다음을 통해 공유

CSP 보안 모범 사례

  • 아티클

클라우드 솔루션 공급자(CSP) 프로그램의 모든 파트너는 파트너 센터파트너 센터 API에 액세스할 때, 자신과 고객을 보호하기 위해 이 문서의 보안 지침을 따라야 합니다.

고객 보안을 위해 고객 보안 모범 사례를 참조하세요. 서비스 주체 관리의 모범 사례에 대해서는 Microsoft Entra ID에서 서비스 주체 보안 참조를 참조하세요.

중요한

Azure AD(Azure Active Directory) Graph는 2023년 6월 30일부터 더 이상 사용되지 않습니다. 앞으로 Azure AD Graph에 더 이상 투자하지 않습니다. Azure AD Graph API에는 보안 관련 수정 외에 SLA 또는 유지 관리 약정이 없습니다. 새로운 기능에 대한 투자는 Microsoft Graph에서만 이루어집니다.

애플리케이션을 Microsoft Graph API로 마이그레이션하는 데 충분한 시간이 있도록 증분 단계에서 Azure AD Graph를 사용 중지합니다. 나중에 발표할 예정이며, Azure AD Graph를 사용하여 새 애플리케이션 만들기를 차단합니다.

자세한 내용은 중요: Azure AD Graph 사용 중지 및 PowerShell 모듈 사용 중단을 참조하세요.

  • 파트너 센터 테넌트에서 보안 관련 문제 알림을 위한 보안 연락처를 추가합니다.
  • Microsoft Entra ID에서 아이덴티티 보안 점수를 확인하고 점수를 올리기 위한 적절한 조치를 취하십시오.
  • 비지급, 사기 또는 오용 관리를 다루는 지침을 검토하고 구현하십시오.
  • NOBELIUM 위협 행위자 및 관련 자료를 숙지합니다.
    • NOBELIUM이 더 광범위한 공격을 용이하게 하기 위해 위임된 관리 권한을 목표로 삼고 있습니다.
    • NOBELIUM 응답 교육
    • 채널 보안: 제로 트러스트로의 여정

ID 모범 사례

다단계 인증 필요

  • 파트너 센터 테넌트 및 고객 테넌트에 있는 모든 사용자가 등록되어 있고 MFA(다단계 인증)가 필요한지 확인합니다. MFA를 구성하는 방법에는 여러 가지가 있습니다. 구성 중인 테넌트에 적용되는 메서드를 선택합니다.
    • 내 파트너 센터/고객의 테넌트에 Microsoft Entra ID P1이 있습니다.
    • 내 파트너 센터/고객의 테넌트에 Microsoft Entra ID P2가 있습니다.
      • 조건부 액세스를 사용하여 MFA를 적용합니다.
      • Microsoft Entra ID Protection을 사용하여 위험 기반 정책을 구현합니다.
      • 파트너 센터 테넌트에 대해 IUR(내부 사용 권한) 혜택에 따라 Microsoft 365 E3 또는 E5를 받을 자격이 있을 수 있습니다. 이러한 SKU에는 각각 Microsoft Entra ID P1 또는 2가 포함됩니다.
      • 고객의 테넌트에 대해서는 보안 기본값을 사용하도록 설정하는 것이 좋습니다.
        • 고객이 레거시 인증이 필요한 앱을 사용하는 경우 보안 기본값을 사용하도록 설정한 후에는 해당 앱이 작동하지 않습니다. 앱을 최신 인증을 사용하도록 교체, 제거 또는 업데이트할 수 없는 경우 사용자별 MFA를 통해 MFA를 적용할 수 있습니다.
        • 다음 Graph API 호출을 사용하여 고객의 보안 기본값 사용을 모니터링하고 적용할 수 있습니다.
          • Identity Security Defaults Enforcement Policy 리소스 종류 - Microsoft Graph v1.0 | Microsoft Learn
  • 사용되는 MFA 메서드가 피싱에 강한지 확인합니다. 암호 없는 인증 또는 번호 일치를 사용하여 이 작업을 수행할 수 있습니다.
  • 고객이 MFA 사용을 거부하는 경우 Microsoft Entra ID에 대한 관리자 역할 액세스 또는 Azure 구독에 대한 쓰기 권한을 제공하지 마세요.

앱 액세스

  • 보안 애플리케이션 모델 프레임워크를 채택합니다. 파트너 센터 API와 통합된 모든 파트너는 앱 및 사용자 인증 모델 애플리케이션에 대해 '보안 애플리케이션 모델 프레임워크'를 채택해야 합니다.
  • 파트너 센터 Microsoft Entra 테넌트에서 사용자 동의를 비활성화하거나 관리자 동의 워크플로를 사용합니다.

최소 권한/상시 액세스 없음

  • Microsoft Entra 권한이 있는 기본 제공 역할이 있는 사용자는 전자 메일 및 공동 작업에 해당 계정을 정기적으로 사용하면 안 됩니다. 공동 작업용 Microsoft Entra 관리 역할이 없는 별도의 사용자 계정을 만듭니다.
  • 관리 에이전트 그룹을 검토하고 액세스가 필요하지 않은 사용자를 제거합니다.
  • Microsoft Entra ID에서 관리 역할 액세스를 정기적으로 검토하고 가능한 한 적은 수의 계정으로 액세스를 제한합니다. 자세한 내용은 Microsoft Entra 기본 제공 역할을 참조하세요.
  • 회사를 떠나거나 회사 내에서 역할을 변경하는 사용자는 파트너 센터 액세스에서 제거되어야 합니다.
  • Microsoft Entra ID P2가 있는 경우 Privileged Identity Management(특권 ID 관리)을 사용하여 JIT(Just-In-Time) 액세스를 적용합니다. 이중 양육권을 사용하여 Microsoft Entra 관리자 역할 및 파트너 센터 역할에 대한 액세스를 검토하고 승인합니다.
  • 권한 있는 역할을 보호하려면 권한 있는 액세스 보안 개요를 참조하세요.
  • 고객 환경에 대한 액세스를 정기적으로 검토합니다.
    • 비활성 위임된 관리 권한(DAP)을 제거합니다.
    • GDAP 자주 묻는 질문.
    • GDAP 관계가 최소 권한을 활용하고 있는지 확인합니다.

정체성 격리

  • 이메일 및 공동 작업 도구와 같은 내부 IT 서비스를 호스트하는 동일한 Microsoft Entra 테넌트에서 파트너 센터 인스턴스를 호스팅하지 않습니다.
  • 고객 액세스 권한이 있는 파트너 센터 권한 있는 사용자에 대해 별도의 전용 사용자 계정을 사용합니다.
  • 파트너가 고객 테넌트 및 관련 앱 및 서비스를 관리하는 데 사용할 고객 Microsoft Entra 테넌트에 사용자 계정을 만들지 마세요.

디바이스 모범 사례

  • 보안 기준을 관리하고 보안 위험을 모니터링하는 등록된 정상 워크스테이션에서 파트너 센터 및 고객 테넌트 액세스만 허용합니다.
  • 고객 환경에 대한 권한 있는 액세스 권한이 있는 파트너 센터 사용자의 경우 해당 사용자가 고객 환경에 액세스할 수 있도록 전용 워크스테이션(가상 또는 물리적)을 요구하는 것이 좋습니다. 자세한 내용은 권한 있는 액세스 보안을 참조하세요.

모범 사례 모니터링

파트너 센터 API

  • 모든 제어판 공급업체는 보안 애플리케이션 모델을 사용하도록 설정하고 모든 사용자 활동에 대해 로깅을 활성화해야 합니다.
  • 제어판 공급업체는 애플리케이션에 로그인하는 모든 파트너 에이전트 및 수행된 모든 작업에 대한 감사를 사용하도록 설정해야 합니다.

로그인 모니터링 및 감사

  • Microsoft Entra ID P2 라이선스가 있는 파트너는 감사 및 로그인 로그 데이터를 최대 30일까지 유지할 수 있는 자격을 자동으로 부여합니다.

    다음을 확인합니다.

    • 위임된 관리자 계정이 사용되는 경우에는 감사 로깅이 설정되어 있습니다.
    • 로그는 서비스에서 제공하는 최대 수준의 세부 정보를 캡처합니다.
    • 로그는 비정상적인 활동을 검색할 수 있는 허용 가능한 기간(최대 30일)동안 보존됩니다.

    자세한 감사 로깅을 사용하려면 더 많은 서비스를 구매해야 할 수 있습니다. 자세한 내용은 Microsoft Entra ID가 보고 데이터를 얼마 동안 저장하는지를 확인하십시오.

  • 권한 있는 Entra 관리자 역할이 있는 모든 사용자의 Microsoft Entra ID 내에서 암호 복구 전자 메일 주소 및 전화 번호를 정기적으로 검토하고 확인하고 필요한 경우 업데이트합니다.

    • 고객의 테넌트가 손상된 경우: CSP 직접 청구 파트너, 간접 공급자 또는 간접 재판매인 은 고객 테넌트의 관리자 암호 변경을 요청하는 지원에 문의할 수 없습니다 . 고객은 주제 내 관리자 암호 재설정에 있는 지침을 따라 Microsoft 지원에 문의해야 합니다. 관리자 암호 재설정 항목에는 고객이 Microsoft 지원 호출하는 데 사용할 수 있는 링크가 있습니다. CSP가 암호 재설정을 지원하기 위해 더 이상 테넌트에 액세스할 수 없음을 고객에게 지시합니다. CSP는 액세스가 회복되고 위반 당사자가 제거될 때까지 고객의 구독을 일시 중단하는 것을 고려해야 합니다.

  • 감사 로깅 모범 사례를 구현하고 위임된 관리자 계정에서 수행하는 활동에 대한 일상적인 검토를 수행합니다.

  • 파트너는 위험한 사용자 보고서를 검토하고, 환경 내에서 게시된 지침에 따라 위험을 나타내는 탐지된 계정을 관리해야 합니다.

    • 위험을 완화하고 사용자의 차단을 해제하기
    • Microsoft Entra ID 보호 사용자 경험

관련 콘텐츠

  • 파트너 보안 요구 사항
  • 제로 트러스트의 주요 원칙
  • 고객 보안 모범 사례