ID 기둥에 대한 CISA 제로 트러스트 성숙도 모델
IdP(통합 ID 공급자)는 액세스를 효과적으로 관리하는 데 중요합니다. 사용자와 엔터티가 과도한 권한 없이 리소스에 대한 올바른 액세스 권한을 갖도록 합니다. ID, 자격 증명 및 액세스 관리 솔루션을 통합하면 강력한 인증, 맞춤형 컨텍스트 기반 권한 부여 및 ID 위험 평가가 생성됩니다.
OMB(관리 및 예산실) 각서-22-09는 행정 명령 14028: 국가의 사이버 보안개선을 지원하기 위해 발표되었으며, 연방 기관이 사용자에 대해 중앙 집중식 ID 관리 시스템을 사용하도록 의무화합니다. 이러한 시스템은 애플리케이션 및 공통 플랫폼에 통합되어 ID 관리에 대한 통합된 접근 방식을 보장할 수 있습니다. 이 요구 사항은 사이버 보안 및 데이터 개인 정보를 향상시키는 제로 트러스트 전략의 일부입니다. Microsoft Entra ID를 IdP로 채택하여 IdP, ID 저장소 및 ID 관리 시스템을 통합할 것을 권장합니다.
자세한 내용은 Microsoft Entra ID사용하여 M-22-09의 ID 요구 사항 충족을 참조하세요.
다음 링크를 사용하여 가이드의 섹션으로 이동합니다.
1 정체성
이 섹션에는 ID 핵심 요소에 CISA 제로 트러스트 완성 모델 대한 Microsoft 지침과 권장 사항이 있습니다. CISA(사이버 보안 & 인프라 보안 기관)는 ID를 비인격 엔터티를 포함하여 기관 사용자 또는 엔터티를 고유하게 설명하는 특성 집합 또는 특성 집합으로 식별합니다. 자세한 내용은 제로 트러스트사용하여 ID 보안
1.1 함수: 인증
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 MFA를 사용하여 ID를 인증합니다. 이 ID는 암호를 하나의 요소로 포함할 수 있으며 여러 엔터티 특성(예: 로캘 또는 활동)의 유효성을 검사해야 합니다. |
Microsoft Entra ID ID 공급자를 통합하고 모든 액세스 요청의 경로에 Microsoft Entra ID 배치하여 ID 기반을 설정합니다. 애플리케이션을 식별하고 Microsoft Entra ID로 마이그레이션하는 동안 새 애플리케이션이 Microsoft Entra ID와 통합되도록 하는 정책을 구현합니다. 이 작업을 수행하면 MFA(다단계 인증) 및 엔터티 특성 유효성 검사와 같은 보안 정책이 엔터프라이즈 리소스에 대한 액세스를 위해 일관되게 적용됩니다. 2024-2025년 내내 Microsoft는 관리 포털에 대한 MFA 적용을 롤아웃하고 있습니다. Microsoft는 계정에서 MFA 사용을 권장합니다.앱 및 인증을 Microsoft Entra ID - 인증 방법 관리 - Microsoft Entra MFA 개요 Microsoft Entra 조건부 액세스 모든 클라우드 앱에 MFA를 요구하는 조건부 액세스 정책 만들기 모든 다단계 인증 방법은 조건부 액세스에서 "MFA 필요" 권한 부여 제어를 전달합니다. 로캘 및 활동과 같은 여러 엔터티 특성의 유효성 검사를 포함합니다. 애플리케이션 대상 지정 및 네트워크 조건을 사용합니다. - 클라우드 앱, 작업 및 인증에 대해 다단계 인증을 사용하도록 설정 - 조건부 액세스에서 - 조건부 액세스 정책의 네트워크 Microsoft Entra 외부 ID 외부 게스트를 포함한 모든 사용자에 대한 MFA가 필요합니다. 파트너 협업 경험을 개선하기 위해 테넌트 간 액세스 신뢰 설정을 구성합니다. B2B 협업을 위한 테넌트 간 액세스 |
|
고급 완성도 상태 Enterprise는 FIDO2 또는 PIV를 통한 암호 없는 MFA의 초기 구현을 포함하여 피싱 방지 MFA 및 특성을 사용하여 모든 ID를 인증하기 시작합니다. |
현재 애플리케이션을 Microsoft Entra ID를 ID 공급자(IdP)로 사용하도록 마이그레이션하는 . 새 애플리케이션의 경우 Microsoft Entra ID와 통합해야 합니다. Microsoft Entra 애플리케이션 프록시에서 레거시 인증 프로토콜을 사용하는 애플리케이션을 포함합니다. 스테이징된 롤아웃을 사용하여 페더레이션된 IDP에서 클라우드 및 관리 인증으로 마이그레이션합니다. 이러한 작업을 수행하면 피싱 방지 MFA가 엔터프라이즈 리소스에 대한 액세스를 위해 일관되게 적용됩니다. - 앱과 인증을 Microsoft Entra ID로 마이그레이션 - Microsoft Entra 앱 갤러리 - 온-프레미스 앱을 게시하기 위한 Microsoft Entra 애플리케이션 프록시 - 스테이지 롤아웃을 통한 클라우드 인증 조건부 액세스 피싱에 저항하는 MFA를 요구하기 위해 조건부 액세스 인증 강도를 구성합니다. 여기에는 FIDO2(Fast IDentity Online 2) 암호 없는 MFA 또는 개인 신원 확인(PIV) 카드를 사용하는 인증서 기반 인증(CBA)이 포함됩니다. Microsoft Entra 인증 강도 Microsoft Entra 인증 방법 Microsoft Authenticator의 패스키, Microsoft Entra CBA, 비즈니스용 Windows Hello 및 패스키와 같은 피싱 저항 방법을 통해 인증 정책을 구현합니다. FIDO2 보안 키도 참조하세요. 사용자를 피싱 방지 기능이 없는 MFA에서 전환하려면, 더 약한 인증 방법에서 제외해야 합니다.Microsoft Entra CBA |
|
최적 완성도 상태 Enterprise는 액세스가 처음 부여된 시점뿐만 아니라 피싱 방지 MFA를 사용하여 ID의 유효성을 지속적으로 검사합니다. |
조건부 액세스 조건부 액세스 정책은 사용자의 세션 전체에서 지속적으로 평가됩니다. Microsoft Entra ID Protection에서 사용자 또는 로그인이 위험한 것으로 감지되는 경우와 같은 특정 조건에서 필요한 로그인 빈도를 늘리도록 세션 컨트롤을 구성합니다. |
1.2 함수: ID 저장소
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise에는 자체 관리 ID 저장소와 호스트 ID 저장소(예: 클라우드 또는 기타 엔터프라이즈)가 조합되어 있으며 저장소 간의 통합을 최소화합니다(예: Single Sign-On). |
Microsoft Entra ID 기업에는 여러 ID 저장소 및/또는 ID 공급자(IdP)와 통합된 앱이 있을 수 있습니다. Microsoft Entra ID를 엔터프라이즈 IdP로 통합하고 채택합니다. 클라우드 채택 및 온-프레미스 ID 저장소 종속성 감소 계획 - ID 및 액세스를 Microsoft Entra ID로 이동합니다 - 앱 및 인증을 Microsoft Entra ID로 마이그레이션하기 앱, 사용자, 그룹 및 디바이스 인벤토리. ID 저장소의 수를 정확히 파악하십시오. AD FS(Active Directory Federation Services) 또는 타사 IdP와 같은 ID 저장소 또는 IDP를 포함합니다. 사용자, 그룹 및 디바이스 특성이 플랫폼 간에 일관되게 업데이트되도록 하려면 온-프레미스 AD DS(Active Directory Domain Services)와 Microsoft Entra ID 간에 ID를 동기화합니다.microsoft Entra Connect 동기화 - 클라우드 우선 접근 방식 - 하이브리드 조인 장치 - 연결된 장치로 온-프레미스 리소스에 SSO - Microsoft Intune |
|
고급 성숙도 상태 엔터프라이즈는 일부 자체 관리 및 호스팅 아이덴티티 저장소를 안전하게 통합하기 시작합니다. |
Microsoft Entra ID 엔터프라이즈는 Microsoft Entra ID를 ID 저장소 및 IdP로 채택했습니다. 새 앱은 Microsoft Entra ID와 통합됩니다. 마이그레이션의 경우 현재 앱 인벤토리가 Microsoft Entra ID와 통합되지 않습니다. 최신 인증을 지원하지 않는 레거시 앱은 Microsoft Entra 애플리케이션 프록시에서 Microsoft Entra ID SHA(보안 하이브리드 액세스)를 사용할 수 있습니다. 최신 인증 프로토콜을 사용하려면 앱을 교체, 리팩터링 또는 다시 구성합니다.Microsoft Entra 앱 갤러리 |
|
최적 완성도 상태 Enterprise는 모든 파트너 및 환경에서 해당 ID 저장소를 적절하게 안전하게 통합합니다. |
Microsoft Entra ID 로의 앱 마이그레이션이 완료되었습니다. 엔터프라이즈 리소스에 액세스하려면 Microsoft Entra ID를 사용하여 인증해야 합니다. Microsoft Entra 외부 ID 외부 ID로 보안 공동 작업을 사용하도록 설정합니다. IT 관리 부담을 줄이기 위해 테넌트 간 동기화를 구성합니다. 원활하고 자동화된 사용자 환경을 제공합니다.Microsoft Entra ID의 - 외부 ID - 테넌트 간 동기화 Microsoft Entra 애플리케이션 프로비저닝 ID 저장소가 있는 애플리케이션의 경우, ID 및 역할을 관리하도록 앱 프로비저닝을 구성합니다. - 앱 프로비저닝 - 온-프레미스 앱 프로비저닝 - API 기반 프로비저닝 앱 구성 - Microsoft Entra 애플리케이션 프록시를 통해 온-프레미스 앱 게시 Microsoft Entra HR 인바운드 프로비저닝 HR 기반 ID 프로비저닝을 사용하여 현대화합니다. 새로운 디지털 ID에 대한 신뢰할 수 있는 원본인 HR 시스템을 기반으로 디지털 ID를 만듭니다. 프로비저닝은 일반적으로 이 시점에서 시작됩니다. 온-프레미스 HR 시스템과 함께 Microsoft Entra를 사용하여 Active Directory 또는 Microsoft Entra ID에서 사용자를 만들고 업데이트합니다. HR 기반 프로비저닝 엔터프라이즈용 Microsoft 365 Microsoft Entra ID 및 Microsoft 365의 다중 테넌트 조직 기능을 사용하여 테넌트 그룹을 구성하고 조직 내 테넌트 간 협업을 간소화합니다. Microsoft Entra ID 및 Microsoft 365의 다중 테넌트 조직에서는 통합 사용자 검색 환경, GAL(전역 주소 목록) 및 향상된 Microsoft Teams 여러 테넌트에서 공동 작업을 수행할 수 있습니다.Microsoft 365 다중 테넌트 조직 기능 - 다중 테넌트 조직에 - |
1.3 함수: 위험 평가
|
고급 완성도 상태
Enterprise는 액세스 결정 및 응답 활동을 알리기 위해 일부 자동화된 분석 및 동적 규칙을 사용하여 ID 위험을 결정합니다.Microsoft Entra ID Protection
-
Microsoft Entra ID Protection
- MFA 등록 정책
- 워크로드 ID 보호
- 위험 기반 조건부 액세스
Microsoft Sentinel
Microsoft Entra ID Protection 경고가 Microsoft Defender XDR에 자동으로 표시됩니다. 가시성 향상, 비XDR 데이터와의 상관 관계, 더 긴 데이터 보존 및 사용자 지정 가능한 응답 자동화를 위해 Microsoft Defender XDR을 Microsoft Sentinel에 연결합니다.
-
Defender XDR
- Defender XDR을 Sentinel
연결 |최적 성숙도 상태
Enterprise는 지속적인 분석과 동적 규칙을 토대로 실시간으로 ID 위험을 결정하여 지속적인 보호를 제공합니다.
|
조건부 액세스
클라우드 앱에 대한 조건부 액세스 앱 제어를 구성합니다. 엔드포인트용 Microsoft Defender를 사용하여 디바이스를 보호하고 전자 메일, 링크(URL), 파일 첨부 파일 및 공동 작업 도구의 위협으로부터 보호하기 위해 Office 365용 Microsoft Defender를 사용하도록 설정합니다.Cloud Apps 및 Microsoft Entra ID를 사용하여 앱 액세스 모니터링
- 엔드포인트용 Defender 배포
-
- Office 365용 Defender 배포
Microsoft Purview 내부자 위험 관리
악의적이거나 우발적인 활동을 감지, 조사, 및 조치할 수 있도록 내부자 위험 관리를 구성합니다. 내부자 위험 정책을 사용하여 위험 유형을 정의하여 식별하고 검색합니다. 필요한 경우, 사례에 따라 조치를 취하거나 Microsoft Purview eDiscovery(프리미엄)에 사건을 에스컬레이션합니다.
-
Microsoft Purview
- 참가자 위험 관리
- Microsoft Defender XDR
엔드포인트용 Microsoft Defender, Cloud Apps용 Defender 및 Office용 Defender를
내부자 위험 액세스를 차단하여 비정상적인 활동을 감지하고 Microsoft Entra ID Protection의 사용자 및 로그인 위험 수준에 위험 신호를 제공합니다.
위험 검색|
1.4 함수: 액세스 관리
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 엔터프라이즈는 자동화된 검토와 함께 만료되는 권한 있는 액세스 요청을 포함하여 액세스를 승인합니다. |
Microsoft Entra 조건부 액세스 앱 사용량에 정책을 적용하도록 조건부 액세스를 구성합니다. 조건부 액세스는 액세스 권한을 부여하기 위해 다양한 원본의 신호를 받습니다. 조건부 액세스 Microsoft Entra 권한 관리 권한 있는 역할 및 그룹을 포함하여 역할 및 그룹으로 액세스 요청 및 승인 워크플로에 대한 권한 관리에서 액세스 패키지를 구성합니다. 액세스 검토 자동화를 구성하여 역할 및 그룹에서 만료 및 제거를 포함시킵니다.권한 관리 |
|
고급 성숙도 상태 Enterprise는 작업 및 리소스에 맞게 조정된 권한 있는 액세스 요청을 포함하여 필요 기반 및 세션 기반 액세스를 승인합니다. |
조건부 액세스 조건부 액세스를 구성하여 세션 기반 액세스를 포함하여 액세스 권한을 부여합니다. 대상 리소스, 역할 및 권한 있는 역할 조건부 액세스 Microsoft Entra Privileged Identity Manager 사용자 지정 역할 및 그룹과 같은 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하도록 PIM을 구성합니다. 특정 작업 및 리소스에 대한 액세스를 조정합니다. - Privileged Identity Management - 그룹용 PIM - PIM의 Azure 사용자 지정 역할 Microsoft Purview 권한 있는 액세스 관리 Office 365에서 권한 있는 관리자 작업의 세분화된 액세스 제어를 위한 권한 있는 액세스 관리를 구성합니다. - 권한 있는 액세스 관리 - 권한 있는 액세스 관리 시작하기 |
|
최적의 완성 상태 Enterprise는 자동화를 사용하여 개별 행동 및 개별 자원 필요에 맞춰 적시 및 최소한의 액세스를 승인합니다. |
Microsoft Entra ID 거버넌스 Microsoft Entra ID 거버넌스 액세스 패키지를 구성하여 개별 작업 및 리소스 요구 사항에 맞게 JIT(Just-In-Time) 및 JEA(Just-Enough-Access) 액세스 권한 부여를 자동화합니다. - 권한 관리 - 액세스 패키지 |
1.5 기능: 가시성 및 분석
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 사용자 및 엔터티 활동 로그를 수집하고 로그 형식 간의 상관 관계가 제한된 일상적인 수동 분석 및 일부 자동화된 분석을 수행합니다. |
Microsoft Entra ID - Microsoft Entra 모니터링 및 상태 - Azure Storage의 활동 로그 보관 - 로그를 Azure Monitor 로그와 통합 - 활동 로그 및 로그 분석 - Microsoft Entra 통합 문서 |
|
Advanced Maturity Status Enterprise는 일부 사용자 및 개체 활동 로그 유형에 대해 자동 분석을 수행하고, 수집 절차를 보강하여 가시성 격차를 해소합니다. |
Microsoft Entra ID - Microsoft Entra 모니터링 및 상태 - Microsoft Entra ID의 로그인 로그 - Microsoft Sentinel - Microsoft Entra 데이터를 Sentinel에 연결 - Defender for Identity - Defender XDR 데이터를 Sentinel에 연결 - Defender for Cloud Apps |
|
최적 완성도 상태 Enterprise는 동작 기반 분석을 포함하여 사용자 활동 로그 유형에 대한 자동화된 분석을 수행하여 기업 전체에서 포괄적인 가시성 및 상황 인식을 유지합니다. |
Microsoft Entra ID 보호 ID 보호를 활성화하여 사용자의 동작 패턴을 모니터링하고 위험 요소를 감지할 수 있습니다. 내부자 위험 탐지를 구성하고 조건부 액세스와 통합합니다.ko-KR: - ID 보호 - 위험 정책 Sentinel, 신원 위협 탐지 및 대응 Sentinel의 분석 규칙과 거의 실시간 이벤트 분석은 Microsoft Entra 로그를 수집하고 분석합니다. 고급 분석, 인시던트 관리 워크플로 및 위협 인텔리전스 통합을 사용하여 보안 이벤트 및 위험에 대한 사전 식별 및 대응을 사용하도록 설정합니다. 인시던트 조사를 간소화하고 엔터프라이즈 보안 태세를 강화합니다.위협 인텔리전스 |
1.6 함수: 자동화 및 오케스트레이션
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 권한 있는 사용자와 외부 ID를 수동으로 오케스트레이션하며, 권한이 없는 사용자 및 자체 관리 엔터티의 오케스트레이션을 자동화합니다. |
Microsoft Entra Connect - Microsoft Entra Connect v2 - Microsoft Entra Cloud Sync - Microsoft 365를 온-프레미스 공격으로부터 보호 - 클라우드 HR 앱에서 Microsoft Entra 사용자 프로비저닝 |
|
고급 성숙도 상태 Enterprise는 권한 있는 사용자 아이디를 수동으로 관리하고 모든 환경에서 통합하여 모든 아이디의 관리 과정을 자동화합니다. |
Microsoft Entra 앱 프로비저닝 - 외부 ID - 테넌트 간 동기화 - 테넌트 간 동기화 구성 |
|
최적의 완성도 상태 Enterprise는 동작, 등록 및 배포 요구 사항에 따라 모든 환경에서 전체 통합을 통해 모든 ID의 오케스트레이션을 자동화합니다. |
Microsoft Entra ID 거버넌스 이 성숙 단계에서 ID 조정이 완료되었습니다. 고급 상태를 참조하세요. Microsoft Entra 권한 관리는 관리되는 사용자, 애플리케이션, 역할 및 그룹 액세스를 오케스트레이션하기 위해 구현됩니다. PIM(Privileged Identity Management)을 사용하여 권한 있는 사용자 ID를 구성하여 ID 통합을 완료합니다. 라이프사이클 워크플로를 사용하여 합류자, 이동자, 이탈자 시나리오 간의 이동을 자동화합니다. - 권한 관리 - PIM - 수명 주기 워크플로 대해 알아봅니다. |
1.7 함수: 거버넌스
| CISA ZTMM 단계 설명 | Microsoft 지침 및 권장 사항 |
|---|---|
|
초기 완성도 상태 Enterprise는 최소한의 자동화 및 수동 업데이트로 엔터프라이즈 차원의 적용을 위한 ID 정책을 정의하고 구현하기 시작합니다. |
Microsoft Entra ID 새 앱 통합을 위해 ID 공급자(IdP)로 Microsoft Entra ID를 사용하십시오. 현재 앱을 Microsoft Entra ID로 마이그레이션합니다. 엔터프라이즈 수준 요구 사항을 적용하고 애플리케이션 및 리소스 액세스를 위한 PEP(정책 적용 지점)가 되도록 Microsoft Entra 조건부 액세스 정책을 구성합니다. 역할 기반 액세스 제어(RBAC), 클레임 매핑 및 아웃바운드 프로비저닝을 사용하여 현재 및 향후 앱에 대한 권한 부여 및 역할 매핑을 구현합니다. - Microsoft Entra ID 거버넌스 - 조건부 액세스 |
|
고급 완성도 상태 Enterprise는 자동화 및 업데이트 정책을 주기적으로 사용하여 엔터프라이즈 전체 적용을 위한 ID 정책을 구현합니다. |
조건부 액세스 엔터프라이즈 전체에서 ID 정책 적용을 위해 조건부 액세스를 사용합니다. CISA SCuBA(Secure Cloud Business Applications) 프로젝트Microsoft Entra ID에 대한 권장 사항을 검토하고 구현하고 해당 API를 사용하여 조건부 액세스 구성을 자동화합니다. - 조건부 액세스 배포 - CISA SCuBA 및 Microsoft Entra ID - condtionalAccessPolicy 리소스 종류 |
|
최적 완성도 상태 Enterprise는 지속적인 적용 및 동적 업데이트를 통해 모든 시스템에서 모든 사용자 및 엔터티에 대한 엔터프라이즈 차원의 ID 정책을 구현하고 완전히 자동화합니다. |
Microsoft Entra ID Microsoft Entra ID를 사용하려면 앱 액세스가 필요하므로 조건부 액세스 평가를 적용합니다. 거의 실시간 적용 및 ID 보호를 위해 Microsoft Entra ID CAE(지속적인 액세스 평가)를 사용합니다. 이 작업을 통해 환경 위험에 동적으로 적응할 수 있습니다. 지속적인 평가를 적용하려면 CAE를 코드와 함께 사용자 지정 앱 및 API에 통합합니다. - 지속적인 액세스 평가 - MICROSOFT Entra ID Protection - Global Secure Access 앱에서 CAE를 사용하도록 설정된 API를 토큰 도난 및 재생 공격의 위험을 줄이기 위해 규정 준수 네트워크 적용을 구성합니다. 집행은 CAE를 지원하는 서비스와 함께 작동합니다. 앱은 거의 실시간으로 테넌트 준수 네트워크 외부에서 다시 사용된 도난당한 액세스 토큰을 거부합니다.조건부 액세스 |
다음 단계
CISA 제로 트러스트 성숙도 모델을 위한 Microsoft Cloud Services를 구성합니다.