다음을 통해 공유

모든 테넌트 및 해당 리소스 보호(보안 미래 이니셔티브)

핵심 이름: 테넌트 보호 및 프로덕션 시스템 격리
패턴 이름: 모든 테넌트 및 해당 리소스 보호

추적되지 않은 테넌트에 대한 보안 위험과 신뢰성 부족을 줄이기 위해 Microsoft는 보안 모든 테넌트 및 해당 리소스 패턴을 구현했습니다. 이렇게 하면 제로 트러스트 원칙에 따라 모든 테넌트에서 포괄적인 거버넌스 및 보안이 보장됩니다.

컨텍스트 및 문제

테넌트 보안의 첫 번째 단계는 검색입니다. 전체 인벤토리가 없으면 보안 및 거버넌스가 성공할 수 없습니다. 많은 조직에서 활성, 레거시 및 섀도 테넌트에 대한 가시성이 부족하여 추적되지 않은 환경이 악용에 취약합니다.

Microsoft는 환경 전반의 모든 테넌트 식별 및 카탈로그화에 많은 투자를 했습니다. 여기에는 프로덕션, 생산성/테스트 및 임시 테넌트가 포함됩니다. 견고한 발견 및 수명 주기 거버넌스가 없으면, 위험 수준이 낮다고 여겨지는 사용자도 공격자가 피벗 지점으로 삼아 이용할 수 있는, 모니터링되지 않고 패치되지 않은 섀도 인프라가 될 수 있습니다.

주요 위험은 다음과 같습니다.

  • 비프로덕션에서 프로덕션 테넌트로의 횡적 이동
  • 보안 기준이나 수명 주기 컨트롤이 없는 부실 또는 비활성 테넌트
  • 공유 비밀 및 잘못된 구성을 통해 테넌트 간에 자격 증명을 다시 사용할 수 있습니다.

해결 방법

SFI(Secure Future Initiative)의 일환으로 Microsoft는 테넌트 기준을 적용하고 수명 주기 관리를 관리하며 클라우드 환경에서 보호를 표준화하여 모든 테넌트 및 해당 리소스 목표를 안전하게 구현했습니다.

  • 표준화된 보안 로깅 라이브러리: 서비스 전체에서 일관된 데이터 캡처를 보장하여 관찰 가능성 격차를 줄입니다.
  • 중앙 집중식 로그 수집: 특수 조사자 계정은 서비스 간 로그에 대한 통합 액세스를 제공하여 상관 관계를 간소화하고 조사 속도를 향상합니다.
  • 확장 로그 보존: 장기 공격 패턴에 대한 포렌식 조사를 가능하게 하기 위해 Microsoft 서비스에서 최대 2년 동안 유지되는 감사 로그입니다.
  • 고급 탐지 분석: 기계 학습 및 인공지능 기반 모델의 통합은 복잡한 공격 기술의 탐지를 향상시키고 오탐지를 줄입니다.
  • 확장된 고객 로깅: Microsoft는 Microsoft 365 고객의 표준 감사 로그 보존 기간을 180일로 늘렸으며, 더 긴 보존 옵션을 제공합니다.

Microsoft의 접근 방식에는 다음이 포함됩니다.

  • 보안 기준: 일관성을 보장하고 강화를 가속화하기 위해 미리 구성된 테넌트 보안 템플릿입니다.
  • 테넌트 분류 및 수명 주기 거버넌스: 목적에 따라 테넌트 분류(프로덕션, 생산성, 보조, 임시) 및 그에 따라 기본 컨트롤 적용. 
  • 조건부 액세스 적용: 임시 테넌트 및 관리되지 않는 계정을 포함하여 대규모 인증 및 권한 부여를 관리합니다.
  • 보안 관리자 워크스테이션(SAW): 생산성 액세스에서 권한 있는 디바이스를 분리하는 하드웨어 격리 디바이스입니다.
  • 모니터링 및 분석: 감사 로그, Microsoft Secure Score 및 Defender 통합을 통한 중앙 집중식 보안 데이터입니다.
  • 비밀 관리 및 자격 증명 격리: 테넌트 간의 공유 비밀을 방지하고 피싱 방지 MFA를 적용합니다.
  • 횡적 이동 방지: 프로덕션 테넌트 및 비프로덕션 테넌트 격리를 통해 횡적 이동을 방지했습니다.
  • 레거시 및 비활성 테넌트: 수명 주기 감사를 통해 서비스 해제된 레거시 및 비활성 테넌트
  • 자세 가시성: 테넌트 전체에서 보안 점수를 통해 자세 가시성이 개선되었습니다.
  • 테넌트 스프롤: 테넌트 확산을 줄이고 새 테넌트 생성에 엄격한 제어를 적용합니다.

이러한 단계를 수행하면 목적이나 원본에 관계없이 모든 테넌트가 제로 트러스트 원칙에 따라 표시, 관리 및 보호됩니다.

안내

조직은 다음과 같은 실행 가능한 사례를 사용하여 유사한 패턴을 채택할 수 있습니다.

사용 사례 권장 작업 Resource
기준 보안 컨트롤 모든 테넌트에 Microsoft 보안 기본값을 적용한 다음 엔터프라이즈 규모 강화를 위해 Microsoft 365 Lighthouse 기준선으로 확장합니다.
조건부 액세스
  • 기준 CA(조건부 액세스) 정책을 배포합니다. 레거시 인증을 차단하고, 모든 사용자에 대해 MFA를 요구하며, 권한 있는 역할에 디바이스 규정 준수를 적용합니다.
  • 위험 기반 및 위치 인식 정책을 사용하여 확장합니다.
Privileged Access Management JIT(Just-In-Time) 및 JEA(Just-Enough-Access)에 PIM(Privileged Identity Management)을 사용하여 고정 관리자 권한을 최소화합니다.
테넌트 격리
  • 별도의 프로덕션 및 비프로덕션 테넌트.
  • 환경 전체에서 공유 관리자 계정 및 앱 등록을 제거합니다.
  • 테넌트 유형별로 고유한 조건부 액세스 기준을 적용합니다.
감사 및 위협 검색
  • Microsoft Defender for Identity(온-프레미스 AD 신호)와 Microsoft Entra ID 보호(클라우드 기반 위험 신호)를 결합합니다.
  • 모니터링을 중앙 집중화하여 횡적 이동, 토큰 도난 및 비정상적인 로그인 동작을 검색합니다.

혜택

  • 표준화된 강화: 보안 기준은 모든 테넌트가 최소 보호 임계값을 충족하는지 확인합니다.
  • 공격 노출 영역 감소: 레거시, 그림자 및 사용되지 않는 테넌트는 체계적으로 사용 중지됩니다.
  • 향상된 거버넌스: 중앙 인벤토리 및 분류는 지속적인 규정 준수 및 감독을 지원합니다.
  • 제어된 액세스: 조건부 액세스, RBAC(역할 기반 액세스 제어) 및 MFA(다단계 인증)는 ID를 보호하고 외부 공유 위험을 제한합니다.
  • 향상된 검색 및 응답: 통합 보안 데이터 및 로그는 모든 테넌트에서 가시성을 제공합니다.

장부

이 방법을 구현하려면 다음이 필요합니다.

  • 테넌트 수명 주기 정책의 중앙 집중식 소유권 설정 
  • 자동화에 대한 투자(기본 정책 애플리케이션, 만료 워크플로).
  • 액세스 모델의 가능한 재 아키텍처(예: prod/non-prod 구분). SAW 채택은 초기 디바이스 복잡성 및 비용을 도입합니다.
  • 섀도 테넌트 및 자격 증명 재사용을 제거하는 데 필요한 교육 및 적용

주요 성공 요인

성공을 추적하려면 다음을 측정합니다.

  • 보안 기준이 적용된 테넌트 비율
  • 서비스 해제된 레거시 또는 섀도 테넌트 수
  • 중앙 집중식 인벤토리 및 규정 준수 보고의 적용 범위
  • MFA를 사용하도록 설정된 ID의 백분율
  • Microsoft 보안 점수 측정항목 전반에 걸친 보안 점수 개선
  • 차단된 레거시 인증 시도 또는 무단 공유 이벤트의 볼륨

요약

모든 테넌트 및 해당 리소스를 보호하는 것은 Microsoft의 SFI 핵심 요소인 디자인별 보안, 기본적으로 보안 및 보안 작업의 기본입니다.

기본 정책, 수명 주기 거버넌스 및 지속적인 감독을 통해 조직은 위험을 줄이고, 일관된 보호를 적용하며, 섀도 인프라가 보안을 약화시키는 것을 방지할 수 있습니다. 대규모로 모든 ID, 액세스 지점 및 테넌트가 설계에 따라 보호되도록 합니다.

  • Last updated on