다음을 통해 공유

Microsoft Entra ID를 사용하여 각서 22-09의 ID 요구 사항 충족

  • 아티클

국가의 사이버 보안 개선에 대한 행정 명령 (14028)은 연방 정부 디지털 인프라에 대한 성공적인 사이버 공격의 위험을 크게 줄이는 보안 조치를 추진하도록 연방 기관에 지시합니다. 2022년 1월 26일, 행정 명령(EO) 14028을 지원하기 위해 관리 및 예산국(OMB)은 M 22-09 각서에서행정부 및 기관 책임자를 위한 연방 제로 트러스트 전략을 발표했습니다.

이 문서 시리즈에는 메모 22-09에 설명된 대로 제로 트러스트 원칙을 구현할 때 Microsoft Entra ID를 중앙 집중식 ID 관리 시스템으로 사용하는 지침이 있습니다.

메모 22-09는 연방 기관의 제로 트러스트 이니셔티브를 지원합니다. 연방 사이버 보안 및 데이터 개인 정보 보호법에 대한 규제 지침이 있습니다. 메모는 미국 국방부(DoD)의 제로 트러스트 참조 아키텍처을 인용합니다.

"제로 트러스트 모델의 기본 개념은 보안 경계 외부 또는 내에서 작동하는 행위자, 시스템, 네트워크 또는 서비스를 신뢰할 수 없다는 것입니다. 대신 액세스를 설정하려는 모든 항목과 모든 것을 확인해야 합니다. 인프라, 네트워크 및 데이터를 경계에서 한 번 확인하는 것에서 각 사용자, 디바이스, 애플리케이션 및 트랜잭션에 대한 지속적인 확인에 이르기까지 인프라, 네트워크 및 데이터를 보호하는 방법에 대한 철학의 극적인 패러다임 변화입니다."

이 메모는 CISA(사이버 보안 정보 시스템 아키텍처) 완성 모델로 구성된 연방 기관이 도달할 수 있는 5가지 핵심 목표를 식별합니다. CISA 제로 트러스트 모델은 다음과 같은 다섯 가지 보완적인 노력 영역 또는 핵심 분야를 설명합니다.

  • 신원
  • 장치
  • 네트워크
  • 애플리케이션 및 워크로드
  • 데이터

기둥은 다음 요소들과 교차합니다.

  • 가시성
  • 분석
  • 자동화
  • 오케스트레이션
  • 거버넌스

지침 범위

문서 시리즈를 사용하여 메모 요구 사항을 충족하는 계획을 수립합니다. Microsoft 365 제품 및 Microsoft Entra 테넌트를 사용하는 것으로 가정합니다.

자세한 정보: 퀵 스타트: Microsoft Entra ID에서새 테넌트 만들기.

문서 시리즈 지침에는 메모의 ID 관련 작업에 부합하는 Microsoft 기술에 대한 기관 투자가 포함됩니다.

  • 에이전시 사용자의 경우 기관은 애플리케이션 및 일반 플랫폼과 통합할 수 있는 중앙 집중식 ID 관리 시스템을 사용합니다.
  • 기관은 MFA(엔터프라이즈 차원의 강력한 다단계 인증)를 사용합니다.
    • MFA는 네트워크 계층이 아닌 애플리케이션 계층에 적용됩니다.
    • 에이전시 직원, 계약자 및 파트너의 경우 피싱 방지 MFA가 필요합니다.
    • 퍼블릭 사용자의 경우 피싱 방지 MFA가 옵션입니다.
    • 암호 정책에 특수 문자 또는 일반 회전이 필요하지 않습니다.
  • 기관은 리소스에 대한 사용자 액세스 권한을 부여할 때 인증된 사용자에 대한 ID 정보와 함께 하나 이상의 디바이스 수준 신호를 고려합니다.

다음 단계