Active Directory는 다음 네 가지 유형의 온-프레미스 서비스 계정을 제공합니다.
- gMSA(그룹 관리 서비스 계정)
- 독립 실행형 관리 서비스 계정(sMSA)
- 온-프레미스 컴퓨터 계정
- 서비스 계정으로 작동하는 사용자 계정
서비스 계정 거버넌스의 일부는 다음과 같습니다.
- 요구 사항 및 목적에 따라 보호
- 계정 수명 주기 및 해당 자격 증명 관리
- 위험 및 권한에 따라 서비스 계정 평가
- AD(Active Directory) 및 Microsoft Entra ID에 사용 권한이 있는 사용되지 않은 서비스 계정이 없는지 확인
새 서비스 계정 원칙
서비스 계정을 만들 때 다음 표의 정보를 고려합니다.
| 원리 | 고려 사항 |
|---|---|
| 서비스 계정 매핑 | 서비스 계정, 애플리케이션 또는 스크립트에 연결 |
| 소유권 | 책임을 요청하고 맡을 계정 소유자가 있는지 확인합니다. |
| 범위 | 범위를 정의하고 사용 기간을 예상합니다. |
| 목적 | 한 가지 용도로 서비스 계정 만들기 |
| 권한 | 최소 사용 권한 원칙 적용: - 관리자 와 같은 기본 제공 그룹에 사용 권한 할당 안 함 - 가능한 경우 로컬 컴퓨터 권한 제거 - 액세스 조정 및 디렉터리 액세스 에 AD 위임 사용 - 세분화된 액세스 권한 사용 - 사용자 기반 서비스 계정에 계정 만료 및 위치 제한 설정 |
| 사용 모니터링 및 감사 | - 로그인 데이터를 모니터링하고 의도한 사용량과 일치하는지 확인 - 비정상적인 사용에 대한 경고 설정 |
사용자 계정 제한
서비스 계정으로 사용되는 사용자 계정의 경우 다음 설정을 적용합니다.
- 계정 만료 - 계정이 계속되지 않는 한 검토 기간 후에 서비스 계정이 자동으로 만료되도록 설정
-
LogonWorkstations - 서비스 계정 로그인 권한 제한
- 로컬로 실행되고 컴퓨터의 리소스에 액세스하는 경우 다른 곳에서 로그인하지 못하도록 제한합니다.
- 암호를 변경할 수 없습니다 . 서비스 계정이 자체 암호를 변경하지 못하도록 매개 변수를 true 로 설정합니다.
수명 주기 관리 프로세스
서비스 계정 보안을 유지하려면 처음부터 서비스 해제까지 관리합니다. 다음 프로세스를 사용합니다.
- 계정 사용 정보를 수집합니다.
- 서비스 계정 및 앱을 CMDB(구성 관리 데이터베이스)로 이동합니다.
- 위험 평가 또는 공식 검토를 수행합니다.
- 서비스 계정을 만들고 제한을 적용합니다.
- 되풀이 검토를 예약하고 수행합니다.
- 필요에 따라 권한 및 범위를 조정합니다.
- 계정을 프로비전 해제합니다.
서비스 계정 사용량 정보 수집
각 서비스 계정에 대한 관련 정보를 수집합니다. 다음 표에서는 수집할 최소 정보를 나열합니다. 각 계정의 유효성을 검사하는 데 필요한 내용을 가져옵니다.
| 데이터 | 설명 |
|---|---|
| 소유자 | 서비스 계정에 대한 사용자 또는 그룹 책임 |
| 목적 | 서비스 계정의 목적 |
| 사용 권한(범위) | 필요한 사용 권한 |
| CMDB 링크 | 대상 스크립트 또는 애플리케이션, 그리고 소유자와 연결된 교차 링크 서비스 계정 |
| 위험 | 보안 위험 평가의 결과 |
| 수명 | 계정 만료 또는 재인증을 예약하는 예상 최대 수명 |
계정에서 셀프 서비스를 요청하고 관련 정보를 요구합니다. 소유자는 애플리케이션 또는 비즈니스 소유자, IT 팀 구성원 또는 인프라 소유자입니다. 요청 및 관련 정보에 Microsoft Forms를 사용할 수 있습니다. 계정이 승인되면 Microsoft Forms를 사용하여 CMDB(구성 관리 데이터베이스) 인벤토리 도구로 이식합니다.
서비스 계정 및 CMDB
수집된 정보를 CMDB 애플리케이션에 저장합니다. 인프라, 앱 및 프로세스에 대한 종속성을 포함합니다. 이 중앙 리포지토리를 사용하여 다음을 수행합니다.
- 위험 평가
- 제한 사항이 있는 서비스 계정 구성
- 기능 및 보안 종속성 확인
- 보안 및 지속적인 필요에 대한 정기적인 검토 수행
- 소유자에게 문의하여 서비스 계정을 검토, 사용 중지 및 변경합니다.
HR 시나리오 예제
예를 들어 인사 관리 SQL 데이터베이스에 연결할 수 있는 권한이 있는 웹 사이트를 실행하는 서비스 계정이 있습니다. 예를 포함하여 서비스 계정 CMDB의 정보는 다음 표에 있습니다.
| 데이터 | 예시 |
|---|---|
| 소유자, 대리인 | 이름, 이름 |
| 목적 | HR 웹 페이지를 실행하고 HR 데이터베이스에 연결합니다. 데이터베이스에 액세스할 때 일반 사용자를 대신합니다. |
| 사용 권한, 범위 | HR-WEBServer: 로컬로 로그인합니다. 웹 페이지 실행 HR-SQL1: 로컬로 로그인; HR 데이터베이스에 대한 읽기 권한 HR-SQL2: 로컬로 로그인; Salary 데이터베이스에 대한 읽기 권한만 |
| 원가 센터 | 123456 |
| 위험 평가 | 보통; 비즈니스 영향: 중간; 개인 정보; 보통 |
| 계정 제한 사항 | 로그인: 앞서 언급한 서버만; 암호를 변경할 수 없습니다. MBI-Password 정책; |
| 수명 | 제한 없음 |
| 검토 주기 | 연 2회: 소유자, 보안 팀 또는 개인정보 보호 팀에 의해 |
서비스 계정 위험 평가 또는 공식 검토
권한이 없는 원본에 의해 계정이 손상된 경우 연결된 애플리케이션, 서비스 및 인프라에 대한 위험을 평가합니다. 직접 및 간접 위험을 고려합니다.
- 권한이 없는 사용자가 액세스할 수 있는 리소스
- 서비스 계정에서 액세스할 수 있는 기타 정보 또는 시스템
- 계정에 부여할 수 있는 권한
- 사용 권한이 변경되면 표시 또는 신호
위험 평가 후, 문서는 위험이 계정에 영향을 미친다는 것을 나타낼 것입니다.
- 제한 사항
- 수명
- 요구 사항 검토
- 주기 및 검토자
서비스 계정 만들기 및 계정 제한 적용
비고
위험 평가 후에 서비스 계정을 만들고 CMDB에서 결과를 문서화합니다. 계정 제한을 위험 평가 결과에 맞춥니다.
다음 제한 사항들을 고려하십시오. 평가에 관련되지 않는 것들도 있을 수 있습니다.
- 서비스 계정으로 사용되는 사용자 계정의 경우 실제 종료 날짜를 정의합니다.
- 계정 만료 플래그를 사용하여 날짜 설정
- 자세한 정보: Set-ADAccountExpiration
- 참조, Set-ADUser(Active Directory)
- 암호 정책 요구 사항
- 일부 사용자만 관리할 수 있도록 조직 구성 단위 위치에 계정을 만듭니다.
- 계정 OU 및 리소스 OU의 관리 위임을 참조하세요.
- 서비스 계정 변경 내용을 감지하는 감사를 설정하고 수집합니다.
- 디렉터리 서비스 변경 사항 감사 및
- manageengine.com으로 이동하여 AD에서 Kerberos 인증 이벤트를 감사하는 방법을 확인하십시오.
- 프로덕션 환경에 들어가기 전에 계정 액세스 권한을 보다 안전하게 부여
서비스 계정 검토
정기적인 서비스 계정 검토를 예약하세요, 특히 중간 및 고위험으로 분류된 계정을 대상으로 하세요. 검토에는 다음이 포함될 수 있습니다.
- 사용 권한 및 범위의 근거를 사용하여 계정의 필요성에 대한 소유자 증명
- 업스트림 및 다운스트림 종속성을 포함하는 개인 정보 및 보안 팀 검토
- 감사 데이터 검토
- 계정이 명시된 용도로 사용되는지 확인합니다.
서비스 계정 프로비전 해제
다음 시점에 서비스 계정을 프로비전 해제합니다.
- 서비스 계정을 만든 스크립트 또는 애플리케이션의 사용 중지
- 서비스 계정이 사용된 스크립트 또는 애플리케이션 함수의 사용 중지
- 서비스 계정을 다른 계정으로 교체
프로비전을 해제하려면:
- 사용 권한 및 모니터링을 제거합니다.
- 관련 서비스 계정의 로그인 및 리소스 액세스를 검사하여 잠재적인 영향을 주지 않도록 합니다.
- 계정 로그인을 방지합니다.
- 계정이 더 이상 필요하지 않은지 확인합니다(불만이 없음).
- 계정을 사용하지 않도록 설정한 시간을 결정하는 비즈니스 정책을 만듭니다.
- 서비스 계정을 삭제합니다.
-
MSA - 참조, Uninstall-ADServiceAccount
- PowerShell을 사용하거나 관리되는 서비스 계정 컨테이너에서 수동으로 삭제
- 컴퓨터 또는 사용자 계정 - Active Directory에서 수동으로 계정 삭제
다음 단계
서비스 계정 보안에 대한 자세한 내용은 다음 문서를 참조하세요.