주 콘텐츠로 건너뛰기
Microsoft 365
구독

Azure AD에서 데이터 보안을 유지하는 방법

곁에

안녕하세요 여러분.

지난 몇 년 동안 클라우드 ID 서비스의 모든 보안 위반을 경험한 후 고객 데이터의 보안을 보장하는 방법에 대한 많은 질문이 Microsoft에게 제기됩니다. 오늘 블로그에서는 Microsoft가 Azure AD에서 고객 데이터를 보호하는 방법에 대해 자세히 알아봅니다.

데이터 센터 및 서비스 보안

Microsoft의 데이터 센터부터 살펴보겠습니다. 먼저, Microsoft의 데이터 센터 직원은 신원 조사를 통과해야 합니다. Microsoft 데이터 센터에 대한 모든 액세스는 엄격하게 규제되며, 모든 출입은 모니터링됩니다. 이 데이터 센터 내에서 고객 데이터를 저장하는 중요한 Azure AD 서비스는 잠긴 특수 랙에 위치합니다. 이 랙에 대한 물리적 액세스는 고도로 규제되며 일일 24시간 동안 카메라로 촬영됩니다. 뿐만 아니라 이 서버 중 하나의 서비스가 해제되는 경우, 데이터 누출을 방지하기 위해 모든 디스크가 논리적으로 삭제되며 물리적으로도 파기됩니다.

다음으로, Microsoft는 Azure AD 서비스에 액세스할 수 있는 사람의 수를 제한하며, 액세스 권한을 가진 사람 중 일상적으로 로그인할 때 이 권한 없이 운영할 수 있는 사람의 수도 제한합니다. 서비스에 액세스할 권한이 필요하면 스마트 카드를 사용하여 다단계 인증 질문을 통과해 ID를 확인하고 요청을 제출해야 합니다. 요청이 승인되면 사용자 권한이 “적시에” 프로비저닝됩니다. 이 권한은 또한 정해진 기간이 지나면 자동으로 제거되며, 시간이 더 필요한 사람은 요청 및 승인 프로세스를 다시 거쳐야 합니다.

이 권한이 부여되면, 모든 액세스는 관리자용 관리되는 워크스테이션을 사용하여 이루어집니다(게시된 Privileged Access Workstation 지침 준수). 이 워크스테이션에서 액세스를 처리하는 것은 정책에서 요구되며, 준수 여부가 면밀하게 모니터링됩니다. 이 워크스테이션은 고정 이미지를 사용하며, 컴퓨터의 모든 소프트웨어는 완전히 관리됩니다. 위험 노출 영역을 최소화하기 위해 선택된 일부 작업만 허용되며, 사용자는 관리 권한이 없으므로 관리 워크스테이션의 설계를 실수로 우회하는 일이 없습니다. 워크스테이션을 추가로 보호하려면 스마트 카드를 사용하여 액세스를 수행해야 하며 각 워크스테이션의 액세스 권한을 특정 사용자 그룹으로 제한합니다.

마지막으로, Microsoft는 “비상” 계정을 아주 적게(5개 미만) 유지합니다. 이 계정은 긴급 상황 전용으로 예약되며 다단계 “비상” 절차를 통해 보호됩니다. 이 계정의 사용은 모니터링되며, 사용이 발견되는 경우 경고가 트리거됩니다.

위협 검색

기능이 예상대로 작동하는지, 심지어 고객이 요구하는 새 기능을 추가할 때도 제대로 작동하는지 확인하기 위해 정기적으로 몇 분에 한 번씩 수행하는 자동 확인이 몇 가지 있습니다.

  • 위반 감지: 보안 위반을 나타내는 패턴을 찾습니다. Microsoft는 이 검색 세트를 정기적으로 계속 추가합니다. 이 패턴을 트리거하는 자동화된 테스트도 사용합니다. 이를 통해, 위반 감지 논리가 제대로 작동하고 있는지 여부를 확인합니다!
  • 침투 테스트: 이 테스트는 항상 실행됩니다. 이 테스트는 Microsoft의 서비스를 손상시키기 위해 모든 종류의 작업을 시도하며, 이 테스트가 항상 실패하는 것이 바람직합니다. 이 테스트가 성공하면 Microsoft는 무언가 잘못된 것이 있음을 인식하고 즉시 수정할 수 있습니다.
  • 감사: 모든 관리 활동은 기록됩니다. 예상되지 않은 모든 활동(예: 관리자가 권한 있는 계정을 생성함)은 경고를 트리거하며, 이 경고가 발생하면 Microsoft는 세심하게 검사하여 활동이 비정상적이지 않음을 확인합니다.

Microsoft가 Azure AD의 모든 데이터를 암호화한다고 설명했나요? 그렇습니다. Microsoft는 BitLocker를 사용하여 모든 보관 중인 Azure AD ID 데이터를 암호화합니다. 네트워크에서는 어떨까요? 역시 암호화됩니다! Azure AD API는 HTTPS를 통해 SSL을 사용하여 데이터를 암호화하는 웹 기반입니다. 모든 Azure AD 서버는 TLS 1.2를 사용하도록 구성되었습니다. TLS 1.1 및 1.0을 통한 인바운드 연결로 외부 클라이언트를 지원할 수 있습니다. Microsoft는 SSL 3.0 및 2.0을 포함한 모든 레거시 버전의 SSL을 통한 연결을 명시적으로 거부합니다. 정보 액세스는 토큰 기반 인증을 통해 제한되며, 각 테넌트의 데이터는 해당 테넌트에서 승인된 계정에서만 액세스할 수 있습니다. 또한 Microsoft의 내부 API는 신뢰할 수 있는 인증서 및 발급 체인에서 SSL 클라이언트/서버 인증을 사용하려면 추가 요구 사항을 충족해야 합니다.

마지막 참고 사항

Azure AD는 두 가지 방식으로 제공되며, 이 게시물에서는 Microsoft가 제공 및 운영하는 공공 서비스와 관련한 보안과 암호화에 대해 설명했습니다. 신뢰할 수 있는 파트너가 운영하는 Microsoft의 국가 클라우드 인스턴스에 대해 비슷한 질문이 있는 경우 계정 팀에 문의하세요.

(참고: .com으로 끝나는 URL을 통해 Microsoft Online 서비스를 관리하거나 액세스하는 경우 이 게시물에서는 Microsoft가 데이터를 보호하고 암호화하는 방법을 설명합니다.)

고객 데이터의 보안은 Microsoft의 최고 우선 순위이며, Microsoft는 데이터 보안을 아주 진지하게 받아들입니다. Microsoft의 데이터 암호화 및 보안 프로토콜에 대한 이 개요가 고무적이고 유용했기를 바랍니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

 

[TLS 및 SSL 사용에 대한 특정 버전 정보를 추가하여 2017년 10월 3일 업데이트됨]

관련 게시물