비고
가장 최신의 up-toAzure Security Benchmark는 여기에서 사용할 수 있습니다.
Privileged Access는 Azure 테넌트 및 리소스에 대한 권한 있는 액세스를 보호하기 위한 컨트롤을 다룹니다. 여기에는 의도적이고 의도하지 않은 위험으로부터 관리 모델, 관리 계정 및 권한 있는 액세스 워크스테이션을 보호하기 위한 다양한 컨트롤이 포함됩니다.
적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: Privileged Access를 참조하세요.
PA-1: 높은 권한의 사용자 보호 및 제한
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아-1 | 4.3, 4.8 | 교류-2 |
높은 권한의 사용자 계정 수를 제한하고 높은 수준에서 이러한 계정을 보호합니다. Azure AD에서 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있기 때문입니다. 이러한 권한으로 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.
전역 관리자: 이 역할을 가진 사용자는 Azure AD ID를 사용하는 서비스뿐만 아니라 Azure AD의 모든 관리 기능에 액세스할 수 있습니다.
권한 있는 역할 관리자: 이 역할을 가진 사용자는 Azure AD 및 Azure AD PIM(Privileged Identity Management) 내에서 역할 할당을 관리할 수 있습니다. 또한 이 역할을 사용하면 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.
참고: 특정 권한 있는 권한이 할당된 사용자 지정 역할을 사용하는 경우 관리해야 하는 다른 중요한 역할이 있을 수 있습니다. 또한 중요한 비즈니스 자산의 관리자 계정에 유사한 컨트롤을 적용할 수도 있습니다.
Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정할 수 있습니다. JIT는 사용자에게 필요한 경우에만 권한 있는 작업을 수행할 수 있는 임시 권한을 부여합니다. PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수도 있습니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-2: 중요 비즈니스용 시스템에 대한 관리 액세스 제한
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아 -2 | 13.2, 2.10 | 교류-2, 사우스캐롤라이나-3, 사우스캐롤라이나-7 |
사용 중인 구독 및 관리 그룹에 대한 권한 있는 액세스 권한이 부여된 계정을 제한하여 중요 비즈니스용 시스템에 대한 액세스를 격리합니다. 또한 중요 비즈니스용 시스템에 에이전트가 설치된 Active Directory DC(도메인 컨트롤러), 보안 도구 및 시스템 관리 도구와 같이 중요 비즈니스용 자산에 대한 관리 액세스 권한이 있는 관리, ID 및 보안 시스템에 대한 액세스를 제한해야 합니다. 이러한 관리 및 보안 시스템을 손상시키는 공격자는 즉시 무기화하여 중요 비즈니스 자산을 손상시킬 수 있습니다.
일관된 액세스 제어를 보장하려면 모든 유형의 액세스 제어를 엔터프라이즈 세분화 전략에 맞춰야 합니다.
전자 메일, 검색 및 생산성 작업에 사용되는 표준 사용자 계정과 별개의 권한 있는 계정을 할당해야 합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-3: 정기적으로 사용자 액세스 검토 및 조정
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아 -3 | 4.1, 16.9, 16.10 | 교류-2 |
사용자 계정 및 액세스 할당을 정기적으로 검토하여 계정 및 해당 액세스 수준이 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 검색하는 데 도움이 되는 로그를 제공할 수 있습니다. Azure AD Privileged Identity Management를 사용하여 검토 프로세스를 용이하게 하는 액세스 검토 보고서 워크플로를 만들 수도 있습니다. 또한 과도한 수의 관리자 계정이 생성될 때 경고하고 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 Azure Privileged Identity Management를 구성할 수 있습니다.
참고: 일부 Azure 서비스는 Azure AD를 통해 관리되지 않는 로컬 사용자 및 역할을 지원합니다. 이러한 사용자를 별도로 관리해야 합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-4: Azure AD에서 긴급 액세스 설정
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아-4 | 16 | 교류-2, CP-2 |
Azure AD 조직에서 실수로 잠기지 않도록 하려면 일반 관리 계정을 사용할 수 없는 경우 액세스를 위해 긴급 액세스 계정을 설정합니다. 응급 액세스 계정은 일반적으로 높은 권한이 있으며 특정 개인에게 할당해서는 안됩니다. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 긴급하거나 "비상시 액세스" 시나리오로 제한됩니다. 응급 액세스 계정에 대한 자격 증명(예: 암호, 인증서 또는 스마트 카드)이 안전하게 유지되고 응급 상황에서만 사용할 수 있는 권한이 있는 개인에게만 알려야 합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-5: 권한 관리 자동화
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아 -5 | 16 | 교류-2, 교류-5, 오후-10 |
Azure AD 권한 관리 기능을 사용하여 액세스 할당, 검토 및 만료를 포함한 액세스 요청 워크플로를 자동화합니다. 이중 또는 다단계 승인도 지원됩니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-6: 권한 있는 액세스 워크스테이션 사용
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아 -6 | 4.6, 11.6, 12.12 | 교류-2, 사우스캐롤라이나-3, 사우스캐롤라이나-7 |
보안이 유지되고 격리된 워크스테이션은 관리자, 개발자 및 중요 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 관리 작업에는 보안이 높은 사용자 워크스테이션 및/또는 Azure Bastion을 사용합니다. Azure Active Directory, Microsoft Defender for Identity 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 안전하고 관리되는 사용자 워크스테이션을 배포합니다. 보안 워크스테이션은 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하여 보안 구성을 적용하도록 중앙에서 관리할 수 있습니다.
- 권한이 있는 액세스 워크스테이션에 대한 이해
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-7: 충분한 관리(최소 권한 원칙)를 따릅니다.
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아 -7 | 14.6 | 교류-2, 교류-3, 사우스캐롤라이나-3 |
Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 역할을 사용자, 그룹 서비스 주체 및 관리 ID에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 Azure CLI, Azure PowerShell 및 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한되어야 합니다. 제한된 권한은 Azure AD PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하며, 이러한 권한을 주기적으로 검토해야 합니다.
기본 제공 역할을 사용하여 권한을 할당하고 필요한 경우에만 사용자 지정 역할을 만듭니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
PA-8: Microsoft 지원에 대한 승인 프로세스 선택
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| 펜실바니아 -8 | 16 | 교류-2, 교류-3, 교류-4 |
Microsoft가 고객 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox는 각 고객 데이터 액세스 요청을 명시적으로 검토하고 승인하거나 거부할 수 있는 기능을 제공합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):