보안 신속한 현대화 계획

이 RAMP(빠른 현대화 계획)는 Microsoft의 권장 권한 있는 액세스 전략신속하게 채택하는 데 도움이 됩니다.

이 로드맵은 권한 있는 액세스 배포 지침에 설정된 기술 컨트롤을 기반으로 합니다. 이러한 단계를 완료한 다음 이 RAMP의 단계를 사용하여 조직에 대한 컨트롤을 구성합니다.

로드맵을 진행하면서 Microsoft 보안 점수를 활용하여 여정의 많은 항목을 추적하고 시간이 지남에 따라 유사한 조직의 다른 사용자와 비교할 수 있습니다. 보안 점수 개요 문서에서 Microsoft Secure Score에 대해 자세히 알아보세요.

이 RAMP의 각 항목은 OKR(목표 및 주요 결과) 방법론을 기반으로 하는 형식을 사용하여 추적 및 관리되는 이니셔티브로 구성됩니다. 각 항목에는 (목표), 이유, 사용자, 방법 및 측정 방법(주요 결과)이 포함됩니다. 일부 항목은 프로세스와 사람들의 지식 또는 기술을 변경해야 하는 반면, 다른 항목은 더 간단한 기술 변경입니다. 이러한 이니셔티브의 대부분은 조직에 성공적으로 통합되도록 이러한 변경 내용의 의사 결정 및 구현에 포함되어야 하는 기존 IT 부서 외부의 구성원을 포함합니다.

조직으로서 함께 일하고, 파트너십을 맺고, 전통적으로 이 과정에 속하지 않은 사람들을 교육하는 것이 중요합니다. 조직 전체의 바이인을 만들고 유지 관리하는 것은 필수적이며, 이를 소홀히 할 경우 많은 프로젝트가 실패할 수 있습니다.

권한 있는 계정 분리 및 관리

응급 액세스 계정

• : 긴급 상황에서 실수로 Microsoft Entra 조직에서 사용자가 잠기지 않도록 확실히 하세요.
• 이유: 응급 액세스 계정은 손상될 경우 거의 사용되지 않으며 조직에 매우 큰 피해를 주지만 필요한 경우 몇 가지 시나리오에서도 조직에 대한 가용성이 매우 중요합니다. 예상 이벤트와 예기치 않은 이벤트를 모두 수용하는 액세스 연속성에 대한 계획이 있는지 확인합니다.
• : 이 이니셔티브는 보통 신원 및 키 관리 그리고/또는 보안 아키텍처가 주도합니다.
  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력적인 노력입니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준
    • id 및 키 관리 또는 Central IT 운영 변경 내용을 구현합니다.
    • 보안 준수 관리는 준수가 이루어지도록 모니터링합니다.
• 방법: Microsoft Entra ID에서 응급 액세스 계정 을 관리하는 지침을 따릅니다.
• 키 결과 측정:
  • 설정된 응급 액세스 프로세스는 조직의 요구 사항을 충족하는 Microsoft 지침을 기반으로 설계되었습니다.
  • 유지 관리 응급 액세스는 지난 90일 이내에 검토 및 테스트되었습니다.

Microsoft Entra Privileged Identity Management 사용

• : Microsoft Entra 프로덕션 환경에서 Microsoft Entra PIM(Privileged Identity Management)을 사용하여 권한 있는 계정을 검색하고 보호합니다.
• 이유: Privileged Identity Management는 시간 기반 및 승인 기반 역할 활성화를 제공하여 과도하거나 불필요하거나 오용된 액세스 권한의 위험을 완화합니다.
• : 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처주도합니다.
  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 관련된 공동 작업입니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • id 및 키 관리 또는 Central IT 운영 변경 내용을 구현합니다.
    • 보안 준수 관리에서는 준수를 보장하기 위해 모니터링합니다.
• 방법: 문서의 지침을 참조하여 Microsoft Entra Privileged Identity Management를 배포하고 구성합니다. Microsoft Entra Privileged Identity Management (PIM)를 배포하세요.
• 주요 결과측정: 해당 권한 있는 액세스 역할의 100%%가 Microsoft Entra PIM을 사용하고 있습니다.

권한 있는 계정 식별 및 분류(Microsoft Entra ID)

• : 권한 있는 보안 수준(즉시 또는 시간에 따라)이 필요한 비즈니스 영향이 높은 모든 역할 및 그룹을 식별합니다. 이러한 관리자는 권한 있는 액세스 관리 이후 단계에서 별도의 계정이 필요합니다.

• 이유: 이 단계에서는 별도의 계정 및 권한 있는 액세스 보호가 필요한 사용자 수를 식별하고 최소화해야 합니다.

• : 이 이니셔티브는 보통 ID 및 키 관리 또는 보안 아키텍처에 의해 주도됩니다.

  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 여러 주체가 참여하는 공동 노력입니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • 아이덴티티 및 키 관리 또는 중앙 IT 운영에서 변경 사항을 구현합니다.
    • 보안 준수 관리는 준수가 이루어지는지 확인하기 위해 모니터링합니다.

• 방법: Microsoft Entra Privileged Identity Management를 켠 후 조직의 위험 정책에 따라 최소한 다음 Microsoft Entra 역할에 있는 사용자를 확인합니다.

  • 전역 관리자
  • 권한 있는 역할 관리자
  • Exchange 관리자
  • SharePoint 관리자

  관리자 역할의 전체 목록은 Microsoft Entra ID 관리자 역할 권한을 참조하세요.

  해당 역할에 더 이상 필요하지 않은 계정을 제거합니다. 그런 다음 관리자 역할에 할당된 나머지 계정을 분류합니다.

  • 관리 사용자에게 할당되지만 전자 메일 읽기 및 응답과 같은 비관리 생산성 목적으로도 사용됩니다.
  • 관리 사용자에게 할당되고 관리 목적으로만 사용됨
  • 여러 사용자 간에 공유됨
  • 긴급 액세스 시나리오에 대한 경우
  • 자동화된 스크립트의 경우
  • 외부 사용자의 경우

조직에 Microsoft Entra Privileged Identity Management가 없는 경우 PowerShell API를 사용할 수 있습니다. 조직에서 구독한 모든 클라우드 서비스에서 동일한 권한이 있으므로 전역 관리자 역할로 시작합니다. 이러한 권한은 할당된 위치(Microsoft 365 관리 센터, Azure Portal 또는 Microsoft PowerShell용 Azure AD 모듈)에 관계없이 부여됩니다.

• 주요 결과 측정: 지난 90일 이내에 권한 있는 액세스 역할의 검토 및 식별이 완료된

별도 계정(온-프레미스 AD 계정)

• : 온-프레미스 권한 있는 관리 계정을 아직 보호하지 않았다면 보호하십시오. 이 단계에는 다음이 포함됩니다.

  • 온-프레미스 관리 작업을 수행해야 하는 사용자를 위한 별도의 관리자 계정 만들기
  • Active Directory 관리자를 위한 권한 있는 액세스 워크스테이션 배포
  • 워크스테이션 및 서버에 대한 고유한 로컬 관리자 암호 만들기

• 이유: 관리 작업에 사용되는 계정 강화 관리자 계정에는 메일을 사용하지 않도록 설정해야 하며 개인 Microsoft 계정은 허용되지 않아야 합니다.

• : 이 이니셔티브는 일반적으로 신원 및 키 관리 및/또는 보안 아키텍처에 의해 주도됩니다.

  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력적인 노력으로 이루어져 있습니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • 사용자 인증 및 키 관리 또는 중앙 IT 운영에서 변경 내용을 구현합니다.
    • 보안 준수 관리은 준수를 보장하기 위해 모니터링합니다

• 방법: 관리 권한을 소유할 권한이 있는 모든 담당자는 사용자 계정과 별개의 관리 기능에 대해 별도의 계정을 가져야 합니다. 사용자 간에 이러한 계정을 공유하지 마세요.

  • 표준 사용자 계정 - 메일, 웹 검색 및 기간 업무 애플리케이션 사용과 같은 표준 사용자 작업에 대한 표준 사용자 권한이 부여됩니다. 이러한 계정에는 관리 권한이 부여되지 않습니다.
  • 관리 계정 - 적절한 관리 권한이 할당된 담당자를 위해 만든 별도의 계정입니다.

• 키 결과 측정: 온-프레미스 권한 있는 사용자의% 100개 별도의 전용 계정이 있습니다.

Microsoft Defender for Identity

• : Microsoft Defender for Identity는 온-프레미스 신호를 클라우드 인사이트와 결합하여 이벤트를 간소화된 형식으로 모니터링, 보호 및 조사하여 보안 팀이 ID 인프라에 대한 고급 공격을 검색할 수 있도록 합니다.

  • 학습 기반 분석을 사용하여 사용자, 엔터티 동작 및 활동 모니터링
  • Active Directory에 저장된 사용자 ID 및 자격 증명 보호
  • 킬 체인 전체에서 의심스러운 사용자 활동 및 고급 공격 식별 및 조사
  • 빠른 심사를 위해 간단한 타임라인에 명확한 인시던트 정보 제공

• 이유: 최신 공격자는 오랫동안 검색되지 않을 수 있습니다. 전체 ID 환경에 대한 응집력 있는 그림 없이는 많은 위협을 찾기가 어렵습니다.

• : 이 이니셔티브는 일반적으로 ID 및 키 관리 팀 및/또는 보안 아키텍처에 의해 주도됩니다.

  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력적인 노력을 포함합니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • id 및 키 관리 또는 Central IT 운영 변경 내용을 구현합니다.
    • 보안 준수 관리는 모니터링하여 규정 준수를 보장합니다.

• 방법: Microsoft Defender for Identity 배포 및 사용하도록 설정하고 열려 있는 경고를 검토합니다.

• 주요 결과측정: 모든 열린 경고가 적절한 팀에서 검토되고 완화되었습니다.

자격 증명 관리 환경 개선

셀프 서비스 암호 재설정 및 결합된 보안 정보 등록 구현 및 문서화

• : 조직에서 셀프 서비스 암호 재설정(SSPR)을 활성화 및 구성하고, 결합된 보안 정보 등록 환경을 사용할 수 있도록 설정합니다.
• 이유: 사용자가 등록한 후 자신의 암호를 재설정할 수 있습니다. 결합된 보안 정보 등록 환경은 Microsoft Entra 다단계 인증 및 셀프 서비스 암호 재설정에 대한 등록을 허용하는 더 나은 사용자 환경을 제공합니다. 이러한 도구를 함께 사용하면 기술 지원팀 비용을 절감하고 사용자 만족도를 높일 수 있습니다.
• : 이 이니셔티브는 일반적으로 아이덴티티 및 키 관리 및/또는 보안 아키텍처에 의해 주도됩니다.
  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 공동으로 진행되는 노력입니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • ID 및 키 관리 또는 중앙 IT 운영에서 변경 사항을 구현합니다.
    • 보안 준수 관리는 준수를 보장하기 위해 모니터링합니다.
    • 중앙 IT 운영 기술 지원팀 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.
• 방법: SSPR을 사용하도록 설정하고 배포하려면 Microsoft Entra 셀프 서비스 암호 재설정 배포 계획하기문서를 참조하세요.
• 주요 결과측정: 셀프 서비스 암호 재설정이 완전히 구성되고 조직에서 이용 가능함

관리자 계정 보호 - Microsoft Entra ID 권한 있는 사용자를 위해 MFA(다단계 인증)/암호 없는 사용을 활성화 및 필수화하기

• : 강력한 다단계 인증을 사용하려면 Microsoft Entra ID의 모든 권한 있는 계정 필요

• 이유: Microsoft 365의 데이터 및 서비스에 대한 액세스를 보호합니다.

• : 이 이니셔티브는 일반적으로 ID 및 키 관리 부서 및/또는 보안 아키텍처 부서에서 주도합니다.

  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력적인 노력입니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • id 및 키 관리 또는 Central IT 운영 변경 내용을 구현합니다.
    • 준수 여부를 보장하기 위해 보안 준수 관리가 모니터링합니다.
    • 중앙 IT 운영 기술 지원팀 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.
    • 중앙 IT 운영 서비스 소유자 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.

• 방법: Microsoft Entra MFA(다단계 인증)를 켜고 다른 모든 높은 권한이 있는 단일 사용자 비페더레이션 관리자 계정을 등록합니다. Microsoft Entra 관리자 역할 하나 이상의영구적으로 할당된 모든 개별 사용자에 대해 로그인 시 다단계 인증이 필요합니다.

  관리자는 고유하고 길고 복잡한 암호와 함께 FIDO2 보안 키 또는 비즈니스용 Windows Hello와 같은 암호 없는 로그인 방법을 사용해야 합니다. 조직 정책 문서를 사용하여 이 변경 내용을 적용합니다.

다음 문서의 지침에 따라 Microsoft Entra 다단계 인증 배포 계획하고 Microsoft Entra ID암호 없는 인증 배포를 계획합니다.

• 주요 결과 측정: 권한 있는 사용자의 100개% 암호 없는 인증 또는 모든 로그온에 강력한 형태의 다단계 인증을 사용하고 있습니다. 다단계 인증에 대한 설명은 권한 있는 액세스 계정을 참조하세요.

권한 있는 사용자 계정에 대한 레거시 인증 프로토콜 차단

• : 권한 있는 사용자 계정에 대한 레거시 인증 프로토콜 사용을 차단합니다.

• 이유: 다단계 인증을 적용할 수 없으므로 조직에서 이러한 레거시 인증 프로토콜을 차단해야 합니다. 레거시 인증 프로토콜을 사용하도록 설정하면 공격자의 진입점을 만들 수 있습니다. 일부 레거시 애플리케이션은 이러한 프로토콜에 의존할 수 있으며 조직은 특정 계정에 대한 특정 예외를 만들 수 있습니다. 이러한 예외를 추적하고 추가 모니터링 컨트롤을 구현해야 합니다.

• : 이 이니셔티브는 일반적으로 아이디 및 키 관리 및/또는 보안 아키텍처에 의해 주도됩니다.

  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력을 필요로 하는 공동의 노력입니다.
    • 정책 및 표준: 명확한 요구 사항 설정
    • 정책을 구현하기 위한 ID 및 키 관리 또는 중앙 IT 운영 중앙 IT 운영
    • 보안 준수 관리는 준수를 보장하기 위해 모니터링합니다.

• 방법: 조직에서 레거시 인증 프로토콜을 차단하려면 방법: 조건부 액세스Microsoft Entra ID에 대한 레거시 인증 차단 문서의 지침을 따릅니다.

• 핵심 결과측정

  • 레거시 프로토콜 차단: 모든 레거시 프로토콜은 권한 있는 예외만 사용하여 모든 사용자에 대해 차단됩니다.
  • 예외 90일마다 검토되고 1년 이내에 영구적으로 만료됩니다. 애플리케이션 소유자는 첫 번째 예외 승인 후 1년 이내에 모든 예외를 수정해야 합니다.

애플리케이션 동의 프로세스

• : Microsoft Entra 애플리케이션에 대한 최종 사용자 동의를 사용하지 않도록 설정합니다.

• 이유: 사용자가 조직 데이터에 악의적으로 액세스할 수 있는 앱에 대한 동의를 제공하여 실수로 조직의 위험을 만들 수 있습니다.
• : 이 이니셔티브는 일반적으로 신원 및 키 관리 및/또는 보안 아키텍처에 의해 주도됩니다.
  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력적인 공동 노력이 포함되어 있습니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • ID 및 키 관리 또는 중앙 IT 운영 변경 사항을 구현하기 위해.
    • 보안 준수 관리가 준수를 보장하기 위해 모니터합니다.
    • 중앙 IT 운영 기술 지원팀 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.
    • 중앙 IT 운영 서비스 소유자 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.
• 방법: 문서의 지침에 따라 애플리케이션에 대한 동의 관리 및 동의 요청 평가 데이터에 액세스할 수 있는 애플리케이션의 중앙 집중식 가시성 및 제어를 유지하기 위한 중앙 집중식 동의 프로세스를 설정합니다.
• 측정 키 결과: 최종 사용자가 Microsoft Entra 애플리케이션 액세스에 동의할 수 없습니다.

계정 및 로그인 위험 정리

• : Microsoft Entra ID 보호를 사용하도록 설정하고 발견한 위험을 정리합니다.
• 이유: 위험한 사용자 및 로그인 동작은 조직에 대한 공격의 원인일 수 있습니다.
• : 이 이니셔티브는 일반적으로 ID 및 키 관리 및/또는 보안 아키텍처에 의해 주도됩니다.
  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력을 포함한 공동 노력입니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • ID 및 키 관리 또는 중앙 IT 운영이 변경 내용을 구현합니다.
    • 보안 준수 관리는 규정 준수를 보장하기 위해 모니터링합니다.
    • 중앙 IT 운영 기술 지원팀 프로세스는 관련 지원 통화에 대해 업데이트되었으며 담당자가 교육을 받았습니다.
• 방법: 사용자 및 로그인 위험을 모니터링하고 관리하는 프로세스를 만듭니다. Microsoft Entra 다단계 인증 및 SSPR을 사용하여 수정을 자동화할지, 아니면 관리자 개입을 차단하고 요구할지 결정합니다. 방법: 위험 정책 구성 및 사용문서의 지침을 따릅니다.
• 주요 결과 측정: 조직에는 해결되지 않은 사용자 및 로그인 위험이 없습니다.

관리자 워크스테이션 초기 배포

• : Microsoft Entra ID를 관리하는 계정과 같은 권한 있는 계정에는 관리 작업을 수행하기 위한 전용 워크스테이션이 있습니다.
• 이유: 권한 있는 관리 작업이 완료된 디바이스는 공격자의 대상입니다. 계정뿐만 아니라 이러한 자산의 보안은 공격 노출 영역을 줄이는 데 중요합니다. 이 분리는 전자 메일 및 웹 검색과 같은 생산성 관련 작업을 대상으로 하는 일반적인 공격에 대한 노출을 제한합니다.
• : 이 이니셔티브는 일반적으로 아이덴티티 및 키 관리 및/또는 보안 설계 구조주도합니다.
  • 스폰서쉽: 이 이니셔티브는 일반적으로 CISO, CIO 또는 ID 디렉터가 후원합니다.
  • 실행: 이 이니셔티브는 협력적인 노력을 포함합니다.
    • 정책 및 표준 팀 문서 명확한 요구 사항 및 표준(이 지침에 따라)
    • 아이덴티티 및 키 관리 또는 중앙 IT 운영에서 변경 내용을 구현합니다.
    • 보안 준수 관리는 준수를 보장하기 위해 모니터합니다.
    • 중앙 IT 운영 기술 지원팀 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.
    • 중앙 IT 운영 서비스 소유자 프로세스가 업데이트되었으며 직원이 교육을 받았습니다.
• 방법: 권한 있는 액세스 배포 문서에 설명된 대로 초기 배포가 엔터프라이즈 수준이어야 합니다.
• 주요 결과측정: 각 권한 있는 계정에는 중요한 작업을 수행할 수 있는 전용 워크스테이션이 제공됩니다.

다음 단계

• 권한 있는 액세스 보안 개요
• 권한 있는 액세스 전략
• 성공 측정
• 보안 수준
• 권한 있는 액세스 계정
• 중개자
• 인터페이스
• 권한 있는 액세스 디바이스
• 엔터프라이즈 액세스 모델