권한 있는 액세스는 엔터프라이즈 액세스 모델에 걸쳐 있으며 컨트롤 플레인에 대한 유일한 관리 경로를 제공합니다. 시스템을 구성하고, ID를 관리하고, 보안을 적용하고, 궁극적으로 조직의 기술 환경을 형성할 수 있는 사용자를 정의합니다.
현대 기업에서는 관리자, 서비스 계정 및 컨트롤 플레인 역할 등 비교적 적은 수의 ID가 대부분의 비즈니스 자산에 대한 권한과 액세스 권한을 갖습니다. 이러한 ID는 다음을 수행할 수 있습니다.
- 액세스 제어 수정
- 시스템 구성 변경
- 중요한 데이터 액세스
- 보안 보호 사용 안 함 또는 무시
공격자는 이를 인식합니다. 모든 시스템을 개별적으로 공격하는 대신 다음 사항에 집중합니다.
- 자격 증명을 도용합니다.
- 권한 에스컬레이션.
- 고부가가치 역할로 횡적 이동.
권한 있는 액세스가 확보되면 공격자는 속도와 규모로 작동할 수 있습니다.
이것이 바로 최신 보안 모델이 권한 있는 액세스를 다르게 처리하는 이유입니다.
- 명시적으로 제어해야 합니다. 예를 들어 권한 있는 역할을 정의하고, 영구 역할 할당 대신 승인 및 시간 제한 상승이 필요한 ID 거버넌스 및 PIM(권한 있는 ID 관리)을 통해 온보딩합니다.
- 일반 활동에서 격리되어야 합니다. 예를 들어 표준 사용자 세션 또는 관리되지 않는 디바이스에서 권한 있는 작업이 발생하지 않도록 별도의 관리 계정과 전용 PAW(권한 있는 액세스 디바이스)를 사용합니다.
- 지속적으로 모니터링해야 합니다. 예를 들어 권한 있는 로그인, 역할 활성화 및 정책 변경 내용을 Microsoft Sentinel 같은 모니터링 도구에 보내 비정상적인 사용 패턴을 감지하고 경고 또는 자동화된 응답을 트리거합니다.
- 권한 있는 액세스가 손상의 주요 대상이라는 데 동의해야 합니다. 예를 들어 공격자가 자격 증명 도난 및 권한 에스컬레이션을 시도했다고 가정하면 강력한 MFA(다단계 인증), 상주 액세스 없음 및 비상 계정 제어를 사용하여 모든 권한 있는 계정을 보호합니다.
권한 있는 액세스를 보호하려면 역할 및 계정 외에 권한 있는 액세스 권한이 있는 모든 구성 요소를 이해해야 합니다. 여기에는 다음이 포함됩니다.
- ID 컨트롤 플레인입니다.
- 권한 있는 디바이스, 앱 및 인터페이스.
- VPN, PIM 및 PAM(권한 있는 액세스 관리) 시스템과 같은 중간 시스템
이들은 함께 통제가 어떻게 행사되는지, 그리고 그것이 어떻게 보호되어야 하는지를 정의합니다.
다음 그래픽에서는 권한 있는 액세스 손상에 대한 잠재적인 공격 노출 영역을 보여 줍니다.
ID 컨트롤 플레인
ID 제어 평면은 권한 있는 역할을 보유할 수 있는 사용자와 해당 권한이 조직 전체에서 할당, 상승 및 해지되는 방식을 정의하고 제어하는 계층입니다. 권한 있는 액세스 컨텍스트에는 권한 있는 ID, 역할 할당 및 승인된 권한 상승 경로가 포함되어 다른 모든 컨트롤이 의존하는 기반을 형성합니다.
ID 제어 평면을 보호하면 권한이 명시적이고, 시간이 제한되고, 강력하게 인증되고, 감사할 수 있으므로 궁극적으로 전체 환경을 제어하는 시스템에 대한 무단 또는 제어되지 않은 액세스를 방지할 수 있습니다.
다음 다이어그램에서는 제어 평면이 클라우드 서비스(Microsoft Entra ID, Intune, 엔드포인트용 Defender)에서 중앙에서 관리되며 PAW(권한 있는 액세스 워크스테이션)를 통해서만 액세스할 수 있으며 모든 권한 있는 작업의 격리, 제어 및 보안 관리를 적용합니다.
컨트롤 플레인 역할
Microsoft Entra ID에는 권한 있는 것으로 식별되는 역할과 사용 권한이 있습니다.
이러한 역할 및 권한을 사용하여 디렉터리 리소스 관리를 다른 사용자에게 위임하거나, 자격 증명, 인증 또는 권한 부여 정책을 수정하거나, 제한된 데이터에 액세스할 수 있습니다. 권한 있는 역할 할당은 안전하고 의도된 방식으로 사용되지 않으면 권한 상승으로 이어질 수 있습니다.
- 권한이 있는 Microsoft Entra 역할을 검토하세요.
- 권한 있는 역할을 보고 사용하는 방법에 대해 자세히 알아봅니다.
권한 있는 액세스 워크스테이션
PAW(Privileged Access Workstation)는 관리 작업을 수행하는 데만 사용되는 강화된 전용 디바이스입니다. 일반 사용자 디바이스와는 별개이며 자격 증명 도난, 맬웨어 또는 횡적 이동의 위험을 줄이기 위해 엄격하게 보호됩니다. PAW는 다음과 같은 키 보호를 적용합니다.
- 강력한 인증(예: 비즈니스용 Windows Hello)
- 디바이스 강화(Credential Guard, Device Guard, Exploit Guard, AppLocker)
- 제한된 사용량(일반 검색 또는 생산성 활동 없음)
목표는 권한 있는 자격 증명 및 작업이 신뢰할 수 없는 환경에 노출되지 않도록 하는 것입니다.
다음 다이어그램은 PAW가 컨트롤 플레인으로 들어가는 유일하게 신뢰할 수 있는 액세스 지점임을 보여줍니다.
다이어그램에 표시된 것처럼 모든 관리 작업은 PAW를 통해 흐르며 테이블에 요약된 대로 제어됩니다.
| Control | 이행 |
|---|---|
| 명시적으로 제어됨 | 관리 액세스 권한은 강력한 인증 및 승인된 시간 제한 상승이 필요한 정책 기반 ID 제어를 통해서만 부여됩니다. 액세스가 허용되기 전에 디바이스 상태도 규정 준수 요구 사항을 충족해야 합니다. |
| 일반 작업에서 격리됨 | 권한 있는 작업은 엄격하게 제어된 사용 및 연결이 있는 전용 PAW 디바이스로 제한됩니다. PAW는 인터넷 액세스가 제한되고 중요한 시스템에 대한 보안 원격 연결을 통해 일반 생산성에 사용되지 않습니다. |
| 지속적으로 모니터링 | 모든 ID 활동, 디바이스 상태 및 엔드포인트 동작은 지속적으로 수집 및 분석되어 비정상적인 권한 있는 활동을 감지하고 신속하게 응답할 수 있습니다. |
| 대상으로 간주됨 | 공격자가 권한 있는 액세스를 대상으로 하는 것으로 가정하면 환경이 강화되고 지속적으로 유효성이 검사됩니다. 디바이스는 최신 상태로 유지되고 보안 부트스트랩이 적용됩니다. |
다음 단계
권한 있는 액세스 아키텍처를 배포합니다.