즘을 제공합니다. 예를 들어, 하드웨어 TPM을 사용하는 비즈니스용 Windows Hello 배포에서 TPM 소유자 권한 부여 수준을 구성합니다. 리소스 |
| IA-8 식별 및 인증(비조직 사용자) 정보 시스템은 비 조직 사용자(또는 비 조직 사용자를 대신하는 프로세스)를 고유하게 식별 및 인증합니다. |
정보 시스템은 비조직 사용자(또는 비조직 사용자를 위해 작동하는 프로세스)를 고유하게 식별 및 인증합니다. Microsoft Entra ID는 FICAM(연방 ID, 자격 증명 및 액세스 관리) 승인 프로토콜을 사용하여 조직 테넌트 또는 외부 디렉터리에 있는 비 조직 사용자를 고유하게 식별하고 인증합니다. 리소스 |
| IA-8(1) 정보 시스템은 다른 연방 기관의 PIV(개인 ID 검증) 자격 증명을 수락하고 전자적으로 검증합니다. IA-8(4) 정보 시스템은 FICAM에서 발급한 프로필을 준수합니다. |
다른 연방 기관에서 발급한 PIV 자격 증명을 수락하고 확인합니다. FICAM에서 발급한 프로필을 준수합니다. 페더레이션(OIDC, SAML)을 통해 또는 로컬에서 Windows 통합 인증을 통해 PIV 자격 증명을 수락하도록 Microsoft Entra ID를 구성합니다. 리소스 |
| IA-8(2) 정보 시스템은 FICAM 승인을 받은 타사 자격 증명만 수락합니다. |
FICAM 승인 자격 증명만 수락합니다. Microsoft Entra ID는 NIST AAL 1, 2 및 3에서 인증자를 지원합니다. 액세스하는 시스템의 보안 범주로 인증자 비례 사용을 제한합니다. Microsoft Entra ID는 다양한 인증 방법을 지원합니다. 리소스 |