Entra ID와 Intune을 사용하여 제로 트러스트 모델을 적용하는 방법

Entra ID와 Intune을 사용하여 제로 트러스트 모델을 적용하는 방법

2024년 2월 8일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft Entra ID(이전의 Azure Active Directory) 및 Microsoft Intune의 기능을 사용하여 제로 트러스트 보안 모델을 구현하도록 안내하는 것을 목표로 합니다. "신뢰하지 않고 항상 검증" 원칙에 기반을 둔 제로 트러스트 모델은 요청이 시작된 위치나 액세스를 시도하는 리소스에 관계없이 액세스 요청이 자동으로 신뢰되어서는 안 된다고 가정하는 현대적인 보안 접근 방식입니다[1].

소개

원격 근무의 확대, 개인 장치의 확산, 클라우드로의 마이그레이션으로 인해 기업 네트워크의 기존 보안 경계는 더 이상 쓸모가 없게 되었습니다. 제로 트러스트 모델은 이 새로운 시나리오에 대한 대응으로 등장하여 각 액세스 시도에 대해 명시적인 확인을 요구하고 최소한의 권한으로 액세스를 허용하며 항상 위반을 가정합니다. Microsoft Entra ID와 Microsoft Intune은 강력한 제로 트러스트 아키텍처를 구축하고 각각 ID와 엔드포인트를 보호하는 데 중요한 구성 요소입니다[2].

이 실무 가이드에서는 제로 트러스트의 원칙을 다루고 이러한 원칙을 적용하기 위해 Microsoft Entra ID와 Microsoft Intune을 구성 및 통합하는 방법을 보여줍니다. 독자가 제로 트러스트 접근 방식을 통해 조직의 보안 태세를 구현하고 강화할 수 있도록 단계별 지침, 구성 예 및 검증 방법이 제공됩니다.

제로 트러스트 원칙

제로 트러스트 모델은 세 가지 기본 원칙을 기반으로 구축되었습니다[3].

  1. 명시적으로 확인: 항상 사용자 ID, 위치, 장치 상태, 리소스 민감도 및 이상 현상을 포함하여 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 승인합니다.
  2. 최소 권한 액세스 사용: 사용자 액세스를 필요한 항목으로만 제한합니다. JIT(Just-In-Time) 및 JEA(Just-Enough Access), 위험 기반 적응형 정책 및 데이터 보호를 사용하여 데이터와 생산성을 보호합니다.
  3. 위반 가정: 폭발 반경과 ​​구간 접근을 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협을 감지하며 방어를 강화합니다.

전제조건

Microsoft Entra ID 및 Intune을 사용하여 제로 트러스트 모델을 구현하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Entra ID Premium P1 또는 P2(조건부 액세스용) 및 Microsoft Intune(일반적으로 Microsoft 365 E3/E5 또는 EMS E3/E5 패키지의 일부)에 적합한 라이선스[4].
  2. 관리 액세스: Microsoft Entra 관리 센터(entra.microsoft.com) 및 Microsoft Endpoint Manager 관리 센터(endpoint.microsoft.com) 포털에 대한 전역 관리자, 보안 관리자 또는 Intune 관리자 권한이 있는 계정입니다.
  3. Intune 등록 장치: Windows 10/11 장치는 이미 Microsoft Intune에 등록 및 관리됩니다.
  4. Microsoft Entra ID의 ID: Microsoft Entra ID에서 동기화되거나 생성된 사용자 및 그룹입니다.

단계별: 제로 트러스트 모델 적용

Microsoft Entra ID와 Intune이 함께 작동하여 제로 트러스트 원칙, 특히 "명시적 확인" 및 "최소 권한 액세스 사용"을 적용하는 방법에 중점을 둘 것입니다.

1. 마이크로소프트 엔트라 아이디로 아이덴티티 강화

Microsoft Entra ID는 확인된 사용자만 액세스할 수 있도록 보장하는 ID용 제로 트러스트의 백본입니다.

1.1. 다단계 인증(MFA) 구현

MFA는 "명시적 확인" 원칙의 기본 구성 요소입니다.

  1. 조건부 액세스를 통해 MFA 구성: 3조에 설명된 대로 모든 사용자, 특정 그룹 또는 회사 네트워크 외부에서의 액세스에 대해 MFA를 요구하는 조건부 액세스 정책을 만듭니다.
    • Microsoft 로그인 관리 센터에서 보호 > 조건부 액세스로 이동합니다.
    • 다음 설정으로 새 정책을 만듭니다.
      • 할당 > ID 사용자 또는 워크로드: 모든 사용자를 선택합니다(긴급 계정 제외).
      • 클라우드 리소스 또는 작업: 모든 클라우드 애플리케이션.
      • 허용: 다단계 인증 필요를 선택합니다.
      • 정책 활성화: 활성화됨.

1.2. Azure AD ID 보호 활성화

ID 보호는 조직의 ID에 영향을 미치는 취약성을 감지하고, 해당 ID를 보호하기 위해 자동화된 위험 기반 정책을 구성하고, 위험한 활동을 조사합니다[5].

  1. Microsoft 로그인 관리 센터에서 보호 > ID 보호로 이동합니다.
  2. 사용자 위험 정책: 중간 또는 높은 위험 사용자에 대해 MFA 또는 암호 재설정을 요구하도록 이 정책을 구성합니다.
    • 역할 > 사용자: 모든 사용자를 선택합니다.
    • 조건 > 사용자 위험: 보통 이상을 선택합니다.
    • 제어 > 액세스: 액세스 권한 부여비밀번호 재설정 필요 또는 다단계 인증 필요.
    • 정책 활성화: 활성화.
  3. 입력 위험 정책: 위험한 입력에 대해 MFA를 차단하거나 요구하도록 이 정책을 구성합니다.
    • 역할 > 사용자: 모든 사용자를 선택합니다.
    • 조건 > 진입 위험: 중간 이상을 선택합니다.
    • 제어 > 액세스: 액세스 권한 부여다단계 인증 요구(또는 위험도가 높은 경우 액세스 차단).
    • 정책 활성화: 활성화.

2. Microsoft Intune으로 엔드포인트 무결성 보장

Intune은 장치에 "명시적 검사" 원칙을 적용하여 회사 리소스에 액세스하는 장치가 정상이고 호환되는지 확인합니다.

2.1. 장치 규정 준수 정책 만들기

규정 준수 정책은 장치가 규정을 준수하는 것으로 간주되기 위해 충족해야 하는 보안 요구 사항을 정의합니다. 비준수 장치는 조건부 액세스를 통해 액세스가 차단되거나 제한될 수 있습니다.

  1. Microsoft Endpoint Manager 관리 센터(https://endpoint.microsoft.com)에서 Endpoint Security > 장치 규정 준수 > 정책으로 이동합니다.
  2. 정책 만들기를 클릭합니다.
  3. 플랫폼: Windows 10 이상.
  4. 규정 준수 설정:
    • 장치 무결성: BitLocker, 보안 부팅 등이 필요합니다.
    • 장치 보안: 바이러스 백신(예: Microsoft Defender Antivirus), 방화벽, 복잡한 암호 등이 필요합니다.
    • 장치 속성: 최소 OS 버전이 필요합니다.
  5. 비준수에 대한 작업: 즉시 또는 유예 기간 후에 장치를 비준수로 표시하는 등의 작업을 구성합니다.
  6. 할당: 관련 Windows 장치 그룹에 정책을 할당합니다.

2.2. 장치 구성 프로필 만들기

구성 프로필을 사용하면 방화벽 설정, Microsoft Defender 보안 설정, 장치 제한 등 특정 보안 설정을 배포할 수 있습니다.

  1. Microsoft Endpoint Manager 관리 센터에서 장치 > Windows > 구성 프로필로 이동합니다.
  2. 프로필 만들기를 클릭합니다.
  3. 플랫폼: Windows 10 이상.
  4. 프로필 유형: '엔드포인트 보호'와 같은 템플릿을 선택하여 Microsoft Defender 바이러스 백신 및 방화벽을 구성하거나 '장치 제한'을 선택하여 특정 기능을 비활성화합니다.
  5. 조직의 모범 사례에 따라 보안 설정을 구성합니다.
  6. 할당: 관련 Windows 장치 그룹에 프로필을 할당합니다.

3. Entra ID와 Intune을 조건부 액세스와 통합

조건부 액세스는 ID(Entra ID)와 장치(Intune) 정책을 결합하여 제로 트러스트를 적용하는 엔진입니다.

3.1. 호환 장치를 요구하는 조건부 액세스 정책 만들기

이 정책은 Intune의 규정 준수 표준을 충족하는 장치만 클라우드 앱에 액세스할 수 있도록 보장합니다.

  1. Microsoft 로그인 관리 센터에서 보호 > 조건부 액세스로 이동합니다.
  2. 새 정책 > 새 정책 만들기를 클릭합니다.
  3. 이름: '액세스하려면 호환 장치 필요'.
  4. 할당 > ID 사용자 또는 워크로드: 모든 사용자(긴급 계정 제외)를 선택합니다.
  5. 클라우드 리소스 또는 작업: 모든 클라우드 애플리케이션.
  6. 조건 (선택 사항): Windows용 '장치 플랫폼'과 같은 조건을 추가할 수 있습니다.
  7. 지원:
    • 액세스 권한 부여를 선택합니다.
    • 지원되는 것으로 표시하려면 장치 필요를 선택하세요. 클릭 선택등등*.
  8. 정책 활성화: 활성화.
  9. 만들기를 클릭합니다.

검증 및 테스트

정책이 예상대로 작동하는지 확인하려면 제로 트러스트 구현을 검증하는 것이 중요합니다.

1. 호환 장치에서 액세스 테스트

  1. Intune 관리형 호환 Windows 장치에서 클라우드 애플리케이션(예: portal.office.com)에 액세스해 봅니다.
  2. 사용자 인증(구성된 경우 MFA 포함) 후에 액세스 권한을 부여해야 합니다.

2. 비호환 장치에서의 액세스 테스트

  1. 규격이 인 Windows 장치에서(예: 방화벽을 비활성화하거나, OS 버전을 Intune 규정 준수 정책에서 허용하지 않는 버전으로 변경하거나, 관리되지 않는 장치 사용).
  2. 클라우드 애플리케이션(예: portal.office.com)에 액세스해 보세요.
  3. 액세스를 차단해야 하며, 사용자는 장치가 규정을 준수하지 않아 리소스에 액세스할 수 없다는 메시지를 받아야 합니다.

3. 조건부 액세스 보고서 모니터링

  1. Microsoft 로그인 관리 센터에서 보호 > 조건부 액세스 > 보고서로 이동합니다.
  2. 입력 로그를 검토하여 적용된 조건부 액세스 정책과 결과(성공, 실패, 보고만)를 확인합니다.

보안 팁 및 모범 사례

  • 소규모로 시작하여 점진적으로 확장: 중단을 최소화하기 위해 조직 전체로 확장하기 전에 테스트 그룹에 제로 트러스트 정책을 구현합니다.
  • 교육 및 커뮤니케이션: 변경 사항을 사용자에게 명확하게 전달하고 장치 호환성을 유지하는 방법과 MFA 사용 방법에 대한 교육을 제공합니다.
  • 지속적 모니터링: Intune 규정 준수 보고서와 조건부 액세스 및 ID 보호 로그를 정기적으로 모니터링하여 차이나 변칙을 식별합니다.
  • 최소 권한 액세스: 조건부 액세스 정책을 PIM(Privileged Identity Management)과 결합하여 권한 있는 액세스가 적시 및 충분하도록 보장합니다.
  • 위반 가정: 고급 엔드포인트 위협 탐지를 위해 Microsoft Defender for Endpoint를 구성하고 보안 오케스트레이션 및 자동화된 대응을 위해 Microsoft Sentinel을 구성합니다.
  • 정기 검토: 제로 트러스트 정책을 정기적으로 검토하고 조정하여 위협 환경 및 비즈니스 요구 사항의 변화에 ​​적응합니다.

일반적인 문제 해결

  • 예기치 않게 액세스가 차단됨: 조건부 액세스 로그인 로그를 확인하여 어떤 정책이 액세스를 차단하고 있는지 확인하세요. 영향을 받는 장치에 대한 Intune 규정 준수 정책을 확인하세요.
  • 장치 비준수: Intune에서 장치의 규정 준수 상태를 확인하세요. 장치가 정책을 수신하지 않았거나 일부 구성으로 인해 규정 준수가 방해될 수 있습니다(예: 바이러스 백신 비활성화, 이전 OS 버전).
  • 정책 충돌: 모든 조건부 액세스 및 규정 준수 정책을 검토하여 예기치 않은 동작으로 이어질 수 있는 충돌하는 제외 또는 포함이 없는지 확인하세요.
  • 동기화 문제: 장치와 사용자가 각각 Intune 및 Azure AD와 올바르게 동기화되는지 확인하세요.

결론

제로 트러스트 모델을 적용하는 것은 현재 디지털 환경에서 조직을 보호하기 위한 필수적인 보안 전략입니다. Microsoft Entra ID를 활용하여 ID를 관리하고 Microsoft Intune을 활용하여 엔드포인트 무결성을 보장함으로써 기업은 모든 액세스 요청을 명시적으로 확인하고 최소 권한 원칙에 따라 작동하는 강력한 보안 접근 방식을 구현할 수 있습니다. 조건부 액세스를 통해 이러한 도구를 통합하면 신뢰할 수 있는 사용자와 장치만 위치에 관계없이 회사 리소스에 액세스할 수 있도록 보장하는 강력하고 적응형 방어가 생성됩니다. 제로 트러스트를 향한 여정은 계속 진행 중이며 지속적인 모니터링과 개선이 필요하지만 위험을 줄이고 보안을 강화하는 측면에서 얻을 수 있는 이점은 매우 중요합니다.

참고자료:

[1] 마이크로소프트 런. 제로 트러스트란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] 마이크로소프트 런. Microsoft Intune을 사용한 제로 트러스트. 이용 가능: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] 마이크로소프트 런. 제로 트러스트 지침. 이용 가능: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] 마이크로소프트 런. Microsoft Enter ID에 대한 라이선스. 사용 가능: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] 마이크로소프트 런. 신원 보호란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection