이 문서에서는 권한 있는 액세스 아키텍처를 구현하기 위한 엔드 투 엔드 솔루션을 소개합니다. 보안 및 ID 플래너 및 구현자를 대상으로 합니다.
Microsoft 보안 채택 모델에서:
- 구현 솔루션은 규범적인 배포 지침을 제공합니다.
- 솔루션은 높은 우선 순위 보안 결과를 정의하는 비즈니스 시나리오 에 부합합니다.
구현을 시작하기 전에 이러한 위험을 줄이고 중요한 시스템에 대한 제어를 강화하여 중요한 비즈니스 자산 보호라는 비즈니스 시나리오에서 보안 권한 있는 액세스 아키텍처가 어떻게 중요한 역할을 하는지 알아봅니다.
솔루션 목표
권한 있는 액세스는 ID 시스템, 클라우드 제어 평면 및 중요한 비즈니스 리소스를 직접 제어하기 때문에 모든 조직에서 가장 큰 영향을 미치는 위험 중 하나입니다.
이 가이드에서는 ID, 디바이스, 인터페이스, 대상 리소스 및 모니터링을 아우르는 엔드 투 엔드 액세스 경로로 처리하여 권한 있는 액세스에 대한 제로 트러스트 접근 방식을 정의합니다. 이 모델은 개별 구성 요소를 격리된 상태로 보호하는 대신 전체 액세스 경로를 제어하고 지속적으로 유효성을 검사합니다.
목표는 다음을 통해 위험을 줄이는 것입니다.
- 권한 있는 작업을 수행할 수 있는 사용자 제한
- 이러한 작업이 발생할 수 있는 위치 및 방법을 제어합니다.
- 권한 있는 활동을 지속적으로 모니터링하고 응답합니다.
Microsoft Entra ID, Microsoft Intune 및 엔드포인트용 Microsoft Defender 사용하여 이 아키텍처를 구현합니다.
솔루션을 단계적으로 배포합니다. 먼저 보안 기반(ID 제어 평면 및 신뢰할 수 있는 디바이스)을 설정하고 정책 제어를 적용한 다음 모니터링 및 응답 작업을 설정합니다.
권한 있는 액세스 위험
권한 있는 ID(인간 및 비인간)는 고부가가치 자산 및 보안 적용 메커니즘을 제어합니다. 손상되면 결과적으로 비즈니스에 미치는 영향이 심각합니다. 권한 있는 액세스 공격자는 다음을 수행할 수 있습니다.
- 데이터를 제거, 암호화 또는 삭제합니다.
- 비즈니스 운영을 종료하거나 중단합니다.
- 검색 및 적용 제어를 사용하지 않도록 설정합니다.
- ID 시스템을 전복하고 영구 액세스를 만듭니다.
일반적인 공격
공격은 다음과 같은 두 가지 일반적인 패턴을 따릅니다.
- 대상 데이터 도난: 사이버 공격범은 중요한 지적 재산권, 금융 데이터 또는 전략적 계획을 찾아서 유출합니다. 도난당한 데이터는 경쟁 우위를 위해 판매, 유출 또는 사용됩니다.
- 사람이 직접 실행하는 랜섬웨어: 사이버 공격자는 특권 계정 액세스를 활용해 시스템을 암호화하고 운영을 중단시키며 조직을 협박해 금전을 갈취하고, 극심한 시간 압박 속에서 경영진이 의사결정을 내리도록 강요합니다.
권한 있는 액세스가 위험한 이유
권한 있는 액세스 위험은 여러 가지 이유로 고유하고 체계적입니다.
| 위험 | 세부 정보 |
|---|---|
| 컨트롤 플레인에서 작동 | 권한 있는 계정은 워크로드 평면뿐만 아니라 컨트롤 플레인에서 작동합니다. 권한 있는 ID는 ID를 수정하고, 보안 구성을 변경하고, 적용 제어를 사용하지 않도록 설정하거나 우회하고, 중요 비즈니스용 데이터를 변조할 수 있습니다. 공격자가 권한 있는 액세스 권한을 획득하면 이를 감지하고 중지하도록 설계된 메커니즘을 훼손할 수 있습니다. 이렇게 하면 기존의 봉쇄 전략이 훨씬 덜 효과적이고 손상이 감지되지 않은 상태를 유지할 수 있습니다. |
| 디자인별 높은 비즈니스 영향 | 권한 있는 액세스는 중요한 시스템을 관리하기 위해 존재하므로 해당 액세스의 남용은 즉각적이고 심각한 결과를 초래합니다. 권한 있는 액세스를 통해 공격자는 다음을 수행할 수 있습니다. - 중요한 데이터 반출 또는 삭제 - 비즈니스 운영 종료 또는 조작 - 강탈을 위한 전체 환경 암호화(사람이 운영하는 랜섬웨어) - 실제 피해를 입힐 수 있는 방식으로 시스템을 파괴합니다. 이러한 결과는 이론적이지 않습니다. 이러한 액세스 권한은 산업 전반에서 반복적으로 관찰되며, 공격자가 최대의 영향을 받을 수 있는 가장 신뢰할 수 있는 방법 중 하나로 권한 있는 액세스를 만듭니다. |
| 크고 파괴적인 | 은밀한 데이터 도난과 달리, 많은 권한 있는 액세스 공격(특히 사람이 운영하는 랜섬웨어)은 의도적으로 파괴적입니다. 작업을 중단하고, 고객 관련 서비스를 중단하며, 극단적인 시간 압박으로 경영진 수준의 의사 결정을 강요합니다. 모든 조직은 신속하게 서비스를 복원하기 위해 재정적으로나 운영적으로 동기를 부여하기 때문에 이러한 공격은 산업이나 규모에 관계없이 보편적으로 적용 가능하고 매우 효과적입니다. |
| 위험 증가, 축소되지 않음 | 공격자는 유연하고 기술에 구애받지 않습니다. 단일 제품 또는 컨트롤을 대상으로 하지 않지만 현재 가장 약한 권한 있는 액세스 경로를 악용합니다. 권한 있는 액세스 공격 노출 영역은 광범위하고 상호 연결되어 있습니다. - 계정 및 ID 시스템 - 워크스테이션 및 디바이스 - 원격 액세스 도구 및 PAM/PIM 솔루션과 같은 중간 시스템 - 관리 인터페이스, 포털, API 및 권한 상승 경로. 이러한 요소 중 하나를 손상하면 전체 엔터프라이즈 제어에 대한 경로를 제공할 수 있으며 환경이 발전함에 따라 새로운 액세스 경로가 지속적으로 도입됩니다. |
| 단일 솔루션 접근 방식 실패 | PAM/PIM, 네트워크 제한 또는 검색 도구와 같은 하나의 컨트롤 클래스만 배포해도 위험을 충분히 줄일 수 없습니다. 이러한 컨트롤은 시스템이 아닌 문제의 일부를 해결합니다. 권한 있는 액세스가 엔드투엔드로 보호되지 않는 경우 공격자는 단순히 격리된 방어를 중심으로 라우팅하고 액세스 경로에서 보호되지 않는 링크를 악용합니다. 따라서 권한 있는 액세스는 독립적인 도구 컬렉션이 아니라 ID 및 디바이스 신뢰, 권한 상승 및 실행, 모니터링 및 응답에 이르는 완전한 시스템으로 처리되어야 합니다. |
아키텍처 원칙 및 결과
Microsoft 권장되는 방법은 다음과 같은 닫힌 루프 권한 있는 액세스 시스템을 빌드하는 것입니다.
- 즉각적인 위험 감소 제공
- 점진적이고 지속 가능한 진전 지원
- 불필요한 복잡성을 방지합니다.
- 명확한 결과 및 성공 조건을 사용하도록 설정
아키텍처 결과
이러한 원칙에 따라 전략을 구현하면 여러 가지 명확한 결과와 성공 기준이 생성됩니다.
| 결과 | 아키텍처 | 성공 조건 |
|---|---|---|
| 권한 있는 액세스는 엔드 투 엔드 시스템으로 적용됩니다. | 권한 있는 위험은 ID, 역할 할당, 디바이스, 실행 환경, 권한 상승 워크플로, 중간 시스템, 관리 인터페이스, 모니터링 및 응답과 같은 전체 액세스 경로에서 제어됩니다. 권한 있는 작업은 제로 트러스트 유효성 검사(ID 보증, 디바이스 신뢰, 세션 컨텍스트)가 있는 명시적 권한 상승 경로를 통해서만 발생합니다. | 각 세션은 액세스를 허용하기 전에 사용자 계정 및 디바이스가 충분한 수준에서 신뢰할 수 있는지 확인합니다. 측정 예제: 권한 있는 로그인의 % MFA 및 필수 디바이스 신뢰와 같은 요구 사항을 충족합니다. 승인 권한 상승 워크플로 및 대기 권한을 통해 수행되는 권한 있는 작업의 %. |
| ID 시스템 보호 및 모니터링 | 권한을 호스트하거나 부여하는 ID 시스템(디렉터리, ID 관리, 관리자 계정 등)을 보호합니다. 거버넌스, 정책 적용, 로깅 및 분석은 중앙 집중화되어 드리프트를 줄이고 가시성을 향상시킵니다. |
이러한 각 시스템은 호스팅되는 계정의 잠재적 비즈니스 영향에 적합한 수준에서 보호됩니다. 측정 예제: 정기적인 액세스 검토에서 다루는 권한 있는 ID의 % 정기 권한 있는 액세스 검토 완료율(검토자, 권한 해지자) |
| 횡적 순회 완화 | 높은 노출 환경에서 권한 있는 작업을 격리합니다. 단일 디바이스, 계정 또는 자격 증명의 손상으로 더 광범위한 관리 제어가 가능하지 않도록 로컬 관리자 자격 증명, 서비스 계정 비밀 및 권한 상승 메커니즘을 보호합니다. | 단일 디바이스를 손상해도 환경의 여러 또는 모든 다른 디바이스를 즉시 제어할 수 있는 것은 아닙니다. 측정 예제: 관리자 워크스테이션에서만 권한 있는 작업의 %. |
| 위협에 신속하게 대응 | 권한 있는 활동은 검색 및 응답에 대한 우선 순위 신호입니다. 다단계 공격을 방해하고 권한 있는 액세스를 대상으로 하는 악의적인 거주 시간을 제한하도록 모니터링 및 인시던트 대응을 설계합니다. | 인시던트 대응은 권한 있는 액세스에 도달하기 전에 다단계 공격을 안정적으로 중지할 수 있으며, 발생할 때 권한 있는 오용을 빠르게 포함할 수 있습니다. 측정 지표 예시: 권한 계정 관련 인시던트의 MTTR(평균 조치 시간)이 몇 시간 또는 며칠이 아니라 몇 분으로 단축됩니다. 예기치 않거나 새로운 권한 있는 액세스 경로가 빠르게 식별되고 닫힙니다. |
이러한 측정값의 진행 상황을 매월 추적하고 권한 있는 액세스 거버넌스의 일부로 분기별로 검토합니다.
권한 있는 액세스 경로 이해
권한 있는 액세스 경로는 다음 다이어그램과 같이 ID에서 실행까지 전체 체인을 형성하는 액세스 경로입니다.
체인의 링크가 약한 경우 전체 경로가 취약합니다.
| Path | Components | 위험 |
|---|---|---|
|
사용자 액세스 경로 사용자 액세스 경로는 메일, 공동 작업, 웹 검색 및 LOB(기간 업무) 애플리케이션과 같은 표준 생산성 및 비즈니스 작업을 지원합니다. |
사용자 액세스 경로에는 일반적으로 다음이 포함됩니다. - ID: 표준 사용자 계정 - 디바이스: 범용 워크스테이션 - 중개자: VPN 또는 원격 액세스와 같은 선택적 중개자입니다. - 인터페이스: 엔터프라이즈 애플리케이션 및 서비스와의 상호 작용. |
사용자 액세스 경로가 손상되면 피해가 발생할 수 있지만 권한 있는 액세스에 비해 잠재적 영향이 제한됩니다. |
|
권한 있는 액세스 경로 권한 있는 액세스 경로는 ID, 인프라, 보안 제어 및 중요 비즈니스용 시스템을 관리합니다. |
권한 있는 액세스 경로는 일반적으로 다음으로 구성됩니다. - ID: 권한 있는 작업을 수행하는 계정입니다. - 디바이스: 권한 있는 세션에서 사용하는 엔드포인트 워크스테이션 또는 디바이스입니다. - 중개자: 원격 액세스 또는 관리 도구와 같은 권한 있는 세션을 중개하거나 호스팅하는 모든 시스템 또는 서비스입니다. - 인터페이스: 권한 있는 컨트롤이 실행되는 관리 화면입니다. 예를 들어 포털, API, 명령줄 도구 또는 자동화입니다. |
기술 구성 요소는 사용자 액세스 경로와 유사하게 표시되지만 손상으로 인한 잠재적 손상은 크게 더 높습니다. 따라서 권한 있는 액세스 경로는 다음이어야 합니다. - 개수 감소 - 명시적으로 정의됨 - 사용자 액세스 경로에서 격리 - 사용 가능한 가장 강력한 컨트롤로 보호됩니다. |
예제 경로
일반적인 권한 있는 액세스 경로에서:
- 전용 관리자 ID가 로그인합니다.
- 로그인은 강화된 PAW(Privileged Access Workstation)에서 제공됩니다.
- 로그인은 PIM(Privileged Identity Management)을 통해 역할을 활성화합니다.
- 로그인은 포털, API 또는 CLI와 같은 특정 관리 인터페이스를 사용합니다.
- 로그인한 ID는 권한 있는 작업을 수행합니다.
솔루션 구성 요소
권한 있는 액세스 솔루션은 적용된 조건에서 신뢰할 수 있는 디바이스에서 올바른 ID에 의한 권한 있는 작업이라는 세 가지 긴밀하게 결합된 요소를 기반으로 합니다.
권한 있는 ID
- 권한 있는 작업을 수행할 수 있는 전용 관리자 계정입니다.
- 강력한 인증 및 가능한 경우 암호 없는 인증으로 보호되는 ID입니다.
- 제한된 권한 있는 역할 할당입니다.
- 승인을 통한 적시 권한 승격.
권한 있는 액세스 워크스테이션(PAW)
- 강화되고 제한적인 디바이스.
- 디바이스에서 공격 노출 영역이 감소했습니다.
- 자격 증명 위협 및 맬웨어를 방지합니다.
- 위험 수준이 높은 사용자 활동으로부터 격리됩니다.
정책 적용 및 모니터링
- 조건부 액세스는 ID, 디바이스 및 세션 컨텍스트의 유효성을 검사합니다.
- 특권 상승 경로는 명시적으로 정의됩니다.
- 모든 권한 있는 활동은 기록, 모니터링 및 검토할 수 있습니다.
ID 시스템 및 권한 상승 경로
ID 시스템 및 권한 상승 경로는 모든 권한 있는 액세스 경로의 기본 구성 요소입니다. 권한 있는 ID를 만드는 위치, 관리 역할이 할당되는 방법 및 사용자가 권한이 없는 상태에서 권한 있는 작업 수행으로 전환하는 방법을 정의합니다.
이 구현 지침은 ID 시스템 및 권한 상승 경로를 권한 있는 공격 표면 및 ID 제어 평면의 일부로 처리합니다.
| Area | 세부 정보 | 위험 완화 |
|---|---|---|
| ID 시스템 | 권한 있는 ID, 역할 및 관리 권한이 정의되고 관리되는 경우 이 정의에는 디렉터리, 역할 할당, 관리 그룹 및 테넌트 수준 구성이 포함됩니다. |
권한 있는 ID는 컨트롤 플레인에서 작동합니다. ID 시스템이 손상된 경우 공격자는 디바이스 제어, 액세스 조건 및 모니터링을 우회하여 권한 있는 액세스를 생성, 수정 또는 유지할 수 있습니다. ID 컨트롤 플레인 보안이 가장 높은 구현 우선 순위입니다. |
| 승인된 권한 상승 경로 | 사용자가 권한 없는 상태에서 권한 있는 작업을 수행하기 위해 전환하는 방법. 예를 들어 시간 제한 역할 활성화, 승인 워크플로 및 범위가 지정된 관리 세션이 있습니다. |
권한 상승에 강력한 인증이 필요하고, 권한 있는 작업을 위한 권한 상승은 의도적으로 수행되며 일시적이고 모니터링되며 승인된 디바이스 및 인터페이스에서만 발생하도록 보장합니다. 승인된 워크플로, 디바이스 및 인터페이스를 통해서만 권한 상승이 이루어지도록 강제하면 상시 권한을 방지하고 남용, 측면 이동 및 은밀한 지속성을 줄일 수 있습니다. |
솔루션 단계
Microsoft 모범 사례에 맞게 조정된 단계적 채택 모델을 사용하여 권한 있는 액세스 아키텍처를 구현합니다.
- 구조화된 채택 모델을 사용하여 채택을 시작합니다. 채택 지침은 비즈니스 리더가 보안 ID에 대한 중요한 비즈니스 수준 결과를 식별하고 권한 있는 액세스와 같은 ID 이니셔티브를 추진하는 데 필요한 팀과 노력을 포함하여 액세스 및 ID 분야를 이해하는 데 도움이 됩니다.
- 솔루션을 계획합니다. 계획을 통해 디자인 목표를 식별하고, 보안 수준을 할당하여 권한 있는 액세스 전략을 결정하고, 구현을 계획할 수 있습니다.
- 다음 표에 요약된 구현 단계를 따릅니다. 각 단계에는 특정 목표가 있으며 해당 문서의 구체적인 구성 단계를 사용하여 구현됩니다.
구현 단계
| 단계 | 위험 완화 | 제로 트러스트 원칙 적용 |
|---|---|---|
| 1단계. ID 컨트롤 플레인 보안 창조하다: - 전용 관리자 ID입니다. 역할 할당용 보안 그룹 - 없는 경우 비상 브레이크 글래스 계정을 마련합니다. |
자격 증명 도난, 권한 오용 및 무단 상승의 위험을 줄입니다. |
명시적으로 확인 강력한 인증을 사용합니다. 최소 권한 사용 관리자 역할 제한/Just-In-Time 권한 사용 위반을 가정합니다. 복구를 위해 비상 계정을 사용합니다. |
| 단계 2. 권한 있는 액세스 디바이스 배포 및 강화 전용 PAW(권한 있는 액세스 워크스테이션)를 프로비전합니다. OS 강화 및 보안 기준을 적용합니다. 패치, 엔드포인트 보호 및 디스크 암호화를 적용합니다. 앱 및 서비스의 설치를 최소화합니다. |
자격 증명 손상 및 디바이스 기반 공격의 위험을 줄입니다. |
명시적으로 확인 액세스 권한을 부여하기 전에 디바이스가 등록되고 신뢰할 수 있으며 규정을 준수하는지 확인합니다. 침해 가정 디바이스를 강화하고 관리 자격 증명을 격리하여 잠재적인 손상 경로를 최소화합니다. 최소 권한 액세스를 사용합니다. 관리자가 이러한 전용 디바이스에서 수행할 수 있는 작업을 제한합니다. |
| 3단계. 권한 있는 액세스 정책 적용 권한 있는 역할에 대한 조건부 액세스를 구성합니다. 규격 디바이스 및 강력한 인증이 필요합니다. 컨텍스트 인식 액세스 조건을 적용합니다. 승인된 인터페이스에 대한 액세스를 제한합니다. |
무단 액세스 및 자격 증명 재생을 방지합니다. |
위반을 가정합니다. 액세스 권한이 부여되는 위치와 방법을 제한하여 계정을 도난당한 경우 자격 증명의 오용을 방지합니다. 최소 권한만 적용하세요. 역할 기반 및 컨텍스트 인식 권한을 적용합니다. |
| 4단계. 모니터링 및 지속적으로 유효성 검사 인시던트를 조사하고 신속하게 수정합니다. 신뢰와 적용 범위를 지속적으로 재평가합니다. |
권한 있는 위협을 감지, 조사 및 대응합니다. 권한 있는 역할 활성화 및 세션을 모니터링합니다. 변칙 및 의심스러운 패턴을 검색합니다. 감지되지 않은 손상 및 장기간의 공격자 체류 시간의 영향을 줄입니다. |
위반을 가정합니다. 공격자 활동 및 비정상적인 동작을 지속적으로 모니터링합니다. 명시적으로 확인하십시오. 신뢰를 지속적으로 평가하고 의심스러운 접근 패턴을 조사하십시오. |
다음 단계
이제 구현 전략 계획을 시작합니다.