MIM PAM(Privileged Access Management)은 조직이 기존 및 격리된 Active Directory 환경 내에서 권한 있는 액세스를 제한할 수 있도록 지원하는 솔루션입니다.
Privileged Access Management는 다음 두 가지 목표를 수행합니다.
- 악의적인 공격에 영향을 받지 않는 별도의 배스천 환경을 유지 관리함으로써 손상된 Active Directory 환경에 대한 제어를 다시 설정합니다.
- 권한 있는 계정의 사용을 격리하여 해당 자격 증명의 도난 위험을 줄입니다.
비고
MIM PAM에서 제공하는 PAM 접근 방식은 인터넷에 연결된 환경의 새 배포에는 권장되지 않습니다. MIM PAM은 인터넷 액세스를 사용할 수 없는 격리된 AD 환경에 대한 사용자 지정 아키텍처에서 사용되며, 이 구성은 규제에 의해 요구되거나 오프라인 연구 실험실, 연결이 끊긴 운영 기술 또는 감독 제어 및 데이터 취득 환경과 같은 영향력이 높은 격리된 환경에서 사용됩니다. MIM PAM은 Microsoft Entra PIM(Privileged Identity Management)과 다릅니다. Microsoft Entra PIM은 Microsoft Entra ID, Azure 및 기타 Microsoft Online Services(예: Microsoft 365 또는 Microsoft Intune)의 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있는 서비스입니다. 온-프레미스 인터넷 연결 환경 및 하이브리드 환경에 대한 지침은 권한 있는 액세스를 보안하는 방법에 대한 자세한 정보는 을 참조하세요.
MIM PAM이 해결하는 데 도움이 되는 문제는 무엇인가요?
오늘날 공격자가 Domain Admins 계정 자격 증명을 얻기에는 너무 쉬울 수 있으며, 사실 이후에 이러한 공격을 검색하기가 너무 어렵습니다. PAM의 목표는 악의적인 사용자가 액세스할 수 있는 기회를 줄이는 동시에 환경에 대한 제어 및 인식을 높이는 것입니다.
PAM을 사용하면 공격자가 네트워크를 침투하고 권한 있는 계정 액세스를 얻기가 더 어려워집니다. PAM은 해당 컴퓨터의 도메인 가입 컴퓨터 및 애플리케이션 범위에서 액세스를 제어하는 권한 있는 그룹에 보호를 추가합니다. 또한 더 많은 모니터링, 더 많은 가시성 및 더 세분화된 컨트롤을 추가합니다. 이를 통해 조직은 권한 있는 관리자가 누구인지, 무엇을 하고 있는지 확인할 수 있습니다. PAM은 조직에서 관리 계정이 환경에서 사용되는 방식에 대한 더 많은 인사이트를 제공합니다.
MIM에서 제공하는 PAM 접근 방식은 인터넷 액세스를 사용할 수 없는 격리된 환경에 대한 사용자 지정 아키텍처에서 사용되며, 이 구성은 규제에 의해 요구되거나 오프라인 연구 실험실, 연결이 끊긴 운영 기술 또는 감독 제어 및 데이터 취득 환경과 같은 영향력이 높은 격리된 환경에서 사용됩니다. Active Directory가 인터넷에 연결된 환경의 일부인 경우 시작 위치에 대한 자세한 내용은 권한 있는 액세스 보안 참조하세요.
MIM PAM 설정 과정
PAM은 적시 관리 원칙을 사용하여 적정 수준의 관리(Just Enough Administration, JEA)와 관련이 있습니다. JEA는 권한 있는 활동을 수행하기 위한 명령 집합을 정의하는 Windows PowerShell 도구 키트입니다. 관리자가 명령을 실행할 수 있는 권한 부여를 받을 수 있는 엔드포인트입니다. JEA에서 관리자는 특정 권한이 있는 사용자가 특정 작업을 수행할 수 있다고 결정합니다. 적격 사용자가 해당 작업을 수행해야 할 때마다 해당 권한을 사용하도록 설정합니다. 권한은 지정된 기간 후에 만료되므로 악의적인 사용자가 액세스를 도용할 수 없습니다.
PAM 설정 및 작업에는 4단계가 있습니다.
- 준비: 기존 포리스트에서 중요한 권한을 가진 그룹을 식별합니다. 바스천 포레스트에서 멤버를 포함하지 않고 이러한 그룹을 다시 생성하세요.
- 보호: 사용자가 Just-In-Time 관리를 요청할 때 수명 주기 및 인증 보호를 설정합니다.
- 작동: 인증 요구 사항이 충족되고 요청이 승인되면 사용자 계정이 요새 포리스트의 권한 있는 그룹에 일시적으로 추가됩니다. 미리 설정된 시간 동안 관리자는 해당 그룹에 할당된 모든 권한 및 액세스 권한을 갖습니다. 이 시간 후에는 계정이 그룹에서 제거됩니다.
- 모니터: PAM은 권한 있는 액세스 요청에 대한 감사, 경고 및 보고서를 추가합니다. 권한 있는 액세스 기록을 검토하고 누가 활동을 수행했는지 확인할 수 있습니다. 활동이 유효한지 여부를 결정하고, 사용자를 원래 포리스트의 권한 있는 그룹에 직접 추가하려는 시도와 같이 권한이 없는 활동을 쉽게 식별할 수 있습니다. 이 단계는 악성 소프트웨어를 식별할 뿐만 아니라 "내부" 공격자를 추적하는 데 중요합니다.
MIM PAM은 어떻게 작동하나요?
PAM은 AD DS의 새로운 기능, 특히 도메인 계정 인증 및 권한 부여 및 Microsoft Identity Manager의 새로운 기능을 기반으로 합니다. PAM은 권한 있는 계정을 기존 Active Directory 환경과 분리합니다. 권한 있는 계정을 사용해야 하는 경우 먼저 요청한 다음 승인해야 합니다. 승인 후 권한 있는 계정에는 사용자 또는 애플리케이션의 현재 포리스트가 아닌 새 요새 포리스트의 외부 주체 그룹을 통해 권한이 부여됩니다. 요새 포리스트를 사용하면 사용자가 권한 있는 그룹의 구성원이 될 수 있는 시기와 사용자가 인증해야 하는 방법과 같은 더 큰 제어가 조직에 제공됩니다.
Active Directory, MIM 서비스 및 이 솔루션의 다른 부분도 고가용성 구성으로 배포할 수 있습니다.
다음 예제에서는 PIM의 작동 방식을 자세히 보여 줍니다.
PIM 프로세스 및 참가자 
요새 포리스트는 시간 제한된 그룹 멤버십을 발급하여 시간 제한된 티켓 발급 티켓(TGT)을 생성합니다. 앱 및 서비스가 요새 포리스트를 신뢰하는 포리스트에 존재하는 경우 Kerberos 기반 애플리케이션 또는 서비스는 이러한 TGT를 따르고 강화할 수 있습니다.
일상적인 사용자 계정은 새 포리스트로 이동할 필요가 없습니다. 컴퓨터, 애플리케이션 및 해당 그룹의 경우도 마찬가지입니다. 그들은 기존 숲에서 오늘날의 위치에 머물러 있습니다. 현재 이러한 사이버 보안 문제와 관련이 있지만 서버 인프라를 다음 버전의 Windows Server로 업그레이드할 계획이 없는 조직의 예를 생각해 보세요. 해당 조직은 MIM 및 새 요새 포리스트를 사용하여 이 결합된 솔루션을 계속 활용할 수 있으며 기존 리소스에 대한 액세스를 더 잘 제어할 수 있습니다.
PAM은 다음과 같은 이점을 제공합니다.
격리/권한 범위 지정: 사용자는 전자 메일 확인 또는 인터넷 검색과 같은 권한이 없는 작업에도 사용되는 계정에 대한 권한을 보유하지 않습니다. 사용자는 권한을 요청해야 합니다. 요청은 PAM 관리자가 정의한 MIM 정책에 따라 승인되거나 거부됩니다. 요청이 승인될 때까지 권한 있는 액세스를 사용할 수 없습니다.
강화 및 증명: 별도의 관리 계정의 수명 주기를 관리하는 데 도움이 되는 새로운 인증 및 권한 부여 과제입니다. 사용자는 관리자 계정의 권한 상승을 요청할 수 있으며 해당 요청은 MIM 워크플로를 통과합니다.
추가 로깅 : 기본 제공 MIM 워크플로와 함께 요청을 식별하는 PAM에 대한 추가 로깅, 권한이 부여된 방법 및 승인 후에 발생하는 모든 이벤트가 있습니다.
사용자 지정 가능한 워크플로: MIM 워크플로는 다양한 시나리오에 대해 구성할 수 있으며, 요청된 사용자 또는 요청된 역할의 매개 변수에 따라 여러 워크플로를 사용할 수 있습니다.
사용자는 권한 있는 액세스를 어떻게 요청합니까?
사용자가 요청을 제출할 수 있는 방법은 다음과 같습니다.
- MIM Services 웹 서비스 API
- REST 엔드포인트
- Windows PowerShell(
New-PAMRequest)
Privileged Access Management cmdlets에 대한 세부 정보를 확인하세요.
사용할 수 있는 워크플로 및 모니터링 옵션은 무엇인가요?
예를 들어 PAM이 설정되기 전에 사용자가 관리 그룹의 구성원이라고 가정해 보겠습니다. PAM 설정의 일부로 사용자는 관리 그룹에서 제거되고 MIM에서 정책이 만들어집니다. 정책은 사용자가 관리 권한을 요청하는 경우 요청이 승인되고 사용자에 대한 별도의 계정이 요새 포리스트의 권한 있는 그룹에 추가되도록 지정합니다.
요청이 승인되었다고 가정하면 작업 워크플로는 Bastion 포리스트 Active Directory와 직접 통신하여 사용자를 그룹에 배치합니다. 예를 들어 Jen이 HR 데이터베이스 관리를 요청하면 Jen에 대한 관리 계정이 몇 초 내에 요새 포리스트의 권한 있는 그룹에 추가됩니다. 해당 그룹의 관리 계정 멤버 자격은 시간 제한 후에 만료됩니다. Windows Server 2016 이상에서는 해당 멤버 자격이 Active Directory에서 시간 제한과 연결됩니다.
비고
그룹에 새 멤버를 추가하면 변경 내용이 요새 포리스트의 다른 DC(도메인 컨트롤러)에 복제되어야 합니다. 복제 대기 시간은 사용자가 리소스에 액세스하는 기능에 영향을 미칠 수 있습니다. 복제 대기 시간에 대한 자세한 내용은 Active Directory 복제 토폴로지 작동 방식참조하세요.
반면 만료된 링크는 SAM(보안 계정 관리자)에 의해 실시간으로 평가됩니다. 액세스 요청을 수신하는 DC에서 그룹 멤버 추가를 복제해야 하지만 모든 DC에서 그룹 멤버 제거가 즉시 평가됩니다.
이 워크플로는 특히 이러한 관리 계정을 위한 것입니다. 권한 있는 그룹에 대해 가끔만 액세스해야 하는 관리자(또는 스크립트)는 해당 액세스를 정확하게 요청할 수 있습니다. MIM은 Active Directory의 요청 및 변경 내용을 기록하며 이벤트 뷰어에서 보거나 System Center 2012 - Operations Manager ACS(Audit Collection Services) 또는 기타 타사 도구와 같은 엔터프라이즈 모니터링 솔루션으로 데이터를 보낼 수 있습니다.
다음 단계
- 권한 있는 액세스 전략
- Privileged Access Management cmdlet (권한 있는 액세스 관리 명령렛)