CMMC 수준 1 컨트롤 구성

  • 아티클

Microsoft Entra ID는 각 CMMC(사이버 보안 성숙도 모델 인증) 수준의 ID 관련 실무 요구 사항을 충족합니다. CMMC의 요구 사항을 준수하기 위해 다른 구성 또는 프로세스를 완료하는 것은 미국 국방부(DoD)를 대신하여 작업을 수행하는 회사의 책임입니다. CMMC 수준 1에는 ID와 관련된 하나 이상의 사례가 있는 3개의 도메인이 있습니다.

  • AC(액세스 제어)
  • IA(식별 및 인증)
  • SI(시스템 및 정보 무결성)

자세히 보기:

이 콘텐츠의 나머지 부분은 도메인 및 관련 사례별로 구성되어 있습니다. 각 도메인에는 연습을 수행하기 위한 단계별 지침을 제공하는 콘텐츠에 대한 링크가 포함된 표가 있습니다.

액세스 제어 도메인

다음 표에는 Microsoft Entra ID로 이러한 요구 사항을 충족할 수 있도록 하는 실무 문 및 목표, Microsoft Entra 지침 및 권장 사항 목록이 나열되어 있습니다.

CMMC 연습 설명 및 목표 Microsoft Entra 지침 및 권장 사항
AC.L1-3.1.1

연습 문: 정보 시스템 액세스 대상을 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 또는 디바이스(기타 정보 시스템 포함)로 제한합니다.

목표:
다음을 확인합니다.
[a.] 권한 있는 사용자가 식별됩니다.
[b.] 권한 있는 사용자를 대신하여 작동하는 프로세스가 식별됩니다.
[c.] 시스템에 연결할 수 있도록 승인된 디바이스(및 기타 시스템)가 식별됩니다.
[d.] 시스템 액세스는 권한 있는 사용자로 제한됩니다.
[e.] 시스템 액세스는 권한 있는 사용자를 대신하여 작동하는 프로세스로 제한됩니다. 그리고
[f.] 시스템 액세스는 승인된 디바이스(다른 시스템 포함)로 제한됩니다.		 외부 HR 시스템, 온-프레미스 Active Directory 또는 클라우드에서 직접 수행되는 Microsoft Entra 계정 설정은 사용자의 책임입니다. 알려진(등록/관리) 디바이스의 액세스 권한만 부여하도록 조건부 액세스를 구성합니다. 또한 애플리케이션 권한을 부여할 때 최소 권한 개념을 적용합니다. 가능한 경우 위임된 권한을 사용합니다.

사용자 설정
  • Microsoft Entra 사용자 프로비전을 위한 클라우드 HR 애플리케이션 계획
  • Microsoft Entra Connect 동기화: 동기화의 이해 및 사용자 지정
  • 사용자 추가 또는 삭제 – Microsoft Entra ID

    디바이스 설정
  • Microsoft Entra ID의 디바이스 ID란?

    애플리케이션 구성
  • 빠른 시작: Microsoft ID 플랫폼에 앱 등록
  • Microsoft ID 플랫폼 범위, 권한 및 동의
  • Microsoft Entra ID의 서비스 주체 보호

    조건부 액세스
  • Microsoft Entra ID의 조건부 액세스란?
  • 조건부 액세스에는 관리 디바이스가 필요합니다.
    		•
    AC.L1-3.1.2

    연습 문: 정보 시스템 액세스 대상을 권한 있는 사용자가 실행할 수 있는 트랜잭션 및 기능의 유형으로 제한합니다.

    목표:
    다음을 확인합니다.
    [a.] 권한 있는 사용자가 실행할 수 있는 트랜잭션 및 기능의 유형이 정의됩니다. 그리고
    [b.] 시스템 액세스는 권한 있는 사용자에 대해 정의된 유형의 트랜잭션 및 기능으로 제한됩니다.    		 기본 제공 또는 사용자 지정 역할을 사용하여 RBAC(역할 기반 액세스 제어)와 같은 액세스 제어를 구성해야 합니다. 역할 할당 가능 그룹을 사용하여 동일한 액세스 권한이 필요한 여러 사용자의 역할 할당을 관리합니다. 기본 또는 사용자 지정 보안 특성을 사용하여 ABAC(특성 기반 액세스 제어)를 구성합니다. 목표는 Microsoft Entra ID로 보호되는 리소스에 대한 액세스를 세부적으로 제어하는 것입니다.

    RBAC 설정
  • Active Directory의 역할 기반 액세스 제어 개요Microsoft Entra 기본 제공 역할
  • Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당

    ABAC 설정
  • Azure ABAC(Azure 특성 기반 액세스 제어)는 무엇인가요?
  • Microsoft Entra ID의 사용자 지정 보안 특성은 무엇인가요?

    역할 할당을 위한 그룹 구성
  • Microsoft Entra 그룹을 사용하여 역할 할당 관리
    		•
    AC.L1-3.1.20

    연습 문: 외부 정보 시스템에 대한 연결 및 사용을 확인하고 제어/제한합니다.

    목표:
    다음을 확인합니다.
    [a.] 외부 시스템에 대한 연결이 식별됩니다.
    [b.] 외부 시스템의 사용이 식별됩니다.
    [c.] 외부 시스템에 대한 연결이 확인됩니다.
    [d.] 외부 시스템의 사용이 확인됩니다.
    [e.] 외부 시스템에 대한 연결이 제어되거나 제한됩니다. 그리고
    [f.] 외부 시스템의 사용은 제어되거나 제한됩니다.    		 디바이스 컨트롤 및/또는 네트워크 위치를 사용하여 외부 시스템의 연결 및 사용을 제어하거나 제한하는 조건부 액세스 정책을 구성해야 합니다. 액세스를 위해 외부 시스템을 사용하기 위한 계약조건에 대한 기록된 사용자 승인을 위해 TOU(사용 약관)를 구성합니다.

    필요에 따라 조건부 액세스 설정
  • 조건부 액세스란?
  • 조건부 액세스를 사용하는 클라우드 앱 액세스에 대한 관리 디바이스 필요
  • 디바이스를 준수 상태로 표시해야 함
  • 조건부 액세스: 디바이스에 대한 필터

    조건부 액세스를 사용하여 액세스 차단
  • 조건부 액세스 - 위치별 액세스 차단

    사용 약관 구성
  • 사용 약관
  • 조건부 액세스에는 사용 약관이 필요합니다.
    • AC.L1-3.1.22

    연습 문: 공개적으로 액세스할 수 있는 정보 시스템에 게시되거나 처리되는 정보를 제어합니다.

    목표:
    다음을 확인합니다.
    [a.] 공개적으로 액세스할 수 있는 시스템에 대한 정보를 게시하거나 처리할 권한이 있는 개인이 식별됩니다.
    [b.] FCI가 공개적으로 액세스 가능한 시스템에 게시되거나 처리되지 않도록 하는 절차가 식별됩니다.
    [c.] 공개적으로 액세스할 수 있는 시스템에 콘텐츠를 게시하기 전에 검토 프로세스가 마련되어 있습니다. 그리고
    [d.] 공개적으로 액세스할 수 있는 시스템의 콘텐츠를 검토하여 FCI(연방 계약 정보)가 포함되지 않도록 확인합니다.    		 게시된 정보에 공개적으로 액세스할 수 있는 시스템에 대한 액세스를 관리하도록 PIM(Privileged Identity Management)을 구성해야 합니다. PIM에서 역할을 할당하기 전에 정당한 승인이 필요합니다. 공개적으로 액세스할 수 있는 정보 게시에 대한 계약조건의 기록된 승인을 위해 게시된 정보에 공개적으로 액세스할 수 있는 시스템에 대한 TOU(사용 약관)를 구성합니다.

    PIM 배포 계획
  • Privileged Identity Management란?
  • Privileged Identity Management 배포 계획

    사용 약관 구성
  • 사용 약관
  • 조건부 액세스에는 사용 약관이 필요합니다.
  • PIM에서 Microsoft Entra 역할 설정 구성 - 근거 필요
    		•

    IA(식별 및 인증) 도메인

    다음 표에는 Microsoft Entra ID로 이러한 요구 사항을 충족할 수 있도록 하는 실무 문 및 목표, Microsoft Entra 지침 및 권장 사항 목록이 나열되어 있습니다.

    CMMC 연습 설명 및 목표 Microsoft Entra 지침 및 권장 사항
    IA.L1-3.5.1

    연습 문: 정보 시스템 사용자, 사용자 대신 작동하는 프로세스 또는 디바이스를 식별합니다.

    목표:
    다음을 확인합니다.
    [a.] 시스템 사용자가 식별됩니다.
    [b.] 사용자를 대신하여 작동하는 프로세스가 식별됩니다. 그리고
    [c.] 시스템에 액세스하는 디바이스가 식별됩니다.    		 Microsoft Entra ID는 각 디렉터리 개체의 ID 속성을 통해 사용자, 프로세스(서비스 주체/워크로드 ID) 및 디바이스를 고유하게 식별합니다. 다음 링크를 사용하여 평가에 도움이 되도록 로그 파일을 필터링할 수 있습니다. 다음 참조를 사용하여 평가 목표를 충족합니다.

    사용자 속성별로 로그 필터링
  • 사용자 리소스 종류: ID 속성

    서비스 속성별로 로그 필터링
  • ServicePrincipal 리소스 종류: ID 속성

    디바이스 속성별로 로그 필터링
  • 디바이스 리소스 종류: ID 속성
    		•
    IA.L1-3.5.2

    연습 문: 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다.

    목표:
    다음을 확인합니다.
    [a.] 각 사용자의 ID는 시스템 액세스의 필수 구성 요소로 인증되거나 확인됩니다.
    [b.] 사용자를 대신하여 작동하는 각 프로세스의 ID는 시스템 액세스의 필수 구성 요소로 인증되거나 확인됩니다. 그리고
    [c.] 시스템에 액세스하거나 시스템에 연결하는 각 디바이스의 ID는 시스템 액세스의 필수 구성 요소로 인증되거나 확인됩니다.    		 Microsoft Entra ID는 시스템 액세스에 대한 필수 조건으로 각 사용자, 사용자를 대신하여 작동하는 프로세스 또는 디바이스를 고유하게 인증하거나 확인합니다. 다음 참조를 사용하여 평가 목표를 충족합니다.

    사용자 계정 설정
  • Microsoft Entra 인증이란?

    NIST 인증자 보증 수준을 충족하도록 Microsoft Entra ID 구성

    서비스 사용자 계정 설정
  • 서비스 주체 인증

    디바이스 계정 설정
  • 디바이스 ID란?
  • 작동 방식: 디바이스 등록
  • 주 새로 고침 토큰이란?
  • PRT에는 무엇이 포함되나요?
    		•

    SI(시스템 및 정보 무결성) 도메인

    다음 표에는 Microsoft Entra ID로 이러한 요구 사항을 충족할 수 있도록 하는 실무 문 및 목표, Microsoft Entra 지침 및 권장 사항 목록이 나열되어 있습니다.

    CMMC 연습 문 Microsoft Entra 지침 및 권장 사항
    SI.L1-3.14.1 - 정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다.

    SI.L1-3.14.2 - 조직 정보 시스템의 적절한 위치에서 악성 코드로부터 보호합니다.

    SI.L1-3.14.4 - 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다.

    SI.L1-3.14.5 - 파일을 다운로드하거나 열거나 실행할 때 정보 시스템을 정기적으로 검사하고 외부 원본의 파일을 실시간으로 검사합니다.    		 레거시 관리 디바이스에 대한 통합 지침
    Microsoft Entra 하이브리드 조인 디바이스를 요구하도록 조건부 액세스를 구성합니다. 온-프레미스 AD에 조인된 디바이스의 경우 이러한 디바이스에 대한 제어가 Configuration Manager 또는 GP(그룹 정책)와 같은 관리 솔루션을 사용하여 적용된다고 가정합니다. Microsoft Entra ID에서는 이러한 방법 중 하나가 디바이스에 적용되었는지 여부를 확인할 수 있는 방법이 없기 때문에 Microsoft Entra 하이브리드 조인 디바이스를 요구하는 것은 관리 디바이스를 요구하는 상대적으로 약한 메커니즘입니다. 관리자는 디바이스가 Microsoft Entra 하이브리드 조인 디바이스인 경우 온-프레미스 도메인 조인 디바이스에 적용되는 방법이 관리 디바이스를 구성할 만큼 강력한지 여부를 판단합니다.

    클라우드 관리(또는 공동 관리) 디바이스에 대한 통합 지침
    디바이스가 관리 디바이스를 요청하는 가장 강력한 형식인 규격으로 표시되도록 조건부 액세스를 구성합니다. 이 옵션을 사용하려면 Microsoft Entra ID를 사용한 디바이스 등록이 필요하며 Microsoft Entra 통합을 통해 Windows 10 디바이스를 관리하는 Intune 또는 타사 MDM(모바일 디바이스 관리) 시스템을 준수하는 것으로 표시됩니다.

    다음 단계