3단계 - 권한 있는 액세스 정책 적용

이 문서는 권한 있는 액세스 아키텍처 솔루션 구현 가이드의 일부입니다.

권한 있는 액세스는 ID 시스템, 클라우드 제어 평면 및 중요 비즈니스용 자산을 직접 제어할 수 있으므로 대부분의 조직에서 중요한 보안 위험을 초래합니다.

보안 권한 있는 액세스 아키텍처 가 이러한 위험을 줄이고 중요한 시스템에 대한 제어를 강화하여 중요한 비즈니스 자산 보호 라는 비즈니스 시나리오에서 중요한 역할을 수행하는 방법을 알아봅니다.

이 문서에서는 구현의 3단계를 설명합니다. 권한 있는 액세스 정책을 적용하여 권한 있는 ID를 사용할 수 있는 위치를 제한합니다.

2단계에서 설정된 신뢰할 수 있는 디바이스 신호를 사용하여 권한 있는 역할, 포털 및 관리 인터페이스를 승인된 낮은 위험의 PAW(권한 있는 액세스 워크스테이션)에서만 사용할 수 있도록 조건부 액세스를 구성합니다.

보호 목표

3단계는 다음과 같은 보호 목표를 적용합니다.

  • PAW가 아닌 디바이스에서 권한 있는 자격 증명을 사용할 수 없는지 확인합니다.
  • 관리 포털 및 인터페이스는 규정을 준수하는 저위험 디바이스에서만 연결할 수 있습니다.
  • 권한 있는 액세스에는 강력한 사용자 인증 및 확인된 디바이스 신뢰가 필요합니다.
  • 관리 인터페이스(포털, API, PowerShell)에 대한 액세스를 승인된 PAW로 제한합니다.
  • 도난당한 자격 증명은 표준 또는 관리되지 않는 엔드포인트에서 다시 사용할 수 없습니다.
  • 권한 있는 액세스 경로는 명시적이고 감사 가능하며 적용할 수 있습니다.

보호 범위

3단계는 다음을 포함하여 권한 있는 작업이 발생하는 권한 있는 액세스 인터페이스 및 워크플로를 보호합니다.

  • 클라우드 관리 포털(Azure 포털, Microsoft Entra 관리 센터, Microsoft 365 관리 센터)
  • 보안 관리 포털(Microsoft Defender 포털)
  • 권한 있는 역할 사용 및 활성화(PIM 제어 역할 포함)
  • 관리자 브라우저 세션
  • 권한이 있는 장치에서 사용하는 네트워크 아웃바운드 경로

3단계는 디바이스 또는 ID를 다시 구성하지 않습니다. 1단계와 2단계의 출력을 사용하여 정책을 적용합니다.

위험 완화

위험 중요한 이유 3단계 완화
PAW가 아닌 디바이스에서 다시 사용하는 권한 있는 자격 증명 MFA 및 승인은 공격자가 손상된 표준 워크스테이션에서 도난당한 토큰 또는 자격 증명을 다시 사용하는 것을 방지하지 않습니다. 조건부 액세스는 권한 있는 역할이 규정을 준수하고 위험 수준이 낮은 PAW에서만 인증하도록 요구합니다.
위험 수준이 높거나 패치가 적용되지 않은 디바이스에서 권한 있는 액세스 취약한 디바이스를 사용하면 공격자가 즉시 관리 제어를 실행할 수 있습니다. 액세스 결정은 권한 있는 액세스 권한을 부여하기 전에 Intune 규정 준수 및 엔드포인트용 Microsoft Defender 위험 수준을 평가합니다.
관리되지 않는 디바이스 또는 BYOD 디바이스에서 액세스할 수 있는 관리 포털 클라우드 제어 평면은 조직 제어 외부의 디바이스에서 연결할 수 있게 됩니다. 조건부 액세스는 관리 포털을 PAW로 제한하여 PAW가 아닌 디바이스의 액세스를 차단합니다.
대체 인터페이스를 사용해 보호된 포털을 우회 공격자는 PowerShell, API 또는 대체 관리자 엔드포인트를 사용하여 제어를 방지할 수 있습니다. 적용은 기본 포털뿐만 아니라 관리 인터페이스에 일관되게 적용됩니다.
손상된 워크스테이션에서 권한 있는 역할 활성화 안전하지 않은 디바이스에서 역할 활성화가 발생하는 경우 승인 워크플로를 하이재킹할 수 있습니다. PIM 역할 활성화 및 역할 사용은 동일한 조건부 액세스 디바이스 신뢰 요구 사항을 통해 적용됩니다.
자격 증명만으로 권한 있는 액세스 권한 부여 ID 전용 보호는 신뢰할 수 있는 실행 환경을 가정합니다. 3단계는 ID, 디바이스 및 인터페이스 조건을 바인딩하므로 자격 증명만으로는 충분하지 않습니다.
적용에 대한 가시성 부족 정책 적용이 없으면 권한 있는 액세스가 제한되었음을 증명하기가 어렵습니다. 조건부 액세스 결정 및 Defender 원격 분석은 감사 가능하고 관찰 가능한 적용 증거를 제공합니다.
워크스테이션 손상 후 신속한 에스컬레이션 공격자는 손상된 디바이스에서 엔터프라이즈 수준 제어로 빠르게 피벗합니다. 3단계는 도난당한 자격 증명을 PAW 외부에서 사용할 수 없도록 하여 일반적인 에스컬레이션 경로를 위반합니다.

단계 결과

3단계를 완료한 후:

  • 권한 있는 역할 및 관리 포털은 규정 준수, 위험 수준이 낮은 PAW에서만 액세스할 수 있습니다.
  • 조건부 액세스는 PAW가 아닌 디바이스에서 권한 있는 액세스를 차단합니다.
  • 디바이스 규정 준수 및 엔드포인트용 Microsoft Defender 위험 신호는 의사 결정에 액세스하는 데 필요한 입력입니다.
  • 권한 있는 액세스는 ID, 디바이스 및 인터페이스 계층에 적용됩니다.
  • 액세스 시도는 기록되고 관찰 가능하며 감사할 수 있습니다.

사전 요구 사항

이 문서의 절차를 구성하기 전에 다음을 수행합니다.

  • ID 제어 평면 을 보호하는 1단계 지침을 완료합니다.
  • 2단계를 완료하여 PAW를 배포하고 강화합니다.
  • 엔드포인트 통합에 대한 디바이스 규정 준수 및 Defender 활성화되어 있는지 확인합니다.

1단계 - 권한 있는 액세스를 위해 MFA 및 디바이스 신뢰 필요

권한 있는 액세스에 강력한 사용자 인증 및 신뢰할 수 있는 디바이스가 필요한지 확인합니다.

  1. Microsoft Entra 관리 센터에서 보호>조건부 액세스>정책으로 이동합니다.
  2. 새 정책 만들기를 선택합니다.
  3. 할당에서사용자는 다음 설정을 구성>.
    • 전역 관리자, 보안 관리자와 같은 권한 있는 디렉터리 역할을 포함합니다.
    • 비상 차단 유리 그룹을 제외합니다.
  4. 할당>Cloud 앱에는 Azure 포털, Microsoft Entra 관리 센터, Microsoft 365 관리 센터 및 Defender 포털과 같은 클라우드 관리 애플리케이션이 포함됩니다.
  5. Access 컨트롤에서 다음 설정을 사용하여 액세스 권한을 부여합니다.
    • 다단계 인증 필요
    • 디바이스를 준수 상태로 표시해야 함
    • 엔드포인트용 Microsoft Defender 디바이스 위험 수준 = 낮음이어야 함
  6. 정책을 사용하도록 설정합니다.

2단계 - 관리 포털을 PAW로 제한

관리 포털은 규정 준수 PAW에서만 접근할 수 있도록 하세요.

  1. Microsoft Entra 관리 센터에서 보호>조건부 액세스>정책으로 이동합니다.
  2. 새 정책 만들기를 선택하여 추가 정책을 만듭니다.
  3. 할당에서사용자는 다음 설정을 구성>.
    • 전역 관리자, 보안 관리자와 같은 권한 있는 디렉터리 역할을 포함합니다.
    • 비상 차단 유리 그룹을 제외합니다.
  4. 할당>클라우드 앱에는 사용자 환경에서 권한 있는 액세스에 사용되는 관리 애플리케이션이 포함됩니다.
  5. Access 컨트롤에서 다음 설정을 사용하여 액세스 권한을 부여합니다.
    • 디바이스를 준수 상태로 표시해야 함
    • 엔드포인트용 Microsoft Defender 장치 위험 수준이 낮음이어야 함
  6. 정책을 사용하도록 설정합니다.

3단계 - PAW가 아닌 디바이스에서 권한 있는 액세스 차단

이러한 디바이스가 일반 규정 준수 요구 사항을 충족하는 경우에도 PAW가 아닌 디바이스에서 관리 포털에 대한 권한 있는 액세스가 차단되었는지 확인합니다.

  1. Microsoft Entra 관리 센터에서 보호>조건부 액세스>정책으로 이동합니다.
  2. 새 정책 만들기를 선택하여 세 번째 정책을 만듭니다.
  3. 할당에서사용자는 다음 설정을 구성>.
    • 전역 관리자, 보안 관리자와 같은 권한 있는 디렉터리 역할을 포함합니다.
    • 지정된 응급 액세스 계정을 제외합니다.
  4. 할당>클라우드 앱에는 동일한 관리 포털이 포함됩니다.
  5. 조건에서디바이스에 대한 필터를 선택합니다.
  6. PAW가 아닌 디바이스를 대상으로 하도록 디바이스 필터를 구성합니다.
    • 필터링된 디바이스 포함을 선택합니다.
    • 조직에서 PAW를 구분하는 데 사용하는 특성 또는 규칙에 따라 PAW가 아닌 디바이스를 식별하는 디바이스 필터를 구성합니다. 2단계에서 설정한 식별 방법과 일치하는지 확인합니다.
  7. 완료를 선택하여 디바이스 필터 조건을 적용합니다.
  8. 액세스 제어에서 액세스 차단을 선택합니다.
  9. 만들기를 선택하여 정책을 사용하도록 설정합니다.

4단계 - PAW 네트워크 액세스 제한

PAW 네트워크 액세스를 필요한 관리 및 관리 엔드포인트로만 제한합니다. 이 구성은 광범위한 프로토콜 기반 허용량 대신 필요한 엔드포인트를 허용하도록 명시적 방화벽 규칙을 사용합니다.

  1. Microsoft Intune 관리 센터에서 엔드포인트 보안>Firewall으로 이동합니다.

  2. 정책 만들기를 선택합니다.

  3. 정책 구성: - Platform: Windows 10 이상 1. 방화벽 프로필 설정을 구성합니다.

    • 인바운드 연결: 차단
    • 아웃바운드 연결: 허용(기본값, 아래 규칙에 의해 제어됨)

  4. 설정에서 방화벽 규칙을 구성합니다. 방화벽 규칙을 사용하여 권한 있는 관리에 필요한 트래픽을 정의합니다.

  5. 다음과 같은 필수 서비스에 대한 아웃바운드 허용 규칙을 만듭니다.

    • DNS
    • DHCP
    • NTP
    • Intune 및 Microsoft Entra ID 같은 필수 Microsoft 클라우드 관리 엔드포인트입니다.
    • 필요한 관리 엔드포인트입니다.

    각 규칙은 다음을 수행해야 합니다.

    • 방향 지정: 아웃바운드.
    • 작업 지정: 허용
    • 대상 엔드포인트 정의(지원되는 IP 범위, FQDN 또는 서비스 태그)

  6. 무제한 HTTP/HTTPS와 같은 광범위한 허용 규칙이 구성되지 않았는지 확인합니다.

  7. PAW(보안 워크스테이션 디바이스)에 정책을 할당합니다.

  8. 만들기를 선택하여 정책을 배포합니다.

그러면 권한 있는 액세스 적용 계층이 완료됩니다. 다음 문서에서는 이를 기반으로 측정, 모니터링 및 성공 기준을 다룰 수 있습니다.

다음 단계

권한 있는 액세스 적용 계층이 적용된 상태에서 마지막 단계는 모니터링을 구성하는 것입니다.

  • Last updated on