보안 제어 V2: ID 관리

ID 관리는 Azure Active Directory를 사용하여 보안 ID 및 액세스 제어를 설정하는 컨트롤을 다룹니다. 여기에는 Single Sign-On, 강력한 인증, 관리 ID(및 서비스 주체)를 애플리케이션, 조건부 액세스 및 계정 변칙 모니터링에 사용하는 것이 포함됩니다.

해당되는 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

Azure AD(Azure Active Directory)는 Azure의 기본 ID 및 액세스 관리 서비스입니다. 다음에서 조직의 ID 및 액세스 관리를 관리하도록 Azure AD를 표준화해야 합니다.

• Azure Portal, Azure Storage, Azure Virtual Machines(Linux 및 Windows), Azure Key Vault, PaaS 및 SaaS 애플리케이션과 같은 Microsoft 클라우드 리소스

• Azure의 애플리케이션 또는 회사 네트워크 리소스와 같은 조직의 리소스입니다.

Azure AD 보안은 조직의 클라우드 보안 사례에서 높은 우선 순위여야 합니다. Azure AD는 Microsoft의 모범 사례 권장 사항을 기준으로 ID 보안 상태를 평가하는 데 도움이 되는 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항과 얼마나 밀접하게 일치하는지 측정하고 보안 상태를 개선합니다.

참고: Azure AD는 외부 ID 공급자를 지원하므로 Microsoft 계정이 없는 사용자가 외부 ID를 사용하여 애플리케이션 및 리소스에 로그인할 수 있습니다.

• Azure AD의 테넌시

• Azure AD 인스턴스를 만들고 구성하는 방법

• Azure AD 테넌트 정의

• 애플리케이션에 외부 ID 공급자 사용

• Azure AD의 ID 보안 점수란?

책임: 고객

고객 보안 관련자 (자세한 정보):

• ID 및 키 관리

• 보안 아키텍처

• 애플리케이션 보안 및 DevSecOps

• 자세 관리

IM-2: 애플리케이션 ID를 안전하고 자동으로 관리

서비스 또는 자동화와 같은 사람이 아닌 계정의 경우 리소스에 액세스하거나 코드를 실행하는 보다 강력한 사용자 계정을 만드는 대신 Azure 관리 ID를 사용합니다. Azure 관리 ID는 Azure AD 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 인증은 미리 정의된 액세스 권한 부여 규칙을 통해 사용하도록 설정되므로 소스 코드 또는 구성 파일에서 하드 코딩된 자격 증명을 방지할 수 있습니다.

관리 ID를 지원하지 않는 서비스의 경우 Azure AD를 사용하여 리소스 수준에서 권한이 제한된 서비스 주체를 만듭니다. 인증서 자격 증명을 사용하여 서비스 주체를 구성하고 클라이언트 비밀을 대안으로 사용하는 것이 좋습니다. 두 경우 모두 Azure Key Vault를 Azure 관리 ID와 함께 사용할 수 있으므로 런타임 환경(예: Azure 함수)이 키 자격 증명 모음에서 자격 증명을 검색할 수 있습니다.

• Azure 관리 ID

• Azure 리소스에 대한 관리 ID를 지원하는 서비스

• Azure 서비스 주체

• 인증서를 사용하여 서비스 주체 만들기

Azure Key Vault를 사용하여 보안 주체 등록: authentication#authorize-a-security-principal-to-access-key-vault

책임: 고객

고객 보안 관련자 (자세한 정보):

• ID 및 키 관리

• 애플리케이션 보안 및 DevSecOps

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

Azure AD는 Azure 리소스, 클라우드 애플리케이션 및 온-프레미스 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다. ID 및 액세스 관리는 직원과 같은 엔터프라이즈 ID뿐만 아니라 파트너, 공급업체 및 공급업체와 같은 외부 ID에도 적용됩니다.

Azure AD SSO(Single Sign-On)를 사용하여 온-프레미스 및 클라우드에서 조직의 데이터 및 리소스에 대한 액세스를 관리하고 보호합니다. 원활하고 안전한 액세스 및 가시성 및 제어를 위해 모든 사용자, 애플리케이션 및 디바이스를 Azure AD에 연결합니다.

• Azure AD를 사용하여 애플리케이션 SSO 이해

책임: 고객

고객 보안 관련자 (자세한 정보):

• 보안 아키텍처

• ID 및 키 관리

• 애플리케이션 보안 및 DevSecOps

IM-4: 모든 Azure Active Directory 기반 액세스에 강력한 인증 제어 사용

Azure AD는 MFA(다단계 인증) 및 강력한 암호 없는 방법을 통해 강력한 인증 제어를 지원합니다.

• 다단계 인증: Azure AD MFA를 사용하도록 설정하고 Azure Security Center의 "MFA 사용" 보안 제어의 권장 사항을 따릅니다. MFA는 로그인 조건 및 위험 요소에 따라 모든 사용자, 사용자 선택 또는 사용자별 수준에서 적용할 수 있습니다.

• 암호 없는 인증: 세 가지 암호 없는 인증 옵션을 사용할 수 있습니다. 비즈니스용 Windows Hello, Microsoft Authenticator 앱 및 스마트 카드와 같은 온-프레미스 인증 방법.

관리자 및 권한 있는 사용자의 경우 가장 높은 수준의 강력한 인증 방법을 사용하고 다른 사용자에게 적절한 강력한 인증 정책을 롤아웃합니다.

레거시 암호 기반 인증이 여전히 Azure AD 인증에 사용되는 경우 클라우드 전용 계정(Azure에서 직접 만든 사용자 계정)에 기본 기준 암호 정책이 있다는 점에 유의하세요. 하이브리드 계정(온-프레미스 Active Directory에서 온 사용자 계정)은 온-프레미스 암호 정책을 따릅니다. 암호 기반 인증을 사용하는 경우 Azure AD는 사용자가 추측하기 쉬운 암호를 설정하지 못하도록 하는 암호 보호 기능을 제공합니다. Microsoft는 원격 분석에 따라 업데이트되는 금지된 암호의 전역 목록을 제공하며, 고객은 요구 사항(예: 브랜딩, 문화 참조 등)에 따라 목록을 보강할 수 있습니다. 이 암호 보호는 클라우드 전용 및 하이브리드 계정에 사용할 수 있습니다.

참고: 암호 자격 증명만을 기반으로 하는 인증은 인기 있는 공격 방법에 취약합니다. 보안을 강화하려면 MFA와 같은 강력한 인증 및 강력한 암호 정책을 사용합니다. 기본 암호가 있을 수 있는 타사 애플리케이션 및 마켓플레이스 서비스의 경우 초기 서비스 설정 중에 암호를 변경해야 합니다.

• Azure에서 MFA를 사용하도록 설정하는 방법

• Azure Active Directory에 대한 암호 없는 인증 옵션 소개

• Azure AD 기본 암호 정책

• Azure AD 암호 보호를 사용하여 잘못된 암호 제거

책임: 고객

고객 보안 관련자 (자세한 정보):

• 보안 아키텍처

• ID 및 키 관리

• 애플리케이션 보안 및 DevSecOps

IM-5: 계정 변칙 모니터링 및 경고

Azure AD는 다음 데이터 원본을 제공합니다.

• 로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.

• 감사 로그 - Azure AD의 다양한 기능을 통해 변경된 모든 변경 내용에 대한 로그를 통해 추적 가능성을 제공합니다. 기록된 변경 감사 로그의 예로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거가 포함됩니다.

• 위험한 로그인 - 위험한 로그인은 사용자 계정의 합법적인 소유자가 아닌 사용자가 수행했을 수 있는 로그인 시도에 대한 지표입니다.

• 위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 지표입니다.

이러한 데이터 원본은 Azure Monitor, Azure Sentinel 또는 타사 SIEM 시스템과 통합될 수 있습니다.

Azure Security Center는 과도한 인증 시도 실패 및 구독에서 사용되지 않는 계정과 같은 특정 의심스러운 활동에 대해 경고할 수도 있습니다.

Microsoft Defender for Identity는 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사할 수 있는 보안 솔루션입니다.

• Azure AD의 감사 활동 보고서

• Azure AD 위험한 로그인을 보는 방법

• 위험한 활동에 플래그가 지정된 Azure AD 사용자를 식별하는 방법

• Azure Security Center에서 사용자의 ID 및 액세스 활동을 모니터링하는 방법

• Azure Security Center 및 Azure Defender 계획의 경고

• Azure Monitor에 Azure 활동 로그를 통합하는 방법

• Azure AD ID 보호에서 데이터 연결

• Microsoft Defender for Identity

책임: 고객

고객 보안 관련자 (자세한 정보):

• 애플리케이션 보안 및 DevSecOps

• 자세 관리

IM-6: 조건에 따라 Azure 리소스 액세스 제한

MFA를 사용하기 위해 특정 IP 범위의 사용자 로그인을 요구하는 등 사용자 정의 조건에 따라 보다 세부적인 액세스 제어를 위해 Azure AD 조건부 액세스를 사용합니다. 다양한 사용 사례에 대한 Azure AD 조건부 액세스 정책을 통해 세분화된 인증 세션 관리를 사용할 수도 있습니다.

• Azure 조건부 액세스 개요

• 일반적인 조건부 액세스 정책

• 조건부 액세스를 사용하여 인증 세션 관리 구성

책임: 고객

고객 보안 관련자 (자세한 정보):

• ID 및 키 관리

• 애플리케이션 보안 및 DevSecOps

• 자세 관리

• 위협 인텔리전스

IM-7: 의도하지 않은 자격 증명 노출 제거

Azure DevOps 자격 증명 스캐너를 구현하여 코드 내에서 자격 증명을 식별합니다. 또한 자격 증명 스캐너는 검색된 자격 증명을 Azure Key Vault와 같은 보다 안전한 위치로 이동하는 것이 좋습니다.

GitHub의 경우 네이티브 비밀 검사 기능을 사용하여 코드 내에서 자격 증명 또는 다른 형태의 비밀을 식별할 수 있습니다.

• 자격 증명 스캐너를 설정하는 방법

• GitHub 비밀 검사

책임: 고객

고객 보안 관련자 (자세한 정보):

• 애플리케이션 보안 및 DevSecOps

• 자세 관리

IM-8: 레거시 애플리케이션에 대한 사용자 액세스 보호

레거시 애플리케이션 및 해당 애플리케이션이 저장 및 처리하는 데이터에 대한 최신 액세스 제어 및 세션 모니터링이 있는지 확인합니다. VPN은 일반적으로 레거시 애플리케이션에 액세스하는 데 사용되지만 기본 액세스 제어 및 제한된 세션 모니터링만 있는 경우가 많습니다.

Azure AD 애플리케이션 프록시를 사용하면 Azure AD 조건부 액세스를 사용하여 원격 사용자와 디바이스의 신뢰성을 명시적으로 확인하면서 SSO(Single Sign-On)를 사용하여 원격 사용자에게 레거시 온-프레미스 애플리케이션을 게시할 수 있습니다.

또는 Cloud Apps용 Microsoft Defender는 사용자의 애플리케이션 세션을 모니터링하고 작업을 차단하는 컨트롤을 제공할 수 있는 CASB(클라우드 액세스 보안 브로커) 서비스입니다(레거시 온-프레미스 애플리케이션과 클라우드 SaaS(Software as a Service) 애플리케이션 모두에 대해).

• Azure AD 애플리케이션 프록시

• Cloud Apps용 Microsoft Defender 모범 사례

책임: 고객

고객 보안 관련자 (자세한 정보):

• 보안 아키텍처

• 인프라 및 엔드포인트 보안

• 애플리케이션 보안 및 DevSecOps