액세스 제어 보호 기능 참고 자료
Microsoft Entra ID는 1996년 HIPAA(Health Insurance Portability and Accountability Act) 보호 기능을 구현하기 위한 ID 관련 실무 요구 사항을 충족합니다. HIPAA를 준수하려면 이 참고 자료를 사용하여 보호 기능을 구현합니다. 다른 구성 또는 프로세스를 수정해야 할 수도 있습니다.
사용자 식별 보호 기능을 이해하려면 다음을 수행할 수 있는 목표를 연구하고 설정하는 것이 좋습니다.
도메인에 연결해야 하는 모든 사용자의 ID가 고유한지 확인합니다.
JML(Joiner, Mover, Leaver) 프로세스를 설정합니다.
ID 추적을 위한 감사를 활성화합니다.
권한 있는 액세스 제어 보호 기능을 위해 다음과 같은 목표를 설정합니다.
시스템 액세스는 권한 있는 사용자로 제한됩니다.
권한 있는 사용자가 식별됩니다.
개인 데이터에 대한 액세스는 권한 있는 사용자로 제한됩니다.
긴급 액세스 절차 보호 기능의 경우:
핵심 서비스의 고가용성을 보장합니다.
단일 실패 지점 제거.
재해 복구 플랜을 설정합니다.
고위험 데이터의 백업을 확인합니다.
긴급 액세스 계정을 설정하고 유지 관리합니다.
자동 로그오프 보호 기능의 경우:
미리 결정된 시간 동안 사용하지 않은 후에 전자 세션을 종료하는 절차를 설정합니다.
자동 로그아웃 정책을 구성하고 구현합니다.
고유한 사용자 식별
다음 표에는 고유한 사용자 식별을 위한 HIPAA 참고 자료의 액세스 제어 보호 기능이 있습니다. 보호 기능 구현 요구 사항을 충족하는 Microsoft 권장 사항을 찾습니다.
HIPAA 보호 기능 - 고유한 사용자 식별
Assign a unique name and/or number for identifying and tracking user identity.
권장 | 작업 |
---|---|
Microsoft Entra ID를 활용하도록 하이브리드 설정 | Microsoft Entra Connect는 온-프레미스 디렉터리를 Microsoft Entra ID 통합하고 단일 ID를 사용하여 온-프레미스 애플리케이션 및 Microsoft 365와 같은 클라우드 서비스에 액세스할 수 있도록 지원합니다. AD(Active Directory)와 Microsoft Entra ID 간의 동기화를 오케스트레이션합니다. Microsoft Entra Connect를 시작하려면 서버 요구 사항과 유지 관리를 위해 Microsoft Entra 테넌트를 준비하는 방법을 기록하여 필수 구성 요소를 검토합니다. Microsoft Entra Connect 동기화는 클라우드에서 관리되는 프로비전 에이전트입니다. 프로비전 에이전트는 다중 포리스트 연결이 끊긴 AD 환경에서 Microsoft Entra ID와의 동기화를 지원합니다. 경량 에이전트가 설치되어 있으며 Microsoft Entra Connect와 함께 사용할 수 있습니다. 암호 수를 줄이고 자격 증명 유출 검색으로부터 보호하려면 암호 해시 동기화를 사용하는 것이 좋습니다. |
사용자 계정 프로비전 | Microsoft Entra ID는 보안 공격으로부터 보호하기 위해 SSO(Single Sign-On), 다단계 인증 및 조건부 액세스를 제공하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. 사용자 계정을 만들려면 Microsoft Entra 관리 센터에 사용자 관리자로 로그인하고 메뉴에서 모든 사용자로 이동하여 새 계정을 만듭니다. Microsoft Entra ID는 시스템 및 애플리케이션에 대한 자동화된 사용자 프로비전을 지원합니다. 기능에는 사용자 계정 만들기, 사용자 계정 업데이트, 사용자 계정 삭제가 포함됩니다. 자동화된 프로비전은 새로운 사용자가 조직의 팀에 합류할 때 적합한 시스템에 새 계정을 만들고, 자동화된 프로비전 해제는 사용자가 팀을 떠날 때 계정을 비활성화합니다. Microsoft Entra 관리 센터로 이동하고 엔터프라이즈 애플리케이션을 선택하여 앱 설정을 추가하고 관리하여 프로비전을 구성합니다. |
HR 기반 프로비저닝 | HR(인사 관리) 시스템 내에 Microsoft Entra 계정 프로비전을 통합하면 과도한 액세스 위험이 줄어들고 더 이상 액세스가 필요하지 않습니다. 새로 만든 계정을 위한 HR 시스템의 권한 부여가 시작되어 계정 프로비전 해제로 기능을 확장합니다. 자동화는 ID 수명 주기를 관리하고 과도한 프로비전의 위험을 줄입니다. 이 방법은 최소 권한 액세스를 제공하는 보안 모범 사례를 따릅니다. |
수명 주기 워크플로 만들기 | 수명 주기 워크플로는 JML(joiner/mover/leaver) 수명 주기를 자동화하기 위한 ID 거버넌스를 제공합니다. 수명 주기 워크플로는 기본 제공 템플릿을 사용하거나 사용자 지정 워크플로를 만들어 워크플로 프로세스를 중앙 집중화합니다. 이 방법은 조직의 JML 전략 요구 사항에 대한 수동 작업을 줄이거나 잠재적으로 제거하는 데 도움이 됩니다. Azure Portal 내에서 Microsoft Entra 메뉴의 ID 거버넌스로 이동하여 조직 요구 사항에 맞는 작업을 검토하거나 구성합니다. |
권한 있는 ID 관리 | Microsoft Entra PIM(Privileged Identity Management)을 사용하면 액세스를 관리, 제어하고 모니터링할 수 있습니다. 필요에 따라 시간 기반 및 승인 기반 역할 활성화에 대한 액세스 권한을 제공합니다. 이 방법은 과도하거나 불필요하거나 오용된 액세스 권한의 위험을 제한합니다. |
모니터링 및 경고 | Microsoft Entra ID Protection는 조직의 ID에 영향을 미칠 수 있는 위험 이벤트 및 잠재적 취약성에 대한 통합된 보기를 제공합니다. 보호를 사용하도록 설정하면 기존 Microsoft Entra 변칙 검색 기능이 적용되고 실시간으로 변칙 검색을 수행하는 위험 이벤트 유형이 도입됩니다. Microsoft Entra 관리 센터를 통해 프로비전 로그에 로그인하고 감사하고 검토할 수 있습니다. 로그는 SIEM(보안 정보 및 이벤트 관리) 도구로 다운로드, 보관 및 스트리밍할 수 있습니다. Microsoft Entra 로그는 Microsoft Entra 메뉴의 모니터링 섹션에서 찾을 수 있습니다. 연결된 데이터에 대한 경고를 설정할 수 있는 Azure Log Analytics 작업 영역을 사용하여 로그를 Azure Monitor로 전송할 수도 있습니다. Microsoft Entra ID는 해당 디렉터리 개체의 ID 속성을 통해 사용자를 고유하게 식별합니다. 이 방법을 사용하면 로그 파일의 특정 ID를 필터링할 수 있습니다. |
권한 있는 액세스 제어
다음 표에는 권한 있는 액세스 제어의 액세스 제어 보호 기능을 위한 HIPAA 참고 자료가 있습니다. 보호 기능 구현 요구 사항을 충족하는 Microsoft 권장 사항을 찾습니다.
HIPAA 보호 기능 - 권한 있는 액세스 제어
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
권장 | 작업 |
---|---|
MFA(다단계 인증) 사용 | Microsoft Entra ID의 MFA는 다른 보안 계층을 추가하여 ID를 보호합니다. 추가 계층 인증은 무단 액세스를 방지하는 데 효과적입니다. MFA 방법을 사용하면 인증 프로세스 중에 로그인 자격 증명의 유효성 검사를 더 많이 요구할 수 있습니다. 예를 들어 한 번 클릭으로 확인하기 위해 Authenticator 앱을 설정하거나 암호 없는 인증을 사용하도록 설정하는 것이 있습니다. |
조건부 액세스 정책 사용 | 조건부 액세스 정책을 통해 조직은 승인된 애플리케이션에 대한 액세스를 제한할 수 있습니다. Microsoft Entra는 사용자, 디바이스 또는 위치의 신호를 분석하여 결정을 자동화하고 리소스 및 데이터에 대한 액세스를 위한 조직 정책을 적용합니다. |
RBAC(역할 기반 액세스 제어) | RBAC는 업무 분리의 개념으로 기업 수준의 보안을 제공합니다. RBAC를 사용하면 시스템을 통해 리소스 및 중요한 데이터에 대한 기밀성, 개인 정보, 액세스 관리를 보호하기 위한 권한을 조정하고 검토합니다. Microsoft Entra ID는 수정할 수 없는 고정된 사용 권한 집합인 기본 제공 역할 지원을 제공합니다. 사전 설정 목록을 추가할 수 있는 고유의 사용자 지정 역할을 만들 수도 있습니다. |
ABAC(특성 기반 액세스 제어) 사용 | ABAC는 보안 주체, 리소스, 환경과 관련된 특성에 따라 액세스를 정의합니다. 세분화된 액세스 제어를 제공하고 역할 할당 수를 줄입니다. ABAC 사용 범위는 전용 Azure Storage 내의 콘텐츠로 지정할 수 있습니다. |
SharePoint에서 사용자 그룹 액세스 구성 | SharePoint 그룹은 사용자의 컬렉션입니다. 사용 권한의 범위는 콘텐츠에 액세스하기 위해 사이트 모음 수준으로 지정됩니다. 이 제약 조건의 적용 범위는 애플리케이션 간의 데이터 흐름 액세스가 필요한 서비스 계정으로 지정할 수 있습니다. |
긴급 액세스 절차
다음 표에는 긴급 액세스 절차의 HIPAA 참고 자료 액세스 제어 보호 기능이 있습니다. 보호 기능 구현 요구 사항을 충족하는 Microsoft 권장 사항을 찾습니다.
HIPAA 보호 기능 - 긴급 액세스 절차
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
권장 | 작업 |
---|---|
Azure Recovery Services 사용 | Azure Backup은 중요한 데이터를 백업하는 데 필요한 지원을 제공합니다. 적용 범위에는 클라우드에 대한 온-프레미스 Windows 디바이스와 함께 스토리지/데이터베이스 및 클라우드 인프라가 포함됩니다. 백업 및 복구 프로세스 위험을 해결하기 위한 백업 정책을 설정합니다. 데이터를 안전하게 저장하고 가동 중지 시간을 최소화하여 검색할 수 있는지 확인합니다. Azure Site Recovery는 복사본이 동기화되도록 거의 일정한 데이터 복제를 제공합니다. 서비스를 설정하기 전의 초기 단계는 조직의 요구 사항을 지원하기 위해 RPO(복구 지점 목표) 및 RTO(복구 시간 목표)를 결정하는 것입니다. |
복원력 보장 | 복원력은 비즈니스 운영 및 핵심 IT 서비스에 중단이 있을 때 서비스 수준을 유지하는 데 도움이 됩니다. 이 기능은 서비스, 데이터, Microsoft Entra ID 및 Active Directory 고려 사항을 포괄합니다. Microsoft Entra 및 하이브리드 환경에 의존하는 시스템과 데이터를 포함하는 전략적 복원 계획을 결정합니다. Exchange, SharePoint, OneDrive를 포함한 핵심 서비스를 다루는 Microsoft 365 복원력은 데이터 손상으로부터 보호하고 ePHI 콘텐츠를 보호하기 위해 복원력 데이터 포인트를 적용합니다. |
비상 계정 만들기 | 긴급 또는 비상 계정을 설정하면 네트워크 오류 또는 기타 관리 액세스 손실 이유와 같은 예기치 않은 상황에서도 시스템 및 서비스에 계속 액세스할 수 있습니다. 이 계정을 개별 사용자 또는 계정과 연결하지 않는 것이 좋습니다. |
워크스테이션 보안 - 자동 로그오프
다음 표에는 자동 로그오프 보호 기능에 대한 HIPAA 참고 자료가 있습니다. 보호 기능 구현 요구 사항을 충족하는 Microsoft 권장 사항을 찾습니다.
HIPAA 보호 기능 - 자동 로그오프
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
권장 | 작업 |
---|---|
그룹 정책 만들기 | Microsoft Entra ID로 마이그레이션되지 않고 Intune에서 관리되지 않는 디바이스를 위한 지원, GPO(그룹 정책)는 AD 또는 하이브리드 환경에서 디바이스의 로그아웃 또는 잠금 화면 시간을 적용할 수 있습니다. |
디바이스 관리 요구 사항 평가 | Microsoft Intune은 MDM(모바일 디바이스 관리) 및 MAM(모바일 애플리케이션 관리)을 제공합니다. 회사 및 개인 디바이스에 대한 제어를 제공합니다. 디바이스 사용량을 관리하고 정책을 적용하여 모바일 애플리케이션을 제어할 수 있습니다. |
디바이스 조건부 액세스 정책 | 규정 준수 또는 Microsoft Entra 하이브리드 조인된 디바이스에 대한 액세스를 제한하는 조건부 액세스 정책을 사용하여 디바이스 차단을 구현합니다. 정책 설정을 구성합니다. 관리되지 않는 디바이스의 경우 사용자가 다시 인증하도록 로그인 빈도 설정을 구성합니다. |
Microsoft 365의 세션 시간 제한 구성 | Microsoft 365 애플리케이션 및 서비스의 세션 시간 제한을 검토하여 연장된 시간 제한을 수정합니다. |
Azure Portal의 세션 시간 제한 구성 | 비활성으로 인한 시간 제한을 구현하여 Azure Portal 세션의 세션 시간 제한을 검토하면 무단 액세스로부터 리소스를 보호하는 데 도움이 됩니다. |
애플리케이션 액세스 세션 검토 | 지속적인 액세스 평가 정책을 통해 애플리케이션에 대한 액세스를 거부하거나 권한을 부여할 수 있습니다. 로그인에 성공하면 사용자에게 1시간 동안 유효한 액세스 토큰이 제공됩니다. 액세스 토큰이 만료되면 클라이언트가 Microsoft Entra ID로 다시 연결되고, 조건이 다시 평가되고, 토큰이 1시간 동안 더 새로 고쳐집니다. |