Microsoft Intune organization 제로 트러스트 과정을 지원하는 모바일 디바이스 관리 솔루션입니다.
제로 트러스트 제품 또는 서비스가 아닙니다. 대신, 회사 네트워크 내에서도 암시적 신뢰를 가정하지 않는 최신 사이버 보안 전략입니다. 기본적으로 사용자, 디바이스 또는 애플리케이션을 신뢰하는 대신, 제로 트러스트 접근 방식은 모든 액세스 요청을 명시적으로 확인하고, 위험을 지속적으로 평가하고, 전체 디지털 자산에서 최소 권한 액세스를 적용합니다.
제로 트러스트 핵심 원칙은 다음과 같습니다.
| 명시적으로 확인 | 최소 권한 액세스 사용 | 보안 위반 가정 |
|---|---|---|
| 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. | JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. | 블라스트 반경 및 세그먼트 액세스를 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 촉진하며 방어를 향상시키세요. |
제로 트러스트 엔드포인트를 관리하는 이유는 무엇인가요?
최신 엔터프라이즈는 조직 데이터에 액세스하는 엔드포인트에서 놀라운 다양성을 가지고 있습니다. 사용자는 역사상 어느 때보다도 모든 장치에서 작업합니다. 이렇게 하면 대규모 공격 표면이 생성되고 엔드포인트는 제로 트러스트 보안 전략에서 가장 약한 링크가 될 수 있습니다.
조직은 일반적으로 취약성 및 공격으로부터 PC를 보호하는 데 적극적으로 대처하지만 모바일 디바이스는 종종 모니터링되지 않고 보호 없이 진행됩니다. 회사 리소스에 액세스하는 엔드포인트에 대한 가시성을 확보하는 것이 제로 트러스트 디바이스 전략의 첫 번째 단계입니다.
위험에 데이터를 노출하지 않도록 하려면 모든 엔드포인트에서 위험을 모니터링하고 세분화된 액세스 제어를 사용하여 조직 정책에 따라 적절한 수준의 액세스를 제공해야 합니다. 예를 들어 개인 디바이스가 탈옥된 경우 엔터프라이즈 애플리케이션이 알려진 취약성에 노출되지 않도록 액세스를 차단할 수 있습니다.
Intune 제로 트러스트 원칙(명시적으로 확인, 최소 권한 액세스 사용 및 위반 가정)을 지원하는 방법에 대한 개요는 Microsoft Intune 제로 트러스트 참조하세요.
7층 제로 트러스트 배포 진행
디바이스에 대한 포괄적인 제로 트러스트 보안 태세를 구축하려면 점진적으로 보호 계층을 구현해야 합니다. 각 계층은 기본 데이터 보호부터 시작하여 정교한 위협 탐지 및 데이터 손실 방지로 발전하여 이전 계층을 기반으로 합니다.
다음 표에서는 제로 트러스트 디바이스 보안에 권장되는 배포 진행 상황을 보여 있습니다.
| 층 | 보호 기능 | 달성한 내용 | 필수 구성 요소 | 라이선스 요구 사항 |
|---|---|---|---|---|
| 1 | 앱 보호 정책 | 디바이스 등록 없이 앱에서 조직 데이터를 보호합니다. BYOD(Bring-your-own-device) 시나리오를 위한 기초를 만듭니다. | 지원되는 앱(Microsoft 365 앱, 정책 지원 앱) | Microsoft 365 E3, E5, F1, F3, F5 |
| 2 | 장치 등록 | 사용자, 디바이스 및 Intune 간의 관계를 설정합니다. 리소스에 액세스하는 엔드포인트에 대한 디바이스 관리 및 가시성을 사용하도록 설정합니다. | 플랫폼별 필수 구성 요소(MDM 기관, 인증서) | Microsoft 365 E3, E5, F1, F3, F5 |
| 3 | 규정 준수 정책 | 디바이스가 충족해야 하는 최소 요구 사항 정의(암호 보호, OS 버전, 암호화). 디바이스를 규격 또는 비규격으로 표시합니다. | 계층 2에 등록된 디바이스 | Microsoft 365 E3, E5, F3, F5 |
| 4 | 정상적인 규격 장치 필요 | 엔터프라이즈 제로 트러스트 ID 및 디바이스 액세스 정책을 구현합니다. ID 팀과 협력하여 조건부 액세스를 통해 규정 준수를 적용하여 보안 요구 사항을 충족하지 않는 디바이스의 액세스를 차단합니다. | 계층 3의 규정 준수 정책, ID 관리자와의 조정 | Microsoft 365 E3, E5, F3, F5 |
| 5 | 구성 프로필 | 보안을 강화하도록 디바이스 설정을 구성합니다. 보안 기준을 배포합니다. 보안 제어를 그룹 정책 클라우드 정책으로 이동합니다. | 계층 2에서 등록된 디바이스 | Microsoft 365 E3, E5, F3, F5 |
| 6 | 디바이스 위험 모니터링 | 엔드포인트용 Microsoft Defender 통합하여 디바이스 위험을 모니터링하고, 위협을 감지하고, 위험 수준에 따라 액세스를 차단합니다. 보안 기준을 배포합니다. | 엔드포인트용 Microsoft Defender 설정, 위협 방지 팀과의 조정 | Microsoft 365 E5, F5 |
| 7 | 엔드포인트 DLP | Microsoft Purview 데이터 손실 방지 사용하여 엔드포인트에서 중요한 데이터를 보호합니다. 민감도 레이블을 기반으로 파일 작업을 모니터링하고 제어합니다. | Microsoft Purview 구성, 계층 6에서 MDE 온보딩된 디바이스 | Microsoft 365 E5, E5 규정 준수 추가 기능, F5 규정 준수 추가 기능 |
7개의 배포 계층 이해
이 섹션에서는 제로 트러스트 배포 진행의 각 계층에 대해 설명합니다. 7개 계층 테이블은 각 계층이 수행하는 작업을 보여 주지만, 이러한 설명은 주요 개념의 컨텍스트, 예제 및 설명을 제공합니다.
등록이 없는 앱 보호(계층 1)
앱 보호 정책은 사용자가 회사 데이터에 액세스하고 공유하는 방법을 제어하여 앱 내에서 조직 데이터를 보호합니다. 계층 1은 등록 없이 관리되지 않는 개인 디바이스 의 데이터를 보호하는 데 중점을 두지만, 심층 방어를 위해 등록된 디바이스에도 앱 보호 정책을 적용할 수 있습니다.
사용자는 스토어에서 Outlook 또는 Teams와 같은 앱을 설치하고, 회사 계정으로 로그인하고, 데이터 보호 정책이 자동으로 적용됩니다. 이 방법은 일반적으로 등록 또는 BYOD(Bring-your-own-device)가 없는 MAM이라고 합니다.
예제: 사용자의 개인 iPhone에 Outlook이 설치되어 있습니다. 앱 보호 정책에는 회사 메일에 액세스하기 위해 PIN이 필요하고, 개인 앱에 회사 데이터를 복사할 수 없으며, 개인 클라우드 스토리지에 전자 메일 첨부 파일을 저장하는 것을 차단합니다. 조직 데이터가 보호되는 동안 사용자는 디바이스를 완전히 제어합니다.
팁
앱 보호 정책은 디바이스 관리 이외의 추가 앱 수준 보호를 위해 등록되지 않은 디바이스(계층 1)와 등록된 디바이스(계층 2 이상)에 배포할 수 있습니다.
자세한 내용은 배포 지침: 앱 보호 정책을 참조하세요.
디바이스 등록(계층 2)
등록은 Intune 디바이스를 등록하여 포괄적인 디바이스 관리를 사용하도록 설정합니다. Intune 앱을 배포하고, 설정을 구성하고, 규정 준수 정책을 적용하고, 디바이스 상태에 대한 완전한 가시성을 제공합니다.
예제: 회사 랩톱은 Windows Autopilot을 설정하는 동안 Intune 등록합니다. Intune Wi-Fi를 구성하고, 인증서를 배포하고, 보안 기준을 설치하고, BitLocker 암호화를 적용하고, 암호 정책 준수를 모니터링합니다.
자세한 내용은 배포 지침: 디바이스 등록을 참조하세요.
준수 정책(계층 3)
규정 준수 정책은 디바이스가 조직 리소스에 액세스하기 위해 충족해야 하는 보안 요구 사항을 정의합니다. 이러한 정책은 디바이스 상태를 평가하고 암호 요구 사항, OS 버전, 암호화 상태 및 탈옥 검색과 같이 구성한 설정에 따라 디바이스를 준수 또는 비준수로 표시합니다.
예제: 규정 준수 정책을 사용하려면 Windows 디바이스에서 BitLocker를 사용하도록 설정하고, 최소 OS 버전을 실행하고, 8자 이상의 암호를 사용해야 합니다. BitLocker가 누락된 사용자의 노트북은 비준수로 표시됩니다. 사용자는 요구 사항에 대한 알림을 받고 액세스가 차단되기 전에 수정할 시간이 있습니다(계층 4를 적용하는 경우).
팁
규정 준수 정책은 디바이스 상태를 평가하지만 액세스를 자동으로 차단하지는 않습니다. 조건부 액세스(계층 4)와 협력하여 규정 준수 요구 사항을 적용합니다.
자세한 내용은 배포 지침: 규정 준수 정책을 참조하세요.
정상 및 규격 디바이스 필요(계층 4)
이 계층은 조직 리소스에 대한 액세스 권한을 부여하기 전에 디바이스가 정상이고 규정을 준수하도록 요구하여 엔터프라이즈 수준의 제로 트러스트 ID 및 디바이스 액세스 정책을 구현합니다. ID 팀과 협력하여 계층 3에서 규정 준수 결정을 적용하는 Microsoft Entra ID 조건부 액세스 정책을 만듭니다.
이 계층은 평가에서 적용으로의 전환을 나타냅니다. 규정 준수 정책이 디바이스를 규정 준수 또는 비규격으로 표시한 후 조건부 액세스 정책은 해당 신호를 사용하여 이메일, SharePoint, Teams 및 기타 보호된 리소스에 대한 액세스 권한을 부여하거나 차단합니다.
예제: ID 팀은 사용자가 Microsoft 365 앱에 액세스하기 전에 디바이스를 규격으로 표시해야 하는 조건부 액세스 정책을 구성합니다. 사용자가 Intune 관리되는 Windows 디바이스에서 Outlook에 액세스하려고 시도합니다. 디바이스는 Intune 규정 준수 요구 사항을 충족하지 않으므로 비준수이며 디스크 암호화(BitLocker)는 사용하도록 설정되지 않습니다. 디바이스가 규격으로 표시되지 않으므로 조건부 액세스는 Outlook에 대한 액세스를 차단하고 사용자에게 문제를 resolve 메시지를 표시합니다. 사용자가 BitLocker를 사용하도록 설정한 후 디바이스는 업데이트된 준수 상태를 Intune 보고합니다. 디바이스가 규격으로 평가되면 조건부 액세스는 로그인을 다시 평가하고 Outlook에 대한 액세스가 복원됩니다.
참고
이 계층에는 ID 팀과의 조정이 필요합니다. Intune 관리 센터에서 Microsoft Entra ID 조건부 액세스 노드를 표시하는 동안 조건부 액세스 정책은 Intune 아니라 Entra ID로 만들어집니다. 워크플로는 ID 팀 조정 섹션 을 참조하세요.
자세한 내용은 조건부 액세스를 사용하여 관리되는 디바이스 필요를 참조하세요.
구성 프로필(계층 5)
구성 프로필은 보안을 강화하고, 기능을 사용하도록 설정하고, 차량 전체에서 일관된 구성을 만들도록 디바이스 설정을 구성합니다. 규정 준수 정책(계층 3)은 디바이스가 요구 사항을 충족하는지 여부를 평가하는 동안 구성 프로필은 디바이스가 올바르게 구성되도록 설정을 사전에 배포합니다.
디바이스 구성 프로필 또는 엔드포인트 보안 정책을 통해 설정을 배포할 수 있습니다. 디바이스 구성 프로필은 Wi-Fi 및 VPN 프로필, 인증서 배포, 암호 정책, 디스크 암호화 설정 및 그룹 정책 등 다양한 시나리오를 지원합니다. 엔드포인트 보안 정책은 특히 바이러스 백신, 디스크 암호화, 방화벽, 공격 표면 감소, 엔드포인트 검색 및 대응과 같은 보안 설정에 초점을 맞춘 간소화된 환경을 제공합니다.
예제: 회사 랩톱에 Windows 보안 기준을 배포합니다. 기준은 Windows 방화벽을 사용하도록 설정하고, BitLocker 암호화를 구성하고, 레거시 프로토콜을 사용하지 않도록 설정하고, 공격 표면 감소 규칙을 사용하도록 설정하고, 수십 개의 다른 보안 설정을 구성합니다. 사용자는 이러한 설정을 수동으로 구성할 필요가 없습니다. Intune 자동으로 적용됩니다.
팁
보안 기준은 Microsoft의 권장 보안 설정을 포함하는 미리 구성된 프로필입니다. 시작점으로 사용한 다음 organization 요구 사항에 따라 사용자 지정합니다.
자세한 내용은 구성 프로필 배포를 참조하세요.
디바이스 위험 모니터링(계층 6)
디바이스 위험 모니터링은 엔드포인트용 Microsoft Defender Intune 통합하여 지속적인 위협 탐지, 디바이스 위험 평가 및 위험 기반 액세스 제어를 추가합니다. 이 계층은 정적 규정 준수 검사에서 활성 위협에 실시간으로 대응하는 동적 보안 모니터링으로 전환됩니다.
엔드포인트용 Microsoft Defender 디바이스를 온보딩하면 보안 원격 분석 및 위협 인텔리전스 보고를 시작합니다. Defender는 검색된 위협, 취약성 및 보안 상태에 따라 각 디바이스에 위험 수준(보안, 낮음, 중간, 높음 또는 사용할 수 없음)을 할당합니다. 규정 준수 정책에서 이 위험 수준을 사용하여 고위험 디바이스의 액세스를 차단하거나 수정 작업을 트리거할 수 있습니다.
예제: 사용자의 노트북이 맬웨어에 감염됩니다. 엔드포인트용 Microsoft Defender 위협을 감지하고 디바이스를 고위험으로 표시합니다. 디바이스 위험을 평가하는 규정 준수 정책은 즉시 디바이스를 비준수로 표시합니다. 조건부 액세스는 위협이 수정되고 디바이스 위험이 허용 가능한 수준으로 반환될 때까지 조직 리소스에 대한 사용자의 액세스를 차단합니다.
팁
엔드포인트용 Defender를 Intune 통합하면 엔드포인트용 Microsoft Defender 보안 기준 및 공격 표면 감소 규칙, 제어된 폴더 액세스 및 네트워크 보호와 같은 고급 위협 방지 설정을 포함하여 더 심층적인 보안 구성을 배포할 수 있습니다.
자세한 내용은 엔드포인트용 Microsoft Defender 통합을 참조하세요.
엔드포인트 데이터 손실 방지(계층 7)
엔드포인트 데이터 손실 방지는 Microsoft Purview를 사용하여 중요한 데이터가 복사, 인쇄, 업로드 또는 전송 작업을 통해 관리되는 엔드포인트를 벗어나는 것을 방지합니다. 이전 계층은 리소스에 대한 액세스를 보호하지만, 이 계층은 사용자가 중요한 파일과 상호 작용하는 방법을 모니터링하고 제어하여 데이터 자체를 보호합니다.
계층 6의 엔드포인트용 Microsoft Defender 온보딩된 디바이스는 추가 Intune 구성 없이 엔드포인트 DLP에 대해 자동으로 온보딩됩니다. 규정 준수 팀은 Microsoft Purview 포털에서 보호 작업을 트리거하는 민감도 레이블, 파일 형식 또는 콘텐츠 패턴을 정의하는 DLP 정책을 만듭니다.
예제: 규정 준수 팀은 "기밀"이라는 레이블이 지정된 파일이 USB 드라이브에 복사되거나 개인 클라우드 스토리지에 업로드되지 않도록 하는 DLP 정책을 만듭니다. 사용자가 기밀 재무 보고서를 USB 드라이브에 복사하려고 합니다. 엔드포인트 DLP는 작업을 차단하고 제한을 설명하는 알림을 표시합니다. 규정 준수 팀이 정책을 구성하는 방법에 따라 블록은 절대적이거나 사용자가 비즈니스 근거를 제공하고 계속 진행하도록 허용할 수 있습니다. 모든 활동은 규정 준수 보고를 위해 기록됩니다.
참고
Intune 관리자는 엔드포인트 DLP에 대한 역할이 디바이스가 엔드포인트용 Microsoft Defender 온보딩되도록 하는 것으로 제한됩니다(계층 6). 모든 DLP 정책 만들기 및 관리는 규정 준수 팀이 Microsoft Purview 포털에서 수행합니다.
자세한 내용은 엔드포인트 DLP 및 엔드포인트 DLP시작에 대해 알아보기를 참조하세요.
등록 및 온보딩
이러한 계층을 구현할 때 는 등록 및 온보딩이라는 두 가지 관련이 있지만 다른 개념으로 작업하게 됩니다. 차이점을 이해하면 각 계층에서 발생하는 작업을 명확히 하는 데 도움이 됩니다.
등록(계층 2)은 포괄적인 디바이스 관리를 위해 Intune 디바이스를 등록합니다. 온보딩(계층 6-7)은 엔드포인트용 Microsoft Defender 또는 Microsoft Purview와 같은 특정 서비스에 정보를 보고하도록 디바이스를 구성합니다.
| 등록 | 온보딩 | |
|---|---|---|
| 속성 기능 | 관리용 디바이스를 Intune 등록합니다. Intune 앱, 설정 및 정책을 포함하여 전체 디바이스를 관리합니다. | 특정 Microsoft 365 서비스(현재 엔드포인트용 Microsoft Defender 및 Microsoft Purview)와 정보를 공유하도록 디바이스를 구성합니다. |
| 범위 | 전체 디바이스 관리 - 설정을 구성하고, 앱을 배포하고, 규정 준수를 적용하고, 디바이스 상태를 모니터링합니다. | 서비스별 기능만 해당합니다. 예를 들어 MDE 온보딩하면 위협 탐지가 가능합니다. Purview에 온보딩하면 DLP가 가능합니다. |
| 이 배포에서 | 계층 2: 디바이스를 Intune 관리에 등록합니다. | 계층 6: Intune 사용하여 엔드포인트용 Microsoft Defender 디바이스를 온보딩합니다. 계층 7: MDE 온보딩된 디바이스는 Microsoft Purview 엔드포인트 DLP에 대해 자동으로 온보딩됩니다. |
| 방법 | 플랫폼별 등록 방법: Microsoft Entra 조인(자동 등록), Windows Autopilot, Apple 자동 디바이스 등록, 수동 등록. | Intune 사용하여 등록된 디바이스에 온보딩 구성을 배포합니다. 디바이스를 MDE 또는 Purview에 온보딩하려면 먼저 Intune 등록해야 합니다. |
참고
엔드포인트용 Microsoft Defender 온보딩하면 엔드포인트 DLP를 비롯한 Microsoft Purview 기능에 대한 디바이스가 자동으로 온보딩됩니다. 추가 Intune 구성이 필요하지 않습니다.
Microsoft 365 팀과 조정
제로 트러스트 디바이스 보안을 구현하려면 organization 여러 팀 간에 조정이 필요합니다. Intune 정책을 관리하는 동안 다른 팀은 보호를 적용하기 위해 함께 작동하는 보완 서비스를 관리합니다.
ID 팀(Microsoft Entra ID)
그들의 책임: 조건부 액세스 정책을 관리하고, 인증 요구 사항을 구성하고, Microsoft Entra ID 테넌트 관리
조정:
- 앱 보호 정책(계층 1)을 만든 후 ID 팀과 협력하여 승인된 앱이 필요한 조건부 액세스 정책을 만듭니다.
- 준수 정책(계층 3)을 만든 후 규격 디바이스가 필요한 조건부 액세스 정책을 조정합니다.
- Intune 규정 준수 정책을 만들고 할당하여 디바이스 요구 사항을 정의합니다.
- ID 팀은 Microsoft Entra 관리 센터 조건부 액세스 정책을 만듭니다.
- 조건부 액세스 정책은 "디바이스를 규격으로 표시해야 함" 권한 부여 제어를 사용합니다.
- 두 정책이 동일한 사용자 그룹을 대상으로 지정하는지 확인합니다.
- 적용을 사용하도록 설정하기 전에 조건부 액세스 What If 도구를 사용하여 함께 테스트합니다.
- 자세한 워크플로는 조건부 액세스를 사용하는 일반적인 방법을 참조하세요.
- 정책을 만들려면 조건부 액세스 권한이 있는 관리 디바이스 필요를 참조하세요.
관련 지침:Intune 있는 조건부 액세스
위협 방지 팀(Microsoft Defender)
그들의 책임: 엔드포인트용 Microsoft Defender 서비스를 설정 및 관리하고, 위협을 조사하고, SOC(보안 운영 센터) 워크플로를 관리합니다.
조정:
- Intune 사용하여 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender(계층 6)
- 관리되는 디바이스에 Windows 보안 기준과 엔드포인트용 Defender 보안 기준 배포
- 준수 정책에 공급되는 Defender에서 디바이스 위험 신호 수신
- 검색된 취약성 및 잘못된 구성을 수정하기 위해 Defender 보안 관리자가 만든 Intune 보안 작업에 대해 작업
- 관리되는 디바이스에서 위협이 감지될 때 인시던트 대응 조정
관련 지침:
데이터 보안 및 개인 정보 보호 팀(Microsoft Purview)
그들의 책임: Microsoft Purview에서 데이터 민감도 스키마를 정의하고, DLP 정책을 만들고, 규정 준수 요구 사항을 관리합니다.
조정:
- 엔드포인트 DLP(계층 6에서 MDE 온보딩을 사용하여 자동)를 지원하기 위해 디바이스가 온보딩되었는지 확인합니다.
- DLP 정책에서 포함/제외해야 하는 사용자 그룹 식별
- Microsoft Purview 포털에서 디바이스 표시 여부 확인
- DLP 정책이 데이터 작업을 차단하거나 경고할 때 사용자 교육 지원
참고
Intune 관리자로서 엔드포인트 DLP에 대한 역할은 디바이스가 엔드포인트용 Microsoft Defender 온보딩되도록 하는 것으로 제한됩니다. MDE 온보딩된 디바이스는 추가 Intune 구성 없이 DLP를 자동으로 지원합니다. 모든 DLP 정책 만들기 및 관리는 규정 준수 팀이 Microsoft Purview 포털에서 수행합니다.
관련 지침:
팀 간 조정에 대한 모범 사례
- 각 계층의 초기 배포 중에 정기적인 조정 모임을 설정합니다.
- 문서 소유권 - 어떤 팀이 어떤 정책을 관리하는지 명확하게 설명합니다.
- 함께 테스트 - 적용하기 전에 감사 모드 및 What If 도구를 사용합니다.
- 사용자 그룹에 맞춤 - 서비스 간에 일관된 그룹 할당을 보장합니다.
- 통신 계획 - 정책이 사용자 환경에 영향을 미칠 수 있는 경우 사용자 알림을 조정합니다.
- 모니터링 책임 공유 - 각 팀은 서비스를 모니터링하지만 사용자 영향에 대한 인사이트를 공유합니다.
다음 단계
제로 트러스트 디바이스 보안 시작:
- 배포 지침: 앱 보호 정책 - 계층 1
- 배포 지침: 디바이스 등록 - 계층 2
- 배포 지침: 규정 준수 정책 - 계층 3
- 조건부 액세스가 있는 관리되는 디바이스 필요 - 계층 4
제로 트러스트 대해 자세히 알아보세요.
- 제로 트러스트 지침 센터 - 엔터프라이즈 규모 전략 및 아키텍처
- 제로 트러스트 사용하여 엔드포인트 보안 - 디바이스 중심 배포 목표
- Microsoft 365를 사용하여 배포 계획 제로 트러스트 - 서비스 간 배포 지침
고급 보호 계층 살펴보기:
- 구성 프로필 배포 - 계층 5
- 엔드포인트용 Microsoft Defender 통합 - 계층 6
- 엔드포인트 DLP - 계층 7에 대해 알아보기