각서 22-09의 다단계 인증 요구 사항 충족
제로 트러스트 원칙을 구현할 때 중앙 ID 관리 시스템으로 Microsoft Entra ID를 사용하는 방법을 알아봅니다. 미국 OMB(행정 관리 예산국) M 22-09 행정부 및 기관장 각서를 참조하세요.
이 각서는 직원이 엔터프라이즈 관리 ID를 사용하여 애플리케이션에 액세스하고 다단계 인증이 피싱과 같은 정교한 온라인 공격으로부터 직원을 보호할 것을 요구합니다. 이 공격 방법은 인증되지 않은 사이트에 대한 링크를 사용하여 자격 증명을 얻고 손상하려고 시도합니다.
다단계 인증은 계정 및 데이터에 대한 무단 액세스를 방지합니다. 메모 이 각서는 피싱 방지 방법으로 다단계 인증을 인용합니다. 인증 프로세스는 합법적인 시스템으로 가장한 웹 사이트 또는 애플리케이션에 대한 인증 비밀 및 출력의 공개를 감지하고 방지하도록 설계되었습니다. 따라서 피싱 방지로 인정되는 다단계 인증 방법을 설정합니다.
피싱 방지 방법
일부 연방 기관은 FIDO2 보안 키 또는 비즈니스용 Windows Hello 같은 최신 자격 증명을 배포했습니다. 많은 사람들이 인증서를 사용하여 Microsoft Entra 인증을 평가하고 있습니다.
자세히 보기:
일부 기관은 인증 자격 증명을 현대화하고 있습니다. Microsoft Entra ID에서 피싱 방지 다단계 인증 요구 사항을 충족할 수 있는 여러 옵션이 있습니다. 기관 기능과 일치하는 피싱 방지 다단계 인증 방법을 채택하는 것이 좋습니다. 전체 사이버 보안 상태를 개선하기 위해 현재 피싱 방지 다단계 인증에 대해 가능한 사항을 고려합니다. 최신 자격 증명을 구현합니다. 그러나 가장 빠른 경로가 최신 접근 방식이 아닌 경우 최신 접근 방식을 향한 여정을 시작하는 단계를 수행합니다.
최신 방법
- FIDO2 보안 키는 CISA(Cybersecurity 및 Infrastructure Security Agency)에 따라 다단계 인증의 골드 표준입니다.
- Microsoft Entra ID에 대한 암호 없는 인증 옵션, FIDO2 보안 키를 참조하세요.
- cisa.gov로 이동하여 2개 이상의 암호 참조
- 페더레이션 ID 공급자에 대한 종속성 없이 Microsoft Entra 인증서 인증.
- 이 솔루션에는 CAC(Common Access Card), PIV(개인 ID 검증) 및 모바일 장치 또는 보안 키에 대해 파생된 PIV 자격 증명과 같은 스마트 카드 구현이 포함됩니다.
- Microsoft Entra 인증서 기반 인증 개요를 참조하세요.
- 비즈니스용 Windows Hello에는 피싱 방지 다단계 인증이 포함되어 있음
외부 피싱으로부터 보호
Microsoft Authenticator 및 조건부 액세스 정책은 관리 디바이스, 즉 Microsoft Entra 하이브리드 조인된 디바이스 또는 규격으로 표시된 디바이스를 적용합니다. Microsoft Entra ID로 보호 중인 애플리케이션에 액세스하는 디바이스에 Microsoft Authenticator를 설치합니다.
자세한 정보: Microsoft Entra ID의 인증 방법 - Microsoft Authenticator 앱
Important
피싱 방지 요구 사항을 충족하려면: 보호된 애플리케이션에 액세스하는 디바이스만 관리합니다. Microsoft Authenticator를 사용할 수 있는 사용자는 액세스할 관리 디바이스가 필요한 조건부 액세스 정책 범위 내에 있습니다. 조건부 액세스 정책은 Microsoft Intune 등록 클라우드 앱에 대한 액세스를 차단합니다. Microsoft Authenticator를 사용할 수 있는 사용자는 이 조건부 액세스 정책에 대한 범위 내에 있습니다. 조건부 액세스 정책의 Microsoft Authenticator 인증을 허용할 동일한 그룹을 사용하여 인증 방법을 사용할 수 있는 사용자가 두 정책 범위 내에 있는지 확인합니다. 이 조건부 액세스 정책은 악의적인 외부 행위자의 가장 중요한 피싱 위협 벡터를 방지합니다. 또한 악의적인 행위자가 Microsoft Authenticator를 피싱하여 자격 증명을 등록하거나 디바이스를 조인하고 Intune에 등록하여 규정을 준수하는 것으로 표시할 수 없도록 합니다.
자세히 보기:
- Microsoft Entra 하이브리드 조인 구현 계획 또는
- 하이브리드 Microsoft Entra 조인 구현 계획 방법
- 일반적인 조건부 액세스 정책: 모든 사용자에 대해 규격 디바이스, Microsoft Entra 하이브리드 조인 디바이스 또는 다단계 인증 필요도 참조하세요.
참고 항목
Microsoft Authenticator는 피싱 방지 기능이 없습니다. 관리 디바이스가 외부 피싱 위협으로부터 보호를 받도록 조건부 액세스 정책을 구성합니다.
레거시
피싱 방지 방법으로 구성된 AD FS(Active Directory Federation Service)와 같은 IdP(페더레이션된 ID 공급자)입니다. 기관에서는 페더레이션된 IdP를 사용하여 피싱을 방지하지만 비용이 들고, 복잡하며, 위험성이 있습니다. Microsoft Entra ID의 보안 이점인 IdP를 사용하는 것이 좋습니다. 페더레이션된 IdP와 관련된 위험이 없습니다.
자세히 보기:
피싱 방지 방법 고려 사항
현재 디바이스 기능, 가상 사용자 및 기타 요구 사항에 따라 다단계 방법이 필요할 수 있습니다. 예를 들어 USB-C를 지원하는 FIDO2 보안 키의 경우 USB-C 포트가 있는 디바이스가 필요합니다. 피싱 방지 다단계 인증을 평가할 때 다음 정보를 고려합니다.
- 지원할 수 있는 디바이스 유형 및 기능: 키오스크, 노트북, 휴대폰, 생체 인식 판독기, USB, Bluetooth 및 근거리 통신 장치
- 조직 가상 사용자: 일선 작업자, 회사 소유 하드웨어가 있거나 없는 원격 작업자, 권한 있는 액세스 워크스테이션이 있는 관리자, B2B(Business to Business) 게스트 사용자
- 물류: FIDO2 보안 키, 스마트 카드, 정부 제공 장비 또는 TPM 칩이 있는 Windows 디바이스와 같이 다단계 방법 배포, 구성 및 등록
- 인증자 보증 수준에서 FIPS(Federal Information Processing Standards) 140 유효성 검사: 일부 FIDO 보안 키는 NIST SP 800-63B에 설정된 AAL3 수준에서 FIPS 140 유효성을 검사함
- 인증자 보증 수준 참조
- Microsoft Entra ID를 사용하여 NIST 인증자 보증 수준 3 참조
- nist.gov로 이동하여 NIST 특별 간행물 800-63B, 디지털 ID 지침 참조
피싱 방지 다단계 인증에 대한 구현 고려 사항
애플리케이션 및 가상 디바이스 로그인에 대한 피싱 방지 방법 구현 지원에 대해서는 다음 섹션을 참조하세요.
다양한 클라이언트에서 애플리케이션 로그인 시나리오
다음 표에서는 애플리케이션에 로그인하는 데 사용되는 디바이스 유형을 기반으로 하는 피싱 방지 다단계 인증 시나리오의 가용성에 대해 자세히 설명합니다.
| 장치 | 인증서 인증을 사용한 페더레이션된 IdP로서의 AD FS | Microsoft Entra 인증서 인증 | FIDO2 보안 키 | 비즈니스용 Windows Hello | Microsoft Entra 하이브리드 조인 또는 규격 디바이스를 적용하는 조건부 액세스 정책을 사용하는 Microsoft Authenticator |
|---|---|---|---|---|---|
| Windows 디바이스 |  |
|
|
|
|
| iOS 모바일 디바이스 | |
|
해당 없음 | 해당 없음 | |
| Android 모바일 디바이스 | |
|
해당 없음 | 해당 없음 | |
| macOS 디바이스 | |
|
Edge/Chrome | 해당 없음 | |
자세한 정보: FIDO2 암호 없는 인증에 대한 브라우저 지원
통합이 필요한 가상 디바이스 로그인 시나리오
피싱 방지 다단계 인증을 적용하려면 통합이 필요할 수 있습니다. 애플리케이션 및 디바이스에 액세스하는 사용자에게 다단계 인증을 적용합니다. 5가지 피싱 방지 다단계 인증 유형의 경우 동일한 기능을 사용하여 다음 디바이스 유형에 액세스합니다.
| 대상 시스템 | 통합 작업 |
|---|---|
| Azure Linux VM(가상 머신) 만들기 | Microsoft Entra 로그인에 Linux VM 사용 |
| Azure Windows VM | Microsoft Entra 로그인에 Windows VM 사용 |
| Azure Virtual Desktop | Microsoft Entra 로그인에 Azure Virtual Desktop을 사용하도록 설정합니다. |
| 온-프레미스 또는 다른 클라우드에 호스트되는 VM | VM에서 Azure Arc를 사용하도록 설정한 다음, Microsoft Entra 로그인을 사용하도록 설정합니다. 현재 Linux에 대한 비공개 미리 보기입니다. 이러한 환경에서 호스팅되는 Windows VM에 대한 지원은 로드맵에 있습니다. |
| Microsoft 이외의 가상 데스크톱 솔루션 | Microsoft Entra ID에서 타사 가상 데스크톱 솔루션을 앱으로 통합합니다. |
피싱 방지 다단계 인증 적용
조건부 액세스를 사용하여 테넌트에 있는 사용자에 대해 다단계 인증을 적용합니다. 교차 테넌트 액세스 정책을 추가하여 외부 사용자에게 적용할 수 있습니다.
자세한 정보: 개요: Microsoft Entra External ID를 사용한 테넌트 간 액세스
기관 간 적용
Microsoft Entra B2B Collaboration을 사용하여 통합을 용이하게 하는 요구 사항을 충족합니다.
- 사용자가 액세스하는 다른 Microsoft 테넌트 제한
- 테넌트에서 관리하지 않아도 되는 사용자에게 액세스를 허용하되, 다단계 인증 및 기타 액세스 요구 사항 적용
자세한 정보: B2B 협업 개요
조직 리소스에 액세스하는 파트너 및 외부 사용자에게 다단계 인증을 적용합니다. 기관 간 협업 시나리오에서 이와 같은 작업이 일반적입니다. Microsoft Entra 테넌트 간 액세스 정책을 사용하여 애플리케이션 및 리소스에 액세스하는 외부 사용자에 대해 다단계 인증을 구성합니다.
테넌트 간 액세스 정책에 게스트 사용자 테넌트가 사용하는 다단계 인증 방법을 신뢰하도록 신뢰 설정을 구성합니다. 사용자가 테넌트에 다단계 인증 방법을 등록하지 않도록 합니다. 조직별로 이러한 정책을 사용하도록 설정합니다. 사용자 홈 테넌트에서 다단계 인증 방법을 결정하고 해당 인증 방법이 피싱 방지 요구 사항을 충족하는지 여부를 결정할 수 있습니다.
암호 정책
이 각서는 조직이 복잡하게 순환된 암호와 같이 비효율적인 암호 정책을 변경하도록 요구합니다. 여기에는 특수 문자 및 숫자에 대한 요구 사항과 시간 기반 암호 순환 정책 제거가 포함됩니다. 대신 다음 옵션을 고려합니다.
- 암호 보호: Microsoft에서 관리하는 취약한 암호 공통 목록을 적용
- 또한 사용자 지정 금지 암호 포함
- Microsoft Entra 암호 보호를 사용하여 잘못된 암호 제거 참조
- 셀프 서비스 암호 재설정: 사용자가 암호를 재설정할 수 있도록 설정(예: 계정 복구 후)
- 손상된 자격 증명에 대한 알림과 관련하여 Microsoft Entra ID 보호
- 위험이란?
이 각서는 암호에 사용할 정책에 대해 구체적으로 규정하지는 않지만 NIST 800-63B의 표준을 고려합니다.
NIST 특별 간행물 800-63B, 디지털 ID 지침 참조