보안 강화를 위해 Azure AD에 조건부 액세스 구현

보안 강화를 위해 Azure AD에 조건부 액세스 구현

2024년 5월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft Entra ID(이전의 Azure Active Directory)에서 조건부 액세스를 구현하고 최적화하도록 안내하는 것을 목표로 합니다. 조건부 액세스는 Microsoft의 대표적인 제로 트러스트 정책 시행 메커니즘으로, 조직이 사용자 ID, 위치, 장치 상태 및 세션 위험과 같은 실시간 조건을 기반으로 리소스에 대한 액세스를 제어할 수 있도록 해줍니다[1].

소개

사이버 위협이 정교해지고 원격 작업이 널리 퍼져 있는 오늘날의 보안 환경에서는 기존의 네트워크 경계 보호만으로는 더 이상 충분하지 않습니다. Azure AD 조건부 액세스를 사용하면 조직은 정적 보안 접근 방식에서 각 액세스 시도가 승인되기 전에 평가되는 동적 적응형 접근 방식으로 이동할 수 있습니다. 이를 통해 특정 조건에서 신뢰할 수 있는 사용자 및 장치에만 액세스 권한을 부여하여 회사 데이터와 애플리케이션을 보다 효과적으로 보호할 수 있습니다[2].

이 실무 가이드에서는 MFA(다단계 인증), 지원되는 장치, 신뢰할 수 있는 위치 및 레거시 인증 차단 요구를 포함하여 조건부 액세스 정책을 만들고 구성하는 방법을 다룹니다. 독자가 조직의 보안 태세를 구현하고 강화하여 리소스에 대한 액세스가 안전하고 규정을 준수할 수 있도록 단계별 지침, 구성 예 및 검증 방법이 제공됩니다.

조건부 액세스가 중요한 이유는 무엇인가요?

  • 제로 트러스트: 제로 트러스트 모델을 구현하기 위한 정책 엔진으로, 각 액세스 요청을 명시적으로 확인합니다.
  • 적응형 제어: 실시간 위험 신호에 따라 액세스 정책을 동적으로 조정할 수 있습니다.
  • 포괄적인 보호: 클라우드 및 온프레미스에서 ID, 장치, 데이터 및 애플리케이션을 보호합니다.
  • MFA 및 장치 규정 준수: MFA를 더 쉽게 적용하고 액세스를 위해 규격 또는 Azure AD 조인 장치를 요구합니다.
  • 위험 감소: 자격 증명 도용, 승인되지 않은 장치로부터의 액세스, 의심스러운 위치로부터의 액세스 등의 위험을 완화하는 데 도움이 됩니다.

전제조건

Azure AD에서 조건부 액세스를 구현하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Enroll ID Premium P1 또는 P2(이전의 Azure AD Premium P1 또는 P2) 라이선스입니다. 조건부 액세스는 이러한 라이선스의 고유한 기능입니다[3].
  2. 관리자 액세스: Microsoft Entra 관리 센터('https://entra.microsoft.com')에서 '조건부 액세스 관리자', '보안 관리자' 또는 '글로벌 관리자' 역할을 가진 계정입니다.
  3. 사용자 및 그룹: 정책을 테스트하기 위한 Microsoft Entra ID의 사용자 및 보안 그룹입니다.
  4. MFA(Multi-Factor Authentication) 구성: MFA가 필요한 정책의 경우 사용자는 MFA를 구성하고 등록해야 합니다.
  5. 관리 장치(선택 사항): 지원되는 장치 또는 Azure AD/하이브리드 조인 장치가 필요한 정책의 경우 장치는 Microsoft Intune 또는 Azure AD 조인을 통해 관리되어야 합니다.

단계별: 조건부 액세스 정책 구성

보안을 강화하기 위해 몇 가지 필수 조건부 액세스 정책을 만들어 보겠습니다.

1. Microsoft Portal에 액세스하기 관리 센터에 들어가기

  1. 브라우저를 열고 https://entra.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 왼쪽 탐색 창에서 보호 > 조건부 액세스를 선택합니다.

2. 모든 사용자에 대해 MFA를 요구하는 정책 생성(긴급 계정 제외)

이는 대부분의 조직에 대한 기본 정책으로, 응급/깨끗한 액세스 계정을 제외한 모든 액세스 시도에 MFA가 필요하도록 보장합니다.

  1. 조건부 액세스 페이지에서 새 정책 > 새 정책 만들기를 클릭합니다.
  2. 이름: 01 - 모든 사용자에게 MFA 필요.

  3. 할당 > ID 사용자 또는 워크로드:

    • 포함에서 모든 사용자를 선택합니다.
    • 삭제에서 사용자 및 그룹을 선택하고 emer 액세스 계정을 추가하세요.에이전시/break-glass(MFA 오류 또는 디렉터리를 사용할 수 없는 경우 테넌트에 액세스하는 데 사용할 수 있는 고도로 보호된 계정).

  4. 클라우드 리소스 또는 작업:

    • 포함에서 모든 클라우드 앱을 선택합니다.

  5. 지원:

    • 액세스 권한 부여를 선택합니다.
    • 다단계 인증 필요를 선택하세요.
    • 선택을 클릭하세요.

  6. 정책 활성화: '보고만'(적용하기 전에 영향을 테스트하기 위해) 또는 '활성화'를 선택합니다.

    • : 항상 '보고 전용'으로 시작하여 정책을 적용하지 않고 정책의 영향을 모니터링하고 원치 않는 차단이 있는지 입력 로그를 확인하세요.
  7. 만들기를 클릭합니다.

3. 레거시 인증을 차단하는 정책 만들기

레거시 인증(예: POP, IMAP, SMTP, 기본 인증)은 MFA를 지원하지 않으며 공격의 일반적인 벡터입니다. 이를 차단하는 것이 중요합니다.

  1. 조건부 액세스 페이지에서 새 정책 > 새 정책 만들기를 클릭합니다.
  2. 이름: 02 - 기존 인증 차단.
  3. 할당 > ID 사용자 또는 워크로드: 모든 사용자(비상 계정 제외)를 선택합니다.
  4. 클라우드 리소스 또는 작업: 모든 클라우드 애플리케이션을 선택합니다.

  5. 조건 > 클라이언트 애플리케이션:

    • 클라이언트 애플리케이션로 설정하세요.
    • Exchange ActiveSync 클라이언트기타 클라이언트를 확인하세요.

  6. 액세스 제어 > 허가:

    • 액세스 차단을 선택하세요.
    • 선택을 클릭하세요.

  7. 정책 활성화: '보고만' 또는 '활성화'를 선택합니다.

  8. 만들기를 클릭합니다.

4. 중요한 애플리케이션에 액세스하기 위해 호환되는 장치를 요구하는 정책 만들기

이 정책은 보안 표준(예: Intune에서 관리)을 충족하는 장치만 중요한 앱에 액세스할 수 있도록 보장합니다.

  1. 조건부 액세스 페이지에서 새 정책 > 새 정책 만들기를 클릭합니다.
  2. 이름: 03 - 중요한 애플리케이션을 위한 호환 장치 필요.
  3. 할당 > ID 사용자 또는 작업 부하: 모든 사용자(또는 특정 그룹)를 선택합니다.

  4. 클라우드 리소스 또는 작업:

    • 포함에서 애플리케이션 선택을 선택하고 중요한 애플리케이션(예: SharePoint Online, Dynamics 365, 기간 업무 애플리케이션)을 선택합니다.

  5. 지원:

    • 액세스 권한 부여를 선택합니다.
    • 지원되는 것으로 표시하려면 장치 필요를 선택하세요.
    • 선택을 클릭하세요.

  6. 정책 활성화: '보고만' 또는 '활성화'를 선택합니다.

  7. 만들기를 클릭합니다.

5. 신뢰할 수 없는 위치로부터의 접근을 차단하는 정책 만들기

이 정책은 공격 소스로 알려진 지리적 지역이나 IP 주소로부터의 액세스로부터 보호하는 데 도움이 됩니다.

  1. 먼저 Azure AD에서 명명된 위치(명명된 위치)를 생성하여 신뢰할 수 있는 위치(예: 회사 사무실, VPN)를 정의해야 합니다.

    • Microsoft 로그인 관리 센터에서 보호 > 조건부 액세스 > 명명된 위치로 이동합니다.
    • 신뢰할 수 있는 위치를 설정하려면 새 국가/지역 위치 또는 새 IP 범위 위치를 클릭하세요.

  2. 조건부 액세스 페이지에서 새 정책 > 새 정책 만들기를 클릭합니다.

  3. 이름: 04 - 신뢰할 수 없는 위치로부터의 액세스 차단.
  4. 할당 > ID 사용자 또는 워크로드: 모든 사용자를 선택합니다.
  5. 클라우드 리소스 또는 작업: 모든 클라우드 애플리케이션을 선택합니다.

  6. 조건 > 위치:

    • 위치로 설정하세요.
    • 포함에서 모든 위치를 선택합니다.
    • 제외에서 선택한 위치를 선택하고 신뢰할 수 있는 것으로 정의한 명명된 위치를 선택합니다.

  7. 액세스 제어 > 허가:

    • 액세스 차단을 선택하세요.
    • 선택을 클릭하세요.
  8. 정책 활성화: '보고만' 또는 '활성화'를 선택합니다.
  9. 만들기를 클릭합니다.

검증 및 테스트

조건부 액세스 정책의 유효성을 검사하는 것은 정책이 예상대로 작동하고 원치 않는 차단을 유발하지 않도록 하는 데 중요합니다.

1. "What If" 도구 사용하기

"What If" 도구를 사용하면 조건부 액세스 정책이 특정 사용자 또는 시나리오에 미치는 영향을 시뮬레이션할 수 있습니다.

  1. 조건부 액세스 페이지에서만약.
  2. 테스트 시나리오(사용자, 애플리케이션, IP 주소, 장치 등)를 구성합니다.
  3. What if를 클릭하여 어떤 정책이 적용될지와 결과(액세스 허용 또는 차단)를 확인하세요.

2. 입력 로그 확인

인바운드 로그는 평가된 조건부 액세스 정책과 결과를 포함하여 각 액세스 시도에 대한 자세한 정보를 제공합니다.

  1. Microsoft 로그인 관리 센터에서 모니터링 및 상태 > 인바운드 로그로 이동합니다.
  2. 사용자, 애플리케이션 또는 상태(예: '실패')별로 로그를 필터링하여 액세스 시도를 조사합니다.
  3. 적용된 정책과 결과를 보여주는 조건부 액세스 탭을 포함한 세부 정보를 보려면 로그 항목을 클릭하세요.

3. 테스트 사용자를 대상으로 한 실제 테스트

다양한 시나리오(예: 신뢰할 수 없는 위치에서 액세스, 지원되지 않는 장치, MFA 없이 액세스)에서 테스트 사용자를 대상으로 테스트를 수행하여 예상되는 정책 동작을 확인합니다.

보안 팁 및 모범 사례

  • 신중한 계획: 조직의 요구 사항과 제로 트러스트 원칙에 따라 조건부 액세스 정책을 계획하세요. 소규모 정책으로 시작하여 점차 확장해 보세요.
  • **보고 전용 모드: 항상 보고 전용 모드에서 새 정책을 먼저 배포하여 해당 정책의 영향을 평가하고 조정한 후 활성화 모드에서 적용합니다.
  • 긴급 계정: 우발적인 잠금을 방지하려면 항상 모든 조건부 액세스 정책에서 긴급/깨끗한 액세스 계정을 제외하세요.
  • 레거시 인증 차단: 이는 공격 표면을 줄이는 가장 효과적인 정책 중 하나입니다.
  • 모든 사용자에게 MFA 필요: ID 보호를 위한 필수 정책입니다.
  • 관리 장치: 민감한 리소스에 액세스하려면 장치를 관리해야 합니다(Azure AD 가입 또는 Intune 지원).
  • 명명된 위치: 명명된 위치를 사용하여 신뢰할 수 있는 네트워크를 정의하고 신뢰할 수 없는 위치의 액세스를 차단합니다.
  • 지속적인 검토 및 조정: 조건부 액세스 정책을 정기적으로 검토하고 조정하여 위협 환경 및 비즈니스 요구 사항의 변화에 ​​적응합니다.
  • 문서화: 목적, 범위, 제외 사항을 포함하여 조건부 액세스 정책에 대한 명확한 문서를 유지합니다.

일반적인 문제 해결

  • 예기치 않게 차단된 사용자: "What If" 도구와 로그인 로그를 사용하여 차단을 유발하는 정책을 식별합니다. 정책 포함 및 제외를 확인하세요.
  • 정책이 적용되지 않음: 정책이 '사용' 모드인지, 사용자와 애플리케이션이 정책 범위에 있는지 확인하세요. 입력 로그를 확인하여 정책이 평가되었는지 확인하세요.
  • MFA 문제: 사용자가 MFA 방법을 등록했는지 확인하세요. MFA 공급자와의 연결 문제를 확인합니다.
  • 규정 준수 장치 문제: Intune에서 장치의 규정 준수 상태를 확인하세요. 장치가 Azure AD에 조인되었거나 Intune에 등록되어 있는지 확인하세요.
  • 정책 충돌: 조건부 액세스는 모든 정책을 평가하고 가장 제한적인 정책을 적용합니다. 충돌하는 정책이 있는 경우 원하는 동작이 이루어지도록 조정하세요.

결론

Azure AD에서 조건부 액세스를 구현하는 것은 제로 트러스트 모델을 기반으로 하는 강력하고 적응형 보안 아키텍처를 구축하기 위한 기본 요소입니다. 조건부 액세스는 조직이 다양한 조건에 따라 세부적인 액세스 정책을 설정할 수 있도록 함으로써 사이버 위협으로부터 ID 및 리소스 보호를 크게 강화합니다. 엄격한 테스트와 지속적인 검토 및 최적화 주기가 결합된 전략적 정책 구성을 통해 보안 팀은 액세스가 항상 확인되고 최소한의 권한만 부여되며 위험 상황에 맞게 조정되도록 할 수 있습니다. 조건부 액세스를 통해 기업은 가장 귀중한 자산을 보호하는 동시에 사용자가 어디서나 모든 장치에서 안전하고 생산적으로 작업할 수 있도록 지원합니다.

참고자료:

[1] 마이크로소프트 런. 조건부 액세스란 무엇입니까?. 이용 가능: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] 마이크로소프트 런. 조건부 액세스 구현을 계획합니다. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] 마이크로소프트 런. 조건부 액세스에 대한 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements