제로 트러스트 보안 태세 평가
시작할 범주 선택
조직의 제로 트러스트 완성도 수준에 관한 조언을 받고 실용적인 배포 리소스를 확인하려면 몇 가지 질문에 답변하세요.
사이버 보안에 대한 사전 대응형 접근 방식 수용
엔드포인트 • 질문 1/9
내부 사용자가 다단계 인증을 사용하도록 설정했나요?
엔드포인트 • 질문 2/9
다음 중 사용자가 사용하도록 설정된 암호 없는 인증 형식은 무엇인가요?
엔드포인트 • 질문 3/9
다음 중 SSO(Single Sign-On)로 프로비저닝되는 사용자 그룹은 무엇인가요?
엔드포인트 • 질문 4/9
다음 중 엔터프라이즈 리소스에 대한 액세스를 결정하는 데 사용하는 보안 정책 엔진은 무엇인가요?
엔드포인트 • 질문 5/9
레거시 인증을 사용하지 않도록 설정했나요?
엔드포인트 • 질문 6/9
액세스 요청을 평가할 때 실시간 사용자 및 로그인 위험 탐지를 사용하나요?
엔드포인트 • 질문 7/9
다음 중 ID 및 액세스 관리 솔루션과 통합한 기술은 무엇인가요?
엔드포인트 • 질문 8/9
다음 중 액세스 정책에서 사용되는 컨텍스트는 무엇인가요?
엔드포인트 • 질문 9/9
지침에 ID 보안 점수를 사용하시나요?
다단계 인증을 구현하세요.
- 다단계 인증은 액세스 권한을 부여하기 전에 사용자가 전화나 토큰 같은 2차 유효성 검사 원본을 사용하여 ID를 확인하도록 요구함으로써 애플리케이션을 보호합니다.
- Microsoft Entra ID 는 다단계 인증 을 무료로 사용할 수 있도록 지원합니다.
- 이미 Microsoft Entra ID를 사용하고 있으신가요? 지금 배포를 시작하세요.
암호 없는 인증을 사용하도록 설정하세요.
- Windows Hello와 Microsoft Authenticator 같은 암호 없는 인증 방법은 웹 및 모바일 디바이스에서 더 간단하고 안전한 인증 환경을 제공합니다. 최근 개발된 FIDO2 표준을 기반으로 하는 이러한 방법을 통해 사용자는 암호 없이 쉽고 안전하게 인증할 수 있습니다.
- Microsoft가 암호 없는 인증 채택을 도와 드립니다. 자세한 정보는암호 없는 인증 데이터시트를 다운로드 하세요.
- Microsoft Entra ID를 이미 사용 중인 경우 오늘 암호 없는 인증을 사용하도록 설정하는 방법을 확인하세요.
SSO(Single Sign-On)를 구현하세요.
- SSO는 동일한 사람의 여러 자격 증명을 관리할 필요가 없도록 하여 보안을 강화할 뿐만 아니라 로그인 프롬프트가 더 적은 개선된 사용자 환경을 제공합니다.
- Microsoft Entra ID는 모든 사용자 유형과 ID를 위해 인기 있는 SaaS(Software as a Service) 앱, 온-프레미스 앱, 클라우드에 있는 사용자 지정 빌드 앱에 SSO 환경 을 제공합니다.
- SSO 배포를 계획하세요.
위험 기반의 적응형 정책을 사용하여 액세스 제어를 적용하세요.
- 단순한 액세스/차단 결정을 넘어 액세스 허용, 차단, 액세스 제한이나 다단계 인증처럼 추가 증명을 요구하는 등 위험 요구를 기반으로 결정을 조정하세요.
- Microsoft Entra ID에서 조건부 액세스를 사용하면 사용자 컨텍스트, 디바이스, 위치 및 세션 위험 정보를 기반으로 다단계 인증을 요구하는 등 적응형 액세스 제어를 세밀하게 조정할 수 있습니다.
- 조건부 액세스 배포를 계획하세요.
레거시 인증을 차단하세요.
- 악의적인 행위자의 가장 일반적인 공격 벡터 중 하나는 최신 보안 챌린지를 사용할 수 없는 SMTP 같은 레거시 프로토콜을 대상으로 훔치거나 리플레이한 자격 증명을 사용하는 것입니다.
- Microsoft Entra ID의 조건부 액세스는 레거시 인증을 차단하는 데 도움이 됩니다. 레거시 인증 차단에 대한 자세한 정보를 확인하세요.
ID 유출 사고로부터 보호하세요.
- 실시간 위험 평가는 로그인할 때와 세션 중에 ID 유출 사고를 막는 데 도움이 됩니다.
- Auzre ID 보호 는 위험한 사용자와 로그인을 조사하기 위해 실시간 연속 탐지, 자동화된 수정 및 연결된 인텔리전스를 제공하여 잠재적인 취약성을 해결합니다.
- 시작하려면ID 보호를 사용 하세요. Microsoft Cloud App Security 에서 사용자 세션 데이터를 가져와 인증 후 발생할 수 있는 위험한 사용자 동작으로 Microsoft Entra ID를 강화하세요.
더 많은 데이터로 IAM(ID 및 액세스 관리) 솔루션을 강화하세요.
- IAM 솔루션에 데이터를 더 많이 제공할수록 세분화된 액세스 결정으로 보안 태세를 더욱 강화하고 회사 리소스에 액세스하는 사용자를 더 잘 파악하고 최종 사용자 환경을 더 많이 조정할 수 있습니다.
- Microsoft Entra ID, Microsoft Cloud App Security, 및 Microsoft Defender for Endpoint 가 모두 함께 작동하여 더 나은 의사 결정을 위한 풍부한 신호 처리를 제공합니다.
- Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Cloud App Security에서 조건부 액세스를 구성하세요.
액세스 정책을 세밀하게 조정하세요.
- 데이터를 더욱 안전하게 보호하기 위해 엔드포인트, 앱 및 네트워크를 통합하여 위험 기반 적응형 액세스 정책으로 세분화된 액세스 제어를 적용하세요.
- Microsoft Entra ID에서 조건부 액세스를 사용하면 사용자 컨텍스트, 디바이스, 위치 및 세션 위험 정보를 기반으로 다단계 인증을 요구하는 등 적응형 액세스 제어를 세밀하게 조정할 수 있습니다.
- 조건부 액세스 정책을 미세 조정하세요.
ID 보안 태세를 강화하세요.
- Microsoft Entra ID의 ID 보안 점수는 환경이 보안에 대한 Microsoft 모범 사례의 권장 사항을 얼마나 준수하는지 분석하여 ID 보안 태세를 평가하는 데 도움이 됩니다.
- ID 보안 점수 확인
엔드포인트 • 질문 1/7
디바이스가 ID 공급자에 등록되어 있나요?
엔드포인트 • 질문 2/7
디바이스가 내부 사용자를 위한 모바일 디바이스 관리에 등록되나요?
엔드포인트 • 질문 3/7
액세스 권한을 부여하기 전에 관리 디바이스가 IT 구성 정책을 준수해야 하나요?
엔드포인트 • 질문 4/7
사용자에게 관리되지 않는 디바이스에서 조직 리소스에 연결하는 모델이 있나요?
엔드포인트 • 질문 5/7
디바이스가 외부 사용자를 위한 모바일 디바이스 관리에 등록되나요?
엔드포인트 • 질문 6/7
관리되거나 관리되지 않는 모든 디바이스에 데이터 손실 방지 정책을 적용하나요?
엔드포인트 • 질문 7/7
실시간 디바이스 위험 평가를 사용하도록 엔드포인트 위협 탐지를 구현했나요?
디바이스를 ID 공급자에 등록하세요.
- 한 사람이 사용하는 여러 엔드포인트에서 보안 및 위험을 모니터링하기 위해 리소스에 액세스할 수 있는 모든 디바이스와 액세스 지점에서 가시성이 필요합니다.
- 디바이스는 Microsoft Entra ID에 등록되어 네트워크에 액세스하는 디바이스에 대한 가시성을 제공하고 액세스 결정 시 디바이스 상태 및 상태 정보를 활용할 수 있도록 합니다.
- Microsoft Entra ID에서 디바이스 ID 구성 및 관리
내부 사용자를 위해 디바이스를 모바일 디바이스 관리에 등록합니다.
- 데이터 액세스 권한이 부여되면 사용자가 회사 데이터로 수행할 작업을 제어하는 기능이 위험을 완화하는 데 있어 중요합니다.
- Microsoft Endpoint Manager 는 엔드포인트 프로비저닝, 구성, 자동 업데이트, 디바이스 초기화 및 기타 원격 작업을 가능하게 합니다.
- 내부 사용자를 위한 모바일 디바이스 관리 를 설정하세요.
액세스 권한을 부여하기 전에 준수 상태를 확인합니다.
- 회사 리소스에 액세스하는 모든 엔드포인트의 ID가 있으면 액세스 권한이 부여되기 전에 조직에서 설정한 최소한의 보안 요구 사항을 충족하는지 확인할 수 있습니다.
- 디바이스에 액세스 권한이 부여되기 전에 Microsoft Endpoint Manager 를 통해 디바이스가 최소한의 보안 요구 사항을 충족하는지 확인하기 위해 준수 규칙을 설정할 수 있습니다. 또한 문제를 해결하는 방법을 알 수 있도록 미준수 디바이스에 대한 수정 규칙을 설정합니다.
- 조직의 리소스에 액세스할 수 있도록 Microsoft Intune을 사용하여디바이스에 규칙을 설정 하세요.
필요한 경우 관리되지 않는 디바이스에 대한 액세스 권한을 설정하세요.
- 직원들이 관리되지 않는 디바이스에서 적합한 리소스에 액세스할 수 있도록 하는 것은 생산성을 유지하는 데 중요할 수 있습니다. 그러나 데이터가 반드시 계속 보호되어야 합니다.
- Microsoft Intune 모바일 응용 프로그램 관리를 통해 작업을 수행하는 데 필요한 앱에 액세스할 수 있도록 하면서 사용자의 모바일 앱을 게시, 푸시, 구성, 보호, 모니터링 및 업데이트할 수 있습니다.
- 관리되지 않는 디바이스의 액세스를 구성하세요.
외부 사용자를 위해 디바이스를 모바일 디바이스 관리에 등록하세요.
- 외부 디바이스 등록 외부 사용자(계약자, 공급업체, 파트너 등)의 디바이스를 MDM 솔루션에 등록하면 데이터가 보호되고 작업을 수행하기 위해 필요한 액세스 권한이 있는지 확인할 수 있습니다.
- Microsoft Endpoint Manager 는 엔드포인트 프로비저닝, 구성, 자동 업데이트, 디바이스 초기화 및 기타 원격 작업을 제공합니다.
- 외부 사용자를 위한모바일 디바이스 관리를 설정 하세요.
디바이스에 데이터 손실 방지 정책을 적용하세요.
- 데이터 액세스 권한이 부여되면 사용자가 데이터로 수행할 수 있는 작업을 제어하는 것이 중요합니다. 예를 들어 사용자가 회사 ID로 문서에 액세스하는 경우 보호되지 않는 소비자 저장소 위치에 문서가 저장되는 것을 방지하거나 소비자 커뮤니케이션 또는 채팅 앱에서 문서가 공유되는 것을 방지할 수 있습니다.
- Intune 앱 보호 정책 은 회사 리소스에 대한 액세스를 제한하여 디바이스 관리 솔루션에 디바이스 등록 여부와 상관없이 데이터를 보호하고 IT 부서의 범위 내에서 데이터를 보호하는 데 도움이 됩니다.
- Intune 앱 정책을 시작하세요.
실시간 디바이스 위험 평가를 사용하도록 설정하세요.
- 정상적이고 신뢰할 수 있는 디바이스만 회사 리소스에 액세스할 수 있도록 하는 것은 제로 트러스트 과정에서 중요한 단계입니다. 디바이스가 ID 공급자에 등록되면 해당 신호를 액세스 결정에 사용하여 안전하고 규정을 준수하는 디바이스 액세스만 허용할 수 있습니다.
- Microsoft Entra ID와 통합을 통해, Microsoft Endpoint Manager를 사용하면 더욱 세부적인 액세스 결정을 내리고 조직의 위험 욕구를 기반으로 조건부 액세스 정책을 세밀하게 조정할 수 있습니다. 예를 들어 특정 디바이스 플랫폼이 특정 앱에 액세스하는 것을 제외할 수 있습니다.
- 엔드포인트용 Microsoft Defender에서 조건부 액세스 구성
엔드포인트 • 질문 1/6
애플리케이션에 정책 기반 액세스 제어를 적용하고 있나요?
엔드포인트 • 질문 2/6
앱에 정책 기반 세션 제어를 적용하고 있나요(예: 가시성 제한 또는 다운로드 차단)?
엔드포인트 • 질문 3/6
클라우드 데이터 및 클라우드 위협을 모니터링하기 위해 중요 비즈니스용 앱을 앱 보안 플랫폼에 연결했나요?
엔드포인트 • 질문 4/6
조직에서 VPN 또는 하드웨어 연결 없이 사용할 수 있는 비공개 앱과 리소스는 몇 개인가요?
엔드포인트 • 질문 5/6
비사용 권한 앱의 섀도 IT 검색, 위험 평가 및 제어를 진행 중인가요?
엔드포인트 • 질문 6/6
영구 권한의 위험을 줄이기 위해 애플리케이션에 대한 관리 액세스 권한에 Just-In-Time/Just-Enough-Privilege가 제공되나요?
앱에 정책 기반 액세스 제어를 적용하세요.
- 단순한 액세스/차단 결정을 넘어 액세스 허용, 차단, 액세스 제한이나 다단계 인증처럼 추가 증명을 요구하는 등 위험 욕구를 기반으로 결정을 조정하세요.
- Microsoft Entra ID에서 조건부 액세스를 사용하면 사용자 컨텍스트, 디바이스, 위치 및 세션 위험 정보를 기반으로 다단계 인증을 요구하는 등 적응형 액세스 제어를 세밀하게 조정할 수 있습니다.
- 앱 액세스를 위한 조건부 액세스 구성
정책 기반 세션 제어를 적용하세요.
- 직원들이 의도적으로 또는 의도치 않게 데이터와 조직을 위험에 빠트리기 전에 실시간으로 위반과 유출을 멈추는 것은 액세스 권한을 부여한 후 위험을 완화하는 데 중요합니다. 동시에 직원들이 디바이스를 안전하게 사용할 수 있도록 하는 것이 비즈니스에 중요합니다.
- MCAS(Microsoft Cloud App Security) 는 Microsoft Entra ID 조건부 액세스와 통합되므로 사용자는 조건부 액세스 앱 제어와 작동하도록 앱을 구성할 수 있습니다. 조건부 액세스의 어떤 조건에서든 조직의 앱에서 원하는 액세스 및 세션 제어를 쉽게 적용할 수 있습니다(데이터 반출 방지, 다운로드 시 보호, 업로드 방지, 맬웨어 차단 등).
- 시작하려면 Microsoft Cloud App Security 세션 정책 을 만드세요.
CASB(클라우드 응용 프로그램 보안 브로커)에 비즈니스 앱을 연결하세요.
- 파일 격리, 사용자 일시 중단, 플래그가 지정된 위험 완화 등 거버넌스 작업 수행에는 앱 및 플랫폼 간 가시성이 중요합니다.
- MCAS(Microsoft Cloud App Security)에 연결된 앱 은 기본 제공되는 변칙 검색과 함께 즉각적인 보호가 기본 제공됩니다. MCAS는 UEBA(사용자 및 엔터티 동작 분석)와 기계 학습을 사용하여 클라우드 앱에서 비정상적인 동작을 탐지함으로써 랜섬웨어, 손상된 사용자 또는 사기 앱 같은 위협을 식별합니다.
- 중요 비즈니스용 클라우드 앱을 Microsoft Cloud App Security에 연결하세요.
앱 프록시를 통해 온-프레미스 앱에 대한 원격 액세스를 제공하세요.
- 오늘날 생산성을 유지하는 데는 온-프레미스 서버에서 실행되는 내부 앱에 대한 안전한 원격 액세스를 사용자에게 제공하는 것이 중요합니다.
- Microsoft Entra ID 애플리케이션 프록시 는 VPN 또는 이중 홈 서버 및 방화벽 규칙 없이 온-프레미스 웹앱에 대한 안전한 원격 액세스를 제공합니다. Microsoft Entra ID 및 조건부 액세스와 통합되어, IT에서 세밀하게 조정된 액세스 제어를 위한 조건부 액세스를 구성하도록 하면서 사용자가 Single Sign-On을 통해 웹앱에 액세스할 수 있게 합니다.
- 지금시작하세요 .
네트워크에서 섀도 IT를 검색하고 관리하세요.
- 평균적인 엔터프라이즈에서 직원들이 액세스하는 앱의 총 개수는 1,500개가 넘습니다. 이는 다양한 앱에 매달 80GB 이상의 데이터를 업로드하는 것과 같습니다. 이 중 IT 부서에서 관리하는 것은 15% 미만입니다. 원격 작업이 현실이 되면서 네트워크 어플라이언스에만 액세스 정책을 적용하는 것은 더 이상 충분하지 않습니다.
- Microsoft Cloud App Security 는 사용 중인 앱을 검색하고, 이러한 앱의 위험을 살펴보며, 사용 중인 새 앱이 위험한지 식별하는 정책을 구성하는 것뿐 아니라 프록시 또는 방화벽 어플라이언스를 사용하여 이러한 앱을 기본적으로 차단하기 위해 사용 권한을 취소하는 데 도움이 됩니다. 자세한 내용은 전자책을 확인하세요.
- 클라우드 앱 검색 및 평가를 시작하려면 Microsoft Cloud App Security에서 Cloud Discovery 를 설정하세요.
Just-In-Time을 사용하여 가상 머신 액세스를 관리하세요.
- JIT/JEA(Just-In-Time/Just-Enough-Access), 위험 기반 적응형 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한함으로써 데이터와 생산성을 둘 다 보호하세요.
- VM에 연결해야 할 때 손쉬운 액세스를 제공하면서 Azure Virtual Machines와 Azure Security Center 의 JIT(Just-In-Time) VM(가상 머신) 액세스 기능에 대한 인바운드 트래픽을 차단하여 위험 노출을 줄이세요.
- JIT 가상 머신 액세스를 사용하세요.
엔드포인트 • 질문 1/9
하이브리드 및 다중 클라우드 디지털 자산 전체에서 클라우드 인프라 보호 솔루션을 사용하도록 설정했나요?
엔드포인트 • 질문 2/9
각 워크로드에 앱 ID가 할당되나요?
엔드포인트 • 질문 3/9
각 워크로드에 대한 사용자와 리소스(머신 간) 액세스가 분할되어 있나요?
엔드포인트 • 질문 4/9
보안 운영 팀이 엔드포인트, 전자 메일 공격 및 ID 공격에 대한 전문 위협 탐지 도구에 액세스할 수 있나요?
엔드포인트 • 질문 5/9
보안 운영 팀이 여러 원본에서 이벤트를 집계하고 분석하기 위해 SIEM(보안 정보 및 이벤트 관리) 솔루션에 액세스할 수 있나요?
엔드포인트 • 질문 6/9
보안 운영 팀이 위협을 검색 및 조사하기 위해 동작 분석을 사용하나요?
엔드포인트 • 질문 7/9
보안 운영 팀이 위협 대응에서 수동 작업을 줄이기 위해 SOAR(보안 오케스트레이션, 자동화 및 수정) 도구를 사용하나요?
엔드포인트 • 질문 8/9
관리 권한을 정기적으로(최소 180일마다) 검토하여 관리자만 충분한 관리 권한을 보유하는지 확인하나요?
엔드포인트 • 질문 9/9
서버 및 기타 인프라의 관리를 위해 Just-In-Time 액세스를 사용하도록 설정했나요?
클라우드 워크로드 보호 솔루션을 사용하세요.
- 광범위하게 분산된 환경에서 리소스를 안전하게 유지하려면 모든 클라우드 워크로드를 포괄적으로 확인하는 것이 중요합니다.
- Azure Security Center 는 데이터 센터의 보안 태세를 강화하고 Azure에 있든 온-프레미스에 있든 상관없이 클라우드의 하이브리드 워크로드에서 고급 위협 방지 기능을 제공하는 통합 인프라 보안 관리 시스템입니다.
- Azure Security Center구성
앱 ID를 할당하세요.
- 여러 서비스에서 통신을 보호하려면 앱 ID를 할당하는 것이 중요합니다.
- Azure는 Microsoft Entra ID에서 관리 ID를 지원하여 비밀과 자격 증명이 안전하게 저장되는 Azure Key Vault처럼 다른 Microsoft Entra ID 보호 리소스에 손쉽게 액세스할 수 있습니다.
- Azure Portal에서 앱 ID 할당
사용자 및 리소스 액세스를 세분화하세요.
- 각 워크로드에 대한 액세스 세분화는 제로 트러스트 과정에서 중요한 단계입니다.
- Microsoft Azure는 사용자와 리소스 액세스를 관리하기 위해 워크로드를 세분화하는 여러 가지 방법을 제공합니다. 네트워크 세분화는 전반적인 방법이며, Azure 내에서 리소스는 가상 네트워크(VNet), VNet 피어링 규칙, NSG(네트워크 보안 그룹), ASG(응용 프로그램 보안 그룹) 및 Azure Firewall의 구독 수준에서 격리될 수 있습니다.
- Azure 리소스 간의 통신을 보호할 수 있도록 Azure Virtual Network 를 만드세요.
위협 탐지 도구를 구현하세요.
- 하이브리드 인프라에서 지능형 위협을 방지하고 탐지 및 조사하여 적절히 대응하면 보안 태세가 강화됩니다.
- 엔드포인트용 Microsoft Defender Advanced Threat Protection 은 엔터프라이즈 네트워크에서 지능형 위협을 방지, 탐지, 조사 및 대응하는 데 도움이 되도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다.
- 엔드포인트용 Microsoft Defender Advanced Threat Protection 배포 계획
SIEM(보안 정보 및 이벤트 관리) 솔루션을 배포하세요.
- 디지털 정보의 가치가 계속 높아지면서 공격의 수와 정교함도 늘고 있습니다. SIEM은 전체 자산에서 위협을 완화하기 위한 주요 방법을 제공합니다.
- Azure Sentinel 은 SOC(보안 운영 센터)가 단일 창에서 작동하여 엔터프라이즈의 보안 이벤트를 모니터링할 수 있도록 하는 클라우드 네이티브 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화된 응답) 솔루션입니다. 이 솔루션은 전체 하이브리드 조직에서 신호를 수집하고 지능형 분석을 적용하여 신속하게 위협을 식별함으로써 모든 자산을 보호하는 데 도움이 됩니다.
- 시작하려면 Sentinel 을 배포하세요.
행동 분석을 구현하세요.
- 새 인프라를 만들 때는 모니터링 및 경고 발생에 대한 규칙도 설정해야 합니다. 리소스가 예기치 않은 동작을 표시하는 경우를 식별하는 데 중요합니다.
- Microsoft Defender for Identity 는 조직을 대상으로 하는 지능형 위협, 유출된 ID 및 악성 내부자 행위를 식별, 탐지 및 조사하는 신호 컬렉션을 사용합니다.
- Microsoft Defender for Identity에 대한 자세한 정보
자동화된 조사를 설정하세요.
- 보안 운영 팀은 지속적인 위협으로 인해 발생하는 여러 경고를 해결하는 문제에 직면합니다. AIR(자동화된 조사 및 수정) 기능을 사용하여 솔루션을 구현하면 보안 작업 팀에서 위협을 더욱 효율적이고 효과적으로 다룰 수 있습니다.
- 엔드포인트용 Microsoft Defender Advanced Threat Protection 에는 경고를 조사하고 위반을 해결하기 위한 즉각적인 조치를 취하는 데 도움이 되는 자동화된 조사 및 수정 기능이 포함됩니다. 이러한 기능은 경고 볼륨을 상당히 줄일 수 있어서 보안 작업 팀은 정교한 위협과 기타 가치가 높은 이니셔티브에 집중할 수 있습니다.
- 자동화된 조사를 설정하는 방법을 자세히 알아보세요.
권한 있는 리소스에 대한 액세스를 관리하세요.
- 직원은 관리 액세스 권한을 제한적으로 사용해야 합니다. 관리 기능이 필요한 경우 사용자는 임시 관리 액세스 권한을 받아야 합니다.
- Microsoft Entra ID에서 PIM(Privileged Identity Management)을 사용하면 권한 있는 ID의 액세스 권한을 검색, 제한 및 모니터링할 수 있습니다. PIM은 Just-in-Time, 시간 제한 및 역할 기반 액세스 제어를 사용하여 중요 작업에 대한 액세스를 제한함으로써 관리자 계정의 보안을 유지할 수 있습니다.
- 시작하려면 Privileged Identity Management 를 배포하세요
권한 있는 계정에 대한 Just-In-Time 액세스를 제공하세요.
- 직원은 관리 액세스 권한을 제한적으로 사용해야 합니다. 관리 기능이 필요한 경우 사용자는 임시 관리 액세스 권한을 받아야 합니다.
- Microsoft Entra ID에서 PIM(Privileged Identity Management)을 사용하면 권한 있는 ID의 액세스 권한을 검색, 제한 및 모니터링할 수 있습니다. PIM은 Just-in-Time, 시간 제한 및 역할 기반 액세스 제어를 사용하여 중요 작업에 대한 액세스를 제한함으로써 관리자 계정의 보안을 유지할 수 있습니다.
- 시작하려면 Privileged Identity Management 를 배포하세요.
엔드포인트 • 질문 1/6
조직에서 데이터 분류법을 정의했나요?
엔드포인트 • 질문 2/6
액세스 결정이 단순한 네트워크 경계 컨트롤이 아니라 데이터 민감도에 따라 관리되나요?
엔드포인트 • 질문 3/6
회사 데이터가 모든 위치에서 민감도를 기준으로 지속적으로 활발히 검색되나요?
엔드포인트 • 질문 4/6
정책으로 데이터 액세스 결정을 관리하고 클라우드 보안 정책 엔진을 통해 적용하나요(예: 인터넷에서 어디에서나 사용 가능)?
엔드포인트 • 질문 5/6
무단 액세스 사용을 방지하기 위해 암호화를 사용하여 가장 중요한 파일이 지속적으로 보호되나요?
엔드포인트 • 질문 6/6
중요한 정보의 흐름을 모니터링하거나 경고 또는 제한하기 위해 데이터 손실 방지 컨트롤이 작동되나요(예: 전자 메일, 업로드 또는 USB로 복사 차단)?
분류법을 정의하세요.
- 올바른 레이블 분류법 및 보호 정책을 정의하는 것은 데이터 보호 전략에서 가장 중요한 단계이므로, 조직의 중요한 정보 요구 사항을 반영하는 레이블 지정 전략 만들기를 시작하세요.
- 데이터 분류에 대해 알아보세요.
- 준비되면 민감도 레이블을 시작하세요.
민감도를 기준으로 액세스 결정을 관리하세요.
- 데이터가 중요할수록 개선된 보호 컨트롤 및 적용이 필요합니다. 마찬가지로, 컨트롤은 데이터가 액세스되는 방법 및 위치(예를 들어 요청이 관리되지 않는 디바이스나 외부 사용자로부터 오는 경우)와 관련된 위험 특성에 적합해야 합니다. Microsoft Information Protection 은 데이터 민감도 및 위험을 기반으로 유연한 보호 컨트롤 세트를 제공합니다.
- 일부 중요한 데이터는 권한 있는 사용자만 데이터에 액세스할 수 있도록 암호화를 적용하는 정책으로 보호해야 합니다.
- 민감도 레이블 설정 은 액세스 결정을 관리합니다. 새 Azure Purview는 Microsoft Information Protection에 빌드되는 통합 데이터 거버넌스 서비스를 제공합니다. 자세한 정보는 공지블로그를
- 읽어보세요.
강력한 데이터 분류 및 레이블 지정 전략을 구현하세요.
- 엔터프라이즈에는 적절하게 레이블을 지정하고 분류하기가 까다로울 수 있는 많은 양의 데이터가 있습니다. 스마트하고 자동화된 분류를 위해 기계 학습을 사용하면 최종 사용자의 부담을 줄이고 더욱 일관된 레이블 지정 환경을 만들 수 있습니다.
- Microsoft 365는 수동, 자동화된 패턴 일치, 새 학습 가능한 분류자의 세 가지 콘텐츠 분류 방법을 제공합니다. 학습 가능한 분류자는 수동 또는 자동화된 패턴 일치 방법으로 쉽게 식별되지 않는 콘텐츠에 적합합니다. 온-프레미스 파일 리포지토리 및 온-프레미스 SharePoint 2013+ 사이트의 경우 AIP(Azure Information Protection) 스캐너 는 중요한 정보를 검색, 분류, 레이블 지정 및 보호할 수 있습니다.
- 시작하려면 레이블 지정 배포 지침 을 확인하세요.
정책을 기준으로 액세스 결정을 관리하세요.
- 단순한 액세스/차단 결정을 넘어 액세스 허용, 차단, 액세스 제한이나 다단계 인증처럼 추가 증명을 요구하는 등 위험 요구를 기반으로 데이터에 대한 액세스 결정을 조정하세요.
- Azure AD에서 조건부 액세스 를 사용하면 사용자 컨텍스트, 디바이스, 위치 및 세션 위험 정보를 기반으로 다단계 인증을 요구하는 등 적응형 액세스 제어를 세밀하게 조정할 수 있습니다.
- 조건부 액세스 정책을 사용하도록 설정하기 위해 Microsoft Cloud App Security와Azure Information Protection을 통합하세요.
회사 외부에서 공유하는 데이터에 대한 액세스 및 사용 권한을 적용하세요.
- 생산성에 부정적인 영향을 미치지 않으면서 적절하게 위험을 완화하려면 회사 외부에서 공유하는 전자 메일, 문서 및 중요한 데이터를 제어하고 보호할 수 있어야 합니다.
- Azure Information Protection은 회사 내외부의 전자 메일, 문서 및 중요한 데이터를 보호합니다. 간편한 분류부터 포함된 레이블 및 권한까지 Azure Information Protection을 사용하여 저장 위치나 공유한 사람과 상관없이 항상 데이터 보호를 강화하세요.
- 배포를 계획하여 시작하세요.
DLP(데이터 손실 방지) 정책을 구현하세요.
- 비즈니스 표준과 산업 규정을 준수하기 위해 조직은 중요한 정보를 보호하고 의도치 않은 공개를 방지해야 합니다. 중요한 정보에는 신용 카드 번호, 주민등록번호 또는 의료 기록 등 금융 데이터나 개인 식별 정보가 포함됩니다.
- Microsoft 365에서 다양한 DLP 정책 을 사용하여 Teams, Exchange, SharePoint, OneDrive, Office 앱(Word, Excel, PowerPoint 등), Windows 10 엔드포인트, 타사 클라우드 앱, 온-프레미스 파일 공유 및 SharePoint, Microsoft Cloud App Security 등의 서비스에서 중요한 항목을 식별하고 모니터링하며 자동으로 보호하세요.
엔드포인트 • 질문 1/5
수평 이동을 방지하기 위해 네트워크를 세분화하나요?
엔드포인트 • 질문 2/5
네트워크를 보호하기 위해 어떤 보호 기능을 사용하나요?
엔드포인트 • 질문 3/5
네트워크를 보호하기 위해 보안 액세스 제어를 사용하나요?
엔드포인트 • 질문 4/5
모든 네트워크 통신(머신 간 통신 포함)을 인증서를 사용하여 암호화하나요?
엔드포인트 • 질문 5/5
ML 기반 위협 보호를 사용하고 컨텍스트 기반 신호로 필터링하나요?
네트워크를 세분화하세요.
- 세밀한 컨트롤과 함께 소프트웨어 정의 경계를 구현하여 네트워크를 세분화하면 네트워크를 통해 전파하는 공격자의 비용이 늘어나서 위협의 수평 이동(lateral movement)이 극적으로 줄어듭니다.
- Azure는 사용자와 리소스 액세스를 관리하기 위해 네트워크를 세분화하는 여러 가지 방법을 제공합니다. 네트워크 세분화는 종합적인 접근 방식입니다. Azure 내에서 리소스는 가상 네트워크, 가상 네트워크 피어링 규칙, 네트워크 보안 그룹, 애플리케이션 보안 그룹, Azure Firewall의 구독 수준에서 격리될 수 있습니다.
- 세분화 전략을 계획하세요.
네트워크 보호를 설정하세요.
- 인터넷이나 온-프레미스 공간과 같은 외부 환경에 엔드포인트를 개방한 클라우드 애플리케이션은 해당 환경에서 오는 공격을 받을 수 있습니다. 악의적인 페이로드나 논리에 대한 트래픽을 반드시 검사해야 합니다.
- Azure는 Azure DDoS Protection 서비스, Azure Firewall 및 Azure Web Application Firewall 등의 서비스를 통해 포괄적인 위협 방지를 제공합니다.
- 네트워크 보호 도구설정
암호화된 관리자 액세스를 설정하세요.
- 관리자 액세스 권한은 종종 중요한 위협 벡터입니다. 액세스 권한 보호는 손상을 방지하는 데 중요합니다.
- Azure VPN Gateway 는 Microsoft Entra ID와 완전히 통합된 사용자의 원격 액세스, 조건부 액세스 및 다단계 인증을 지원하는 클라우드 네이티브, 대규모 VPN 서비스입니다. Azure의 Azure Virtual Desktop 을 사용하여 어디에서나 Azure에서 관리되는 안전한 원격 데스크톱 환경을 사용할 수 있습니다. Microsoft Entra ID 애플리케이션 프록시는 제로 트러스트 액세스 접근 방법을 사용하여 온-프레미스 웹앱을 게시합니다.
- Azure Bastion 은 프로비저닝된 가상 네트워크의 모든 가상 머신에 안전한 RDP(원격 데스크톱 프로토콜) 및 SSH(보안 셸 프로토콜) 연결을 제공합니다. Azure Bastion을 사용하면 RDP/SSH를 사용하는 보안 액세스는 계속 제공하면서 가상 머신이 RDP/SSH 포트를 외부로 노출하는 것을 방지할 수 있습니다.
- Azure Bastion을 배포하세요.
모든 네트워크 트래픽을 암호화하세요.
- 전송 중인 데이터를 보호하지 못하는 조직은 중간자(man-in-the-middle) 공격, 도청 및 세션 하이재킹에 더욱 취약합니다. 이러한 공격은 공격자가 기밀 데이터에 대한 액세스 권한을 얻기 위해 사용하는 첫 번째 단계일 수 있습니다.
- 엔드투엔드 암호화는 먼저 Azure에 연결로 시작하며, 백 엔드 애플리케이션이나 리소스까지 연결합니다. Azure VPN Gateway 를 사용하면 암호화된 터널을 통해 Azure에 쉽게 연결할 수 있습니다. Azure Front Door 및 애플리케이션 게이트웨이 는 SSL 오프로딩, WAF 검사 및 다시 암호화에 도움이 될 수 있습니다. 고객은 SSL 엔드투엔드로 흐르는 트래픽을 디자인할 수 있습니다. Azure Firewall 프리미엄 TLS 검사 를 사용하면 고급 IDPS 엔진을 통해 암호화된 연결 내에서 악의적인 트래픽을 확인하고 탐지 및 차단할 수 있습니다. Azure Application Gateway의 엔드투엔드 TLS 암호화 를 사용하면 계층 7 부하 분산 기능을 활용하면서 중요한 데이터를 암호화하고 백 엔드로 안전하게 전송할 수 있습니다. AAzure Application Gateway를 사용한Azure Application Gateway의 엔드투엔드 TLS 암호화 .
기계 학습 기반의 위협 방지 및 필터링을 구현하세요.
- 공격의 정교함과 빈도가 늘어나면서 조직은 공격을 다루기 위한 장비를 갖춰야 합니다. 기계 학습 기반의 위협 방지 및 필터링은 조직이 대응 속도를 높이고 조사 과정을 개선할 뿐 아니라 수정을 자동화하고 스케일링을 더욱 쉽게 관리하는 데 도움이 됩니다. 여러 서비스(DDoS, WAF, FW 등)의 이벤트를 Microsoft SIEM인 Azure Sentinel에 집계하여 지능형 보안 분석을 제공할 수도 있습니다.
- Azure DDoS Protection 은 기계 학습을 사용하여 Azure 호스팅 응용 프로그램 트래픽과 기준을 모니터링하고, 볼륨 트래픽 플러드(flood)를 탐지하며, 자동 완화를 적용합니다.
- Azure DDoS Protection 표준을 설정합니다.
Microsoft Security 팔로우