최신 엔터프라이즈는 데이터에 액세스하는 엔드포인트의 놀라운 다양성을 가지고 있습니다. 모든 엔드포인트가 관리되거나 조직에서 소유하는 것은 아니고 디바이스 구성 및 소프트웨어 패치 수준이 다릅니다. 이렇게 하면 대규모 공격 표면이 생성되고 해결되지 않은 상태로 두면 신뢰할 수 없는 엔드포인트에서 작업 데이터에 액세스하는 것이 제로 트러스트 보안 전략에서 가장 약한 링크가 될 수 있습니다. (제로 트러스트 완성 모델 다운로드: Zero_Trust_Vision_Paper_Final 10.28.pdf.)
제로 트러스트는 "신뢰하지 마십시오, 항상 확인"이라는 원칙을 준수합니다. 즉, 엔드포인트 측면에서 항상 모든 엔드포인트를 확인합니다. 여기에는 계약자, 파트너, 게스트 디바이스뿐만 아니라 직원이 디바이스 소유권과 상관없이 회사 데이터에 액세스하는 데 사용하는 앱 및 디바이스도 포함됩니다.
제로 트러스트 방식에서는 디바이스가 회사 소유인지 아니면 BYOD(Bring Your Own Device)를 통해 개인 소유인지에 관계없이 동일한 보안 정책이 적용됩니다. 디바이스가 IT에서 완전히 관리되는지, 아니면 앱과 데이터만 보호되는지 여부입니다. 이 정책은 보안 회사 네트워크, 홈 광대역 또는 공용 인터넷 등 어디서나 PC, Mac, 스마트 폰, 태블릿, 착용식 컴퓨터 또는 IoT 디바이스가 연결된 모든 엔드포인트에 적용됩니다. 가장 중요한 점은 이러한 엔드포인트에서 실행되는 앱의 상태와 신뢰성이 보안 상태에 영향을 미친다는 것입니다. 실수로 또는 악의적인 의도를 통해 회사 데이터가 신뢰할 수 없거나 알 수 없는 앱 또는 서비스로 누출되는 것을 방지해야 합니다.
제로 트러스트 모델에서 디바이스 및 엔드포인트를 보호하기 위한 몇 가지 주요 규칙이 있습니다. 제로 트러스트 보안 정책은 클라우드를 통해 중앙에서 적용되며 엔드포인트 보안, 디바이스 구성, 앱 보호, 디바이스 규정 준수 및 위험 상태를 다룹니다.
- 디바이스에서 실행되는 앱뿐만 아니라 플랫폼은 안전하게 프로비전되고 올바르게 구성되며 최신 상태로 유지됩니다.
- 보안이 손상될 경우 앱 내에서 회사 데이터에 대한 액세스를 포함하는 자동화된 프롬프트 응답이 있습니다.
- 액세스 제어 시스템은 데이터에 액세스하기 전에 모든 정책 컨트롤이 적용되도록 합니다.
엔드포인트 보안을 위한 제로 트러스트 배포 목표
대부분의 조직에서 제로 트러스트 과정을 시작하기 전에 엔드포인트 보안은 다음과 같이 설정됩니다.
- 엔드포인트는 도메인에 가입되고 그룹 정책 개체 또는 Configuration Manager와 같은 솔루션으로 관리됩니다. 이러한 옵션은 훌륭한 옵션이지만 최신 CSP(Windows 구성 서비스 공급자 )를 활용하거나 클라우드 기반 디바이스에 별도의 클라우드 관리 게이트웨이 어플라이언스를 요구하지는 않습니다.
- 엔드포인트는 데이터에 액세스하려면 회사 네트워크에 있어야 합니다. 즉, 디바이스가 회사 네트워크에 액세스하기 위해 물리적으로 현장에 있어야 하거나 VPN 액세스가 필요하므로 손상된 디바이스가 중요한 회사 리소스에 액세스할 수 있는 위험이 높아집니다.
엔드포인트 보안을 위한 엔드 투 엔드 제로 트러스트 프레임워크를 구현하는 경우 먼저 세 가지 초기 배포 목표에 집중하는 것이 좋습니다. 이 작업이 완료되면 네 번째 목표에 집중합니다.
엔드포인트는 클라우드 ID 공급자에 등록됩니다. 한 사람이 사용하는 여러 엔드포인트에서 보안 및 위험을 모니터링하려면 리소스에 액세스할 수 있는 모든 디바이스 및 액세스 지점에 대한 가시성 이 필요합니다. 등록된 디바이스에서 암호에 대한 의존도를 제거하는 데 도움이 되는 인증에 대한 생체 인식 또는 PIN 기반 방법을 사용자에게 제공하는 보안 기준을 적용할 수 있습니다.
액세스 권한은 클라우드 관리형 및 규격 엔드포인트 및 앱에만 부여됩니다. 액세스 권한이 부여되기 전에 디바이스가 최소 보안 요구 사항을 충족하도록 규정 준수 규칙을 설정합니다. 또한 규정 준수 문제를 해결하는 방법을 알 수 있도록 비준수 디바이스에 대한 수정 규칙 및 알림을 만듭니다.
DLP(데이터 손실 방지) 정책은 회사 디바이스 및 BYOD에 적용됩니다. 사용자가 액세스 권한을 얻은 후 데이터로 수행할 수 있는 작업을 컨트롤합니다. 예를 들어 파일 저장을 신뢰할 수 없는 위치(예: 로컬 디스크)로 제한하거나 소비자 통신 앱 또는 채팅 앱과의 복사 및 붙여넣기 공유를 제한하여 데이터를 보호합니다.
엔드포인트 위협 탐지는 디바이스 위험을 모니터링하는 데 사용됩니다. 단일 창의 유리 솔루션을 목표로 하여 모든 엔드포인트를 일관된 방식으로 관리합니다. SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용하여 엔드포인트 로그 및 트랜잭션을 라우팅하여 더 적지만 실행 가능한 경고를 얻습니다.
최종 작업으로 IoT 및 운영 기술 네트워크에 대한 제로 트러스트 원칙을 검토합니다.
엔드포인트 제로 트러스트 배포 가이드
이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 디바이스를 보호하는 데 필요한 단계를 안내합니다.
1. 클라우드 ID 공급자에 엔드포인트 등록
위험 노출을 제한하려면 엔드포인트를 모니터링하여 각 엔드포인트에 신뢰할 수 있는 ID가 있고, 핵심 보안 요구 사항이 적용되고, 맬웨어 또는 데이터 반출과 같은 위험 수준이 측정, 수정 또는 허용 가능한 것으로 간주되었는지 확인합니다.
디바이스가 등록되면 사용자는 회사 사용자 이름 및 암호를 사용하여 조직의 제한된 리소스에 액세스하여 로그인할 수 있습니다. 사용 가능한 경우 비즈니스용 Windows Hello와 같은 기능을 사용하여 보안을 강화합니다.
Microsoft Entra ID를 사용하여 회사 디바이스 등록
조직 데이터에 액세스하고, 다음 경로 중 하나를 통해 Microsoft Entra ID에 가입하고 등록하는 데 사용되는 Windows 디바이스가 있어야 합니다.
Windows 기본 제공 환경 – OOBE(기본 제공 환경)를 사용하여 Windows 디바이스를 Microsoft Entra ID에 조인하면 설정이 간소화되어 디바이스가 조직 리소스에 즉시 안전하게 액세스할 수 있습니다. Microsoft Entra를 사용하여 새 Windows 디바이스에 등록하는 지침을 참조하세요.
이전에 프로비전된 Windows 디바이스 – 이전에 프로비전된 Windows 회사 디바이스의 사용자는 회사 또는 학교 계정을 사용하여 Microsoft Entra ID에 등록할 수 있습니다. Windows 디바이스에 회사 또는 학교 계정 추가를 참조하세요.
개인 디바이스 등록 - 사용자가 개인 Windows 디바이스를 Microsoft Entra ID에 등록할 수 있습니다. 회사 또는 학교 네트워크에 개인 디바이스 등록을 참조하세요.
회사 소유 디바이스의 경우 다음 플랫폼별 방법을 사용하여 새 운영 체제를 프로비전하고 Microsoft Entra ID로 디바이스를 등록할 수 있습니다.
Windows – Windows Autopilot은 새 디바이스를 설정하고 미리 구성하여 생산적인 사용을 준비하는 데 사용되는 기술 모음입니다. Windows Autopilot 개요를 참조하세요.
iOS/iPadOS - Apple Business Manager 또는 Apple School Manager를 통해 구매한 회사 소유 디바이스는 자동화된 디바이스 등록을 통해 Intune에 등록할 수 있습니다. 자동화된 디바이스 등록 설정을 참조하세요.
비즈니스용 Windows Hello를 사용하여 인증 보안 강화
사용자가 암호 사용을 디바이스에서 강력한 2단계 인증으로 대체하고 PIN, 로그인을 위한 보안 키 등을 사용하기 위한 규칙을 적용하는 대체 로그인 방법을 허용하려면 사용자의 Windows 디바이스에서 비즈니스용 Windows Hello를 사용하도록 설정합니다.
Microsoft Intune은 비즈니스용 Windows Hello 설정을 적용하고 적용하는 두 가지 무료 방법을 지원합니다.
테넌트 전체 정책을 사용하여 디바이스 등록 시 – Intune에 등록할 때 각 Windows 디바이스에 기본 비즈니스용 Windows Hello 정책을 적용하려면 이 방법을 사용합니다. 이 정책은 조직에 가입하는 모든 새 Windows 디바이스가 PIN 요구 사항, 2단계 인증 등에 대해 동일한 초기 구성 표준을 유지하도록 하는 데 도움이 됩니다.
자세한 내용 및 구성 지침은 Intune 설명서 의 디바이스 등록 시 Windows Hello 를 참조하세요.
계정 보호 프로필 등록 후 – 계정 보호 프로필을 사용하면 Intune에 등록한 후 조직 내의 다른 그룹에 특정 비즈니스용 Windows Hello 구성을 적용할 수 있습니다. 계정 보호 프로필과 테넌트 전체 프로필 간에 충돌이 있는 경우 계정 보호 프로필이 우선합니다. 이렇게 하면 요구 사항에 따라 여러 그룹에 대해 조정을 수행할 수 있습니다.
Intune 계정 보호 프로필 은 계정 보호 정책 유형에 대한 프로필 유형 중 하나이며, 이는 Intune 엔드포인트 보안 정책의 한 유형입니다. 이 프로필을 구성하는 지침은 엔드포인트 보안 정책 만들기를 참조하고 계정 보호 정책 유형과 계정 보호 프로필 유형을 선택합니다.
2. 클라우드 관리형 및 규정 준수 엔드포인트 및 앱에 대한 액세스 제한
조직에 가입하는 엔드포인트에 대한 ID가 설정되고 향상된 인증 요구 사항을 충족하는 경우 해당 엔드포인트가 조직의 데이터 및 리소스에 액세스하는 데 사용되기 전에 조직의 보안 기대치를 충족하는지 확인합니다.
액세스를 제어하려면 Microsoft Entra 조건부 액세스와 함께 작동하는 Intune 디바이스 준수 정책을 사용하여 현재 보안 요구 사항을 준수하는 디바이스만 인증된 사용자가 리소스에 액세스하는 데 사용할 수 있도록 합니다. 규정 준수 정책의 중요한 부분은 사용자가 비준수 디바이스를 다시 규정 준수로 가져오는 데 도움이 되는 수정 알림 및 규칙 입니다.
Microsoft Intune을 사용하여 규정 준수 정책 만들기
Microsoft Intune 규정 준수 정책은 관리되는 디바이스의 구성을 평가하는 데 사용하는 규칙 및 조건 집합입니다. 이러한 정책은 이러한 구성 요구 사항을 충족하지 않는 디바이스에서 조직 데이터 및 리소스를 보호하는 데 도움이 될 수 있습니다. 관리 디바이스는 정책에서 설정한 조건을 충족해야 Intune 준수로 간주됩니다.
Intune 디바이스 규정 준수에는 함께 작동하는 두 가지 부분이 있습니다.
준수 정책 설정 은 모든 디바이스가 수신하는 기본 제공 규정 준수 정책을 제공하기 위해 테넌트 전체에 적용되는 단일 구성 집합입니다. 규정 준수 정책 설정은 명시적 디바이스 준수 정책이 할당되지 않은 디바이스를 처리하는 방법을 포함하여 사용자 환경에서 규정 준수 정책이 작동하는 방식을 설정합니다.
이러한 테넌트 전체 설정을 구성하려면 준수 정책 설정을 참조하세요.
디바이스 준수 정책은 사용자 또는 디바이스 그룹에 배포하는 플랫폼별 규칙 및 설정의 개별 집합입니다. 디바이스는 정책의 규칙을 평가하여 준수 상태를 보고합니다. 비준수 상태 비준수에 대한 하나 이상의 작업이 발생할 수 있습니다. Microsoft Entra 조건부 액세스 정책은 해당 상태 사용하여 해당 디바이스에서 조직 리소스에 대한 액세스를 차단할 수도 있습니다.
디바이스 준수 정책을 사용하여 그룹을 구성하려면 Microsoft Intune에서 준수 정책 만들기를 참조하세요. 사용할 수 있는 규정 준수 구성 수준이 증가하는 예제는 Intune의 규정 준수 정책 계획을 참조하세요.
비준수 디바이스에 대한 조치 및 사용자에게 보여지는 알림 설정
각 Intune 규정 준수 정책에는 비준수에 대한 작업이 포함됩니다. 이 작업은 디바이스가 할당된 준수 정책 구성을 충족하지 못할 때 적용됩니다. Intune 및 조건부 액세스는 디바이스의 상태를 읽어 비규격 상태로 유지되는 한 해당 디바이스에서 조직 리소스에 대한 액세스를 구성하거나 차단할 수 있는 추가 단계를 결정하는 데 도움이 됩니다.
사용자가 만드는 각 디바이스 준수 정책의 일부로 비준수에 대한 작업을 구성합니다.
비준수에 대한 작업에는 다음 옵션이 포함되지만 제한되지 않으며, 다양한 플랫폼에서 사용할 수 있는 다양한 옵션이 있습니다.
- 디바이스를 비준수로 표시
- 디바이스의 사용자에게 미리 구성된 전자 메일 보내기
- 원격으로 디바이스 잠금
- 사용자에게 미리 구성된 푸시 알림 보내기
사용 가능한 작업, 정책에 추가하는 방법 및 전자 메일 및 알림을 미리 구성하는 방법에 대한 자세한 내용은 Intune에서 비준수 디바이스에 대한 작업 구성을 참조하세요.
3. 회사 디바이스 및 BYOD에 DLP(데이터 손실 방지)를 적용하는 정책 배포
데이터 액세스 권한이 부여되면 사용자가 데이터로 수행할 수 있는 작업과 데이터 저장 방법을 제어하려고 합니다. 예를 들어 사용자가 회사 ID를 사용하여 문서에 액세스하는 경우 해당 문서가 보호되지 않는 소비자 스토리지 위치에 저장되거나 소비자 통신 또는 채팅 앱과 공유되지 않도록 방지하려고 합니다.
권장 보안 설정 적용
보안 기준은 사용자, 디바이스 및 데이터를 보호하는 데 도움이 되는 보안 구성의 광범위하고 일관된 기준을 설정하는 데 도움이 될 수 있습니다. Intune의 보안 기준은 관련 보안 팀에서 권장하는 알려진 설정 그룹 및 기본값을 적용하는 데 도움이 되는 미리 구성된 Windows 설정 그룹입니다. 이러한 기준을 기본 구성과 함께 사용하거나 편집하여 조직 내 다양한 그룹의 다양한 요구 사항을 충족하는 사용자 지정된 인스턴스를 만들 수 있습니다.
Microsoft Intune을 사용하여 관리하는 Windows 디바이스를 보호하려면 보안 기준 사용을 참조하세요.
엔드포인트에 자동으로 업데이트 배포
진화하는 보안 위협에 따라 관리되는 디바이스를 유지하려면 업데이트 배포를 자동화할 수 있는 Intune 정책을 사용합니다.
비즈니스용 Windows 업데이트 – 비즈니스용 Windows 업데이트에 Intune 정책을 사용하여 디바이스에 Windows 업데이트를 자동으로 설치할 수 있습니다. 정책은 업데이트가 설치되는 시기와 업데이트 유형을 자동화할 수 있으며, 여기에는 Windows 버전, 최신 보안 업데이트, 새 드라이버가 포함됩니다. 시작하려면 Intune에서 Windows 10 및 Windows 11 소프트웨어 업데이트 관리를 참조하세요.
Android Enterprise 업데이트 – Intune은 파트너 통합을 통해 Zebra Android 디바이스용 운영 체제 및 펌웨어에 대한 자동 무선 업데이트를 지원합니다.
iOS/iPadOS - Intune 정책은 Apple의 ADE(자동 디바이스 등록) 옵션 중 하나를 통해 감독 디바이스로 등록된 iOS/iPad 디바이스에 업데이트를 자동으로 설치할 수 있습니다. iOS 업데이트 정책을 구성하려면 Intune에서 iOS/iPadOS 소프트웨어 업데이트 정책 관리를 참조하세요.
장치 암호화
다음 플랫폼별 옵션을 사용하여 디바이스에서 미사용 회사 데이터를 암호화합니다.
MacOS - macOS에서 전체 디스크 암호화를 구성하려면 Intune을 사용하여 macOS용 FileVault 디스크 암호화를 사용합니다.
Windows – Windows 디바이스의 경우 Intune을 사용하여 Windows 디바이스에 대한 디스크 암호화 정책을 관리합니다. Intune 정책은 볼륨 및 디스크에 BitLocker를 적용하고 사용자의 자격 증명에 연결된 파일 기반 데이터 암호화 기능을 제공하는 개인 데이터 암호화를 적용할 수 있습니다.
애플리케이션 보호 정책을 사용하여 앱 수준에서 회사 데이터 보호
관리되는 앱 내에서 회사 데이터를 안전하게 유지하려면 Intune 앱 보호 정책을 사용합니다. Intune 앱 보호 정책은 액세스 및 공유 방법을 제어하여 조직의 데이터를 보호하는 데 도움이 됩니다. 예를 들어 이러한 정책은 사용자가 회사 데이터를 복사하여 개인 앱에 붙여넣는 것을 차단하거나 회사 전자 메일에 액세스하기 위해 PIN을 요구할 수 있습니다.
이러한 정책 만들기 및 사용을 시작하려면 앱 보호 정책을 만들고 할당하는 방법을 참조하세요. 사용할 수 있는 세 가지 보안 구성 수준이 증가하는 몇 가지 예는 앱 보호 정책에 대한 Intune의 데이터 보호 프레임워크 를 참조하세요.
4. 엔드포인트 위협 검색을 사용하여 디바이스 위험 모니터링
처음 세 가지 목표를 달성하면 디바이스에서 엔드포인트 보안을 구성하고 새로운 위협에 대한 모니터링을 시작하여 더 큰 문제가 되기 전에 수정할 수 있습니다.
다음은 사용하고 결합할 수 있는 몇 가지 Microsoft 솔루션입니다.
Microsoft Intune과 Microsoft Defender - Intune과 엔드포인트용 Microsoft Defender를 통합하는 경우 Intune 관리 센터를 사용하여 Intune에서 관리하는 디바이스에서 엔드포인트용 Defender를 구성하고, Defender의 위협 데이터 및 권장 사항을 확인한 다음, 해당 문제를 해결하는 작업을 수행할 수 있습니다. Intune 정책을 사용하여 Intune에 등록되지 않은 디바이스에서 Defender에 대한 구성을 관리할 수 있는 엔드포인트용 Defender 보안 설정 관리 시나리오를 사용할 수도 있습니다.
Microsoft Sentinel – Microsoft Sentinel 은 정교한 위협을 파악하고 신속하게 대응하는 데 도움이 되는 SIEM(클라우드 네이티브 보안 정보 및 이벤트 관리) 솔루션입니다.
Intune 데이터 웨어하우스를 사용하면 경고의 지능형 필터링을 위해 디바이스 및 앱 관리 데이터를 보고 도구로 보내 노이즈를 줄일 수 있습니다. 옵션에는 Power BI를 사용하여 데이터 웨어하우스에 연결 하고 OData 사용자 지정 클라이언트를 사용하여 SIEM 솔루션을 사용하는 것이 포함되나 제한되지 않습니다.
제로 트러스트와 OT 네트워크
Microsoft Defender for IoT는 IoT 및 OT(운영 기술) 네트워크에서 디바이스, 취약성 및 위협을 식별하기 위해 특별히 빌드된 통합 보안 솔루션입니다. Defender for IoT를 사용하여 기본 제공 보안 에이전트가 없을 수 있는 기존 디바이스를 포함하여 전체 IoT/OT 환경에 보안을 적용합니다.
OT 네트워크는 종종 기존 IT 인프라와 다르며 제로 트러스트에 대한 특수한 접근 방식이 필요합니다. OT 시스템은 독점 프로토콜을 통해 고유한 기술을 사용하며, 연결 및 전력이 제한된 노후화된 플랫폼, 특정 안전 요구 사항 및 물리적 공격에 대한 고유한 노출을 포함할 수 있습니다.
Defender for IoT는 다음과 같은 OT 관련 문제를 해결하여 제로 트러스트 원칙을 지원합니다.
- OT 시스템에 대한 원격 연결을 제어하는 데 도움이 됩니다.
- 종속 시스템 간의 상호 연결을 검토하고 줄이는 데 도움이 됩니다.
- 네트워크에서 단일 실패 지점 찾기
Defender for IoT 네트워크 센서를 배포하여 디바이스 및 트래픽을 감지하고 OT 관련 취약성을 감시합니다. 센서를 네트워크 전체의 사이트 및 영역으로 분할하여 영역 간의 트래픽을 모니터링하고 Defender for IoT의 위험 기반 완화 단계를 수행하여 OT 환경에서 위험을 낮춥니다. 그런 다음 Defender for IoT는 디바이스에서 비정상 또는 무단 동작을 지속적으로 모니터링합니다.
Microsoft Sentinel과 같은 Microsoft 서비스 통합하고 SIEM 및 발권 시스템을 비롯한 기타 파트너 서비스와 통합하여 조직 전체에서 Defender for IoT 데이터를 공유합니다.
자세한 내용은 다음을 참조하세요.
이 가이드에서 설명하는 제품
Microsoft Azure
Microsoft 365
결론
제로 트러스트 접근 방식은 디바이스 및 엔드포인트의 보안 태세를 크게 강화할 수 있습니다. 구현에 대한 자세한 내용이나 도움말은 고객 성공 팀에 문의하거나 이 가이드의 다른 챕터에서 모든 제로 트러스트 핵심 요소를 계속 읽어보세요.
다음을 위한 엔드투엔드 제로 트러스트 전략을 구현하는 방법에 대해 자세히 알아봅니다.
제로 트러스트 배포 가이드 시리즈
