이 문서는 권한 있는 액세스 아키텍처 솔루션 구현 가이드의 일부입니다.
권한 있는 액세스는 ID 시스템, 클라우드 제어 평면 및 중요 비즈니스용 자산을 직접 제어할 수 있으므로 대부분의 조직에서 중요한 보안 위험을 초래합니다.
보안 권한 있는 액세스 아키텍처 가 이러한 위험을 줄이고 중요한 시스템에 대한 제어를 강화하여 중요한 비즈니스 자산 보호 라는 비즈니스 시나리오에서 중요한 역할을 수행하는 방법을 알아봅니다.
이 문서는 권한 있는 액세스 아키텍처 솔루션 구현 의 1단계를 구현하는 데 도움이 됩니다. 이 단계에서는 권한 있는 ID, 역할 할당 및 권한 있는 권한 상승 경로를 정의하고 보호하여 ID 제어 평면을 보호합니다.
먼저 1단계를 구현하는 것이 중요합니다. 권한 있는 액세스 디바이스를 보호하고, 조건부 액세스 정책을 적용하고, 권한 있는 액세스를 모니터링하는 이후 단계는 잘 관리되는 깨끗한 ID 제어 평면에 따라 달라집니다.
보호 목표
1단계는 권한 있는 액세스가 다음과 같은지 확인합니다.
- 명시적: 정의된 권한 상승 경로를 통해서만 권한을 부여합니다. 암시적이거나 우발적으로 만들지 마십시오.
- 임시: 권한이 자동으로 만료됩니다.
- 강력한 인증: 권한 상승을 위해 강력한 인증이 필요합니다.
- 감사 가능: 모든 권한 변경 및 권한 상승을 기록합니다.
- 복구 가능: 제어를 약화시키지 않고 긴급 액세스를 제공합니다.
보호 범위
1단계는 권한 있는 액세스의 두 가지 기본 구성 요소에 중점을 둡니다.
권한 있는 ID: 다음을 포함하여 권한 있는 작업을 수행할 수 있는 ID입니다.
- 전용 관리 사용자 계정
- 관리 그룹
- 서비스 주체 및 관리 ID
- Azure RBAC 역할 할당
- 비상(브레이크 글래스) 액세스 계정(없는 경우)
권한 있는 권한 상승 경로: 다음과 같이 사용자가 권한이 없는 상태에서 권한 있는 상태로 이동할 수 있는 메커니즘:
- - PIM(Privileged Identity Management)을 사용하여 시간 바인딩된 역할 활성화
- 중요한 역할에 대한 승인 워크플로
- 명시적 관리 세션
비상 복구 액세스: 브레이크 글래스 계정이 아직 없는 경우 이를 구성합니다.
이러한 구성 요소는 컨트롤 플레인에서 작동합니다. 손상된 경우 공격자는 디바이스 또는 액세스 정책을 건드리지 않고 자신에게 권한 있는 액세스 권한을 부여할 수 있습니다.
위험 완화
| 위험 | 중요한 이유 | 1단계 완화 |
|---|---|---|
| 권한 있는 ID의 제어되지 않는 생성 | 공격자는 새 관리자 또는 역할 할당을 자동으로 만듭니다. | 공인된 권한 계정 및 역할을 설정합니다. ID 시스템을 관리할 수 있는 사용자를 제한합니다. ID 시스템을 권한 있는 자산으로 처리합니다. |
| 은밀한 권한 상승 | 그룹, RBAC 또는 중첩된 할당을 통해 얻은 권한입니다. | 역할을 합리화하고, 그룹 기반 할당을 사용하고, 상주 액세스를 제거합니다. |
| 지속적(상시) 관리자 액세스 | 도난당한 자격 증명은 영구 권한을 유지합니다. | 상시 권한을 일정 시간 동안의 권한 상승으로 대체하세요. |
| 약한 또는 암시적 권한 상승 경로 | 공격자는 관리자와 동일한 경로를 사용합니다. | 안전하고 명시적인 감사 가능한 권한 상승 워크플로 정의 |
| 다운스트림 보호 무시 | 디바이스 또는 정책 적용 전에 얻은 권한입니다. | ID 컨트롤 플레인을 먼저 보호합니다. |
| 복구할 수 없는 ID 손상 | 제어를 회복할 수 있는 안전한 방법은 없습니다. | 보호된 응급 액세스 계정을 만듭니다. |
| 낮은 ID 보안 상태 | 약한 ID 컨트롤은 이후의 모든 단계를 손상합니다. | ID 시스템을 가장 높은 보안 수준으로 올립니다. |
단계 결과
이 단계를 완료한 후:
- 모든 권한 있는 액세스는 알려진 명시적 ID 및 역할에 연결됩니다.
- 모든 권한은 일시적이고 감사 가능하며 의도적입니다.
- 상시 관리자 액세스가 제거됩니다.
- ID 시스템은 권한 있는 자산으로 처리됩니다.
- 컨트롤을 약화시키지 않고 ID 손상으로부터 복구할 수 있습니다.
- 현대화 중에는 새로운 권한 있는 위험이 도입되지 않습니다.
또한 이 단계에서는 감사 및 현대화가 계속되는 동안 새로운 권한 있는 위험 생성을 중지합니다.
사전 요구 사항
1단계 구성을 시작하기 전에 다음 필수 구성 요소를 확인합니다.
설명서를 검토합니다.
- 이 솔루션에 대한 개요 문서를 검토합니다.
- 계획 문서를 통해 권한 있는 작업을 수행하는 역할 및 ID에 대해 합의합니다.
조직 내에서:
- 활성 소유 Microsoft Entra ID 테넌트가 있는지 확인합니다. Microsoft Entra ID P2(권한 있는 ID 거버넌스를 위한)를 권장했습니다.
- 이 솔루션에서는 Microsoft 365 Enterprise E5가 있다고 가정합니다. 자세한 내용은 Microsoft 365 Enterprise 라이선스 참조하세요.
- 둘 이상의 응급 액세스 계정이 정의되었는지 확인합니다.
- ID 거버넌스 및 역할 관리에 대한 명확한 책임
- 보안 관리자 계정을 만들면 설치 중에 사용되는 워크스테이션에 노출됩니다. 알려진 안전한 디바이스에서 초기 구성이 수행되는지 확인합니다.
1단계: 권한 있는 액세스 감사
권한 있는 ID 및 액세스 경로의 전체 인벤토리를 설정합니다. 다음 원본을 검토하세요.
| Source | 세부 정보 |
|---|---|
| Microsoft Entra 디렉터리 역할 | ID 제어 평면에서 ID, 액세스 또는 트러스트 경계를 변경하여 직접 또는 간접적으로 테넌트 지배로 이어질 수 있는 권한 있는 역할을 식별합니다. 각 역할에 대해 다음을 수행합니다. - 직접 할당과 그룹 기반 할당을 식별합니다. - 영구 할당 및 PIM 적격 할당 식별 - 현재 활성화 상태를 캡처합니다. |
| 그룹 기반 권한 | 사용자만 볼 경우 놓치게 되는, 간접적으로 권한이 부여된 대상을 확인합니다. - 중첩된 그룹 멤버 자격 검토 - 사용자, 서비스 주체 및 관리 ID 식별 - 권한이 상속되는 방법을 기록합니다. |
| Azure RBAC 역할 | 이러한 권한 있는 ID가 디렉터리 자체 외부에서 수행할 수 있는 작업을 알아보세요. 관리 그룹, 구독 및 리소스 범위의 할당 감사 광범위하거나 연속적인 사용 권한이 있는 ID를 식별합니다. |
| 비인간 ID | 다음을 포함하여 권한 있는 액세스 경로상에 있는 비사용자 ID를 확인하세요. 서비스 주체 및 관리 ID 자동화 계정 및 스크립트 테넌트 또는 리소스 제어를 사용하는 애플리케이션 권한 |
결과는 신뢰할 수 있는 권한 있는 ID 인벤토리입니다.
디렉터리 역할 식별
ID, 인증 또는 테넌트 전체 구성을 변경할 수 있는 사용자를 감사하세요.
Microsoft Entra 관리 센터에서 Entra ID>Roles & Admins로 이동합니다.
모든 역할을 선택합니다. 이 페이지에는 전역 관리자 및 권한 있는 역할 관리자와 같은 테넌트 전체 관리자 역할을 포함하여 모든 기본 제공 및 사용자 지정 Microsoft Entra 디렉터리 역할이 나열됩니다.
- 권한 있는 역할은 역할을 할당하거나, 보안/인증을 수정하거나, 앱, 디바이스 또는 보안 정책을 관리할 수 있는 역할입니다.
- 권한 있는 기본 제공 역할의 전체 목록은 설명서에서도 사용할 수 있습니다.
권한 있는 각 역할에 대해 먼저 직접 할당을 확인합니다. 직접 할당된 각 보안 주체(사용자, 그룹 또는 서비스 주체(앱/관리 ID))에 대해 역할이 부여되는 방식과 현재 상태를 확인합니다.
- 영구적으로 할당되었다는 것은 해당 역할이 항상 활성화되어 있음을 의미합니다. ID가 로그인하고 이미 활성(영구) 상태의 권한이 부여된 상태입니다. 이것은 분명히 높은 위험입니다.
- PIM 적격한 할당은 역할을 사용할 수 있는 상태이지만, 활성화되기 전까지는 활성 상태가 아님을 의미합니다. 사용자가 역할을 활성화해야 합니다. 일반적으로 시간이 제한되며 종종 정당성이 필요합니다. 사용자가 권한이 부여될 수 있지만 현재 활성화되지 않은 경우 상태는 활성 또는 적격 상태가 될 수 있습니다.
이제 그룹 할당으로 전환합니다. 이는 그룹을 통해 간접적으로 할당된 권한을 확인하기 때문에 중요합니다.
권한 있는 역할이 할당된 각 그룹을 엽니다.
그룹 구성원을 확장하고, 중첩된 그룹을 확장하고, 사용자, 서비스 주체 및 관리 ID를 기록합니다.
각 ID에 대해 권한 보유 방법을 확인합니다.
- 그룹 또는 중첩된 그룹을 통해 역할이 할당되었나요?
- 역할이 영구 또는 PIM에 적합한가요?
- 현재 상태는 무엇인가요?
이 단계를 완료한 후 ID 제어 평면을 캡처하고 Microsoft Entra 대한 신뢰할 수 있는 권한 있는 ID 인벤토리를 갖게 됩니다.
Azure RBAC 역할 식별
이제 권한이 있는 ID를 확인했으므로 Microsoft Entra 디렉터리 외부에서 수행할 수 있는 작업을 확인해 보겠습니다. 다른 곳에서 제어할 수 있으며 어떤 범위에서 제어할 수 있나요?
식별한 각 권한 있는 보안 주체에 대해 역할을 결정합니다.
가장 높은 범위(관리 그룹)에서 시작합니다.
- Azure 포털 >관리 그룹에서 **액세스 제어(IAM) >역할 할당**으로 이동합니다.
- 할당된>를 사용하여 주체 이름을 검색합니다.
- 역할 이름 및 범위를 포함하여 결과를 기록합니다.
여기서 ID를 찾으면 관리 그룹 범위에서 할당된 Azure RBAC 역할이 모든 자식 구독 및 리소스로 연계되므로 광범위한 Azure 제어가 있음을 나타냅니다.
이제 Azure Portal >구독에 대해서도 동일한 절차를 수행합니다.
구독 수준에서 할당된 Azure RBAC 역할이 있는 ID는 권한이 있으며 액세스 권한을 부여하거나 위임할 수 있습니다.
관리 그룹 또는 구독 수준에서 ID를 찾을 수 없는 경우 Azure Portal >리소스 그룹 동일한 절차를 사용하여 리소스 그룹 수준에서 확인할 수 있습니다.
주체가 Key Vault, 스토리지 계정, 가상 머신 또는 자동화 계정과 같은 전략적으로 중요한 개별 리소스에 대한 제어 권한이 있는지도 확인할 수 있습니다. 이렇게 하려면 각 개별 리소스에 대해 할당된>를 확인합니다.
결과를 기록
식별한 각 계정에 대해 매핑 테이블에서 감사 세부 정보를 캡처합니다.
광범위한 권한으로 위험 수준이 높은 계정을 식별하고 역할 범위(폭발 반경) 및 작업 유형에 대한 정보를 제공하는 매핑 테이블을 만듭니다.
계정 Entra 역할 Azure RBAC 역할 Scope 권한 있는 작업 alice@contoso.com 전역 관리자 Owner Sub1, Sub2 사용자, 역할, 구독을 관리합니다. 계정에 대해 관찰된 동작에 대해 더 추가하려면 다음을 수행할 수 있습니다.
- 앱, 클라이언트 엔드포인트 및 인증 흐름에 대한 정보는 로그인 로그를 검토합니다.
- 감사 및 활동 로그와 정보를 상호 연결하여 계정이 사용되는지 여부와 정책이 변경되었는지, 리소스/구독을 수정했는지 또는 다른 활동을 수행했는지 확인합니다.
2단계: 기존 구성 평가
인벤토리를 사용하면 제로 트러스트 평가 도구를 사용하여 환경 전반에 걸쳐 권한 있는 액세스가 구성된 방식을 평가하고 제어의 격차를 식별할 수 있습니다.
평가 도구는 전체 인벤토리를 대체하지는 않지만 역할 및 정책 데이터를 입력으로 사용하여 다음 여부를 이해하는 데 도움이 됩니다.
- 권한 있는 역할은 보호됩니다(MFA, 조건부 액세스).
- 권한 있는 액세스가 제어됩니다(PIM, JIT/JEA 패턴).
- 정책은 일관되게 적용됩니다.
- ID, 디바이스 및 액세스 정책 간에 차이가 있습니다.
도구를 사용하여 ID를 평가하는 방법에 대해 자세히 알아봅니다.
3단계: 전용 관리 ID 설정
표준 사용자 계정에서 권한 있는 역할을 제거합니다.
다음과 같은 전용 관리 계정을 만듭니다.
- 권한 있는 작업에만 사용됩니다.
- 생산성 액세스 권한 없음(전자 메일, Teams, 검색)
- 영구적으로 할당되지 않은 PIM을 통해 권한을 받을 수 있습니다.
표준 사용자 ID에서 모든 권한 있는 역할 할당을 제거합니다.
관리자 계정 만들기
- Microsoft Entra 관리 센터에서 Microsoft Entra ID>사용자로 이동합니다.
-
새 사용자를 선택하고 사용자 설정을 구성합니다. 그런 다음 만들기를 선택합니다.
- 이름: 보안 워크스테이션 관리자.
- UPN(사용자 계정 이름): secure-ws-admin@contoso.com
- 인증 방법: 암호(임시).
- 디렉터리 역할: 할당하지 마세요.
- 사용 위치: 작업 위치로 설정합니다.
이렇게 하면 권한이 없는 깨끗한 관리자 ID가 제공됩니다.
4단계: PAW에 대한 ID 만들기
이후 절차에서는 PAW(권한 있는 관리자 워크스테이션)를 설정합니다.
PAW에 액세스할 수 있지만 권한 있는 작업을 수행할 수 없는 ID를 정의하려면 다음을 수행할 수 있습니다.
- PAW에만 로그인할 수 있는 ID를 만듭니다.
- PAW에 로그인할 수 있는 사용자를 제어하는 보안 그룹을 만듭니다.
- 이 그룹은 관리자 권한을 부여하지 않습니다. 다음 용도로 사용됩니다.
- 보안 워크스테이션 사용자만 PAW에 로그인하고 다른 사용자를 차단하도록 허용하는 조건부 액세스를 포함합니다.
- 특정 그룹 기반 PAW 라이선스 적용
- 이 그룹의 일반적인 멤버에는 SOC 분석가, 운영자 및 감사자가 포함됩니다.
- 이 그룹은 관리자 권한을 부여하지 않습니다. 다음 용도로 사용됩니다.
로그인 ID 만들기
- Microsoft Entra 관리 센터에서 Microsoft Entra ID>사용자로 이동합니다.
-
새 사용자를 선택하고 사용자 설정을 구성합니다. 그런 다음 만들기를 선택합니다.
- 이름: 보안 워크스테이션 사용자
- UPN(사용자 계정 이름): secure-ws-user@contoso.com
- 디렉터리 역할: 할당 안 함
PAW 액세스 보안 그룹 만들기
PAW에 로그인할 수 있는 사용자를 제어하는 그룹 구성
Microsoft Entra 관리 센터에서 Microsoft Entra ID>Groups>새 그룹로 이동합니다.
그룹 설정을 구성한 다음 만들기를 선택합니다.
- 그룹 유형: 보안
- 그룹 이름: 보안 워크스테이션 사용자
- 멤버 자격: 할당됨
기본적으로 관리자가 아닌 PAW 로그인 ID만 그룹에 추가합니다.
5단계: 관리 제어 그룹 만들기
권한 있는 역할에 적합한 사용자를 정의하는 보안 그룹을 만듭니다. 다음 그룹:
- 역할 할당 가능으로 표시됨
- PIM을 통해 관리됩니다.
- 멤버 자격만으로 권한 부여 안 함
- 권한 상승을 위한 권한 경계 역할을 합니다.
멤버 자격 변경은 권한 있는 작업으로 처리되고 정기적으로 검토됩니다.
Microsoft Entra 관리 센터에서 Microsoft Entra ID>Groups>새 그룹로 이동합니다.
그룹 설정을 구성한 다음 만들기를 선택합니다.
- 그룹 유형: 보안
- 이름: 보안 워크스테이션 관리자
- 멤버십 유형: 할당됨
전용 관리자 ID를 추가합니다. 표준 계정을 사용하고 멤버 자격 변경 내용을 중요한 것으로 처리하지 마세요. 정기적으로 검토합니다.
이 그룹은 나중에 다음과 같습니다.
- 역할 할당 가능으로 표시됨
- PIM을 통해 할당된 디렉터리 역할: 적격 상태(활성 아님)
- 권한 있는 액세스 정책에 대한 기본 대상 지정 메커니즘으로 사용
6단계: PIM 구성
Privileged Identity Management 아직 사용하도록 설정되지 않은 경우 지금 이 작업을 수행합니다.
전역 관리자 또는 권한 있는 역할 관리자로 로그인되어 있는지 확인합니다.
디렉터리 역할에 PIM 사용
- Microsoft Entra 관리 센터에서 Identity governance>Privileged Identity Management으로 이동합니다.
- Microsoft Entra 역할을 선택합니다.
영구 역할 제거
Microsoft Entra 역할에서 Roles 선택합니다.
조직에서 식별된 권한 있는 액세스 역할을 여세요.
Microsoft 권장하는 최소 집합은 다음과 같습니다. - 전역 관리자 - 권한 있는 역할 관리자 - 보안 관리자 - Exchange 관리자 - SharePoint 관리자
할당을 선택합니다.
각 활성 (영구) 할당에 대해 다음을 수행합니다.
- 영구 할당 제거
- 사용자 또는 그룹을 적격으로 다시 추가합니다.
이 후에는 사용자가 활성화하지 않는 한 관리자 권한이 없습니다.
활성화 설정
권한 있는 각 역할에 대해 다음을 수행합니다.
PIM>Microsoft Entra 역할에서 설정을 선택합니다.
> 역할을 선택합니다.
설정 구성하기:
- 활성화 필요
- 활성화 시 MFA 필요
- 사유 필요
- 최대 활성화 기간 설정(예: 영향력이 높은 역할의 경우 1~4시간)
- 승인 필요(전역 관리자, 권한 있는 역할 관리자, 보안 관리자의 경우)
- 하나 이상의 승인자 선택
업데이트를 선택합니다.
그룹 기반 역할 할당 사용
규모 및 거버넌스를 위해 개별 사용자가 아닌 그룹에 역할을 할당하는 것이 좋습니다.
역할 할당 가능 보안 그룹을 만들고 Entra 역할(예: Exchange 관리자)에 할당합니다. 그런 다음, 거버넌스 프로세스를 통해, 그리고 필요에 따라 그룹용 PIM을 통해 멤버 자격(역할을 얻을 수 있는 사람)을 관리합니다.
- 이 그룹에 Microsoft Entra 역할을 할당할 수 설정을 사용하여 보안 그룹을 만듭니다.
- PIM >Microsoft Entra 역할에서 할당 추가를 선택하세요.
- 그룹을 역할에 적합한 그룹으로 할당합니다.
- 역할 할당을 직접 수정하는 대신 그룹에서 사용자를 추가하거나 제거합니다.
이 그룹은 권한 있는 액세스에 대한 권한 부여 경계가 됩니다.
6단계가 완료되면 다음이 구성됩니다.
- 상시 관리자 액세스 권한 없음
- 권한이 요청됨, 승인됨, 시간 제한, 기록됨
- 권한 상승 경로는 명시적이고 검토할 수 있습니다.
7단계: 긴급 계정 구성
긴급 액세스 계정이 아직 없는 경우 지금 구성합니다. 조건부 액세스, MFA 중단 또는 잘못된 구성으로 인한 ID 잠금 시나리오에서 복구해야 합니다.
전역 관리자 또는 권한 있는 역할 관리자로 로그인하여 두 개 이상의 응급 액세스 계정을 만들어야 합니다.
- Microsoft Entra 관리 센터에서 사용자>모든 사용자로 이동합니다.
- 새 사용자를 선택하고 클라우드 전용 사용자를 만듭니다.
- *.onmicrosoft.com 도메인 사용
- 눈에 띄지 않는 이름을 사용하세요("break glass"는 제외)
- 전역 관리자 역할을 할당합니다.
- 이 역할을 PIM에 적격으로 지정하지 마세요. 영구적이어야 합니다.
- 오프라인으로 안전하게 저장된 강력한 긴 암호를 사용합니다.
- 피싱 방지 인증 구성(예: FIDO2/passkey 또는 인증서 기반 인증)
- 개인 전화 또는 전자 메일 주소에 MFA를 연결하지 마세요.
두 번째 긴급 계정을 만들려면 반복합니다.
조건부 액세스에서 긴급 계정 제외
이렇게 하면 복구가 항상 가능합니다.
Microsoft Entra 관리 센터Protection> 조건부 액세스로 이동합니다.
모든 정책에 대해 다음을 수행합니다.
- 할당을 편집합니다.
- 하나 이상의 응급 액세스 계정을 제외합니다.
일반 관리자 계정(응급 계정만 제외)을 제외하지 않도록 합니다.
긴급 계정 사용 현황 모니터링
다음에서 경고를 사용하도록 설정합니다.
- 긴급 계정으로 로그인
- 이러한 계정과 관련된 역할 변경
사전 승인되지 않은 경우 모든 사용을 보안 인시던트로 처리합니다.
주기적으로 사용량을 검토합니다.
7단계가 완료되면 다음이 구성됩니다.
- ID 컨트롤 플레인을 복구할 수 있습니다.
- 이후 단계(PAW, 조건부 액세스)는 영구 잠금 위험을 감수하지 않습니다.
- 긴급 액세스는 격리되고 모니터링되며 거의 사용되지 않습니다.
다음 단계
ID 제어 평면을 보호한 후 보안 PAW(Privileged Access Workstations)를 사용하여 권한을 행사할 수 있는 위치를 제한합니다.