각서 22-09의 권한 부여 요구 사항 충족
이 문서 시리즈에는 제로 트러스트 원칙을 구현할 때 Microsoft Entra ID를 중앙 집중식 ID 관리 시스템으로 사용하기 위한 지침이 포함되어 있습니다. 미국 OMB(Office of Management and Budget) M 22-09 Memorandum for the Heads of Executive Departments and Agencies를 참조하세요.
메모 요구 사항은 다단계 인증 정책의 적용 유형과 디바이스, 역할, 특성, 권한 있는 액세스 관리에 대한 제어입니다.
디바이스 기반 제어
각서 22-09 요구 사항은 시스템 또는 애플리케이션에 액세스하기 위한 권한 부여 결정을 위한 하나 이상의 디바이스 기반 신호입니다. 조건부 액세스를 사용하여 요구 사항을 적용합니다. 권한 부여 중에 여러 디바이스 신호를 적용합니다. 신호와 신호를 검색하기 위한 요구 사항은 아래 표를 참조하세요.
| Signal | 신호 검색 |
|---|---|
| 디바이스 관리 | 통합을 지원하는 Intune 또는 다른 MDM(모바일 디바이스 관리) 솔루션과 통합해야 합니다. |
| Microsoft Entra 하이브리드 조인됨 | Active Directory는 디바이스 관리에 적합합니다. |
| 디바이스 준수 | 통합을 지원하는 Intune 또는 다른 MDM 솔루션과 통합합니다. Microsoft Intune에서 준수 정책 만들기를 참조하세요. |
| 위협 신호 | 엔드포인트용 Microsoft Defender와 기타 EDR(엔드포인트 감지 및 대응) 도구는 Microsoft Entra ID 및 Intune과 통합되어 액세스를 거부하는 위협 신호를 보냅니다. 위협 신호는 준수 상태 신호를 지원합니다. |
| 테넌트 간 액세스 정책(공개 미리 보기) | 다른 조직의 디바이스에서 디바이스 신호를 신뢰합니다. |
역할 기반 제어
RBAC(역할 기반 액세스 제어)를 사용하여 특정 범위의 역할 할당을 통해 권한 부여를 적용합니다. 예를 들어 액세스 패키지 및 액세스 검토를 포함한 권한 관리 기능을 사용하여 액세스 권한을 할당합니다. 셀프 서비스 요청을 사용하여 권한 부여를 관리하고 자동화를 사용하여 수명 주기를 관리합니다. 예를 들어 조건에 따라 액세스를 자동으로 종료합니다.
자세히 보기:
특성 기반 컨트롤
ABAC(특성 기반 액세스 제어)는 인증 중 액세스를 허용하거나 거부하는 사용자 또는 리소스에 할당된 메타데이터를 사용합니다. 인증을 통해 데이터 및 리소스의 ABAC 적용을 사용하여 권한 부여를 만들 수 있는 다음 섹션을 참조하세요.
사용자에게 할당된 특성
Microsoft Entra ID에 저장된 사용자에게 할당된 특성을 사용하여 사용자 권한 부여를 만듭니다. 사용자는 그룹을 만드는 동안 정의하는 규칙 집합에 따라 동적 멤버 자격 그룹에 자동으로 할당됩니다. 규칙은 사용자 및 속성에 대한 규칙 평가에 따라 그룹에서 사용자를 추가하거나 제거합니다. 만든 날에는 특성을 유지 관리하고 정적 특성을 설정하지 않는 것이 좋습니다.
자세한 정보: Microsoft Entra ID에서 동적 그룹 만들기 또는 업데이트
데이터에 할당된 특성
Microsoft Entra ID를 사용하여 데이터에 권한 부여를 통합할 수 있습니다. 권한 부여를 통합하려면 다음 섹션을 참조하세요. 조건부 액세스 정책에서 인증을 구성할 수 있습니다. 사용자가 애플리케이션 또는 데이터에서 수행하는 작업을 제한합니다. 그런 다음 이러한 인증 정책이 데이터 원본에 매핑됩니다.
데이터 원본은 인증에 매핑되는 Word, Excel 또는 SharePoint 사이트와 같은 Microsoft Office 파일일 수 있습니다. 애플리케이션의 데이터에 할당된 인증을 사용합니다. 이 접근 방식을 사용하려면 애플리케이션 코드와 통합해야 하며 개발자가 이 기능을 채택해야 합니다. Microsoft Defender for Cloud Apps와 인증 통합을 사용하여 세션 제어를 통해 데이터에 대해 수행되는 작업을 제어할 수 있습니다.
동적 멤버 자격 그룹을 인증 컨텍스트와 결합하여 데이터와 사용자 특성 간의 사용자 액세스 매핑을 제어할 수 있습니다.
자세히 보기:
리소스에 할당된 특성
Azure에는 스토리지에 대한 Azure ABAC(특성 기반 액세스 제어)가 포함되어 있습니다. Azure Blob Storage 계정에 저장된 데이터에 메타데이터 태그를 할당합니다. 액세스 권한을 부여하기 위해 역할 할당을 사용하여 사용자에게 메타데이터를 할당합니다.
자세한 정보: Azure 특성 기반 액세스 제어란 무엇인가요?
Privileged Access Management
이 메모에서는 시스템에 액세스하기 위해 단일 단계 임시 자격 증명이 있는 권한 있는 액세스 관리 도구를 사용하는 비효율성을 설명합니다. 이러한 기술에는 관리자에 대한 다단계 인증 로그인을 허용하는 암호 자격 증명 모음이 포함됩니다. 이러한 도구는 시스템에 액세스하기 위한 대체 계정에 대한 암호를 생성합니다. 시스템 액세스는 단일 단계로 이뤄집니다.
Microsoft 도구는 Microsoft Entra ID를 중앙 ID 관리 시스템으로 사용하여 권한 있는 시스템의 PIM(Privileged Identity Management)을 구현합니다. 애플리케이션, 인프라 요소 또는 디바이스인 대부분의 권한 있는 시스템에 다단계 인증을 적용합니다.
Microsoft Entra ID를 사용하여 구현되는 권한 있는 역할에 PIM을 사용합니다. 수평 이동을 방지하기 위해 보호가 필요한 권한 있는 시스템을 식별합니다.
자세히 보기: