다음을 통해 공유

권한 있는 액세스

권한 있는 액세스 관리는 클라우드 환경에서 관리 자격 증명 및 영향력이 높은 작업을 보호하기 위한 제어를 설정합니다. 정적 관리자 그룹이 있는 기존 온-프레미스 모델과 달리 최신 클라우드 플랫폼에는 자격 증명 도난, 권한 상승 및 횡적 이동을 비롯한 신속한 인프라 변경 및 확장된 공격 노출 영역을 해결하기 위해 동적, 시간 제한 권한 할당, 지속적인 모니터링 및 Just-In-Time 액세스가 필요합니다. 이러한 제어를 구현하는 조직은 운영 민첩성을 유지하면서 최소 권한 및 제로 트러스트 원칙을 적용하는 반면, 이러한 조치를 무시하는 조직은 감지되지 않은 자격 증명 손상 및 테넌트 전체 위반을 가능하게 하는 무제한 관리 액세스에 직면합니다.

다음은 Privileged Access 보안 도메인의 네 가지 핵심 요소입니다.

사용자 ID 보호: 중앙 집중식 ID 관리, 강력한 다단계 인증, 수명 주기 관리, 권한 있는 액세스 워크스테이션 및 응급 액세스 계획을 통해 모든 사용자 계정, 특히 권한 있는 계정에 대한 보안을 설정합니다.

관련 컨트롤:

애플리케이션 및 비밀 보호: 자동화된 서버/서비스 인증을 통해 비인간 ID를 안전하게 관리하고 API 키 및 인증서에 대한 비밀 관리를 보호합니다.

관련 컨트롤:

보안 액세스: 클라우드 공급자 지원을 위해 시간 제한 권한, 조건부 액세스 정책 및 제어된 외부 액세스를 통해 최소한의 권한과 충분한 관리를 적용합니다.

관련 컨트롤:

모니터링 및 거버넌스: 정기적인 액세스 검토, 사용자 권한 조정, 변칙 검색 및 감사 로깅을 통해 지속적인 감독을 유지하여 적절한 권한과 시기 적절한 해지를 보장합니다.

관련 컨트롤:

PA-1: 높은 권한/관리 사용자 분리 및 제한

Azure Policy:Azure 기본 제공 정책 정의인 PA-1을 참조하세요.

보안 원칙

모든 높은 비즈니스 영향 계정을 식별하고 제어 평면, 관리 평면 및 데이터 워크로드 평면에서 권한 있는 관리 계정 수를 제한하여 손상된 자격 증명에서 공격 표면 및 폭발 반경을 최소화합니다.

완화할 리스크

  • 권한이 초과된 계정에서 무단 액세스 악의적 사용자는 과도한 권한으로 높은 권한의 계정을 악용하여 관리 콘솔, API 또는 중요한 데이터 저장소와 같은 중요한 클라우드 리소스에 무단으로 액세스합니다. 분리하지 않고 손상된 단일 관리자 계정은 공격자에게 IAM 정책을 수정하거나, 악성 워크로드를 배포하거나, 전체 테넌트에 데이터를 유출할 수 있는 무제한 액세스를 제공할 수 있습니다.
  • 손상된 관리 자격 증명을 통한 권한 상승 공격자는 손상된 권한 있는 자격 증명을 활용하여 액세스를 에스컬레이션하여 클라우드 테넌트 또는 중요한 인프라를 제어합니다. 관리 계정이 격리되지 않은 환경에서는 도난당한 자격 증명을 사용하여 역할 할당을 조작하거나, 새 권한 있는 계정을 만들거나, 보안 제어를 사용하지 않도록 설정하여 테넌트 전체의 손상이 가능합니다.
  • 부실 또는 모니터링되지 않는 권한 있는 계정에서 영구 액세스 악의적 사용자는 부실 또는 모니터링되지 않는 권한 있는 계정을 악용하여 영구 액세스를 유지하며 초기 손상 후 탐지를 회피합니다. 역할 변경 또는 프로젝트 완료 후 활성 상태로 유지되는 관리자 계정은 공격자에게 API를 호출하거나 리소스를 수정할 수 있는 장기 액세스를 제공하여 장기간 위반의 위험을 높입니다.

MITRE ATT&CK

  • 초기 액세스(TA0001) 유효한 계정: 클라우드 계정(T1078.004): 높은 권한의 계정을 손상하여 클라우드 콘솔 또는 API에 인증하고, 도난당한 관리자 자격 증명을 사용하여 중요한 리소스에 액세스합니다.
  • 권한 에스컬레이션(TA0004) 남용 권한 상승 제어 메커니즘: 클라우드 인프라(T1548.005): 범위가 지정되지 않은 권한 있는 계정을 악용하여 IAM 정책을 수정하여 액세스를 확대하고 테넌트 전체의 제어를 얻습니다.
  • 지속성(TA0003) 계정 조작: 추가 클라우드 역할(T1098.001): 영구 역할을 추가하도록 권한 있는 계정을 변경하고 클라우드 리소스에 대한 장기 액세스를 유지합니다.

PA-1.1: Microsoft Entra에서 높은 권한/관리 사용자를 제한하고 한정하기

높은 권한의 관리 계정을 제한하면 권한 없는 테넌트 전체 액세스를 방지하고 손상된 자격 증명에서 폭발 반경을 제한합니다. 과도한 글로벌 관리자가 있는 조직은 공격자가 IAM 정책을 조작하거나, 악성 워크로드를 배포하거나, 모든 리소스에서 데이터를 유출할 수 있는 위반 위험이 증가합니다. 이러한 계정을 필수 담당자로만 제한하면 최소 권한이 적용되고 공격 노출 영역이 줄어듭니다.

클라우드 ID 관리 역할에 대해 다음 제한을 구현합니다.

  • 중요한 기본 제공 역할 식별 Microsoft Entra ID 에서 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이러한 역할에 할당된 사용자는 관리자 역할을 위임하고 클라우드 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.

  • 사용자 지정 역할의 권한 평가 비즈니스 요구 사항에 따라 관리가 필요한 권한을 검토하고, 기본 제공된 권한 있는 역할과 동일한 제한을 적용하여 ID 관리 시스템의 사용자 지정 역할을 평가하십시오.

  • 클라우드 ID 시스템을 넘어 제한 확장 온-프레미스 ID 시스템, 보안 도구 및 시스템 관리 도구에서 권한 있는 계정을 중요 비즈니스용 자산(예: Active Directory 도메인 컨트롤러, 보안 모니터링 시스템 및 구성 관리 도구)에 대한 관리 액세스 권한으로 제한합니다. 이러한 관리 시스템이 손상되면 공격자가 클라우드 리소스로의 횡적 이동을 위해 무기화할 수 있습니다.

PA-1.2: Azure 리소스 수준에서 높은 권한/관리 사용자 사용을 제한

리소스 수준에서 권한 있는 역할을 제한하면 클라우드 리소스에 대한 무단 액세스를 방지하고 구독 및 리소스 그룹에 최소 권한을 적용합니다. 구독 범위에서 과도한 소유자 또는 기여자 할당을 사용하면 공격자가 리소스를 조작하거나, 보안 제어를 수정하거나, 초기 손상 후 권한을 에스컬레이션할 수 있습니다. 이러한 할당을 제한하면 폭발 반경이 줄어들고 관리 액세스가 운영 책임에 맞게 조정됩니다.

클라우드 리소스 수준 관리 역할에 대해 다음 제한을 적용합니다.

  • 중요한 기본 제공 리소스 역할 제한 Azure에는 광범위한 권한을 부여하는 기본 제공 역할이 있습니다(소유자는 역할 할당을 포함한 모든 권한을 부여합니다. 참가자는 전체 리소스 관리를 부여합니다. 사용자 액세스 관리자는 사용자 액세스 관리를 사용하도록 설정하며, 테넌트 수준 권한 있는 역할과 동일한 제한을 요구합니다.

  • 사용자 지정 리소스 역할 관리 비즈니스 요구 사항에서 할당된 권한 있는 권한으로 리소스 수준에서 사용자 지정 역할을 검토하고 제한하여 권한 조합을 통해 실수로 과도한 액세스 권한을 부여하지 않도록 합니다.

  • 청구 및 구독 관리 역할 제어 기업 계약을 체결한 고객의 경우 구독을 직접 또는 간접적으로 관리하고, 구독을 만들거나 삭제하고, 다른 관리자를 관리할 수 있으므로 Azure Cost Management 및 청구 관리 역할(계정 소유자, 엔터프라이즈 관리자, 부서 관리자)을 제한합니다.

구현 예제

도전: 금융 서비스 조직은 ID 및 리소스 계층 모두에서 과도한 권한 있는 액세스를 발견했습니다. 즉, Microsoft Entra ID 의 47개 전역 관리자 계정(6개월 이상 사용되지 않음)과 Azure의 구독 범위에서 소유자 역할이 있는 89명의 사용자가 대규모 공격 표면을 만들고 최소 권한 원칙을 위반했습니다.

Solution:

  • Entra 권한 있는 역할을 감사하고 줄입니다 . 모든 전역 관리자 및 권한 있는 역할 관리자 할당에 대한 포괄적인 감사를 수행하여 각 계정에 대한 비즈니스 근거를 파악하고 운영 요구 사항에 맞는 전역 관리자를 47명에서 8명으로 줄입니다.
  • Entra에서 역할별 할당 구현: Microsoft Entra 기본 제공 역할을 사용하여 세분화된 권한을 적용하여 실제 작업 기능을 기반으로 전역 관리자에서 특정 역할(사용자 관리자, 보안 관리자, 준수 관리자)으로 사용자를 전환했습니다.
  • Azure 구독 범위 할당 줄이기:Azure RBAC(역할 기반 액세스 제어) 수준에서 모든 소유자 및 기여자 역할 할당을 감사하여 역할 범위를 팀 책임에 따라 특정 리소스 그룹으로 지정하여 구독 범위 소유자 할당을 89에서 12로 줄입니다.
  • 리소스 그룹 범위 지정 구현: 실제 요구 사항과 일치하는 구독 수준 기여자에서 리소스 그룹 수준 기여자 또는 특정 기본 제공 역할(Virtual Machine 기여자, 스토리지 계정 기여자)으로 전환된 개발 팀.
  • 통합 거버넌스 설정: 승인된 범위를 초과하는 할당에 대한 분기별 액세스 검토 및 자동화된 경고와 함께 Entra 및 Azure 리소스 수준 모두에서 새로운 권한 있는 역할 할당에 대해 임원 및 보안 팀이 로그오프하도록 요구하는 승인 워크플로를 만들었습니다.

결과: 조직은 ID 및 리소스 계층에서 권한 있는 계정 공격 노출 영역을 크게 줄이고, 부실한 관리 액세스를 제거하고, 테넌트 및 구독 수준에서 권한 크리프가 발생하지 않도록 지속 가능한 거버넌스를 구축했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2(1), AC-2(7), AC-5, AC-6(1), AC-6(5)
  • PCI-DSS v4 7.2.2, 7.2.4, 8.2.2
  • CIS 컨트롤 v8.1 5.4, 6.7, 6.8
  • NIST CSF v2.0 PR.AC-4, PR.AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.2

PA-2: 사용자 계정 및 권한에 대한 상주 액세스 방지

Azure Policy:Azure 기본 제공 정책 정의인 PA-2를 참조하세요.

보안 원칙

영구 상시 권한 대신 임시, 시간 제한 권한을 할당하는 Just-In-Time 권한 액세스 메커니즘을 구현하여 악의적이거나 권한이 없는 사용자가 손상된 자격 증명 또는 내부자 작업 후 상시 관리 액세스를 악용하지 못하도록 방지합니다.

완화할 리스크

  • 영구 권한 있는 계정에서 무단 액세스 높은 권한의 역할을 수행하면 악의적 사용자가 데이터를 반출하거나 악성 워크로드를 배포하기 위해 API를 호출하고 임시 제한 없이 항상 사용 권한을 악용하는 등 클라우드 리소스에 대한 무단 액세스를 위해 손상된 자격 증명을 오용할 수 있습니다.
  • 손상된 자격 증명을 통한 권한 상승 영구적 관리자 역할이 있는 손상된 계정을 사용하면 공격자가 테넌트 전체 관리 역할 할당, 시간 제한 액세스가 없는 악용 등 IAM 정책을 수정하여 권한을 에스컬레이션하여 구독 또는 리소스를 제어할 수 있습니다.
  • 부실 액세스로 인한 장기간 노출 작업 완료 후 호출되지 않은 역할은 확장된 노출 창을 만들어 악의적 사용자가 잊어버렸거나 관리되지 않는 권한으로 인해 스토리지 계정에서 데이터를 추출하는 등 권한 없는 액세스를 위해 부실 자격 증명을 악용할 수 있도록 합니다.

MITRE ATT&CK

  • 초기 액세스(TA0001) 유효한 계정: 클라우드 계정(T1078.004): 높은 권한을 가진 계정을 손상시켜 클라우드 관리 콘솔이나 API에 인증하고, 영구 자격 증명을 사용하여 시간 제한 없이 리소스에 접근합니다.
  • 권한 에스컬레이션(TA0004) 남용 권한 상승 제어 메커니즘: 클라우드 인프라(T1548.005): 영구 권한 있는 역할을 악용하여 IAM 정책을 수정하여 액세스를 확대하고, 항상 사용 권한을 활용하여 구독에 대한 무단 제어를 얻습니다.
  • 지속성(TA0003) 계정 조작: 추가 클라우드 역할(T1098.001): 손상된 계정에 높은 권한 역할을 추가하여 영구 액세스를 유지하도록 역할 할당을 수정하고 시간 제한 액세스 부족을 악용합니다.

PA-2.1: Azure 리소스 액세스에 JIT(Just-In-Time) 컨트롤 사용

Just-In-Time 특권 액세스는 자격 증명 손상 후 무단 액세스를 가능하게 하는 지속적인 관리 권한 부여를 방지합니다. 권한 있는 역할이 있는 조직은 공격자가 시간 제약 없이 데이터 반출, 권한 상승 또는 횡적 이동에 대한 상시 사용 권한을 악용할 수 있는 확장된 노출 창에 직면합니다. JIT 액세스를 구현하면 사용 권한이 자동으로 만료되어 폭발 반경이 제한되고 공격 표면이 줄어듭니다.

다음 방법을 통해 Just-In-Time 액세스를 사용하도록 설정합니다.

  • Privileged Identity Management 배포Microsoft Entra PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Microsoft Entra ID에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정합니다. 여기서 사용자는 권한 만료 후 무단 액세스를 방지하고 의심스러운 활동에 대한 보안 경고를 생성하여 자동으로 만료되는 권한 있는 작업을 수행할 수 있는 임시 권한을 받습니다.

  • 적격 역할 할당 구성 관리자는 PIM을 통해 사용자 또는 그룹에 적격 역할을 할당하고 권한 있는 역할을 요청할 수 있는 사용자를 지정하고 승인 워크플로, MFA 요구 사항 및 시간 제한 기간(일반적으로 1~8시간)을 포함한 활성화 요구 사항을 정의합니다.

  • 활성화 워크플로 설정 사용자는 권한 있는 액세스가 필요한 경우 Azure Portal 또는 PIM API를 통해 역할 활성화를 요청하며, 승인자는 정책에 따라 요청을 검토하고 액세스 권한을 부여하거나 거부하는 한편 PIM은 감사 목적으로 모든 작업을 기록합니다.

  • 자동 만료 구현 활성화 기간이 종료되면 액세스가 자동으로 만료되거나, 작업이 완료되면 사용자가 초기에 수동으로 비활성화하여 권한 있는 권한이 운영상의 필요 이상으로 활성 상태로 유지되지 않도록 할 수 있습니다.

  • 가상 머신 액세스에 JIT 사용클라우드용 Microsoft Defender의 JIT VM 액세스와 함께 Azure Bastion을 사용하여 인바운드 트래픽을 중요한 가상 머신의 관리 포트로 제한하고 사용자가 필요할 때만 액세스 권한을 부여하고 시간이 만료되면 자동으로 해지합니다.

구현 예제

도전 글로벌 소매 회사에는 구독 범위에서 상주 소유자 및 기여자 역할을 가진 156 명의 사용자가 있었고, 드문 관리 요구에도 불구하고 활성 24/7로 유지되는 지속적인 높은 권한 액세스를 만들었습니다.

Solution

  • Azure 리소스에 대한 PIM 구현 모든 상주 소유자 및 기여자 역할 할당을 PIM의 적격 역할로 변환하여 사용자가 4시간 제한 정품 인증으로 관리 작업을 수행할 때만 역할을 활성화하도록 요구했습니다.
  • 승인 워크플로 구성 모든 권한 있는 액세스 요청에 대한 자동화된 MFA 적용 및 근거 요구 사항과 함께 리소스 소유자 및 보안 팀의 승인이 필요한 소유자 역할 활성화에 대한 다단계 승인을 설정했습니다.
  • JIT VM 액세스 사용 클라우드용 Defender JIT 컨트롤을 사용하여 배포된 Azure Bastion은 프로덕션 가상 머신에 대한 RDP/SSH 액세스를 제한하여 승인된 시간 제한 요청을 통해서만 액세스를 허용하여 영구 관리 포트 노출을 제거합니다.

결과 조직은 영구 권한 있는 액세스를 제거하고, 상주 관리 권한에서 공격 노출 영역을 크게 줄이며, 잊혀진 상승된 액세스를 방지하는 자동화된 만료를 설정했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2(1), AC-5, AC-6(2), AC-6(5), AC-16
  • PCI-DSS v4 7.2.2, 7.2.5, 8.2.8
  • CIS 컨트롤 v8.1 5.4, 6.8
  • NIST CSF v2.0 PR.AC-4, PR.AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.3

PA-3: ID 및 자격의 수명 주기 관리

보안 원칙

자동화된 프로세스 또는 기술 컨트롤을 사용하여 요청, 검토, 승인, 프로비저닝 및 프로비전 해제를 비롯한 전체 ID 및 액세스 수명 주기를 관리하여 사용 권한이 비즈니스 요구 사항에 맞게 유지되고 더 이상 필요하지 않은 경우 해지되도록 합니다.

완화할 리스크

  • 과도한 권한으로 인한 무단 액세스 ID는 필요한 것보다 더 많은 액세스 권한을 부여하여 최소 권한을 위반하고 공격 노출 영역을 증가시켰습니다.
  • 관리되지 않는 계정의 부실하거나 고아가 된 액세스 더 이상 필요하지 않은 사용 권한이 유지되거나 사용자 이탈 후에도 계정이 활성 상태로 남아 있어 악용될 가능성이 있습니다.
  • 잘못 구성되거나 모니터링되지 않는 액세스로 인한 내부자 위협 승인 프로세스 우회를 포함하여 잘못 구성된 정책 또는 감독 부족으로 인해 권한을 잘못 사용하는 권한이 있는 사용자입니다.
  • 규정 표준을 준수하지 않는 경우 최소 권한, 액세스 감사 또는 적시에 프로비전 해제를 적용하지 못하여 GDPR, HIPAA, SOC 2 또는 ISO 27001과 같은 표준을 위반할 위험이 있습니다.
  • 액세스 관리의 사용자 오류 잘못된 권한 부여, 간과된 프로비전 해제 또는 잘못 구성된 승인 체인으로 이어지는 수동 프로세스입니다.
  • 감사 가능성 및 추적 가능성 부족 적절한 로깅 및 설명서가 없으므로 액세스 요청, 승인 또는 프로비저닝 추적을 방해하고 위반 탐지를 지연시킵니다.

MITRE ATT&CK

  • 초기 액세스(TA0001)는 손상되었거나 유효하지 않은 클라우드 자격 증명을 이용해 유효한 계정(T1078.004)을 악용하고, API나 관리 콘솔에 인증하여 클라우드 리소스에 무단으로 접근할 수 있도록 합니다.
  • 잘못 구성된 RBAC 정책 또는 과도한 권한을 악용하여 리소스 그룹 역할에서 상승된 역할을 할당하여 권한 상승 제어 메커니즘(T1548.005)을 남용하는 권한 상승(TA0004)
  • IAM 정책을 수정하거나 영구 액세스를 포함하도록 MFA를 사용하지 않도록 설정하여 계정을 조작하는 지속성(TA0003) (T1098.001)을 사용하면 악의적 사용자가 클라우드 리소스에 대한 무단 제어를 유지할 수 있습니다.
  • Exfiltration (TA0010)은 초과 권한 계정을 사용하여 클라우드 스토리지 (T1530)에서 데이터에 액세스하여, 스토리지 버킷이나 데이터베이스에서 민감한 데이터를 열거하고 검색하는 것입니다.
  • 클라우드 감사 로깅을 사용하지 않도록 설정하거나 높은 권한 계정으로 모니터링하여 리소스 수정과 같은 악의적인 작업을 숨겨 방어(T1562.001)를 손상시키는 방어 회피(TA0005)

PA-3.1: ID 및 자격의 수명 주기 관리

자동화된 ID 수명 주기 관리는 역할 변경 또는 직원 이탈 후에도 유지되는 분리된 계정, 호출되지 않은 권한 및 과도한 액세스를 방지합니다. 수동 액세스 관리에 의존하는 조직은 지연된 프로비전 해제, 일관되지 않은 승인 프로세스 및 감사 가능성 부족에 직면하여 권한이 없는 사용자가 데이터 반출 또는 권한 상승에 부실 자격 증명을 악용하는 보안 격차를 만듭니다. 자동화된 워크플로를 구현하면 일관된 요청, 승인, 프로비저닝 및 만료 프로세스를 통해 액세스가 현재 비즈니스 요구 사항에 맞게 조정됩니다.

다음 방법을 통해 자동화된 ID를 설정하고 수명 주기 관리에 액세스합니다.

  • 액세스 관리 목표 및 범위 계획 특정 역할(예: 소유자, 기여자) 및 사용자 또는 워크로드 ID를 포함하여 액세스 관리가 필요한 Azure 리소스 그룹을 식별하고 거버넌스 및 승인 워크플로에 대한 경계를 설정하여 액세스 요구 사항을 정의합니다.

  • 책임 할당 특정 Azure 리소스 그룹에 대한 액세스 요청을 검토하고 승인하는 리소스 소유자 또는 프로젝트 관리자에게 위임하여 권한 관리 및 액세스 패키지를 관리하도록 전역 관리자, ID 거버넌스 관리자 또는 카탈로그 소유자를 지정합니다.

  • 액세스 요청 워크플로에 대한 권한 관리 설정 Microsoft Entra 관리 센터에서 카탈로그를 만들어 관련 리소스 및 액세스 패키지를 구성하고, 역할(예: 기여자, 판독기)을 카탈로그 리소스로 사용하여 특정 Azure 리소스 그룹을 추가한 다음, 액세스 기간 및 승인 요구 사항과 함께 사용자가 요청할 수 있는 Azure 리소스 그룹 역할을 지정하는 액세스 패키지를 정의합니다.

  • 액세스 정책 구성 사용자가 Microsoft Entra My Access 포털을 통해 액세스를 요청하고, 지정된 승인자(예: 리소스 소유자, 관리자)를 사용하여 단일, 이중 또는 다단계 승인 워크플로를 설정하고, 자동 해지를 위한 액세스 만료 날짜 또는 시간 제한 액세스를 정의하고, 요청 제출, 승인, 거부 및 예정된 만료에 대한 경고를 구성할 수 있습니다.

  • 액세스 요청 처리 및 검토 사용자는 내 액세스 포털을 통해 Azure 리소스 그룹 역할에 대한 액세스 요청을 제출하여 지정된 승인자 및 로그 요청 세부 정보를 알리는 구성된 워크플로를 트리거하고, 승인자는 사용자 역할, 요청된 액세스 및 근거에 따라 요청을 평가하고, 문서화된 근거를 승인하거나 거부하기 전에 필요한 경우 설명을 요청합니다.

  • 자동으로 액세스 프로비전 및 프로비전 해제 승인 시 Microsoft Entra는 즉시 액세스할 수 있는 지정된 리소스 그룹에 대해 요청된 Azure 역할을 사용자에게 자동으로 할당하고, 액세스 패키지 정책에 따라 미리 정의된 만료 날짜에 도달하면 자동 해지를 적용하는 한편, 만료 전에 사용자 역할 또는 프로젝트가 변경될 경우 관리자 또는 리소스 소유자가 액세스를 수동으로 제거할 수 있도록 합니다.

  • 과도한 권한 검색 및 크기 조정Microsoft Entra Permissions Management 를 사용하여 다중 클라우드 인프라에서 사용자 및 워크로드 ID에 할당된 사용되지 않는 과도한 사용 권한을 식별하고, 권한 크기를 자동으로 조정하고, 권한 크리프 방지를 위해 지속적으로 모니터링합니다.

구현 예제

문제 40개국에 8,500명의 직원을 둔 다국적 기업은 요청당 처리에 영업일 기준으로 3에서 5일이 소요되는 수동 접근 제공 방식 때문에 운영에 지연이 발생했으며, 퇴사한 직원이 활성화된 권한 있는 접근을 가진 채로 남겨진 고아 계정이 450개 이상 누적되었습니다.

Solution

  • 권한 관리 구현 모든 Azure 리소스 그룹에 대한 액세스 패키지를 사용하여 Microsoft Entra ID 권한 관리를 배포하고, 자동 만료가 있는 요청, 다단계 승인 및 시간 제한 액세스를 위한 자동화된 워크플로를 설정했습니다.
  • 수명 주기 워크플로 구성 새 직원의 즉각적인 프로비저닝을 트리거하고, 역할 변경 시 액세스 업데이트를 수행하며, 해고 시 모든 액세스 패키지 및 권한 있는 그룹에서 즉시 제거를 가능하게 하는 자동화된 조인자/mover/leaver 워크플로를 구성합니다.
  • 권한 관리 배포 다중 클라우드 인프라에서 사용되지 않는 권한을 검색하고, 자동으로 오버프로비전된 역할의 크기를 조정하고, 검토가 필요한 권한 크리프에 대한 경고를 생성하는 연속 모니터링을 구현했습니다.

결과 조직은 액세스 프로비저닝 시간을 3~5일에서 2시간 미만으로 줄이고, 자동화된 프로비전 해제를 통해 분리된 모든 계정을 제거하고, 완전한 승인 후행 설명서를 사용하여 액세스 요청 감사 가능성을 100개% 달성했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2, AC-2(1), AC-2(3), AC-2(4), IA-4
  • PCI-DSS v4 7.2.2, 7.2.4, 8.1.3, 8.1.4
  • CIS 컨트롤 v8.1 5.1, 5.2, 5.3, 6.1
  • NIST CSF v2.0 PR.AA-3, PR.AC-1, PR.AC-4
  • ISO 27001:2022 A.5.15, A.5.16, A.5.17, A.5.18
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-4: 정기적으로 사용자 액세스 검토 및 조정

Azure Policy:Azure 기본 제공 정책 정의인 PA-4를 참조하세요.

보안 원칙

권한 있는 계정 자격에 대한 정기적인 감사를 수행하여 액세스 권한이 권한 있는 관리 기능에 엄격하게 부합되는지 확인하여 최소 권한 원칙을 준수하도록 합니다.

완화할 리스크

  • 과도한 권한으로 인한 무단 액세스 ID는 필요한 것보다 더 많은 액세스 권한을 부여하여 최소 권한을 위반하고 공격 노출 영역을 증가시켰습니다.
  • 관리되지 않는 계정의 부실하거나 고아가 된 액세스 더 이상 필요하지 않은 사용 권한이 유지되거나 사용자 이탈 후에도 계정이 활성 상태로 남아 있어 악용될 가능성이 있습니다.
  • 잘못 구성되거나 모니터링되지 않는 액세스로 인한 내부자 위협 승인 프로세스 우회를 포함하여 잘못 구성된 정책 또는 감독 부족으로 인해 권한을 잘못 사용하는 권한이 있는 사용자입니다.
  • 규정 표준을 준수하지 않는 경우 최소 권한, 액세스 감사 또는 적시에 프로비전 해제를 적용하지 못하여 GDPR, HIPAA, SOC 2 또는 ISO 27001과 같은 표준을 위반할 위험이 있습니다.
  • 액세스 관리의 사용자 오류 잘못된 권한 부여, 간과된 프로비전 해제 또는 잘못 구성된 승인 체인으로 이어지는 수동 프로세스입니다.
  • 감사 가능성 및 추적 가능성 부족 적절한 로깅 및 설명서가 없으므로 액세스 요청, 승인 또는 프로비저닝 추적을 방해하고 위반 탐지를 지연시킵니다.

MITRE ATT&CK

  • 초기 액세스 (TA0001)에서는 손상되거나 오래된 클라우드 자격 증명, 예를 들어 과도한 권한이 부여된 서비스 계정을 활용하여 유효한 계정 (T1078.004)을 이용하고, API 또는 관리 콘솔에 인증함으로써 경고를 트리거하지 않고 클라우드 리소스에 무단 접근을 가능하게 합니다.
  • 잘못 구성된 RBAC 정책 또는 과도한 권한을 악용하여 권한 상승 제어 메커니즘(T1548.005)을 남용하는 권한 상승(TA0004) - 리소스 그룹 역할에서 테넌트 전체 관리 액세스와 같은 상승된 역할을 할당합니다.
  • IAM 정책을 수정하거나 영구 액세스를 포함하도록 MFA를 사용하지 않도록 설정하여 계정을 조작하는 지속성(TA0003) (T1098.001)을 사용하면 악의적 사용자가 스토리지 또는 컴퓨팅과 같은 클라우드 리소스에 대한 무단 제어를 유지할 수 있습니다.
  • 초과 권한 계정을 사용하여 클라우드 스토리지(T1530)에서 데이터에 액세스하는 반출(TA0010)을 사용하여 스토리지 버킷 또는 데이터베이스에서 중요한 데이터를 열거하고 검색하여 호출되지 않았거나 유효성이 검사되지 않은 권한을 악용합니다.
  • 방어 회피(TA0005)는 클라우드 감사 로깅을 비활성화하거나 높은 권한 계정으로 모니터링을 수행하여 방어를 손상시키고(T1562.001), 리소스 수정 또는 데이터 액세스와 같은 악의적인 작업을 숨기는 것입니다.

PA-4.1: 정기적으로 사용자 액세스 검토 및 조정

Azure 테넌트, Azure 서비스, VM(가상 머신)/IaaS(Infrastructure as a Service), CI/CD 프로세스, 엔터프라이즈 관리 및 보안 도구를 포함하는 Microsoft Azure의 모든 권한 있는 계정 및 액세스 권한을 검토합니다.

Microsoft Entra ID 액세스 검토를 사용하여 Microsoft Entra 역할, Azure 리소스 액세스 역할, 그룹 멤버 자격 및 엔터프라이즈 애플리케이션에 대한 액세스를 평가합니다. Microsoft Entra ID 보고는 지정된 기간 동안 사용되지 않은 부실 계정 또는 계정을 식별하는 로그를 제공합니다.

또한 특정 역할에 대해 과도한 수의 관리자 계정이 생성될 때 경고를 보내고 부실하거나 잘못 구성된 관리자 계정을 검색하도록 Microsoft Entra PIM(Privileged Identity Management)을 구성할 수 있습니다.

액세스 검토 범위 및 목표 계획 보안 요구 사항 및 규정 요구 사항에 따라 검토 빈도(예: 매월, 분기별)를 설정하여 검토가 필요한 Azure 리소스(예: 구독, 리소스 그룹, VM) 및 Microsoft Entra 역할(예: 전역 관리자, 사용자 관리자)을 식별합니다.

검토 책임 할당 검토자가 PIM에서 적절한 권한을 갖도록 리소스 소유자, 보안 팀 또는 역할 관리자를 지정하여 검토를 수행합니다.

Microsoft Entra PIM에서 액세스 검토 설정 검토할 특정 Microsoft Entra 역할을 선택하고, 검토자(개인, 그룹 소유자 또는 자체 검토)를 지정하고, 기간 및 되풀이를 포함한 검토 매개 변수를 설정하여 Entra 역할에 대한 액세스 검토를 만듭니다. Azure 리소스의 경우 구독 또는 리소스 그룹을 선택하고, 평가에 Azure 리소스 역할(예: 소유자, 기여자)을 선택하고, 검토자를 할당하고, 시작/종료 날짜 및 되풀이를 포함한 검토 설정을 구성합니다.

액세스 검토 수행 검토자는 사용자에게 작업 기능 또는 프로젝트 요구 사항에 따라 할당된 Microsoft Entra 역할이 여전히 필요한지 평가하고, 사용자가 현재 책임과의 일치를 확인하는 특정 Azure 리소스 및 역할에 계속 액세스해야 하는지 여부를 평가하고, 사용자 또는 검토자가 의사 결정이 문서화되도록 액세스를 유지하는 이유를 제공하도록 요구합니다.

검토 결과에 따라 작업 수행 더 이상 필요하지 않은 사용자에 대한 역할 또는 액세스를 취소하고, PIM과 함께 Microsoft Entra ID 보고를 활용하여 최근 활동이 없는 계정을 식별하고, 역할을 제거하거나 비활성화하여 불필요한 액세스를 제거합니다. 또한 PIM 기능을 활용하여 조정을 강화하고, 과도한 역할 할당을 감지하고, 미리 정의된 일정에 따라 지속적인 검토를 자동화할 수 있습니다.

구현 예제

도전 연간 감사 중에 650개의 권한 있는 계정이 있는 기술 회사가 180일 동안 89개의 계정(14개%)을 사용하지 않은 반면, 34개의 계정은 사용자가 비관리 역할로 변경했음에도 불구하고 상승된 권한을 유지했습니다.

Solution

  • 분기별 액세스 검토 구현 분기별 되풀이 일정을 사용하여 모든 Azure 구독 및 Entra 역할에 대한 Microsoft Entra PIM 액세스 검토를 배포하여 리소스 소유자를 기본 검토자로 할당하고 보안 팀을 감독을 위한 보조 검토자로 할당했습니다.
  • 자동화된 탐지 기능 활성화>8명의 전역 관리자와 90일 동안 사용되지 않은 계정에 대한 과도한 역할 할당 PIM 경고를 구성하여 보안 운영 센터에 실시간 알림을 위해 Microsoft Sentinel과 통합합니다.
  • 수정 워크플로 설정 검토자가 액세스 권한을 유지 관리하거나 불필요한 권한을 즉시 해지하기 위한 근거를 제공하도록 요구하는 표준화된 응답 절차를 만들었으며, 거버넌스 팀에 대한 연체 검토에 대한 자동 에스컬레이션이 적용되었습니다.

결과 조직은 부실 계정 89개와 적절한 크기의 34개의 초과 프로비저닝된 계정을 식별하고 제거했으며, 전역 관리자 수를 12개에서 6개로 줄이며, 문서화된 근거를 사용하여 분기별 검토 완료율을% 100개 달성했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2(3), AC-2(7), AC-6(7), IA-4
  • PCI-DSS v4 7.2.4, 8.1.4, 8.2.6
  • CIS 컨트롤 v8.1 5.3, 5.4, 6.2
  • NIST CSF v2.0 PR.AA-3, PR.AC-6, DE.CM-3
  • ISO 27001:2022 A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-5: 긴급 액세스 설정

보안 원칙

비상 시 중요한 클라우드 인프라에서 실수로 잠기지 않도록 긴급 액세스를 설정합니다. 응급 액세스 계정은 거의 사용되지 않아야 하며 손상된 경우 매우 손상될 수 있지만, 필요한 경우 해당 가용성은 시나리오에 매우 중요합니다.

완화할 리스크

  • 클라우드 테넌트 관리의 관리 잠금 모든 권한 있는 계정이 MFA 오류, 페더레이션 중단 또는 손상/삭제된 계정으로 인해 차단되어 IAM 정책 업데이트 또는 리소스 관리가 차단되는 경우 클라우드 테넌트에 대한 액세스가 손실됩니다.
  • 권한이 높은 계정에 대한 무단 액세스 보안이 약한 자격 증명 또는 비상 계정에 대한 무제한 액세스를 사용하면 악의적 사용자가 클라우드 관리 콘솔 또는 API에 인증하여 권한 상승 또는 데이터 반출을 용이하게 할 수 있습니다.
  • 오용된 응급 액세스를 통한 내부자 위협 표준 제어를 우회하는 응급 계정은 비응급 작업에 대해 권한 있는 직원이 오용하여 자격 증명 노출 또는 무단 액세스의 위험을 초래합니다.
  • 응급 액세스에 대한 감사 가능성 부족 긴급 계정 활동의 부적절한 로깅 또는 모니터링은 무단 사용 감지를 방지하여 인시던트 대응을 지연합니다.
  • 테스트되지 않은 응급 계정의 운영 실패 자격 증명이 오래되었거나 잘못 구성된 IAM 바인딩이 있는 테스트되지 않은 비상 계정은 위기 상황에서 실패하여 액세스 복원을 방지하고 잠금을 악화합니다.

MITRE ATT&CK

  • 초기 액세스(TA0001) - 유효한 계정: 클라우드 계정(T1078.004) 높은 권한으로 손상된 응급 액세스 계정을 활용하여 클라우드 관리 콘솔 또는 API에 인증하고 안전하지 않은 저장된 자격 증명을 악용합니다.
  • 권한 상승(TA0004) - 권한 상승 제어 메커니즘 남용: 클라우드 인프라(T1548.005) 과도한 IAM 역할이 있는 초과 권한의 긴급 계정은 액세스를 에스컬레이션하기 위해 악용되어 악의적 사용자가 정책을 수정하거나 테넌트 수준 관리 권한을 할당할 수 있습니다.
  • 지속성(TA0003) - 계정 조작: 추가 클라우드 자격 증명(T1098.001) 무단 액세스를 유지하기 위해 영구 역할 추가 또는 MFA 비활성화와 같은 긴급 계정 구성을 수정합니다.
  • 방어 회피(TA0005) - 방어 손상: 클라우드 로그 사용 안 함 또는 수정(T1562.008) 긴급 계정을 사용하여 클라우드 환경에서 감사 로깅 또는 모니터링을 사용하지 않도록 설정하여 악의적인 작업을 숨깁니다.
  • TA0006(자격 증명 액세스) - 애플리케이션 액세스 토큰 도용(T1528) 클라우드 서비스에 인증하기 위해 안전하지 않게 저장된 긴급 계정 자격 증명을 도용합니다.

PA-5.1: 긴급 액세스 설정

비상 액세스 계정(“비상 탈출용” 계정)은 MFA 오류, 페더레이션 중단 또는 손상된 관리 계정 중에 완전한 관리 차단을 방지합니다. 이러한 계정이 없으면 조직은 일반 인증 경로가 실패할 때 테넌트 액세스가 손실될 위험이 있습니다. 응급 액세스를 구현하면 제어된 자격 증명 관리, 모니터링 및 테스트를 통해 보안을 유지하면서 비즈니스 연속성을 보장합니다.

다음과 같은 구조적 접근 방식을 통해 응급 액세스 계정을 설정합니다.

  • 응급 액세스 계정 만들기 Microsoft Entra ID에서 전역 관리자 역할로 클라우드 전용 계정 두 개 이상(페더레이션되지 않음)을 구성합니다. 설명이 포함된 이름(예: EmergencyAccess01, BreakGlass02)을 사용하여 해당 용도를 명확하게 파악하여 계정이 특정 개인에게 할당되지 않고 비상 시나리오 전용으로 유지되도록 합니다.

  • 이중 제어를 사용하여 자격 증명 보호 만료되지 않도록 구성된 32자 이상의 강력한 임의로 생성된 암호를 생성하고, 자격 증명을 별도의 보안 물리적 위치(예: 다른 사이트의 방화 금고)에 저장된 여러 부분으로 분할하여 이중 제어 메커니즘을 구현하고, 승인된 C 수준 임원 또는 보안 리더십에만 액세스할 수 있으며, 다인의 승인이 필요한 검색 절차를 문서화합니다.

  • 조건부 액세스 제외 구성 서비스 중단 시 액세스를 보장하기 위해 모든 조건부 액세스 정책 및 MFA 요구 사항에서 하나 이상의 응급 계정을 제외하고, 필요에 따라 보안 위치에 저장된 FIDO2 보안 키를 사용하여 두 번째 계정을 보호하여 자격 증명 다양성이 단일 지점 인증 실패로부터 보호되도록 합니다.

  • 포괄적인 모니터링 및 경고 사용 Microsoft Entra ID 로그인 및 감사 로그를 분석하도록 Azure Monitor 또는 Microsoft Sentinel을 구성하고, 긴급 계정 인증 또는 구성 변경 시 트리거되는 실시간 경고(이메일 및 SMS)를 만들고, 모든 응급 계정 사용에 대한 즉각적인 보안 팀 알림 및 근거 설명서가 필요한 인시던트 대응 절차를 설정합니다.

  • 테스트 및 유지 관리 절차 설정 분기별로 응급 계정 액세스를 테스트하여 기능을 확인하고, 90일마다 자격 증명을 업데이트하거나, 권한 있는 사용자에게 영향을 미치는 담당자 변경 직후, 자격 증명 검색 및 인시던트 설명서를 포함한 비상 절차에서 권한 있는 관리자를 교육하고, 규정 준수 및 운영 준비에 대한 완전한 응급 액세스 프로세스를 문서화하는 서면 Runbook을 유지 관리합니다.

구현 예제

도전 다국적 금융 서비스 조직은 하이브리드 ID 인프라에 영향을 미치는 페더레이션 중단을 경험하여 Microsoft Entra ID에 대한 작동 중인 응급 액세스 경로가 없음을 발견했습니다. 전역 관리자 15명 모두 페더레이션 인증에 의존하여 인시던트 중에 조직이 완전히 잠겼고, 6시간의 가동 중지 시간 후에 Microsoft 지원 에스컬레이션을 통해 액세스 권한을 되찾아야 했습니다.

Solution

  • 응급 액세스 계정 만들기 페더레이션 인프라에 대한 종속성을 제거하기 위해 계정이 온-프레미스 Active Directory에서 페더레이션되거나 동기화되지 않도록 Microsoft Entra ID에 영구 전역 관리자 역할 할당이 있는 두 개의 클라우드 전용 응급 액세스 계정(EmergencyAccess01@contoso.onmicrosoft.com, BreakGlass02@contoso.onmicrosoft.com)을 프로비전했습니다.

  • 이중 제어를 사용하여 암호 없는 인증 구현FIDO2 암호 인증 및 자격 증명 다양성을 위한 인증서 기반 인증 을 사용하여 BreakGlass02를 사용하여 EmergencyAccess01을 구성하고, FIDO2 보안 키를 본사 및 재해 복구 사이트의 두 개의 별도 방화 금고에 저장하고, 인증서 프라이빗 키는 응급 대응 절차에 문서화된 이중 사용자 권한 부여 요구 사항이 있는 C-level 임원만 액세스할 수 있는 하드웨어 보안 모듈에 남아 있습니다.

  • 전략적으로 조건부 액세스 제외 구성 MFA 요구 사항을 포함한 모든 조건부 액세스 정책에서 제외되는 EmergencyAccess01에 대해 명명된 위치 제외 정책을 만들었으며, BreakGlass02는 분산된 보안 접근 방식을 제공하여 인증 서비스 중단 중에 하나 이상의 계정이 액세스를 보장하도록 하는 피싱 방지 MFA 요구 사항의 적용을 받았습니다.

  • 비상 계정 활동에 대한 Azure Monitor 경고 배포 SigninLogs를 쿼리하여 비상 계정 개체 ID에 대해 사용자 지정 경고 규칙을 설정하고, 비상 계정이 인증되면 보안 운영 센터, CISO, 및 IT 디렉터에게 즉시 이메일 및 SMS 알림으로 중요한 심각도 경고(Sev 0)를 전송하도록 구성된 Log Analytics 작업 영역입니다. 이 경고 쿼리는 SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" 을 사용하여 5분마다 평가됩니다.

  • 분기별 유효성 검사 및 테스트 절차 설정 보안 팀의 지정된 구성원은 보안 스토리지에서 자격 증명을 검색하고, 응급 계정을 이용하여 인증한 후, 테스트 관리 작업( Microsoft Graph API를 통해 사용자 목록 쿼리)을 수행합니다. 그런 다음 인시던트 로그에 활동을 문서화하고, 보안 팀에게 즉시 알림을 보내 사후 검토를 트리거하여 경고 기능과 자격 증명 접근성을 확인합니다. 자격 증명 회전은 90일마다 수행되며, 권한이 있는 개인에 영향을 미치는 인사 변경이 있을 경우 즉시 수행됩니다. 문서화된 분기별 훈련 일정을 생성했습니다.

결과 조직은 완전한 페더레이션 인프라 오류에서도 작동하는 복원력 있는 비상 액세스 기능을 설정했으며, 자동화된 경고를 통해 5분 이내에 100%의 비상 계정 인증을 감지하고, 평균 12분의 자격 증명 검색 시간으로 4개의 분기별 검증 훈련을 성공적으로 수행했으며, 모든 테스트 활동에 대한 포괄적인 감사 내역을 바탕으로 12개월 동안 무단 비상 계정 사용 없이 유지했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2, CP-2, CP-9, IR-4, IA-4
  • PCI-DSS v4 8.2.8, 8.6.1, 12.10.1
  • CIS 컨트롤 v8.1 5.4, 6.5, 17.9
  • NIST CSF v2.0 PR.IP-10, RS.CO-3, RS.RP-1
  • ISO 27001:2022 A.5.24, A.5.29, A.17.1
  • SOC 2 CC6.1, CC7.4, CC9.1

PA-6: 권한 있는 액세스 솔루션 사용

보안 원칙

보안되고 격리된 권한 있는 액세스 솔루션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할의 보안을 위해 매우 중요합니다.

완화할 리스크

  • 관리 워크스테이션에서 맬웨어 또는 피싱을 통한 자격 증명 손상 공격자는 암호화되지 않은 워크스테이션에 키로거, 피싱 페이지 또는 메모리 스크래핑 맬웨어를 배포하여 API 토큰 또는 암호와 같은 권한 있는 자격 증명을 캡처하여 클라우드 관리 콘솔 또는 API에 무단으로 액세스할 수 있도록 합니다. 예를 들어 클라우드 포털 로그인 페이지 또는 비 PAW 디바이스의 트로이 목마를 모방한 피싱 공격은 관리자 자격 증명을 추출하여 악의적 사용자가 API 호출을 호출하거나, IAM 정책을 수정하거나, 데이터를 반출할 수 있도록 할 수 있습니다.
  • 보안되지 않은 워크스테이션 구성을 통한 권한 상승 악의적 사용자는 관리 워크스테이션에서 로컬 관리자 권한, 패치되지 않은 취약성 또는 약한 애플리케이션 제어를 악용하여 권한을 에스컬레이션하고 IAM 역할 또는 액세스 토큰을 조작합니다. 예를 들어 AppLocker 정책이 없는 워크스테이션은 악의적인 스크립트를 실행할 수 있으므로 공격자가 사용자 수준에서 테넌트 전체의 관리 액세스로 상승하여 가상 머신 또는 스토리지와 같은 리소스를 손상시킬 수 있습니다.
  • 안전하지 않은 원격 연결을 통한 무단 액세스 공격자는 노출된 RDP/SSH 엔드포인트 또는 보안되지 않은 프로토콜을 대상으로 하여 관리자 세션을 가로채거나 무차별 암호 대입 공격을 수행하여 클라우드 리소스에 액세스합니다. 공용 IP를 통해 직접 연결하면 세션 하이재킹 또는 자격 증명 스터핑이 발생할 수 있으므로 악의적 사용자가 권한 없는 명령을 실행하거나 가상 머신 또는 데이터베이스에서 데이터를 추출할 수 있습니다.
  • PAW가 아닌 디바이스에서 오용된 권한 있는 액세스로 인한 내부자 위협 권한 있는 관리자는 개인 디바이스를 사용하여 권한 있는 액세스 권한을 오용하거나 제어를 우회하여 맬웨어 또는 정책 위반에 자격 증명이 노출될 위험이 있습니다. 예를 들어 BYOD 디바이스에서 권한 있는 작업을 수행하는 관리자는 실수로 자격 증명을 스파이웨어로 유출하여 권한이 없는 IAM 변경 또는 데이터 액세스를 사용하도록 설정하여 최소 권한 원칙을 위반할 수 있습니다.
  • 관리 워크스테이션에서 맬웨어 전파 및 지속성 악의적 사용자는 랜섬웨어 또는 백도어와 같은 영구 맬웨어를 분할되지 않은 워크스테이션에 배포하여 데이터를 유출하거나 클라우드 리소스로 피벗합니다. 제한된 실행 없이 손상된 관리 디바이스를 사용하면 맬웨어가 IAM 구성을 조작하거나 악성 워크로드를 배포하여 오래된 소프트웨어를 악용하여 장기 액세스를 유지할 수 있습니다.
  • 권한 있는 워크스테이션 작업에 대한 감사 가능성 및 추적 가능성 부족 워크스테이션에서 권한 있는 세션 또는 IAM 작업의 부적절한 로깅은 무단 액세스 감지를 방지하여 인시던트 대응을 지연합니다. 제한된 로그 보존(예: 30일)이 있는 콘솔 로그인 또는 API 호출과 같은 모니터링되지 않는 관리자 활동은 포렌식 분석을 방해하여 공격자가 클라우드 환경에서 검색되지 않은 상태로 작동할 수 있도록 합니다.

MITRE ATT&CK

  • 자격 증명 액세스(TA0006) 키로거, 피싱 또는 메모리 스크래핑 맬웨어(T1552.001)를 통해 분할되지 않은 관리 워크스테이션에서 자격 증명(예: 암호, API 토큰)을 도용하고 캡처된 자격 증명을 사용하여 무단 액세스를 위해 클라우드 관리 콘솔 또는 API에 인증합니다.
  • 권한 에스컬레이션(TA0004) 비 PAW 디바이스에서 로컬 관리자 권한 또는 패치되지 않은 취약성을 악용하여 권한(T1068)을 에스컬레이션하고, IAM 역할 또는 액세스 토큰을 조작하여 클라우드 리소스 정책 수정과 같은 테넌트 차원의 관리 액세스 권한을 얻습니다.
  • 초기 액세스(TA0001) 보안되지 않은 원격 연결에서 손상된 관리자 세션을 사용하여 명령을 실행하거나 중요한 데이터에 액세스하는 무차별 암호 대입 또는 세션 가로채기(T1133)를 통해 클라우드 리소스에 노출된 RDP/SSH 엔드포인트를 대상으로 지정합니다.
  • 지속성(TA0003) 분할되지 않은 워크스테이션(T1547.001)에 맬웨어 또는 백도어 배포를 통해 영구 액세스를 설정하고, 클라우드 IAM 구성에 반복적으로 액세스하거나 악성 워크로드를 배포하도록 관리 디바이스에 대한 제어를 유지 관리합니다.
  • 방어 회피(TA0005) 비 PAW 디바이스(T1562.008)에서 손상된 관리자 계정을 통해 클라우드 로깅 또는 모니터링 서비스를 사용하지 않도록 설정하여 감사 내역을 표시하지 않음으로써 무단 IAM 변경 또는 리소스 조작을 숨깁니다.

PA-6.1: 권한 있는 액세스 솔루션 사용

PAW(Privileged Access Workstations)는 관리 디바이스에서 맬웨어, 피싱 및 무단 액세스로부터 자격 증명 도난을 방지하는 강화되고 격리된 환경을 제공합니다. PAW가 없으면 표준 워크스테이션 또는 개인 디바이스를 사용하는 관리자는 권한 있는 자격 증명을 키로거, 메모리 스크래핑 맬웨어 및 세션 하이재킹에 노출하여 공격자가 클라우드 테넌트에 손상시킬 수 있습니다. 디바이스 강화, 강력한 인증 및 보안 원격 액세스를 사용하여 PAW를 구현하면 관리 작업이 엔드포인트 기반 공격으로부터 보호됩니다.

다음과 같은 구조적 접근 방식을 통해 권한 있는 액세스 워크스테이션을 배포합니다.

강화된 PAW 디바이스 프로비전 및 구성 중앙 집중식 관리를 위해 Microsoft Intune 에 등록하고, 엔드포인트용 Microsoft Defender 보안 기준을 적용하여 로컬 관리자 권한을 제거하고, BitLocker를 사용하여 디바이스 암호화를 적용하고, WDAC(Windows Defender 애플리케이션 제어) 또는 AppLocker 정책을 구성하는 전용 Windows 디바이스를 PAW(실제 워크스테이션 또는 Azure VM)로 배포합니다. 애플리케이션 실행을 승인된 관리 도구로만 제한합니다(Azure Portal, PowerShell, Azure CLI, Visual Studio Code).

디바이스 준수 및 애플리케이션 제어 구현 Intune 디바이스 구성 프로필은 비활성화된 로컬 관리자 계정, 5분 동안 비활성 상태 후 필수 화면 잠금, 이동식 스토리지 디바이스 차단 및 제한된 Microsoft Store 설치를 비롯한 보안 정책을 적용하도록 구성하고, 승인된 도구만 PAW에 도달하도록 관리되는 애플리케이션 배달을 위한 회사 포털 앱을 배포하고 , Microsoft Defender for Cloud Apps 통합을 통해 개인 애플리케이션 및 소비자 클라우드 서비스를 차단합니다.

위협 탐지 및 모니터링 활성화 자격 증명 도난 시도, 의심스러운 프로세스 실행 및 맬웨어 활동을 실시간으로 감지하기 위해 모든 PAW에 Microsoft Defender for Endpoint를 통합하고, Office 매크로, 스크립트 기반 맬웨어 및 자격 증명 덤핑 도구를 차단하는 공격 표면 감소 규칙을 구성합니다. 자동화된 경고는 즉각적인 조사가 필요한 고심각도 위협에 대해 보안 팀에 알림을 발송합니다.

ID 및 액세스 제어를 적용하십시오 피싱 방지 MFA(FIDO2 보안 키 또는 인증서 기반 인증)가 필요한 Microsoft Entra 조건부 액세스 정책을 만들어 엔터타 포털 및 Microsoft 365에 대한 모든 권한 있는 계정 액세스를 PAW에서 구현합니다. BYOD 시나리오를 차단하면서 엔터타에 가입하거나 Intune 규격 PAW로만 액세스를 제한하는 디바이스 기반 필터를 실행하고, 승인 및 근거를 요구하는 JIT(Just-In-Time) 역할 활성화를 위해 Microsoft Entra PIM(Privileged Identity Management)를 사용하여 시간 제한이 있는 관리 권한을 부여합니다.

클라우드 리소스에 대한 보안 원격 액세스 배포 공용 IP 노출 없이 웹 브라우저를 통해 Azure Portal을 통해 Azure VM에 RDP/SSH 연결을 가능하게 하는 가상 네트워크에서 완전 플랫폼 관리 PaaS 서비스로 Azure Bastion을 프로비전합니다, 엔트라 ID 기반 액세스 정책을 사용하여, Azure Key Vault에 비밀로 SSH 프라이빗 키를 저장하고, 권한 있는 PAW 디바이스에 대해서만 키 사용을 제한하며, NSG(네트워크 보안 그룹)을 구성하여 원본 IP 범위 및 프로토콜별로 Bastion 트래픽을 제한하고, 구성 변경 또는 무단 액세스 시도에 대한 경고를 위해 Azure Monitor와 통합합니다.

PAW 사용 정책 및 교육 설정 Azure Portal 액세스, PowerShell 관리 및 인프라 변경, 기술 제어 및 정책 적용을 통해 비 PAW 디바이스에서 권한 있는 계정 사용 금지, PAW 액세스 절차에 대한 관리자 교육, 승인된 도구 사용 및 인시던트 보고 프로토콜을 비롯한 모든 권한 있는 작업에 대한 필수 PAW 사용 요구 사항을 문서화하고 분기별 규정 준수 검토를 통해 PAW 전용 관리 액세스 준수를 확인합니다.

구현 예제

도전 한 의료 조직은 개인 랩톱 및 표준 회사 워크스테이션을 사용하여 PHI(보호된 상태 정보)가 포함된 프로덕션 Azure 리소스를 관리하고, 엔드포인트 보호, 애플리케이션 제어 또는 활동 모니터링 없이 맬웨어 및 피싱 공격에 권한 있는 자격 증명을 노출하고, HIPAA 규정 준수 위험을 만들고, 잠재적 자격 증명 도난을 가능하게 하는 23개의 관리자를 발견했습니다.

Solution

  • 전용 PAW 인프라 배포 엄격한 디바이스 준수 정책을 사용하여 Microsoft Intune에 등록된 25개의 전용 Windows 11 Enterprise 디바이스를 PAW로 프로비전하고, 모든 로컬 관리자 권한을 제거하는 엔드포인트용 Microsoft Defender 보안 기본값을 적용하며, TPM 보호를 사용하여 BitLocker 전체 디스크 암호화를 활성화하고, 승인된 관리 도구(Azure 포털, PowerShell 7, Azure CLI, Visual Studio Code, Microsoft 원격 데스크톱)만 허용하도록 Windows Defender 애플리케이션 제어(WDAC) 허용 목록을 구성했습니다. 애플리케이션 가드 모드의 Edge를 제외하고 Office 생산성 제품군 및 웹 브라우저를 포함한 다른 모든 애플리케이션 실행을 차단합니다.

  • 포괄적인 디바이스 강화 구현 보안 정책을 시행하는 Intune 디바이스 구성 프로파일을 구성하여 Windows Hello 인증을 사용하는 필수 5분 화면 잠금, USB 스토리지 디바이스 및 외부 미디어 차단, 카메라 및 마이크 액세스 비활성화, 로컬 자격 증명 캐싱 방지, 승인된 관리 도구로만 설치를 제한하는 관리 앱 배포를 위한 회사 포탈 배포, 그리고 네트워크 트래픽 검사를 통해 Dropbox, 개인 OneDrive, Gmail과 같은 소비자 클라우드 스토리지 서비스에 대한 액세스를 차단하는 Microsoft Defender for Cloud Apps 통합을 포함합니다.

  • 고급 위협 방지 사용 모든 PAW에 통합된 Microsoft Defender for Endpoint를 통해 Office 매크로, 스크립트 기반 위협, 자격 증명 수집 도구(Mimikatz), 및 의심스러운 프로세스 주입을 차단하는 공격 표면 감소 규칙을 설정했습니다. 심각도가 높은 위협에 대한 자동 조사 및 수정을 구성한 EDR(엔드포인트 탐지 및 대응)을 사용하고, 보안 제어의 비활성화를 방지하는 변조 방지도 활성화되었습니다. 또한, 중요한 PAW 보안 이벤트에 대해 15분 응답 SLA로 설정된 SOC(보안 운영 센터) 경고 시스템을 구축했습니다.

  • 피싱 방지 인증 적용 모든 권한 있는 계정이 PAW에서 Azure Portal 및 Microsoft 365에 액세스할 때 FIDO2 보안 키 인증을 요구하는 Microsoft Entra 조건부 액세스 정책을 만들었습니다. Intune으로 관리되는 PAW에서만 준수된 보안 태세로 접근할 수 있도록 디바이스 준수 필터를 구현하고, 기본 인증, POP3, IMAP과 같은 레거시 인증 프로토콜을 차단했습니다. 또한, Microsoft Entra PIM을 사용하여 소유자 및 기여자 역할에 대한 승인 워크플로와 4시간 한정 활성화가 필요하며, 필수적으로 근거 문서를 제출해야 합니다.

  • 보안 원격 액세스 인프라 배포 표준 SKU로 프로비전된 Azure Bastion을 모든 프로덕션 가상 네트워크에 배포하여 공용 IP 노출 없이 브라우저 기반 RDP/SSH을 통해 Azure VM에 액세스할 수 있게 하였습니다. SSH 프라이빗 키는 HSM 보호가 있는 Azure Key Vault Premium에 저장되고, 엔트라 ID 기반의 액세스 정책은 특정 PAW 디바이스 ID로 키 사용을 제한합니다. 또한, NSG를 구성하여 Bastion 서브넷 트래픽을 회사 네트워크와 PAW 서브넷의 허가된 원본 IP 범위 내로 제한했습니다. Azure Monitor를 Bastion 구성 변경, 무단 액세스 시도 또는 세션 기간이 8시간을 초과하는 경우에 트리거되는 경고 규칙과 통합했습니다.

  • 필수 PAW 사용 거버넌스 수립 조건부 액세스 차단을 통해 비 PAW 디바이스에서의 권한 있는 계정 사용을 금지하는 문서화되고 시행된 무관용 정책 수립, FIDO2 키 사용, 승인된 도구의 제한 사항 및 인시던트 보고 프로토콜을 포함한 PAW 액세스 절차에 대해 23명의 관리자를 대상으로 한 교육 진행, 자동화된 Intune 보고를 통해 규정 준수 PAW에서 시작되는 100% 권한 있는 작업을 검증하는 분기별 규정 준수 감사 시행, 정책 위반 시 즉각 조사 및 수정을 요구하는 경영진 에스컬레이션 체계 수립.

결과 조직은 23개의 보안되지 않은 관리 디바이스에서 자격 증명 노출 위험을 제거했습니다. 6개월 동안 25개 디바이스에서 보안 기준 위반이 없는 권한 있는 액세스를 위해 100개의% PAW 채택을 달성했으며, 자동화된 자격 증명 도난 도구 블록으로 엔드포인트용 Defender에서 감지한 12개의 피싱 시도를 방지하고, 피싱 방지 인증 및 디바이스 강화를 통해 87% 권한 있는 계정 손상 위험을 감소시켰습니다. 모든 권한 있는 작업에 대한 완전한 감사 내역을 사용하여 관리 액세스 제어에 대한 HIPAA 규정 준수를 달성했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6, IA-2, IA-5, IA-8, SI-4
  • PCI-DSS v4 2.2.1, 7.2.5, 8.2.8, 8.4.2
  • CIS 컨트롤 v8.1 4.1, 5.4, 6.3, 6.4
  • NIST CSF v2.0 PR.AC-7, PR.PT-3, DE.CM-1
  • ISO 27001:2022 A.5.15, A.8.5, A.8.16
  • SOC 2 CC6.1, CC6.6, CC6.7

PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.

Azure Policy:Azure 기본 제공 정책 정의인 PA-7을 참조하세요.

보안 원칙

세분화된 수준에서 권한을 관리하기에 충분한 관리(최소 권한) 원칙을 따릅니다. RBAC(역할 기반 액세스 제어)와 같은 기능을 사용하여 역할 할당을 통해 리소스 액세스를 관리합니다.

완화할 리스크

  • 과도한 권한으로 인한 무단 액세스 공격자는 자신의 역할에 필요한 것 이상의 권한으로 과도하게 권한 있는 계정을 악용하여 스토리지 계정, 가상 머신 또는 데이터베이스와 같은 중요한 클라우드 리소스에 무단으로 액세스할 수 있도록 합니다. 클라우드 환경에서 과도한 권한은 종종 광범위한 역할 할당(예: 구독 범위에서 기여자 대신 소유자에게 부여)으로 인해 발생하므로 악의적 사용자가 데이터 반출, 리소스 삭제 또는 IAM 정책 수정과 같은 작업을 수행할 수 있습니다. 예를 들어 스토리지 계정에 대한 불필요한 쓰기 액세스 권한이 있는 사용자는 기밀 데이터를 추출하거나 악의적인 콘텐츠를 배포하여 공격 표면을 증폭시킬 수 있습니다.
  • 잘못 구성된 역할 할당에서 권한 상승 악의적 사용자는 잘못 구성되거나 지나치게 허용되는 역할 할당을 활용하여 권한을 에스컬레이션하여 클라우드 리소스 또는 전체 테넌트에 대한 무단 제어를 얻습니다. 세분화된 RBAC 정책이 없으면 권한이 낮은 것처럼 보이는 사용자(예: 리소스 그룹 범위의 읽기 권한자)는 상속된 권한 또는 역할 구성을 악용하여 구독 수준에서 소유자와 같은 더 높은 권한을 할당할 수 있습니다. 이로 인해 테넌트 전체의 손상이 발생할 수 있으므로 공격자가 IAM 구성을 조작하거나 악성 워크로드를 배포하거나 보안 제어를 사용하지 않도록 설정할 수 있습니다.
  • 무제한 액세스의 내부자 위협 권한이 부여된 사용자는 의도적으로 또는 의도치 않게 광범위한 액세스 권한을 오용하여 중요한 리소스 수정 또는 중요한 데이터 액세스와 같은 무단 작업을 수행합니다. 클라우드 플랫폼에서 과도한 권한(예: 여러 리소스 그룹의 기여자)을 부여하는 역할이 있는 참가자는 가상 머신 구성을 변경하거나, 데이터베이스에서 데이터를 추출하거나, 검색 없이 서비스를 중단시킬 수 있습니다. 최소 권한 적용이 없으므로 이러한 작업을 통해 표준 감독을 우회하여 데이터 위반 또는 운영 중단의 위험이 높아질 수 있습니다.
  • 클라우드 리소스 간 횡적 이동 공격자는 권한이 초과된 계정을 악용하여 클라우드 리소스 간에 횡적으로 이동하여 단일 계정을 손상한 후 관련 없는 시스템 또는 데이터에 액세스합니다. 클라우드 테넌트에서 여러 리소스 그룹(예: 구독 범위의 참가자)에 대한 액세스 권한을 부여하는 역할이 있는 손상된 계정을 사용하면 악의적 사용자가 한 리소스(예: 가상 머신)에서 다른 리소스(예: 스토리지 계정)로 피벗하여 영향을 확대할 수 있습니다. 역할 할당에 리소스 관련 범위가 부족하여 공격자가 상호 연결된 리소스를 열거하고 악용할 수 있게 되면 이러한 위험이 높아집니다.

MITRE ATT&CK

  • 초기 액세스(TA0001) 유효한 계정: 클라우드 계정(T1078.004): 광범위한 RBAC 역할(예: 구독 범위의 소유자)을 가진 과도한 권한의 계정을 손상시켜 클라우드 관리 콘솔이나 API에 인증함으로써, 악의적 사용자가 탐지되지 않고 스토리지 계정이나 가상 머신과 같은 민감한 리소스에 접근할 수 있도록 합니다.
  • 권한 에스컬레이션(TA0004) 남용 권한 상승 제어 메커니즘: 클라우드 인프라(T1548.005): 과도한 권한으로 잘못 구성된 RBAC 역할을 악용하여 권한 상승(예: 리소스 그룹 범위에서 테넌트 전체 관리 역할을 할당하도록 IAM 정책 수정, 클라우드 리소스에 대한 무단 제어 부여)
  • 지속성(TA0003) 계정 조작: 추가 클라우드 역할(T1098.001): 손상된 계정에 영구 높은 권한 역할을 추가하도록 RBAC 역할 할당을 수정하여 악의적 사용자가 권한 없는 역할 바인딩을 통해 데이터베이스 또는 컴퓨팅 인스턴스와 같은 클라우드 리소스에 대한 액세스를 유지할 수 있도록 합니다.
  • 데이터 탈취 (TA0010) 클라우드 스토리지(T1530)에서: 지나치게 허용적인 RBAC 역할이 있는 계정을 사용하여 클라우드 스토리지에서 민감한 데이터에 접근하고 추출하는 행위로 인해, 악의적 사용자는 범위가 명시되지 않은 권한으로 스토리지 버킷 내의 기밀 파일을 목록화하고 다운로드할 수 있습니다.
  • 방어 회피(TA0005) 방어 손상: 클라우드 로그 사용 안 함 또는 수정(T1562.008): 과도한 RBAC 권한이 있는 계정을 사용하여 감사 로깅 또는 모니터링 서비스를 사용하지 않도록 설정하고, 클라우드 네이티브 감사 내역을 표시하지 않음으로써 리소스 수정 또는 IAM 변경과 같은 악의적인 작업을 숨깁니다.

PA-7.1: Azure RBAC를 사용하여 Azure 리소스 액세스 관리

Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. RBAC를 통해 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 Azure CLI, Azure PowerShell 및 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.

Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한되어야 합니다. 제한된 권한은 Microsoft Entra ID PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하며, 이러한 권한은 주기적으로 검토되어야 합니다. 필요한 경우 PIM을 사용하여 사용자가 지정된 시작 및 종료 날짜 내에서만 역할을 활성화할 수 있는 역할 할당의 조건인 시간 제한 할당을 정의할 수도 있습니다.

참고: Azure 기본 제공 역할을 사용하여 권한을 할당하고 필요한 경우에만 사용자 지정 역할을 만듭니다.

구현 예제

과제 소프트웨어 회사는 편의를 위해 구독 범위 내 145명의 개발자에게 소유자 역할을 부여하여, 개발 요구를 훨씬 초과하는 데이터베이스 삭제, 네트워크 보안 그룹 수정 및 IAM 정책 변경과 같은 과도한 권한을 실질적으로 허용했습니다.

Solution

  • 최소 권한 RBAC 구현 실제 권한 요구 사항을 분석하고 세분화된 사용 권한을 가진 특정 리소스 그룹에 대한 액세스를 제한하는 범위가 지정된 사용자 지정 역할에 개발자를 다시 할당했습니다(App Services의 경우 읽기/쓰기, Key Vault의 경우 읽기 전용, 네트워크 또는 IAM 리소스에 대한 액세스 없음).
  • 시간 제한 할당을 위한 PIM 배포 상승된 액세스 요구 사항에 맞게 구성된 Microsoft Entra PIM은 개발자가 근거 및 승인으로 4시간 동안 기여자 역할을 활성화하도록 요구하며, 상주 소유자 할당을 주문형 액세스로 대체합니다.
  • RBAC 거버넌스 설정 PIM 액세스 검토를 사용하여 모든 역할 할당에 대한 월별 자동 검토를 만들었으며, 리소스 소유자가 지속적인 액세스를 정당화하고 보안 팀 검토를 위해 리소스 그룹 범위보다 더 광범위한 역할 할당에 자동으로 플래그를 지정하도록 요구했습니다.

결과 조직은 145개의 상주 소유자 할당을 0으로 줄이고, 사용자 지정 역할이 평균 8개 권한과 이전 100개 이상의 소유자 권한을 가진 23개의 범위가 지정된 리소스 그룹에 대한 개발자 액세스를 제한했으며, 제한된 액세스를 통해 1분기에 3번의 우발적인 프로덕션 삭제를 방지했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-5, AC-6, AC-6(1), AC-6(2)
  • PCI-DSS v4 7.2.1, 7.2.2, 7.2.3, 8.2.2
  • CIS 컨트롤 v8.1 3.3, 5.4, 6.1, 6.8
  • NIST CSF v2.0 PRI.AC-4, PRI.AC-7, PRI.AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.3, CC6.7

PA-8: 클라우드 공급자 지원에 대한 액세스 프로세스 확인

보안 원칙

보안 채널을 통해 공급업체 지원 요청 및 데이터에 대한 임시 액세스를 요청하고 승인하기 위한 승인 프로세스 및 액세스 경로를 설정합니다.

완화할 리스크

  • 클라우드 공급자 지원을 통한 무단 데이터 액세스 클라우드 공급자 지원 담당자가 명시적 동의 없이 고객 데이터 저장소에 액세스하여 진단 또는 유지 관리 작업 중에 권한 있는 자격 증명을 악용할 위험이 있습니다.
  • 공급자 액세스를 통한 내부자 위협 악용 악의적이거나 부주의한 클라우드 공급자 내부자가 권한 있는 액세스를 남용하여 고객 테넌트 내에서 데이터 반출 또는 무단 수정으로 이어질 수 있습니다.
  • 표시 유형이 없는 불투명 액세스 작업 데이터 액세스 이벤트에 대한 가시성이 부족하여 추적 가능성 및 책임을 저해하여 신뢰를 떨어뜨리고 감사 요구 사항을 위반할 수 있습니다.
  • 과도한 권한 상승 클라우드 공급자의 위험 지원 엔지니어는 지나치게 광범위한 액세스 범위를 확보하여 최소 권한 원칙을 초과하고 클라우드 리소스 내에서 공격 노출 영역을 증가합니다.
  • 감사 요구 사항을 준수하지 않는 규정 데이터 보호 프레임워크(예: GDPR, HIPAA, CCPA)를 위반하는 제어되지 않은 데이터 액세스는 부적절한 액세스 거버넌스로 인해 비준수 처벌을 받을 위험이 있습니다.
  • 지원 작업 중 데이터 노출 고객 거버넌스 없이 원격 데스크톱 세션 또는 로그 분석과 같은 지원 활동 중에 중요한 데이터 유출 또는 잘못된 처리가 발생할 수 있습니다.

MITRE ATT&CK

  • 유효한 계정(T1078.004) 지원 담당자와 같이 손상되거나 오용된 클라우드 계정 자격 증명을 악용하여 클라우드 환경에서 고객 데이터에 액세스하고 표준 인증 제어를 우회합니다.
  • 계정 조작(T1098.001) 키 또는 토큰과 같은 권한 없는 자격 증명을 클라우드 ID 서비스 또는 애플리케이션에 추가하여 지원 작업 중에 고객 리소스에 영구적으로 액세스할 수 있도록 합니다.
  • 무차별 암호 대입(T1110) 지원 엔지니어가 사용하는 것과 같은 클라우드 계정 자격 증명을 추측하여 문제 해결 활동 중에 고객 데이터에 무단으로 액세스하려는 시도가 반복되었습니다.
  • 애플리케이션 액세스 토큰 도용(T1528) 고객 클라우드 리소스와 상호 작용하기 위해 지원 담당자가 사용하는 액세스 토큰 도난으로 테넌트 내에서 무단 데이터 액세스 또는 횡적 이동을 용이하게 합니다.
  • OS 자격 증명 덤프(T1003.006) 임시 상승된 액세스 권한이 있는 내부자가 클라우드 ID 서비스에서 자격 증명을 추출하여 영구 액세스를 위해 중요한 ID 데이터의 동기화를 허용합니다.

PA-8.1: Azure Customer Lockbox 사용

고객 Lockbox 는 Microsoft 지원 엔지니어 데이터 액세스를 위한 명시적 승인 제어를 제공하여 고객이 문제 해결 중에 클라우드 리소스에 액세스하는 사용자에 대한 거버넌스를 유지하도록 합니다. Lockbox가 없으면 지원 엔지니어가 명시적 동의 없이 고객 데이터에 액세스하여 규정 준수 위험을 초래하고 공급업체 액세스 활동에 대한 가시성을 줄일 수 있습니다. Lockbox를 구현하면 모든 지원 데이터 액세스 요청에 고객 승인이 필요하고 감사 내역 및 규정 준수가 유지됩니다.

다음 프로세스를 통해 고객 Lockbox를 구현합니다.

  • Lockbox 사용 전역 관리자는 Azure Portal의 관리 모듈을 통해 테넌트 수준에서 고객 Lockbox를 사용하도록 설정하며, 모든 구독 및 리소스가 적용되는 Azure 지원 계획(개발자 이상)이 필요합니다.

  • 지원 요청 시작 사용자는 워크로드 문제를 위해 Azure Portal에서 지원 티켓을 엽니다. 여기서 Microsoft 지원 엔지니어는 티켓을 검토하고 표준 문제 해결 도구를 넘어서 데이터 액세스가 필요한지 확인합니다.

  • 관리자 권한 액세스 요청 표준 도구가 문제를 해결할 수 없는 경우 엔지니어는 JIT(Just-In-Time) 액세스 서비스를 통해 상승된 권한을 요청하여 목적, 기간 및 리소스를 지정하는 직접 데이터 액세스(예: 가상 머신 원격 데스크톱)에 대한 Lockbox 요청을 만듭니다.

  • 지정된 승인자에게 알림 지정된 승인자(구독 소유자, 전역 관리자 또는 Azure 고객 Lockbox 승인자)는 요청 세부 정보 및 Lockbox 블레이드에 대한 링크가 포함된 전자 메일 알림을 받으며, 비 전자 메일 사용 계정 또는 서비스 주체에 대해 구성할 수 있는 대체 전자 메일 알림을 받습니다.

  • 검토 및 승인 또는 거부 승인자는 Azure Portal에 로그인하여 제한된 시간(기본값: 8시간)에 대한 액세스 권한을 부여하고 액세스를 차단하는 거부 또는 만료를 통해 4일 이내에 승인 또는 거부 요청 및 관련 지원 티켓을 검토합니다.

구현 예제

도전 금융 서비스 조직은 규정 요구 사항으로 인해 Microsoft 지원 데이터 액세스에 대한 명시적 승인 제어가 필요했지만 규정 준수 감사를 위한 지원 엔지니어 액세스 요청 및 승인 워크플로에 대한 가시성이 부족했습니다.

Solution

  • 고객 Lockbox 사용 전역 관리자 승인이 필요한 모든 구독에 대해 테넌트 수준에서 고객 Lockbox 를 활성화하고, 지정된 구독 소유자 및 Azure 고객 Lockbox 승인자가 모든 데이터 액세스 요청에 대해 자동화된 이메일 알림을 수신하는 문서화된 승인 프로세스를 설정합니다.
  • 승인 워크플로 구성 필수 승인자 근거 설명서가 있는 모든 Lockbox 요청에 대해 4일 간의 검토 기간을 설정하고, 서비스 주체에 대한 대체 이메일 알림을 구성하고, 시간에 민감한 지원 시나리오에 대한 에스컬레이션 절차를 구현합니다.
  • 모니터링 및 감사 로깅 구현Microsoft Sentinel 과 통합된 고객 Lockbox 승인 이벤트는 보안 팀에 대한 실시간 경고를 생성하여 모든 지원 액세스 요청, 승인 결정 및 규제 보고에 대한 액세스 기간의 포괄적인 감사 내역을 가능하게 합니다.

결과 조직은 평균 2시간의 승인 대기 시간으로 Microsoft 지원 데이터 액세스에 대한 100개의% 명시적 승인을 달성했으며, 규정 준수를 위해 6개월 동안 47개의 Lockbox 요청의 전체 감사 내역을 유지 관리했으며, 거버넌스 제어를 보여 주는 승인 기준을 충족하지 않는 3개의 요청을 거부했습니다.

중요도 수준

있어야 합니다.

제어 매핑

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6(2), AU-6, CA-3
  • PCI-DSS v4 8.2.2, 10.2.2, 12.8.2, 12.8.5
  • CIS 컨트롤 v8.1 5.4, 6.8, 8.2, 8.11
  • NIST CSF v2.0 PR.AC-4, PR.PT-2, DE.AE-3
  • ISO 27001:2022 A.5.19, A.5.20, A.5.23, A.8.2
  • SOC 2 CC6.3, CC6.7, CC7.2
  • Last updated on