시나리오: 중앙 액세스 정책
조직은 파일에 대한 중앙 액세스 정책으로 사용자 그룹, 사용자 클레임, 디바이스 클레임 및 리소스 속성을 사용하는 조건식을 비롯한 권한 부여 정책을 중앙에서 배포하고 관리할 수 있습니다. (클레임은 연결된 개체의 특성에 대한 어설션입니다). 예를 들어 HBI(높은 비즈니스 영향) 데이터에 액세스하려면 정규 직원이 관리되는 디바이스에서 액세스 권한을 얻은 후 스마트 카드를 사용해서 로그온해야 합니다. 이러한 정책은 AD DS(Active Directory 도메인 서비스)에서 정의되어 호스트됩니다.
조직 액세스 정책은 규정 준수 및 비즈니스 규정 요구 사항에 따라 달라집니다. 예를 들어 PII(개인 식별 정보) 정보를 볼 수 있도록 허용된 HR(인사부)의 구성원과 파일 소유자만 파일의 PII에 액세스하도록 제한하는 비즈니스 요구 사항이 조직에 있다면 해당 정책은 조직 전체의 파일 서버에 있는 PII 파일에 적용됩니다. 이 예제에서는 다음을 수행할 수 있어야 합니다.
PII가 포함된 파일 식별 및 표시합니다.
PII 정보를 볼 수 있도록 허용된 HR 구성원 그룹을 식별합니다.
조직 전체의 파일 서버에 있는 모든 PII 포함 파일에 적용되는 중앙 액세스 정책을 생성합니다.
권한 부여 정책의 배포 및 적용에 대한 이니셔티브는 다양한 이유에서 비롯되고 조직의 여러 수준에 적용될 수 있습니다. 다음은 몇 가지 예제 정책 유형입니다.
조직 전체 권한 부여 정책. 가장 일반적으로 정보 보안 부서에서 시작되는 해당 권한 부여 정책은 규정 준수 또는 높은 수준의 조직 요구 사항에 따라 달라지며 이는 조직 전체에 관련되어 있습니다. 예를 들어 HBI 파일은 정규 직원만 액세스할 수 있습니다.
부서별 권한 부여 정책. 조직의 각 부서에는 적용하고 싶어하는 특별한 데이터 처리 요구 사항이 있습니다. 예를 들어 재무 부서에서는 재무 직원만이 재무 서버에 액세스하도록 제한할 수 있습니다.
특정 데이터 관리 정책. 해당 정책은 일반적으로 규정 준수 및 비즈니스 요구 사항과 관련이 있으며, 관리 중인 정보에 대한 올바른 액세스 보호를 목표로 합니다. 예를 들어 금융 기관의 분석가가 중개 정보에 액세스할 수 없는 것이며, 중개자가 분석 정보에 액세스할 수 없도록 하는 정보 차단을 구현할 수 있는 것입니다.
알아야 할 정책. 이 권한 부여 정책 유형은 일반적으로 이전 정책 유형과 함께 사용됩니다. 예를 들어 공급업체는 작업 중인 프로젝트와 관련된 파일에만 액세스하고 편집할 수 있어야 하는 것입니다.
또한 실제 비즈니스 환경에서는 중요한 비즈니스 요구가 발생 시 조직에서 신속하게 대응할 수 있도록 모든 권한 부여 정책에 예외를 두어야 한다는 점을 알려줍니다. 예를 들어 스마트 카드 없이 HBI 정보에 빠르게 액세스해야 하는 임원이 기술 지원팀에게 요청해 HBI 정보에 액세스하는 권한을 일시적인 예외로 얻을 수 있습니다.
중앙 액세스 정책은 조직에서 서버 전체에 적용하는 보안 방어막 같은 역할을 합니다. 중앙 액세스 정책은 파일과 폴더에 적용되는 로컬 액세스 정책 및 DACL(임의 액세스 제어 목록)을 대체하지 않고 강화합니다. 예를 들어 파일의 DACL에서는 특정 사용자에 대한 액세스를 허용하지만 파일에 적용되는 중앙 정책이 동일한 사용자에 대한 액세스를 제한하는 경우 사용자가 파일에 액세스할 수 없게 되는 것입니다. 중앙 액세스 정책에서는 액세스를 허용하지만 DACL에서 액세스를 허용하지 않는 경우 사용자는 파일에 액세스할 수 없습니다.
중앙 액세스 정책 규칙에는 다음과 같은 논리 부분이 있습니다.
적용 가능성. 정책이 적용되는 데이터를 정의하는 조건(예: Resource.BusinessImpact=High)입니다.
액세스 조건. 데이터에 액세스할 수 있는 사람을 정의하는 하나 이상의 ACE(액세스 제어 항목) 목록(예: 허용 | 모든 권한 | User.EmployeeType=FTE)입니다.
예외. 정책에 대한 예외를 정의하는 하나 이상 ACE의 추가 목록(예: MemberOf(HBIExceptionGroup))입니다.
다음 두 그림은 중앙 액세스 및 감사 정책의 워크플로를 보여 줍니다.
그림 1 중앙 액세스 및 감사 정책 개념
그림 2 중앙 액세스 정책 워크플로
중앙 권한 부여 정책은 다음 구성 요소를 결합합니다.
HBI 또는 PII와 같은 특정 유형의 정보를 대상으로 하는 중앙 정의된 액세스 규칙 목록입니다.
규칙 목록을 포함하는 중앙 정의된 정책입니다.
액세스 권한을 부여하는 동안 적용해야 하는 특정 중앙 액세스 정책을 향하도록 파일 서버의 각 파일에 할당되는 정책 식별자입니다.
다음 그림은 파일에 대한 액세스를 중앙에서 제어하기 위해 정책을 정책 목록으로 결합하는 방법을 보여 줍니다.
그림 3 정책 결합
이 시나리오에서
다음 지침은 중앙 액세스 정책에 사용할 수 있습니다.
이 시나리오에 포함된 역할 및 기능
다음 표에는 이 시나리오에 포함된 역할 및 기능이 나열되어 있으며, 이러한 역할 및 기능이 시나리오를 지원하는 방법에 대한 설명이 나와 있습니다.
| 역할/기능 | 이 시나리오를 지원하는 방법 |
|---|---|
| Active Directory 도메인 서비스 역할 | 사용자 클레임 및 디바이스 클레임, 복합 ID, (사용자 + 디바이스 클레임)를 만들 수 있도록 하는 클레임 기반 권한 부여 플랫폼을 소개 하는 Windows Server 2012의 AD DS 새로운 중앙 액세스 정책(CAP) 모델 및 권한 부여 결정에 파일 분류 정보를 사용 합니다. |
| 파일 및 스토리지 서비스 서버 역할 | 파일 및 스토리지 서비스는 파일을 저장하며, 다른 사용자와 공유할 수 있는 네트워크의 중앙 위치를 제공하는 하나 이상의 파일 서버를 설정 및 관리 기술을 제공합니다. 네트워크 사용자에게 동일한 파일 및 애플리케이션에 대한 액세스 권한이 필요하거나 조직에서 중앙 집중 방식의 백업 및 파일 관리가 필요한 경우, 파일 및 스토리지 서비스 역할과 해당 역할 서비스를 컴퓨터에 추가하여 하나 이상의 컴퓨터를 파일 서버로 설정해야 합니다. |
| Windows 클라이언트 컴퓨터 | 사용자가 클라이언트 컴퓨터를 통해 네트워크의 파일 및 폴더에 액세스할 수 있습니다. |