Azure ID 관리 및 액세스 제어 보안 모범 사례

이 문서에서는 Azure ID 관리 및 액세스 제어 보안 모범 사례의 컬렉션에 대해 설명합니다. 이러한 모범 사례는 Microsoft Entra ID 를 사용한 경험과 자신과 같은 고객의 경험에서 파생됩니다.

각 모범 사례에 대해 다음과 같이 설명합니다.

• 각 모범 사례
• 해당 모범 사례를 사용해야 하는 이유
• 해당 모범 사례를 사용하지 않을 경우에 발생할 수 있는 결과
• 해당 모범 사례를 대체할 수 있는 대안
• 해당 모범 사례를 사용하는 방법을 알아보는 방법

이 Azure ID 관리 및 액세스 제어 보안 모범 사례 문서는 이 문서가 작성되었을 때 존재하는 합의된 의견 및 Azure 플랫폼 기능 및 기능 집합을 기반으로 합니다.

이 문서를 작성하려는 의도는 "ID 인프라를 보호하는 5단계" 검사 목록을 통해 배포 후 보다 강력한 보안 태세에 대한 일반적인 로드맵을 제공하는 것이며, 이 검사 목록은 핵심 기능 및 서비스 중 일부를 안내합니다.

의견과 기술은 시간이 지남에 따라 변경되며 이 문서는 이러한 변화를 반영하기 위해 정기적으로 업데이트됩니다.

이 문서에서 설명하는 Azure ID 관리 및 액세스 제어 보안 모범 사례는 다음과 같습니다.

• ID를 기본 보안 경계로 처리
• ID 관리 중앙 집중화
• 연결된 테넌트 관리
• Single Sign-On 활성화
• 조건부 액세스 켜기
• 일상적인 보안 개선 계획
• 암호 관리 활성화
• 사용자에 대한 다단계 인증 적용
• 역할 기반 액세스 제어 사용
• 권한 있는 계정의 노출 감소
• 리소스가 있는 위치 제어
• 스토리지 인증에 Microsoft Entra ID 사용

ID를 기본 보안 경계로 처리

많은 사람들이 ID를 보안의 기본 경계로 간주합니다. 이는 네트워크 보안에 대한 기존의 초점과는 다른 변화입니다. 네트워크 경계는 점점 더 다공성이며, 그 경계 방어는 BYOD 디바이스 및 클라우드 애플리케이션이 폭발하기 전만큼 효과적일 수 없습니다.

Microsoft Entra ID 는 ID 및 액세스 관리를 위한 Azure 솔루션입니다. Microsoft Entra ID는 Microsoft의 다중 테넌트 클라우드 기반 디렉터리 및 ID 관리 서비스입니다. 여기에서는 핵심 디렉터리 서비스, 애플리케이션 액세스 관리 및 ID 보호를 하나의 솔루션으로 결합합니다.

다음 섹션에서는 Microsoft Entra ID를 사용하여 ID 및 액세스 보안에 대한 모범 사례를 나열합니다.

모범 사례: 사용자 및 서비스 ID를 중심으로 보안 제어 및 탐지를 설정합니다. 세부 정보: Microsoft Entra ID를 사용하여 컨트롤 및 ID를 정렬합니다.

ID 관리 중앙 집중화

하이브리드 ID 시나리오에서는 온-프레미스 및 클라우드 디렉터리를 통합하는 것이 좋습니다. 통합을 통해 IT 팀은 계정이 만들어진 위치에 관계없이 한 위치에서 계정을 관리할 수 있습니다. 또한 통합을 통해 클라우드 및 온-프레미스 리소스에 모두 액세스하기 위한 공통 ID를 제공하여 사용자의 생산성을 높일 수 있습니다.

모범 사례: 단일 Microsoft Entra 인스턴스를 설정합니다. 일관성 및 단일 신뢰할 수 있는 원본은 명확성을 높이고 사용자 오류 및 구성 복잡성으로 인한 보안 위험을 줄입니다.
세부 정보: 단일 Microsoft Entra 디렉터리를 회사 및 조직 계정의 신뢰할 수 있는 원본으로 지정합니다.

모범 사례: 온-프레미스 디렉터리를 Microsoft Entra ID와 통합합니다.
세부 정보: Microsoft Entra Connect 를 사용하여 온-프레미스 디렉터리를 클라우드 디렉터리와 동기화합니다.

모범 사례: 기존 Active Directory 인스턴스에서 높은 권한이 있는 Microsoft Entra ID에 계정을 동기화하지 마세요.
세부 정보: 이러한 계정을 필터링하는 기본 Microsoft Entra Connect 구성 을 변경하지 마세요. 이 구성은 악의적 사용자가 클라우드에서 온-프레미스 자산으로 피벗하는 위험을 완화합니다(주요 인시던트를 만들 수 있음).

모범 사례: 암호 해시 동기화를 켭니다.
세부 정보: 암호 해시 동기화는 온-프레미스 Active Directory 인스턴스에서 클라우드 기반 Microsoft Entra 인스턴스로 사용자 암호 해시를 동기화하는 데 사용되는 기능입니다. 이 동기화는 이전 공격에서 재생되는 유출된 자격 증명을 보호하는 데 도움이 됩니다.

AD FS(Active Directory Federation Services) 또는 다른 ID 공급자와 페더레이션을 사용하기로 결정한 경우에도 필요에 따라 온-프레미스 서버가 실패하거나 일시적으로 사용할 수 없게 될 경우 암호 해시 동기화를 백업으로 설정할 수 있습니다. 이 동기화를 사용하면 사용자가 온-프레미스 Active Directory 인스턴스에 로그인하는 데 사용하는 것과 동일한 암호를 사용하여 서비스에 로그인할 수 있습니다. 또한 사용자가 Microsoft Entra ID에 연결되지 않은 다른 서비스에서 동일한 전자 메일 주소와 암호를 사용한 경우 동기화된 암호 해시를 손상된 것으로 알려진 암호와 비교하여 ID 보호에서 손상된 자격 증명을 검색할 수 있습니다.

자세한 내용은 Microsoft Entra Connect Sync를 사용하여 암호 해시 동기화 구현을 참조하세요.

모범 사례: 새 애플리케이션 개발의 경우 인증에 Microsoft Entra ID를 사용합니다.
세부 정보: 올바른 기능을 사용하여 인증을 지원합니다.

• 직원을 위한 Microsoft Entra ID
• 게스트 사용자 및 외부 파트너를 위한 Microsoft Entra B2B
• 고객이 애플리케이션을 사용할 때 자신의 프로필을 등록, 로그인 및 관리하는 방법을 제어하는 Microsoft Entra 외부 ID

온-프레미스 ID를 클라우드 ID와 통합하지 않는 조직은 계정 관리에 더 많은 오버헤드가 있을 수 있습니다. 이 오버헤드는 실수 및 보안 위반의 가능성을 증가시킵니다.

연결된 테넌트 관리

보안 조직은 위험을 평가하고 조직의 정책 및 규정 요구 사항을 준수하고 있는지 여부를 확인하기 위한 가시성이 필요합니다. 보안 조직이 프로덕션 환경 및 네트워크에 연결된 모든 구독( Azure ExpressRoute 또는 사이트 간의 VPN을 통해)을 볼 수 있는지 확인해야 합니다. Microsoft Entra ID의 전역 관리자는사용자 액세스 관리자 역할에 대한 액세스 권한을 상승시키고 사용자 환경에 연결된 모든 구독 및 관리 그룹을 볼 수 있습니다.

사용자와 보안 그룹이 사용자 환경에 연결된 모든 구독 또는 관리 그룹을 볼 수 있도록 모든 Azure 구독 및 관리 그룹을 관리하는 권한 상승 액세스를 참조하세요. 위험을 평가한 후 이 상승된 액세스를 제거해야 합니다.

Single Sign-On 활성화

모바일 우선 클라우드 우선 환경에서는 어디서나 어디서나 디바이스, 앱 및 서비스에 SSO(Single Sign-On)를 사용하도록 설정하여 사용자가 언제 어디서나 생산성을 높일 수 있도록 하고자 합니다. 관리할 ID 솔루션이 여러 대 있는 경우 IT뿐만 아니라 여러 암호를 기억해야 하는 사용자에게도 관리 문제가 됩니다.

모든 앱 및 리소스에 동일한 ID 솔루션을 사용하면 SSO를 달성할 수 있습니다. 또한 사용자는 동일한 자격 증명 집합을 사용하여 리소스가 온-프레미스에 있든 클라우드에 있든 관계없이 필요한 리소스에 로그인하고 액세스할 수 있습니다.

모범 사례: SSO를 사용하도록 설정합니다.
세부 정보: Microsoft Entra ID 는 온-프레미스 Active Directory를 클라우드로 확장합니다 . 사용자는 도메인에 가입된 디바이스, 회사 리소스 및 작업을 완료하는 데 필요한 모든 웹 및 SaaS 애플리케이션에 기본 회사 또는 학교 계정을 사용할 수 있습니다. 사용자는 여러 사용자 이름 및 암호 집합을 기억할 필요가 없으며, 조직 그룹 멤버 자격 및 직원으로서의 상태에 따라 애플리케이션 액세스를 자동으로 프로비전(또는 프로비전 해제)할 수 있습니다. 또한 Microsoft Entra 애플리케이션 프록시를 통해 개발 및 게시한 갤러리 앱 또는 사용자 고유의 온-프레미스 앱에 대한 액세스를 제어할 수 있습니다.

SSO를 사용하여 사용자가 Microsoft Entra ID의 회사 또는 학교 계정에 따라 SaaS 애플리케이션 에 액세스할 수 있습니다. 이는 Microsoft SaaS 앱뿐만 아니라 Google Apps 및 Salesforce와 같은 다른 앱에도 적용됩니다. MICROSOFT Entra ID를 SAML 기반 ID 공급자로 사용하도록 애플리케이션을 구성할 수 있습니다. 보안 제어로서 Microsoft Entra ID는 사용자가 Microsoft Entra ID를 통해 액세스 권한을 부여받지 않은 한 애플리케이션에 로그인할 수 있는 토큰을 발급하지 않습니다. 직접 또는 사용자가 구성원인 그룹을 통해 액세스 권한을 부여할 수 있습니다.

사용자 및 애플리케이션에 대한 SSO를 설정하는 공통 ID를 만들지 않는 조직은 사용자가 여러 암호를 사용하는 시나리오에 더 많이 노출됩니다. 이러한 시나리오는 사용자가 암호를 다시 사용하거나 약한 암호를 사용할 가능성을 높입니다.

조건부 액세스 켜기

사용자는 어디서나 다양한 디바이스 및 앱을 사용하여 조직의 리소스에 액세스할 수 있습니다. IT 관리자는 이러한 디바이스가 보안 및 규정 준수에 대한 표준을 충족하게 만들어야 합니다. 리소스에 액세스할 수 있는 사용자에만 집중하는 것만으로는 더 이상 충분하지 않습니다.

보안과 생산성 간에 적절한 균형을 유지하려면 액세스 제어를 결정하기 전에 리소스 액세스 방법을 먼저 고민해야 합니다. Microsoft Entra 조건부 액세스를 사용하여 이 요구 사항을 처리할 수 있습니다. 조건부 액세스를 사용하면 클라우드 앱의 액세스 조건에 따라 자동으로 액세스 제어를 결정하는 시스템을 만들 수 있습니다.

모범 사례: 회사 리소스에 대한 액세스를 관리 및 제어합니다.
세부 정보: SaaS 앱 및 Microsoft Entra ID 연결 앱에 대한 그룹, 위치 및 애플리케이션 민감도에 따라 일반적인 Microsoft Entra 조건부 액세스 정책을 구성합니다.

모범 사례: 레거시 인증 프로토콜을 차단합니다.
세부 정보: 공격자는 매일 오래된 프로토콜의 취약점을 악용하며, 특히 암호 스프레이 공격을 시도합니다. 레거시 프로토콜을 차단하도록 조건부 액세스를 구성합니다.

일상적인 보안 개선 계획

보안은 항상 진화하고 있으며, 정기적으로 성장을 보여주고 환경을 보호하는 새로운 방법을 검색하는 방법을 클라우드 및 ID 관리 프레임워크에 구축하는 것이 중요합니다.

ID 보안 점수는 Microsoft에서 게시하는 권장 보안 컨트롤 집합으로, 보안 상태를 객관적으로 측정하고 향후 보안 개선을 계획하는 데 도움이 되는 숫자 점수를 제공합니다. 다른 산업의 점수와 시간에 따른 사용자 고유의 추세에 비해 점수를 볼 수도 있습니다.

모범 사례: 업계의 모범 사례를 기반으로 일상적인 보안 검토 및 개선 사항을 계획합니다.
세부 정보: ID 보안 점수 기능을 사용하여 시간에 따른 개선 사항의 순위를 지정합니다.

암호 관리 활성화

테넌트가 여러 개 있거나 사용자가 자신의 암호를 재설정할 수 있도록 하려면 적절한 보안 정책을 사용하여 남용을 방지하는 것이 중요합니다.

모범 사례: 사용자에 대한 SSPR(셀프 서비스 암호 재설정)을 설정합니다.
세부 정보: Microsoft Entra ID 셀프 서비스 암호 재설정 기능을 사용합니다.

모범 사례: SSPR이 실제로 사용되는 방법 또는 여부를 모니터링합니다.
세부 정보: Microsoft Entra ID 암호 재설정 등록 활동 보고서를 사용하여 등록하는 사용자를 모니터링합니다. Microsoft Entra ID가 제공하는 보고 기능은 미리 빌드된 보고서를 사용하여 질문에 답하는 데 도움이 됩니다. 적절히 라이선스를 받은 경우 사용자 지정 쿼리를 만들 수도 있습니다.

모범 사례: 클라우드 기반 암호 정책을 온-프레미스 인프라로 확장합니다.
세부 정보: 클라우드 기반 암호 변경과 마찬가지로 온-프레미스 암호 변경에 대해 동일한 검사를 수행하여 조직의 암호 정책을 향상시킵니다. Windows Server Active Directory 에이전트 온-프레미스에 대한 Microsoft Entra 암호 보호를 설치하여 금지된 암호 목록을 기존 인프라로 확장합니다. 온-프레미스에서 암호를 변경, 설정 또는 재설정하는 사용자 및 관리자는 클라우드 전용 사용자와 동일한 암호 정책을 준수해야 합니다.

사용자에 대한 다단계 인증 적용

모든 사용자에 대해 2단계 인증을 요구하는 것이 좋습니다. 해당 계정이 노출될 경우 상당한 영향을 미칠 수 있는 조직의 관리자 및 다른 사용자가 포함됩니다(예: 재무 책임자).

2단계 인증을 요구하는 여러 옵션이 있습니다. 최상의 옵션은 목표, 실행 중인 Microsoft Entra 버전 및 라이선스 프로그램에 따라 달라집니다. 사용자에 대해 2단계 인증을 요구하는 방법을 참조하여 최상의 옵션을 결정합니다. 라이선스 및 가격 책정에 대한 자세한 내용은 Microsoft Entra ID 및 Microsoft Entra 다단계 인증 가격 책정 페이지를 참조하세요.

2단계 인증을 사용하도록 설정하는 옵션 및 혜택은 다음과 같습니다.

옵션 1: Microsoft Entra 보안 기본값을 사용하여 모든 사용자 및 로그인 메서드에 MFA 사용
혜택: 이 옵션을 사용하면 엄격한 정책을 사용하여 환경의 모든 사용자에게 MFA를 쉽고 빠르게 적용할 수 있습니다.

• 관리 계정 및 관리자 로그온 메커니즘을 검사
• Microsoft Authenticator를 통해 모든 사용자에게 MFA 요구
• 레거시 인증 프로토콜을 제한합니다.

이 방법은 모든 라이선스 계층에 사용할 수 있지만, 기존 조건부 액세스 정책과는 혼합할 수 없습니다. Microsoft Entra 보안 기본값에서 자세한 정보를 찾을 수 있습니다.

옵션 2: 사용자 상태를 변경하여 다단계 인증을 사용하도록 설정합니다.
혜택: 2단계 인증을 요구하는 기존 방법입니다. 이 기능은 클라우드의 Microsoft Entra 다단계 인증과 Azure Multi-Factor Authentication 서버에서 작동합니다. 이 방법을 사용할 경우 사용자는 로그인할 때마다 2단계 인증을 수행해야 하며, 이 방법은 조건부 액세스 정책을 재정의합니다.

다단계 인증을 사용하도록 설정해야 하는 위치를 확인하려면 우리 조직에 적합한 Microsoft Entra 다단계 인증 버전은 무엇인가요?를 참조하세요.

옵션 3: 조건부 액세스 정책을 사용하여 다단계 인증을 사용하도록 설정합니다.
혜택: 이 옵션을 사용하면 조건부 액세스를 사용하여 특정 조건에서 2단계 인증을 요청하는 메시지를 표시할 수 있습니다. 특정 조건이란 위험한 것으로 간주하는 다른 위치, 신뢰할 수 없는 디바이스 또는 애플리케이션에서 사용자 로그인이 될 수 있습니다. 2단계 인증이 필요한 특정 조건을 정의하면 번거로운 사용자 환경일 수 있는 지속적인 메시지를 사용자에게 표시하지 않도록 할 수 있습니다.

이것이 사용자에게 2단계 인증을 사용하도록 설정하는 가장 유연한 방법입니다. 조건부 액세스 정책 사용은 클라우드의 Microsoft Entra 다단계 인증에서만 가능하며 Microsoft Entra ID의 프리미엄 기능입니다. 클라우드 기반 Microsoft Entra 다단계 인증 배포에서 이 방법에 대한 자세한 내용을 확인할 수 있습니다.

옵션 4: 위험 기반 조건부 액세스 정책을 평가하여 조건부 액세스 정책으로 다단계 인증을 사용하도록 설정합니다.
혜택: 이 옵션을 사용하면 다음을 수행할 수 있습니다.

• 조직의 ID에 영향을 주는 잠재적 취약성을 검색합니다.
• 조직의 ID와 관련된 검색된 의심스러운 작업에 대한 자동화된 응답을 구성합니다.
• 의심스러운 인시던트 조사 및 해결할 적절한 작업 수행

이 방법은 Microsoft Entra ID 보호 위험 평가를 사용하여 모든 클라우드 애플리케이션에 대한 사용자 및 로그인 위험에 따라 2단계 인증이 필요한지 결정합니다. 이 방법을 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다. 이 방법에 대한 자세한 내용은 Microsoft Entra ID 보호에서 확인할 수 있습니다.

2단계 인증과 같은 ID 보호 계층을 추가하지 않는 조직은 자격 증명 도난 공격에 더 취약합니다. 자격 증명 도난 공격으로 인해 데이터 손상이 발생할 수 있습니다.

역할 기반 액세스 제어 사용

클라우드 리소스에 대한 액세스 관리는 클라우드를 사용하는 모든 조직에 중요합니다. Azure RBAC(Azure 역할 기반 액세스 제어) 를 사용하면 Azure 리소스에 대한 액세스 권한이 있는 사용자, 해당 리소스로 수행할 수 있는 작업 및 액세스 권한이 있는 영역을 관리할 수 있습니다.

Azure의 특정 기능을 담당하는 그룹 또는 개별 역할을 지정하면 사용자 및 자동화 오류로 인해 보안 위험이 발생할 수 있는 혼동을 방지할 수 있습니다. 데이터 액세스에 대한 보안 정책을 적용하려는 조직에는 알아야 할 필요성 및 최소 권한 보안 원칙에 따라 액세스를 제한하는 것이 필수적입니다.

보안 팀은 위험을 평가하고 수정하기 위해 Azure 리소스에 대한 가시성이 필요합니다. 보안 팀에 운영 책임이 있는 경우 작업을 수행하려면 추가 권한이 필요합니다.

Azure RBAC를 사용하여 특정 범위에서 사용자, 그룹 및 애플리케이션에 권한을 할당할 수 있습니다. 역할 할당의 범위는 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다.

모범 사례: 팀 내에서 업무를 분리하고 작업을 수행하는 데 필요한 사용자에 대한 액세스 권한만 부여합니다. Azure 구독 또는 리소스에서 모든 사람에게 무제한 권한을 부여하는 대신 특정 범위에서 특정 작업만 허용합니다.
세부 정보: Azure에서 Azure 기본 제공 역할을 사용하여 사용자에게 권한을 할당합니다.

모범 사례: Azure 책임이 있는 보안 팀이 위험을 평가하고 수정할 수 있도록 Azure 리소스를 볼 수 있는 액세스 권한을 부여합니다.
세부 정보: 보안 팀에게 Azure RBAC 보안 읽기 권한자 역할을 부여합니다. 책임 범위에 따라 루트 관리 그룹 또는 세그먼트 관리 그룹을 사용할 수 있습니다.

• 모든 엔터프라이즈 리소스를 담당하는 팀을 위한 루트 관리 그룹
• 범위가 제한된 팀의 세그먼트 관리 그룹(일반적으로 규정 또는 기타 조직 경계로 인해)

모범 사례: 직접적인 운영 책임이 있는 보안 팀에 적절한 권한을 부여합니다.
세부 정보: 적절한 역할 할당에 대한 Azure 기본 제공 역할을 검토합니다. 기본 제공 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 Azure 사용자 지정 역할을 만들 수 있습니다. 기본 제공 역할과 마찬가지로 구독, 리소스 그룹 및 리소스 범위에서 사용자, 그룹 및 서비스 주체에 사용자 지정 역할을 할당할 수 있습니다.

모범 사례: 클라우드용 Microsoft Defender에 필요한 보안 역할에 대한 액세스 권한을 부여합니다. Defender for Cloud를 사용하면 보안 팀이 위험을 신속하게 식별하고 수정할 수 있습니다.
세부 정보: 보안 정책을 보고, 보안 상태를 보고, 보안 정책을 편집하고, 경고 및 권장 사항을 보고, 경고 및 권장 사항을 해제할 수 있도록 이러한 요구 사항을 가진 보안 팀을 Azure RBAC 보안 관리자 역할에 추가합니다. 책임 범위에 따라 루트 관리 그룹 또는 세그먼트 관리 그룹을 사용하여 이 작업을 수행할 수 있습니다.

Azure RBAC와 같은 기능을 사용하여 데이터 액세스 제어를 적용하지 않는 조직은 사용자에게 필요한 것보다 더 많은 권한을 부여할 수 있습니다. 이로 인해 사용자가 갖지 않아야 하는 데이터 형식(예: 높은 비즈니스 영향)에 액세스할 수 있으므로 데이터 손상이 발생할 수 있습니다.

권한 있는 계정의 노출 감소

권한 있는 액세스 보안은 비즈니스 자산을 보호하는 중요한 첫 번째 단계입니다. 보안 정보 또는 리소스에 액세스할 수 있는 사용자의 수를 최소화하면 악의적인 사용자가 해당 액세스 권한을 얻거나 권한이 있는 사용자가 실수로 중요한 리소스에 영향을 줄 가능성이 감소합니다.

권한 있는 계정은 IT 시스템을 운영하고 관리하는 계정입니다. 사이버 공격자는 조직의 데이터와 시스템에 대한 액세스 권한을 얻기 위해 이러한 계정을 대상으로 지정합니다. 권한 있는 액세스를 보호하려면 계정과 시스템을 악의적 사용자에게 노출될 위험으로부터 격리해야 합니다.

사이버 공격자에 대한 권한 있는 액세스를 보호하기 위한 로드맵을 개발하고 따르는 것이 좋습니다. Microsoft Entra ID, Microsoft Azure, Microsoft 365 및 기타 클라우드 서비스에서 관리되거나 보고되는 ID 및 액세스를 보호하기 위한 자세한 로드맵을 만드는 방법에 대한 자세한 내용은 Microsoft Entra ID에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보안을 검토하세요.

다음은 Microsoft Entra ID에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보안에 있는 모범 사례를 요약합니다.

모범 사례: 권한 있는 계정에 대한 액세스를 관리, 제어 및 모니터링합니다.
세부 정보: Microsoft Entra Privileged Identity Management를 켭니다. Privileged Identity Management가 설정되면 권한 있는 액세스 역할 변경에 대한 알림 이메일 메시지를 받게 됩니다. 이러한 알림은 추가 사용자가 디렉터리의 높은 권한 역할에 추가될 때 조기 경고를 제공합니다.

모범 사례: 모든 중요 관리자 계정이 관리되는 Microsoft Entra 계정이 되도록 합니다. 세부 정보: 중요한 관리자 역할(예: hotmail.com, live.com, outlook.com 등의 Microsoft 계정)에서 소비자 계정을 제거합니다.

모범 사례: 피싱이나 관리 권한을 손상시키는 기타 공격을 방지할 수 있도록 모든 중요 관리자 역할에서 관리 작업에 별도의 계정을 사용하게 합니다.
세부 정보: 관리 작업을 수행하는 데 필요한 권한이 할당된 별도의 관리자 계정을 만듭니다. Microsoft 365 메일 또는 임의의 웹 검색과 같은 일상적인 생산성 도구에는 이 관리 계정을 사용하지 못하도록 차단합니다.

모범 사례: 권한이 높은 역할이 있는 계정을 식별 및 분류합니다.
세부 정보: Microsoft Entra Privileged Identity Management를 활성화한 후 글로벌 관리자, 권한 있는 역할 관리자, 기타 권한이 높은 관리자에 속한 사용자를 확인합니다. 이러한 역할에 더 이상 필요하지 않은 계정을 제거하고 관리자 역할에 할당된 나머지 계정은 다음과 같이 분류합니다.

• 관리 사용자에게 개별적으로 할당되며 비관리용으로 사용할 수 있습니다(예: 개인 전자 메일).
• 관리 사용자에게 개별적으로 할당되고, 관리 용도로만 지정됩니다.
• 여러 사용자 간에 공유됩니다.
• 응급 액세스 시나리오용
• 자동화된 스크립트의 경우
• 외부 사용자용

모범 사례: "JIT(Just-In-Time)" 액세스 권한을 구현하여 권한의 노출 시간을 줄이고 권한 있는 계정의 사용에 대한 가시성을 높입니다.
세부 정보: Microsoft Entra Privileged Identity Management를 사용하면 다음을 수행할 수 있습니다.

• 사용자가 자신의 권한 JIT만 사용하도록 제한합니다.
• 권한을 자동으로 해지하는 짧은 기간 동안 자신 있게 역할을 할당합니다.

모범 사례: 두 개 이상의 응급 액세스 계정을 정의합니다.
세부 정보: 응급 액세스 계정은 조직이 기존 Microsoft Entra 환경에서 권한 있는 액세스를 제한하는 데 도움이 됩니다. 이러한 계정은 높은 권한이 있으며 특정 개인에게 할당되지 않습니다. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 시나리오로 제한됩니다. 조직은 긴급 계정의 사용량을 필요한 시간으로만 제한해야 합니다.

할당되거나 전역 관리자 역할에 적합한 계정을 평가합니다. 긴급 액세스를 위해 *.onmicrosoft.com 도메인을 사용했을 때 클라우드 전용 계정이 보이지 않으면 계정을 만드십시오. 자세한 내용은 Microsoft Entra ID에서 응급 액세스 관리 계정 관리를 참조하세요.

모범 사례: 비상 시 "브레이크 글래스" 프로세스를 마련합니다.
세부 정보: Microsoft Entra ID에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보안의 단계를 따릅니다.

모범 사례: 모든 중요한 관리자 계정이 암호 없는(기본 설정) 또는 다단계 인증을 요구해야 합니다.
세부 정보: Microsoft Authenticator 앱을 사용하여 암호를 사용하지 않고 Microsoft Entra 계정에 로그인합니다. 비즈니스용 Windows Hello와 마찬가지로 Microsoft Authenticator는 키 기반 인증을 사용하여 디바이스에 연결되고 생체 인식 인증 또는 PIN을 사용하는 사용자 자격 증명을 사용하도록 설정합니다.

전역 관리자, 권한 있는 역할 관리자, Exchange Online 관리자 및 SharePoint Online 관리자 중 하나 이상의 Microsoft Entra 관리자 역할에 영구적으로 할당된 모든 개별 사용자에 대해 로그인 시 Microsoft Entra 다단계 인증이 필요합니다. 관리자 계정에 다단계 인증을 사용하도록 설정하고 관리자 계정 사용자가 등록되었는지 확인합니다.

모범 사례: 중요한 관리자 계정의 경우 프로덕션 작업이 허용되지 않는 관리 워크스테이션이 있습니다(예: 검색 및 전자 메일). 이렇게 하면 검색 및 전자 메일을 사용하는 공격 벡터로부터 관리자 계정을 보호하고 주요 인시던트 위험을 크게 낮출 수 있습니다.
세부 정보: 관리자 워크스테이션을 사용합니다. 워크스테이션 보안 수준을 선택합니다.

• 매우 안전한 생산성 디바이스는 검색 및 기타 생산성 작업을 위한 고급 보안을 제공합니다.
• PAW(Privileged Access Workstations) 는 중요한 작업에 대한 인터넷 공격 및 위협 벡터로부터 보호되는 전용 운영 체제를 제공합니다.

모범 사례: 직원이 조직을 떠날 때 관리자 계정을 프로비전 해제합니다.
세부 정보: 직원이 조직을 떠날 때 관리자 계정을 사용하지 않도록 설정하거나 삭제하는 프로세스를 마련합니다.

모범 사례: 현재 공격 기술을 사용하여 관리자 계정을 정기적으로 테스트합니다.
세부 정보: Microsoft 365 공격 시뮬레이터 또는 타사 제품을 사용하여 조직에서 실제 공격 시나리오를 실행합니다. 이렇게 하면 실제 공격이 발생하기 전에 취약한 사용자를 찾는 데 도움이 될 수 있습니다.

모범 사례: 가장 자주 사용되는 공격 기술을 완화하는 단계를 수행합니다.
세부 정보: 회사 또는 학교 계정으로 전환해야 하는 관리 역할의 Microsoft 계정 식별

전역 관리자 계정에 대해 별도의 사용자 계정 및 메일 전달 확인

관리 계정의 암호가 최근에 변경되었는지 확인합니다.

암호 해시 동기화 켜기

모든 권한 있는 역할의 사용자와 노출된 사용자에 대한 다단계 인증 필요

Microsoft 365 보안 점수 얻기(Microsoft 365를 사용하는 경우)

Microsoft 365 보안 지침 검토(Microsoft 365를 사용하는 경우)

Microsoft 365 활동 모니터링 구성(Microsoft 365를 사용하는 경우)

인시던트/비상 대응 계획 소유자 설정

온-프레미스 권한 있는 관리 계정 보호

권한 있는 액세스를 보호하지 않으면 권한이 높은 역할에 사용자가 너무 많고 공격에 더 취약할 수 있습니다. 사이버 공격자를 비롯한 악의적인 행위자는 종종 관리자 계정 및 권한 있는 액세스의 기타 요소를 대상으로 하여 자격 증명 도난을 사용하여 중요한 데이터 및 시스템에 액세스합니다.

리소스가 만들어지는 위치 제어

클라우드 운영자가 조직의 리소스를 관리하는 데 필요한 규칙을 위반하지 않도록 하면서 작업을 수행할 수 있도록 하는 것은 매우 중요합니다. 리소스가 생성되는 위치를 제어하려는 조직은 이러한 위치를 하드 코딩해야 합니다.

Azure Resource Manager를 사용하여 정의가 특별히 거부된 작업 또는 리소스를 설명하는 보안 정책을 만들 수 있습니다. 구독, 리소스 그룹 또는 개별 리소스와 같은 원하는 범위에서 해당 정책 정의를 할당합니다.

리소스를 만드는 방법을 제어하지 않는 조직은 필요한 것보다 더 많은 리소스를 만들어 서비스를 남용할 수 있는 사용자에게 더 취약합니다. 리소스 생성 프로세스를 강화하는 것은 다중 테넌트 시나리오를 보호하는 중요한 단계입니다.

의심스러운 활동을 적극적으로 모니터링

활성 ID 모니터링 시스템은 의심스러운 동작을 신속하게 감지하고 추가 조사를 위해 경고를 트리거할 수 있습니다. 다음 표에서는 조직에서 ID를 모니터링하는 데 도움이 되는 Microsoft Entra 기능을 나열합니다.

모범 사례: 식별할 수 있는 방법이 있습니다.

• 추적되지 않고 로그인을 시도합니다.
• 특정 계정에 대한 무차별 암호 대입 공격입니다.
• 여러 위치에서 로그인을 시도합니다.
• 감염된 디바이스에서 로그인합니다.
• 의심스러운 IP 주소입니다.

세부 정보: Microsoft Entra ID P1 또는 P2 변칙 보고서를 사용합니다. IT 관리자가 매일 또는 요청 시(일반적으로 인시던트 대응 시나리오에서) 이러한 보고서를 실행할 수 있도록 프로세스와 절차를 마련합니다.

모범 사례: 위험을 알리고 위험 수준(높음, 중간 또는 낮음)을 비즈니스 요구 사항에 맞게 조정할 수 있는 활성 모니터링 시스템을 사용합니다.
세부 정보: Microsoft Entra ID Protection을 사용하여 자체 대시보드에서 현재 위험에 플래그를 지정하고 이메일을 통해 매일 요약 알림을 보냅니다. 조직의 ID를 보호하기 위해 지정된 위험 수준에 도달할 때 감지된 문제에 자동으로 대응하는 위험 기반 정책을 구성할 수 있습니다.

ID 시스템을 적극적으로 모니터링하지 않는 조직은 사용자 자격 증명이 손상될 위험이 있습니다. 이러한 자격 증명을 통해 의심스러운 활동이 일어나고 있다는 사실을 알지 못하면 조직은 이러한 유형의 위협을 완화할 수 없습니다.

스토리지 인증에 Microsoft Entra ID 사용

Azure Storage 는 Blob Storage 및 Queue Storage에 대한 Microsoft Entra ID를 사용하여 인증 및 권한 부여를 지원합니다. Microsoft Entra 인증을 사용하면 Azure 역할 기반 액세스 제어를 사용하여 개별 Blob 컨테이너 또는 큐 범위까지 사용자, 그룹 및 애플리케이션에 특정 권한을 부여할 수 있습니다.

스토리지에 대한 액세스를 인증하기 위해 Microsoft Entra ID를 사용하는 것이 좋습니다.

다음 단계

Azure 보안 모범 사례 및 패턴에서 Azure를 사용하여 클라우드 솔루션을 디자인하고, 배포하고, 관리할 때 사용할 수 있는 더 많은 보안 모범 사례를 참조하세요.