이 문서를 읽는다면 보안의 중요성을 인식하고 있다는 뜻입니다. 이미 조직의 보안을 책임지고 있을 가능성도 있습니다. 다른 사용자에게 보안의 중요성을 설득해야 하는 경우 최신 Microsoft 디지털 방어 보고서 읽어보십시오.
이 문서는 5단계 검사 목록을 사용하여 사이버 공격에 대한 조직의 보호를 개선하여 Microsoft Entra ID 기능을 사용하여 보다 안전한 자세를 얻을 수 있도록 도와줍니다.
이 검사 목록은 다음 사항을 설명하여 조직을 즉시 보호하기 위한 중요한 권장 작업을 신속하게 배포하는 데 도움이 됩니다.
- 자격 증명 강화
- 공격 표면 영역 줄이기
- 위협 응답 자동화
- 클라우드 인텔리전스 활용
- 최종 사용자 셀프 서비스를 활성화하십시오.
참고
이 문서의 많은 권장 사항은 id 공급자로 Microsoft Entra ID 사용하도록 구성된 애플리케이션에만 적용됩니다. Single Sign-On에 대해 앱을 구성하면 해당 앱에 자격 증명 정책, 위협 요소 탐지, 감사, 로깅 및 기타 기능의 이점이 추가됩니다. Microsoft Entra 애플리케이션 관리 이러한 모든 권장 사항을 기반으로 합니다.
이 문서의 권장 사항은 Microsoft Entra 테넌트의 ID 보안 구성에 대한 자동화된 평가인 Identity Secure Score와 일치합니다. 조직은 Microsoft Entra admin center ID 보안 점수 페이지를 사용하여 현재 보안 구성에서 차이를 찾아 보안에 대한 현재 Microsoft 모범 사례를 따르도록 할 수 있습니다. [보안 점수] 페이지의 각 권장 사항을 구현하면 점수가 올라가고 진행 상황을 추적할 수 있으며, 비슷한 규모의 조직과 구현을 비교할 수 있습니다.
참고
여기서 권장되는 기능 중 일부는 모든 고객이 사용할 수 있는 반면, 다른 기능은 Microsoft Entra ID P1 또는 P2 구독이 필요합니다. 자세한 내용은 Microsoft Entra 가격 책정 및 Microsoft Entra 배포 검사 목록을 참조하세요.
시작하기 전에: MFA를 통해 권한 있는 계정을 보호
이 체크리스트를 시작하기 전에, 읽는 도중에 보안상의 위험에 빠지지 않도록 주의하세요. Microsoft Entra 매일 5천만 개의 암호 공격을 관찰하지만 일부 사용자와 관리자만이 MFA(다단계 인증)와 같은 강력한 인증을 사용하고 있습니다. 이 통계는 2021년 8월 데이터를 기반으로 합니다. Microsoft Entra ID 관리자와 같은 권한 있는 역할이 있는 사용자는 나머지 환경을 빌드하고 관리하기 위한 신뢰의 루트입니다. 침해의 영향을 최소화하기 위해 다음 관행을 따르십시오.
권한 있는 계정을 제어하는 공격자는 막대한 피해를 입힐 수 있으므로 계속하기 전에 이러한 계정을 보호하는 것이 중요합니다.
모두 준비되었나요? 이제 검사 목록을 시작하겠습니다.
1단계: 자격 증명 강화
동의 피싱 및 비인간 ID에 대한 공격을 포함하여 다른 형식의 공격이 등장하고 있지만 여전히 가장 널리 퍼진 ID 손상 벡터는 사용자 ID에 대한 암호 기반 공격입니다. 공격자들에 의한 잘 정립된 스피어 피싱 및 암호 스프레이 캠페인은 아직 MFA(다단계 인증) 또는 이러한 일반적인 전술에 대한 기타 보호를 구현하지 않은 조직에 대해 계속해서 성공적인 결과를 내고 있습니다.
조직은 모든 곳에서 ID의 유효성이 검사되고 MFA를 사용하여 보호되는지 확인해야 합니다. 2020년 FBI(연방수사국) IC3(인터넷범죄보고센터) 보고서에 따르면 피해자들이 가장 많이 보고하는 범죄 형식은 피싱이었습니다. 신고 건수는 전년도에 비해 2배 늘었습니다. 피싱은 기업과 개인 모두에게 심각한 위협이 되며 작년의 가장 피해 규모가 컸던 공격에는 자격 증명 피싱이 사용되었습니다. Microsoft Entra MFA(다단계 인증)는 데이터 및 애플리케이션에 대한 액세스를 보호하여 두 번째 형태의 인증을 사용하여 다른 보안 계층을 제공합니다. 조직은 조건부 액세스로 다단계 인증을 사용하도록 설정하여 솔루션을 특정 요구 사항에 맞게 만들 수 있습니다. 이 배포 가이드를 확인하여 Microsoft Entra 다단계 인증을 계획, 구현 및 롤아웃하는 방법을 알아보십시오.
조직에서 강력한 인증을 사용하도록 해야 함
기본 수준의 ID 보안을 쉽게 사용하도록 설정하려면 Microsoft Entra 보안 기본값 함께 한 가지 선택 사용 기능을 사용할 수 있습니다. 보안 기본값은 테넌트에 있는 모든 사용자에 대해 Microsoft Entra 다단계 인증을 적용하고 레거시 프로토콜 테넌트 전체에서 로그인을 차단합니다.
조직에 Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 조건부 액세스 인사이트 및 보고 통합 문서를 사용하여 구성 및 적용 범위의 격차를 검색할 수 있습니다. 이러한 권장 사항에서 새로운 조건부 액세스 템플릿 환경을 사용하여 정책을 만들어 이 격차를 쉽게 좁힐 수 있습니다. 조건부 액세스 템플릿은 Microsoft 권장되는 best practices 따라 새 정책을 쉽게 배포할 수 있도록 설계되어 ID 및 디바이스를 보호하기 위한 일반적인 정책을 쉽게 배포할 수 있습니다.
자주 공격받는 암호 사용을 금지하고 기존의 복잡성 및 만료 규칙을 해제합니다.
많은 조직에서는 기존의 복잡성 및 암호 만료 규칙을 사용합니다.
Microsoft의 연구와 미국표준기술연구소(NIST)의 특별 발행물 800-63B 디지털 신원 지침에 따르면, 이러한 정책은 사용자가 추측하기 쉬운 암호를 선택하게 만든다고 합니다. 사용자가 쉽게 추측할 수 있는 암호를 설정하지 못하도록 현재 공격자 동작을 사용하여 동적 금지 암호 기능인 Microsoft Entra 암호 보호를 사용하는 것이 좋습니다. 이 기능은 사용자가 클라우드에서 생성되는 경우 항상 켜지지만, 이제 하이브리드 조직에서 Windows Server Active Directory
유출된 자격 증명을 보호 및 작동 중단에 대비해 복원력을 추가
Microsoft Entra ID 온-프레미스 디렉터리 개체에 대해 클라우드 인증을 사용하도록 설정하는 가장 간단하고 권장되는 방법은 패스워드 해시 동기화(PHS)를 사용하도록 설정하는 것입니다. 조직에서 통과 인증 또는 페더레이션을 사용하는 하이브리드 ID 솔루션을 이용하는 경우 다음과 같은 두 가지 이유로 암호 해시 동기화를 사용하도록 설정해야 합니다.
- Microsoft Entra ID의 유출된 자격 증명 사용자 보고서는 공개적으로 노출된 사용자 이름과 암호 쌍에 대해 경고합니다. 엄청난 양의 암호가 피싱, 맬웨어 및 나중에 위반되는 타사 사이트에서 암호 재사용을 통해 유출됩니다. Microsoft 이러한 유출된 자격 증명의 대부분을 찾아 조직의 자격 증명과 일치하는 경우 이 보고서에서 알려 주지만 패스워드 해시 동기화를 사용하도록 설정하거나 클라우드 전용 ID가 있는 경우에만 알 수 있습니다.
- 온-프레미스 장애가 발생하는 경우, 예를 들어 랜섬웨어 공격과 같은 경우, 암호 해시 동기화를 통해 클라우드 인증으로 전환할 수 있습니다. 이 백업 인증 수단을 사용하면 Microsoft 365를 포함하여 Microsoft Entra ID로 인증하도록 구성된 앱에 계속 액세스할 수 있습니다. 이 경우 IT 담당자는 온-프레미스 중단이 해결될 때까지 섀도 IT 또는 개인 이메일 계정에 의존하여 데이터를 공유할 필요가 없습니다.
암호는 명확한 텍스트에 저장되거나 Microsoft Entra ID 되돌릴 수 있는 알고리즘으로 암호화되지 않습니다. 암호 해시 동기화의 실제 프로세스에 대한 자세한 내용은 암호 해시 동기화 작동 방식에 대한 자세한 설명을 참조하세요.
AD FS 엑스트라넷 스마트 잠금 구현
스마트 잠금을 사용하면 사용자의 암호를 추측하거나 무차별 암호 대입 공격 방법을 사용하여 로그인하려는 잘못된 행위자를 잠글 수 있습니다. 스마트 잠금 방지를 통해 시스템은 유효한 사용자의 로그인과 공격자 또는 기타 알 수 없는 출처로부터의 로그인 시도를 구별하여 다르게 처리할 수 있습니다. 공격자는 잠기지만 사용자는 계속해서 계정에 액세스하여 생산성을 유지할 수 있습니다. Microsoft Entra ID에 직접 인증하도록 애플리케이션을 구성하는 조직은 Microsoft Entra 스마트 잠금 기능의 혜택을 받습니다. AD FS 2016 및 AD FS 2019를 사용하는 페더레이션된 배포는 AD FS 엑스트라넷 잠금 및 엑스트라넷 스마트 잠금을 사용하여 유사한 이점을 제공할 수 있습니다.
2단계: 공격 노출 영역 줄이기
암호 손상의 확장성을 고려할 때 조직에서 공격 노출 영역을 최소화하는 것은 중요합니다. 더 오래되고 덜 안전한 프로토콜의 사용을 사용하지 않도록 설정하고, 액세스 진입점을 제한하고, 클라우드 인증으로 이동하고, 리소스에 대한 관리 액세스를 보다 중요하게 제어하고, Zero Trust 보안 원칙을 수용합니다.
클라우드 인증 사용
자격 증명은 주요 공격 벡터입니다. 이 블로그의 사례를 통해 클라우드 인증을 사용하고 MFA를 배포하고 암호 없는 인증 방법을 사용하여 공격 표면을 줄일 수 있습니다. Windows Hello for Business, Microsoft Authenticator 앱 또는 FIDO를 사용하여 전화 로그인과 같은 암호 없는 메서드를 배포할 수 있습니다.
레거시 인증 차단
자체 레거시 방법을 사용하여 Microsoft Entra ID 인증하고 회사 데이터에 액세스하는 앱은 조직에 또 다른 위험을 초래합니다. 레거시 인증을 사용한 앱으로는 POP3, IMAP4 또는 SMTP 클라이언트가 있습니다. 레거시 인증 앱은 사용자를 대신하여 인증하고 Microsoft Entra ID 고급 보안 평가를 수행하지 못하도록 방지합니다. 대안인 최신 인증은 다단계 인증과 조건부 액세스를 지원하므로 보안 위험을 줄여줍니다.
다음 작업을 수행하는 것이 좋습니다.
- Microsoft Entra 로그인 로그 및 Log Analytics 통합 문서를 사용하여 조직에서 레거시 인증을 검색합니다.
- 최신 인증을 사용하도록 SharePoint Online 및 Exchange Online 설정합니다.
- Microsoft Entra ID P1 또는 P2 라이선스를 보유한 경우, 조건부 액세스 정책을 사용하여 레거시 인증을 차단합니다. Microsoft Entra ID 무료 계층의 경우 Microsoft Entra 보안 기본값을 사용합니다.
- AD FS를 사용하는 경우 레거시 인증을 차단합니다.
- Exchange Server 2019에서 레거시 인증을 차단합니다.
- Exchange Online 레거시 인증을 사용하지 않도록 설정합니다.
자세한 내용은
잘못된 인증 진입점 차단
명시적 검증 원칙을 사용하여 손상된 사용자 자격 증명이 발생할 때 그 영향을 줄여야 합니다. 사용자 환경의 각 앱의 경우 권한이 있는 그룹, 네트워크, 디바이스 및 기타 요소가 무엇인지 유효한 사용 사례를 고려한 다음, 나머지를 차단합니다. Microsoft Entra Conditional Access 사용하면 사용자가 정의한 특정 조건에 따라 권한 있는 사용자가 앱 및 리소스에 액세스하는 방법을 제어할 수 있습니다.
Cloud Apps 및 사용자 작업에 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 조건부 액세스 클라우드 앱, 작업 및 인증 컨텍스트를 참조하세요.
관리자 역할 검토 및 관리
또 다른 Zero Trust 핵심 요소는 손상된 계정이 권한 있는 역할로 작동할 가능성을 최소화해야 한다는 것입니다. 이 제어는 ID에 최소한의 권한을 할당하여 수행할 수 있습니다. Microsoft Entra 역할을 새로 사용하는 경우 이 문서는 Microsoft Entra 역할을 이해하는 데 도움이 됩니다.
Microsoft Entra ID 권한 있는 역할은 온-프레미스 환경에서 격리하기 위해 클라우드 전용 계정이어야 하며, 온-프레미스 암호 자격 증명 모음을 사용하여 자격 증명을 저장하지 않아야 합니다.
권한 액세스 관리 구현
PIM(Privileged Identity Management)은 중요한 리소스에 대한 과도한, 불필요하거나 오용된 액세스 권한의 위험을 완화하기 위해 시간 기반 및 승인 기반 역할 활성화를 제공합니다. 이러한 리소스에는 Microsoft Entra ID, Azure 및 Microsoft 365 또는 Microsoft Intune 같은 기타 Microsoft Online Services의 리소스가 포함됩니다.
PIM(Microsoft Entra Privileged Identity Management)을 사용하면 다음을 수행하여 계정 권한을 최소화할 수 있습니다.
- 관리자 역할에 할당된 사용자를 식별하고 관리합니다.
- 제거해야 하는 사용되지 않거나 과도한 권한 역할을 파악합니다.
- 권한 있는 역할이 다단계 인증으로 보호되도록 규칙을 설정합니다.
- 권한 있는 역할이 권한 있는 작업을 수행하기에 충분히 긴 기간 동안만 부여되도록 규칙을 설정합니다.
Microsoft Entra PIM을 사용하도록 설정한 다음 관리 역할이 할당된 사용자를 보고 해당 역할에서 불필요한 계정을 제거합니다. 나머지 권한 있는 사용자의 경우 영구 상태에서 적격 상태로 이동합니다. 마지막으로, 필요할 때 사용자가 권한 있는 역할에 안전하게 액세스할 수 있도록 적절한 정책을 수립하고 필요한 변경 제어를 수행하세요.
Microsoft Entra 기본 제공 및 사용자 지정 역할은 Azure 리소스(Azure 역할)에 대한 역할 기반 액세스 제어 시스템에 있는 역할과 유사한 개념에 따라 작동합니다. 이러한 두 역할 기반 액세스 제어 시스템 간의 차이점은 다음과 같습니다.
- Microsoft Entra 역할은 Microsoft Graph API 사용하여 사용자, 그룹 및 애플리케이션과 같은 Microsoft Entra 리소스에 대한 액세스를 제어합니다.
- Azure 역할은 Azure 리소스 관리를 사용하여 가상 머신 또는 스토리지와 같은 Azure 리소스에 대한 액세스를 제어합니다.
두 시스템 모두 유사하게 사용되는 역할 정의 및 역할 할당을 포함합니다. 그러나 Microsoft Entra 역할 권한은 Azure 사용자 지정 역할에 사용할 수 없으며 그 반대의 경우도 마찬가지입니다. 권한 있는 계정 프로세스를 배포하는 과정에서, 모범 사례에 따라 두 개 이상의 비상 계정을 생성하여 Microsoft Entra ID에 대한 접근이 차단되는 경우에도 여전히 접근할 수 있도록 합니다.
자세한 내용은 Privileged Identity Management 배포 계획 권한 있는 액세스 보호 문서를 참조하세요.
사용자 승인 작업 제한
다양한 Microsoft Entra 애플리케이션 동의 환경, 사용 권한 및 동의 유형 및 조직의 보안 태세에 미치는 영향을 이해하는 것이 중요합니다. 사용자가 자체적으로 동의하도록 허용하면 사용자가 Microsoft 365, Azure 및 기타 서비스와 통합되는 유용한 애플리케이션을 쉽게 획득할 수 있지만, 사용하지 않고 신중하게 모니터링하지 않으면 위험을 나타낼 수 있습니다.
Microsoft 확인된 게시자의 앱과 선택한 권한에 대해서만 최종 사용자 동의를 허용하도록 사용자 동의를 제한하는 것이 좋습니다. 최종 사용자 동의가 제한되는 경우 이전에 부여된 동의는 여전히 존중되지만 관리자가 수행해야 하는 모든 향후 동의 작업은 허용되지 않습니다. 제한된 사례에 한해 사용자는 통합된 관리자 동의 요청 워크플로 또는 자체 지원 프로세스를 통해 관리자 동의를 요청할 수 있습니다. 최종 사용자 동의를 제한하기 전에 권장 사항을 사용하여 조직에서 이러한 변경을 계획합니다. 모든 사용자에게 액세스를 허용하려는 애플리케이션의 경우 모든 사용자를 대신하여 동의를 부여하여 아직 개별적으로 동의하지 않은 사용자도 앱에 액세스할 수 있는지 확인합니다. 모든 시나리오에서 이러한 애플리케이션을 모든 사용자가 사용할 수 있도록 하지 않으려면 애플리케이션 할당 및 조건부 액세스를 사용하여 특정 앱에 대한 사용자 액세스를 제한합니다.
사용자가 새 애플리케이션에 대한 관리자 승인을 요청하여 사용자 마찰을 줄이고, 지원 볼륨을 최소화하고, 사용자가 Microsoft Entra 이외의 자격 증명을 사용하여 애플리케이션에 등록하지 못하도록 할 수 있는지 확인합니다. 동의 작업을 규제하면 관리자는 앱 및 동의 권한을 정기적으로 감사를 수행해야 합니다.
자세한 내용은 Microsoft Entra 동의 프레임워크 문서를 참조하세요.
3단계: 위협 대응 자동화
Microsoft Entra ID 검색과 응답 사이의 대기 시간을 제거하기 위해 자동으로 공격을 가로채는 많은 기능이 있습니다. 범죄자들이 사용자 환경에 진입하는 데 사용하는 시간을 줄이면 비용 및 위험을 줄일 수 있습니다. 다음은 이를 수행할 수 있는 구체적인 단계입니다.
자세한 내용은 방법: 위험 정책 구성 및 사용 문서를 참조하세요.
로그인 위험 정책 구현
로그인 위험은 ID 소유자가 인증 요청의 권한을 부여하지 않았을 가능성을 나타냅니다. 로그인 위험 기반 정책은 특정 사용자 또는 그룹에 대한 위험 수준을 평가하는 조건부 액세스 정책에 로그인 위험 조건을 추가하여 구현할 수 있습니다. 위험 수준(높음/보통/낮음)에 따라 정책은 액세스를 차단하거나 다단계 인증을 강제 적용하도록 구성할 수 있습니다. 중간 이상의 위험 단계의 로그인에 대해 다단계 인증을 반드시 강제 적용하는 것을 권장합니다.
사용자 위험 보안 정책 구현
사용자 위험은 사용자 ID가 침해될 가능성을 나타내며 사용자의 ID와 관련된 사용자 위험 검색을 기반으로 계산됩니다. 사용자 위험 기반 정책은 특정 사용자에 대한 위험 수준을 평가하는 조건부 액세스 정책에 사용자 위험 조건을 추가하여 구현할 수 있습니다. 낮음, 보통, 높음 위험 수준에 따라 액세스를 차단하거나 다단계 인증을 사용한 보안 암호 변경을 요구하도록 정책을 구성할 수 있습니다. Microsoft 권장 사항은 위험이 높은 사용자에게 보안 암호 변경을 요구하는 것입니다.
사용자 위험 검색에는 사용자의 자격 증명이 사이버 범죄자가 유출한 자격 증명과 일치하는지 확인하는 것이 포함됩니다. 최적으로 작동하려면 Microsoft Entra Connect Sync와 암호 해시 동기화를 구현하는 것이 중요합니다.
Microsoft Defender XDR을(를) Microsoft Entra ID Protection과 통합
ID 보호가 가능한 한 최고 수준의 위험 검색을 수행할 수 있으려면 최대한 많은 신호를 받아야 합니다. 따라서 전체 Microsoft Defender XDR 서비스 제품군을 통합하는 것이 중요합니다.
- Microsoft Defender for Endpoint (마이크로소프트 디펜더 포 엔드포인트)
- Office 365용 Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps (클라우드 앱용 디펜더)
다음 짧은 비디오에서 Microsoft 위협 방지 및 다른 도메인 통합의 중요성에 대해 자세히 알아봅니다.
모니터링 및 경고 설정
의심스러운 동작을 검색하려면 로그를 모니터링하고 감사를 수행하는 것이 중요합니다. Azure 포털에는 Microsoft Sentinel, Azure Monitor 및 기타 SIEM 도구와 같은 다른 도구와 Microsoft Entra 로그를 통합하는 여러 가지 방법이 있습니다. 자세한 내용은 Microsoft Entra 보안 작업 가이드 참조하세요.
4단계: 클라우드 인텔리전스 활용
보안 관련 이벤트의 감사와 로깅 및 관련 경고는 효과적인 보호 전략의 중요한 구성 요소입니다. 보안 로그 및 보고서는 의심스러운 활동에 대한 전자 기록을 제공하며, 네트워크의 외부 침투와 내부 공격의 시도 또는 성공을 나타낼 수 있는 패턴을 검색할 수 있도록 도움을 줍니다. 감사를 사용하여 사용자 활동을 모니터링하고, 규정 준수를 문서화하며, 법정 분석 등을 수행할 수 있습니다. 경고는 보안 이벤트의 알림을 제공합니다. Azure Monitor 또는 SIEM 도구로 내보내서 로그인 로그와 Microsoft Entra ID 대한 감사 로그 모두에 대한 로그 보존 정책이 있는지 확인합니다.
마이크로소프트 엔트라 ID 모니터
Microsoft Azure 서비스 및 기능은 구성 가능한 보안 감사 및 로깅 옵션을 제공하여 보안 정책 및 메커니즘의 격차를 식별하고 이러한 격차를 해결하여 위반을 방지하는 데 도움이 됩니다. Azure 로깅 및 감사를 사용하고 Microsoft Entra admin center 활동 보고서를 감사할 수 있습니다. 사용자 계정>Microsoft Entra 권한 있는 계정, 앱 및 디바이스 모니터링에 대한 자세한 내용은 Microsoft Entra 보안 작업 가이드를 참조하세요.
하이브리드 환경에서 Microsoft Entra Connect Health 모니터링
Microsoft Entra Connect Health를 사용하여 AD FS 모니터링을 사용하면 AD FS 인프라에 대한 잠재적인 문제와 공격의 가시성에 대한 더 큰 인사이트를 얻을 수 있습니다. 이제 ADFS 로그인을 확인하여 모니터링에 대한 깊이를 더할 수 있습니다. Microsoft Entra Connect Health는 세부 정보, 해결 단계 및 관련 설명서에 대한 링크, 인증 트래픽과 관련된 여러 메트릭에 대한 사용 현황 분석, 성능 모니터링 및 보고서가 포함된 경고를 제공합니다. 환경의 표준을 식별하고 변경 내용이 있을 때 경고할 수 있는 ADFS용 위험한 IP 통합 문서를 활용합니다. 모든 하이브리드 인프라는 계층 0 자산으로 모니터링해야 합니다. 이러한 자산에 대한 자세한 모니터링 지침은 인프라용 보안 운영 지침에서 찾을 수 있습니다.
Microsoft Entra ID Protection 이벤트 모니터링
Microsoft Entra ID Protection 매일 모니터링해야 하는 두 가지 중요한 보고서를 제공합니다.
- 위험한 로그인 보고서는 사용자 로그인 작업을 표면화하므로 합법적인 소유자가 로그인을 수행했는지 여부를 조사해야 합니다.
- 위험 사용자 보고서는 유출된 자격 증명이 검색되었거나 사용자가 다른 위치에서 로그인하여 불가능한 이동 이벤트를 발생시키는 등 손상되었을 수 있는 사용자 계정을 표시합니다.
감사 앱 및 승인된 권한
손상된 웹 사이트 또는 앱으로 이동하도록 사용자를 속여서 프로필 정보나 이메일 같은 사용자 데이터를 획득할 수 있습니다. 악의적인 행위자는 획득한 승인된 권한을 사용하여 사서함 콘텐츠를 암호화하고, 사서함 데이터를 되찾으려면 몸값을 지불하라고 요구할 수 있습니다. 관리자는 사용자가 제공한 권한을 검토 및 감사해야 합니다. 사용자가 부여한 사용 권한을 감사하는 것 외에도 프리미엄 환경에서 위험한 또는 원치 않는 OAuth 애플리케이션을 찾을 수 있습니다.
5단계: 최종 사용자 셀프 서비스 사용
사용자는 최대한 생산성과 보안의 균형을 맞추고자 합니다. 보안의 토대를 마련한다는 마음으로 과정에 접근하면 사용자에게 권한을 부여하는 동시에 경계를 유지하고 운영 오버헤드를 줄임으로써 조직의 마찰을 제거할 수 있습니다.
셀프 서비스 암호 재설정 구현
Microsoft Entra ID 자체 서비스 암호 재설정(SSPR)은 IT 관리자가 사용자가 기술 지원팀 또는 관리자 개입 없이 암호 또는 계정을 재설정하거나 잠금을 해제할 수 있는 간단한 방법을 제공합니다. 이 시스템에는 오용 또는 남용에 대해 경고하는 알림과 함께 사용자가 언제 암호를 재설정하는지 추적하는 구체적인 보고서가 포함되어 있습니다.
셀프 서비스 그룹 및 애플리케이션 액세스 구현
Microsoft Entra ID 보안 그룹, Microsoft 365 그룹, 애플리케이션 역할 및 액세스 패키지 카탈로그를 사용하여 비관리자가 리소스에 대한 액세스를 관리할 수 있도록 허용할 수 있습니다. 셀프 서비스 그룹 관리를 통해 그룹 소유자는 관리 역할을 할당하지 않고도 자신의 그룹을 관리할 수 있습니다. 또한 사용자는 관리자가 요청을 처리하지 않고도 Microsoft 365 그룹을 만들고 관리할 수 있으며 사용하지 않는 그룹은 자동으로 만료됩니다. Microsoft Entra 권한 관리 포괄적인 액세스 요청 워크플로 및 자동 만료를 통해 위임 및 가시성을 추가로 활성화합니다. 직원 관리자 및 비즈니스 파트너 스폰서를 승인자로 구성하는 것을 포함하여 액세스를 승인해야 하는 사용자에 대한 사용자 지정 정책을 사용하여 자신이 소유한 그룹, Teams, 애플리케이션 및 SharePoint Online 사이트에 대해 자체 액세스 패키지를 구성할 수 있는 기능을 비지속인에게 위임할 수 있습니다.
Microsoft Entra 액세스 검토 실시
Microsoft Entra 액세스 검토를 사용하면 액세스 패키지 및 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 권한 있는 역할 할당을 관리하여 보안 표준을 유지할 수 있습니다. 사용자 자체, 리소스 소유자 및 기타 검토자에 의한 정기적인 감독은 사용자가 더 이상 필요하지 않은 경우 연장된 기간 동안 액세스를 유지하지 않도록 합니다.
자동 사용자 프로비저닝 구현
프로비저닝 및 프로비저닝 해제 프로세스는 여러 시스템에서 디지털 ID의 일관성을 보장하는 프로세스입니다. 이러한 프로세스는 일반적으로 ID 수명 주기 관리의 일부로 적용됩니다.
프로비저닝은 특정 조건에 따라 대상 시스템에서 ID를 만드는 프로세스입니다. 프로비전 해제는 조건이 더 이상 충족되지 않을 때 대상 시스템에서 ID를 제거하는 프로세스입니다. 동기화는 원본 개체와 대상 개체가 비슷하도록 프로비저닝된 개체를 최신 상태로 유지하는 프로세스입니다.
Microsoft Entra ID 현재 자동화된 프로비저닝의 세 가지 영역을 제공합니다. 그들은 다음과 같습니다.
- HR 주도 프로비저닝을 통해 외부 비디렉토리 기반 공식 기록 시스템에서 Microsoft Entra ID로 프로비저닝 수행
- App 프로비저닝을 통해 Microsoft Entra ID에서 애플리케이션으로 프로비전합니다.
- 디렉터리 간 프로비저닝을 통해 Microsoft Entra ID와 Active Directory Domain Services 간에 프로비저닝.
자세히 알아보세요: Microsoft Entra ID 프로비전이란 무엇입니까?
요약
안전한 ID 인프라에는 여러 측면이 있지만, 이 5단계 검사 목록은 보다 안전하고 보안이 강화된 ID 인프라를 신속하게 구축하는 데 도움이 됩니다.
- 자격 증명 강화
- 공격 표면 영역 줄이기
- 위협 응답 자동화
- 클라우드 인텔리전스 활용
- 최종 사용자 셀프 서비스를 활성화하십시오.
보안에 대해 진지하게 고려해 주신 것에 감사를 드리며, 이 문서가 여러분 조직의 더 안전한 태세를 위한 유용한 로드맵이 되길 바랍니다.
다음 단계
권장 사항을 계획하고 배포하는 데 도움이 필요한 경우 Microsoft Entra ID 프로젝트 배포 계획 참조하세요.
이러한 모든 단계가 완료된 것으로 확신하는 경우 Microsoft Identity Secure Score를 사용하여 latest 모범 사례 및 보안 위협을 최신 상태로 유지합니다.