강화된 보안 관리자 환경
ESAE(보안 관리 환경) 아키텍처(빨간색 포리스트, 관리 포리스트 또는 강화된 포리스트라고도 함)는 Windows Server AD(Active Directory) 관리자 ID에 대한 보안 환경을 제공하기 위한 레거시 방법입니다.
이 아키텍처 패턴 사용에 대한 Microsoft의 권장 사항은 권한 있는 사용자를 보호하기 위한 기본 권장 방법인 최신 권한 있는 액세스 전략 및 RAMP(신속한 현대화 계획) 지침으로 대체되었습니다. 이 지침은 제로 트러스트 아키텍처로 전환하기 위해 보다 광범위한 전략을 조정하는 것을 포함하기 위한 것입니다. 이러한 현대화된 전략을 감안할 때 ESAE 강화된 관리 포리스트 아키텍처(온-프레미스 또는 클라우드 기반)는 이제 예외 사례에만 적합한 사용자 지정 구성으로 간주됩니다.
계속 사용하기 위한 시나리오
더 이상 권장 아키텍처가 아니지만 ESAE(또는 그 안에 있는 개별 구성 요소)는 제한된 예외 시나리오 집합에서 여전히 유효할 수 있습니다. 일반적으로 이러한 온-프레미스 환경은 클라우드 서비스를 사용할 수 없는 격리되어 있습니다. 이 시나리오에는 중요한 인프라 또는 기타 연결이 끊긴 OT(운영 기술) 환경이 포함될 수 있습니다. 그러나 공기가 틈새가 있는 산업 제어 시스템/ICS/SCADA(감독 제어 및 데이터 취득) 세그먼트는 일반적으로 자체 Active Directory 배포를 활용하지 않는다는 점에 유의해야 합니다.
조직이 이러한 시나리오 중 하나에 있는 경우 현재 배포된 ESAE 아키텍처 전체를 기본 여전히 유효할 수 있습니다. 그러나 ESAE를 기본 기술 복잡성 및 운영 비용이 증가하여 조직이 추가 위험을 초래한다는 것을 이해해야 합니다. MICROSOFT는 여전히 ESAE 또는 기타 레거시 ID 보안 제어를 사용하는 모든 조직에서 관련 위험을 모니터링, 식별 및 완화하기 위해 추가적인 엄격성을 적용하는 것이 좋습니다.
참고 항목
Microsoft는 대부분의 조직에서 대부분의 시나리오에 대해 격리된 강화된 포리스트 모델을 더 이상 권장하지 않지만, Microsoft는 전 세계 조직에 신뢰할 수 있는 클라우드 서비스를 제공하기 위한 극단적인 보안 요구 사항 때문에 내부적으로 유사한 아키텍처(및 관련 지원 프로세스 및 직원)를 운영합니다.
기존 배포에 대한 지침
보안을 강화하거나 다중 포리스트 관리를 간소화하기 위해 이 아키텍처를 이미 배포한 고객의 경우 ESAE 구현이 설계되고 의도한 대로 작동하는 경우 해당 구현을 사용 중지하거나 교체해야 할 필요가 없습니다. 모든 엔터프라이즈 시스템과 마찬가지로 보안 업데이트를 적용하고 소프트웨어가 지원 수명 주기 내에 있는지 확인하여 소프트웨어를 기본 확인해야 합니다.
또한 ESAE/강화된 포리스트가 있는 조직은 RAMP(신속한 현대화 계획) 지침을 사용하여 최신 권한 있는 액세스 전략을 채택하는 것이 좋습니다. 이 지침은 기존 ESAE 구현을 보완하고 Microsoft Entra 관리자, 중요한 비즈니스 사용자 및 표준 엔터프라이즈 사용자를 포함하여 ESAE에서 아직 보호하지 않는 역할에 적절한 보안을 제공합니다. 자세한 내용은 권한 있는 액세스 보안 수준 보안 문서를 참조하세요.
ESAE가 10여 년 전에 설계되었을 때, 초점은 로컬 ID 공급자 역할을 하는 AD(Active Directory)가 있는 온-프레미스 환경이었습니다. 이 레거시 접근 방식은 최소 권한을 달성하기 위한 매크로 구분 기술을 기반으로 하며 하이브리드 또는 클라우드 기반 환경을 적절히 고려하지 않습니다. 또한 ESAE 및 강화된 포리스트 구현은 온-프레미스 Windows Server Active Directory 관리자(ID)를 보호하는 데만 초점을 맞추고 최신 제로 트러스트 아키텍처의 재기본 핵심 요소에 포함된 세분화된 ID 컨트롤 및 기타 기술을 고려하지 않습니다. Microsoft는 클라우드 기반 솔루션에 대한 권장 사항을 업데이트했습니다. 이러한 솔루션은 보다 신속하게 배포되어 보다 광범위한 관리 및 비즈니스에 민감한 역할 및 시스템을 보호할 수 있기 때문입니다. 또한, 그들은 덜 복잡하고 확장 가능하며 기본 달성하기 위해 적은 자본 투자가 필요합니다.
참고 항목
ESAE는 더 이상 전체에서 권장되지 않지만, Microsoft는 해당 구성 요소에 포함된 많은 개별 구성 요소가 좋은 사이버 위생(예: 전용 Privileged Access 워크스테이션)으로 정의되어 있음을 인식합니다. ESAE의 사용 중단은 조직이 좋은 사이버 위생 관행을 포기하도록 강요하는 것이 아니라 권한 있는 ID를 보호하기 위한 업데이트된 아키텍처 전략을 강화하기 위한 것입니다.
대부분의 조직에 적용할 수 있는 ESAE의 좋은 사이버 위생 사례 예
- 모든 관리 활동에 PAW(권한 있는 액세스 워크스테이션) 사용
- 환경 전체에서 널리 사용되지 않는 경우에도 관리 자격 증명에 토큰 기반 또는 MFA(다단계 인증) 적용
- 그룹/역할 멤버 자격의 정기적인 평가를 통해 최소 권한 관리이상 모델 적용(강력한 조직 정책에 의해 적용됨)
온-프레미스 AD 보안 모범 사례
계속 사용 시나리오에 설명된 대로 다양한 상황으로 인해 클라우드 마이그레이션을 달성할 수 없는 상황이 있을 수 있습니다(부분적으로 또는 전체). 이러한 조직의 경우 기존 ESAE 아키텍처가 아직 없는 경우 Active Directory 및 권한 있는 ID에 대한 보안의 엄격성을 높여 온-프레미스 AD의 공격 노출 영역을 줄이는 것이 좋습니다. 전체 목록은 아니지만 다음과 같은 높은 우선 순위 권장 사항을 고려합니다.
- 최소 권한 관리 모델을 구현하는 계층화된 접근 방식을 사용합니다.
- 절대 최소 권한을 적용합니다.
- 권한 있는 ID를 검색, 검토 및 감사합니다(조직 정책과 강력한 연결).
- 과도한 권한 부여는 평가된 환경에서 가장 식별된 문제 중 하나입니다.
- 관리 계정에 대한 MFA(환경 전체에서 널리 사용되지 않더라도).
- 시간 기반 권한 있는 역할(과도한 계정 감소, 승인 프로세스 강화).
- 권한 있는 ID에 대해 사용 가능한 모든 감사를 사용하도록 설정하고 구성합니다(사용/사용 안 함 알림, 암호 재설정, 기타 수정 사항).
- PAW(Privileged Access Workstations) 사용:
- 신뢰할 수 없는 호스트에서 PAW를 관리하지 마세요.
- MFA를 사용하여 PAW에 액세스합니다.
- 물리적 보안에 대해 잊지 마세요.
- 항상 PAW가 최신 및/또는 현재 지원되는 운영 체제를 실행하고 있는지 확인합니다.
- 공격 경로 및 위험 수준이 높은 계정/애플리케이션 이해:
- 가장 큰 위험을 초래하는 ID 및 시스템 모니터링의 우선 순위를 지정합니다(기회의 목표/높은 영향).
- 운영 체제 경계를 넘어 암호 재사용을 제거합니다(일반적인 횡적 이동 기술).
- 위험을 증가시키는 활동을 제한하는 정책을 적용합니다(보안 워크스테이션에서 인터넷 검색, 여러 시스템의 로컬 관리자 계정 등).
- Active Directory/Do기본 컨트롤러에서 애플리케이션을 줄입니다(추가된 각 애플리케이션은 추가 공격 표면임).
- 불필요한 애플리케이션을 제거합니다.
- 가능하면 다른 워크로드에 필요한 애플리케이션을 /DC의 다른 워크로드로 이동합니다.
- Active Directory의 변경할 수 없는 백업:
- 랜섬웨어 감염으로부터 복구하는 데 중요한 구성 요소입니다.
- 정기적인 백업 일정입니다.
- 재해 복구 계획에 따라 클라우드 기반 또는 오프사이트 위치에 저장됩니다.
- Active Directory 보안 평가를 수행합니다.
- 결과를 보려면 Azure 구독이 필요합니다(사용자 지정된 Log Analytics 대시보드).
- 주문형 또는 Microsoft 엔지니어가 지원하는 제품입니다.
- 평가에서 지침의 유효성을 검사/식별합니다.
- Microsoft는 매년 평가를 수행하는 것이 좋습니다.
이러한 권장 사항에 대한 포괄적인 지침은 Active Directory 보안에 대한 모범 사례를 검토 하세요.
추가 권장 사항
Microsoft는 다양한 제약 조건으로 인해 일부 엔터티가 클라우드 기반 제로 트러스트 아키텍처를 완전히 배포할 수 없다는 것을 인식합니다. 이러한 제약 조건 중 일부는 이전 섹션에서 멘션. 전체 배포 대신, 조직은 환경에서 레거시 장비 또는 아키텍처를 계속 기본 유지하면서 위험을 해결하고 제로 트러스트로 발전할 수 있습니다. 이전에 멘션 지침 외에도 다음 기능은 환경의 보안을 강화하는 데 도움이 될 수 있으며 제로 트러스트 아키텍처를 채택하기 위한 출발점이 될 수 있습니다.
ID 아키텍처용 Microsoft Defender
MDI(Microsoft Defender for Identity) (공식적으로 Azure Advanced Threat Protection 또는 ATP)는 Microsoft 제로 트러스트 아키텍처를 뒷받침하고 ID의 핵심 요소에 중점을 둡니다. 이 클라우드 기반 솔루션은 온-프레미스 AD 및 Microsoft Entra ID의 신호를 사용하여 ID와 관련된 위협을 식별, 감지 및 조사합니다. MDI는 이러한 신호를 모니터링하여 사용자 및 엔터티에서 비정상적이고 악의적인 동작을 식별합니다. 특히 MDI는 손상된 경우 지정된 계정을 사용할 수 있는 방법을 강조 표시하여 악의적 사용자의 횡적 이동 경로를 시각화하는 기능을 용이하게 합니다. MDI의 동작 분석 및 사용자 기준 기능은 AD 환경 내에서 비정상적인 활동을 결정하기 위한 핵심 요소입니다.
참고 항목
MDI는 온-프레미스 AD에서 신호를 수집하지만 클라우드 기반 연결이 필요합니다.
Microsoft Defender for Things(D4IoT)
이 문서에 설명된 다른 지침 외에도 위의 멘션 시나리오 중 하나에서 작동하는 조직은 Microsoft Defender for IoT(D4IoT)를 배포할 수 있습니다. 이 솔루션은 IoT(사물 인터넷) 및 OT(운영 기술) 환경에 대한 자산 검색, 인벤토리 관리 및 위험 기반 동작 분석을 가능하게 하는 수동 네트워크 센서(가상 또는 물리적)를 제공합니다. 온-프레미스 에어 갭 또는 클라우드 연결 환경에 배포할 수 있으며 100개가 넘는 ICS/OT 독점 네트워크 프로토콜에 대해 심층 패킷 검사를 수행할 수 있습니다.
다음 단계
다음 문서를 검토합니다.