NIST 인증 기본 사항
이 문서의 정보를 사용하여 NIST(National Institute of Standards and Technology) 지침과 관련된 용어를 알아봅니다. 또한 TPM(신뢰할 수 있는 플랫폼 모듈) 기술 및 인증 요소의 개념이 정의됩니다.
용어
다음 표를 사용하여 NIST 용어를 이해합니다.
| 용어 | 정의 |
|---|---|
| Assertion | 구독자에 대한 정보를 포함하는 신뢰 당사자에 대한 검증 도구의 명령문입니다. 어설션에 확인된 특성이 포함될 수 있음 |
| 인증 | 주체의 ID를 확인하는 프로세스 |
| 인증 요소 | 사용자, 사용자가 알고 있거나 가지고 있는 것 모든 인증자에는 하나 이상의 인증 요소가 있음 |
| Authenticator | 청구인이 처리하고 제어하는 것으로, 청구인의 ID 인증 |
| 청구인 | 하나 이상의 인증 프로토콜을 사용하여 ID를 확인할 주체 |
| 자격 증명 | 구독자가 소유하고 제어하는 하나 이상의 구독자 인증자에 ID를 정식으로 바인딩하는 개체 또는 데이터 구조입니다. |
| CSP(자격 증명 서비스 공급자) | 구독자 인증자를 발급하거나 등록하고 구독자에게 전자 자격 증명을 발급하는, 신뢰할 수 있는 엔터티 |
| 신뢰 당사자 | 일반적으로 시스템에 대한 액세스 권한을 부여하기 위해 검증 도구의 어설션 또는 청구인의 인증자 및 자격 증명을 사용하는 엔터티 |
| Subject | 개인, 조직, 디바이스, 하드웨어, 네트워크, 소프트웨어 또는 서비스 |
| 구독자 | CSP에서 자격 증명 또는 인증자를 받은 당사자 |
| TPM(신뢰할 수 있는 플랫폼 모듈) | 키 생성을 포함하는 암호화 작업을 수행하는 변조 방지 모듈 |
| 검증 도구 | 인증자에 대한 청구인의 소유권과 제어권을 확인하여 청구인의 ID를 확인하는 엔터티 |
신뢰할 수 있는 플랫폼 모듈 기술 정보
TPM은 하드웨어 기반의 보안 관련 함수: TPM 칩 또는 하드웨어 TPM은 암호화 키의 생성, 저장, 사용 제한에 도움이 되는 안전한 암호화 프로세서입니다.
TPM 및 Windows에 대한 자세한 내용은 신뢰할 수 있는 플랫폼 모듈을 참조하세요.
참고 항목
소프트웨어 TPM은 하드웨어 TPM 기능을 모방하는 에뮬레이터입니다.
인증 요소 및 강도
인증 요소를 세 가지 범주로 그룹화할 수 있습니다.
인증 요소의 강도는 구독자만 알고 있는 것, 소유하고 있는 것, 구독자의 신원 정보라고 확신하는 정도에 따라 결정됩니다. NIST 조직의 인증 요소 강도에 대한 제한된 지침을 제공합니다. 다음 섹션의 정보를 사용하여 Microsoft가 강점을 평가하는 방법을 알아봅니다.
사용자가 알고 있는 것
암호는 가장 일반적으로 알려진 것이며 가장 큰 공격 표면을 나타냅니다. 다음 완화는 구독자의 신뢰도를 향상합니다. 이러한 요소는 무차별 암호 대입, 도청, 사회 공학 등의 암호 공격을 방지하는 데 효과적입니다.
사용자가 소유하고 있는 것
사용자가 소유하고 있는 것의 강도는 공격자가 액세스 권한을 획득하지 않고 구독자가 소유한 상태를 유지할 가능성을 기준으로 합니다. 예를 들어, 내부 위협으로부터 보호하는 경우 개인 모바일 디바이스 또는 하드웨어 키의 선호도가 더 높습니다. 디바이스 또는 하드웨어 키는 사무실의 데스크톱 컴퓨터보다 더 안전합니다.
사용자의 신원 정보
사용자에 대한 요구 사항을 결정할 때 공격자가 생체 인식과 같은 항목을 얻거나 스푸핑하는 것이 얼마나 쉬운지 고려합니다. NIST는 생체 인식에 대한 프레임워크를 작성하고 있지만 현재 생체 인식을 단일 요소로 받아들이지 않습니다. MFA(다단계 인증)의 일부여야 합니다. 이 예방 조치는 생체 인식이 암호처럼 항상 정확하게 일치하지 않기 때문입니다. 자세한 내용은 인증자의 함수 강도 – 생체 인식(SOFA-B)을 참조하세요.
생체 인식 강도를 정량화하는 SOFA-B 프레임워크:
- False 일치율
- False 실패율
- 프레젠테이션 공격 검색 오류율
- 공격을 수행하는 데 필요한 노력
단일 단계 인증
사용자가 알고 있는 것 또는 사용자의 신원 정보를 확인하는 인증자를 사용하여 단일 단계 인증을 구현할 수 있습니다. 사용자의 신원 정보 요소는 인증으로 허용되지만 인증자로만 허용되지 않습니다.
Multi-Factor Authentication
MFA 인증자 또는 두 개의 단일 요소 인증자를 사용하여 MFA를 구현할 수 있습니다. MFA 인증자에는 단일 인증 트랜잭션을 위한 두 가지 인증 요소가 필요합니다.
2개의 단일 요소 인증자가 있는 MFA
MFA에는 독립적일 수 있는 두 가지 인증 요소가 필요합니다. 예시:
저장된 비밀(암호) 및 대역외(SMS)
저장된 비밀(암호) 및 일회용 암호(하드웨어 또는 소프트웨어)
이러한 방법을 사용하면 Microsoft Entra ID를 사용하여 두 개의 독립적인 인증 트랜잭션을 사용할 수 있습니다.
하나의 다단계 인증자가 있는 MFA
다단계 인증에는 두 번째 요소를 잠금 해제하기 위한 한 가지 요소(사용자가 알고 있는 것 또는 사용자의 신원 정보)가 필요합니다. 사용자 환경은 여러 독립 인증자의 환경보다 더 용이합니다.
암호 없는 모드의 한 가지 예는 Microsoft Authenticator 앱입니다. 사용자가 보안 리소스(신뢰 당사자)에 액세스하려고 할 때 Authenticator 앱에서 알림을 받습니다. 사용자는 생체 인식(사용자의 신원 정보) 또는 PIN(사용자가 알고 있는 것)를 제공합니다. 이 요소는 휴대폰에서 암호화 키의 잠금을 해제하며(사용자의 신원 정보), 검증 도구가 유효성을 검사합니다.
다음 단계
Microsoft Entra ID를 사용하여 NIST AAL1 달성