CMMC 수준 2 IA(식별 및 인증) 컨트롤 구성

  • 아티클

Microsoft Entra ID는 각 CMMC(사이버 보안 성숙도 모델 인증) 수준에서 ID 관련 실무 요구 사항을 충족하는 데 도움을 줍니다. CMMC V2.0 수준 2의 요구 사항을 준수하기 위해 다른 구성 또는 프로세스를 완료하는 것은 미국 DoD(국방부)와 협력하여 이를 대신 작업하는 회사의 책임입니다.

CMMC 수준 2에는 ID와 관련된 하나 이상의 사례가 있는 13개의 도메인이 있습니다. 도메인은 다음과 같습니다.

  • AC(액세스 제어)
  • AU(감사 및 책임)
  • CM(구성 관리)
  • IA(식별 및 인증)
  • 인시던트 응답(IR)
  • 유지 관리(MA)
  • MP(미디어 보호)
  • PS(직원 보안)
  • PE(물리적 보호)
  • RA(위험 평가)
  • CA(보안 평가)
  • 시스템 및 통신 보호(SC)
  • SI(시스템 및 정보 무결성)

이 문서의 나머지 부분에서는 IA(식별 및 권한 부여) 도메인에 대한 지침을 제공합니다. 연습을 수행하기 위한 단계별 지침을 제공하는 콘텐츠에 대한 링크가 포함된 표가 있습니다.

식별 및 인증

다음 표에는 Microsoft Entra ID로 이러한 요구 사항을 충족할 수 있도록 하는 실무 문 및 목표, Microsoft Entra 지침 및 권장 사항 목록이 나열되어 있습니다.

CMMC 연습 설명 및 목표 Microsoft Entra 지침 및 권장 사항
IA.L2-3.5.3

연습 문: 권한 있는 계정에 대한 로컬 및 네트워크 액세스와 권한이 없는 계정에 대한 네트워크 액세스에 다단계 인증을 사용합니다.

목표:
다음을 확인합니다.
[a.] 권한 있는 계정이 식별됩니다.
[b.] 다단계 인증은 권한 있는 계정에 대한 로컬 액세스를 위해 구현됩니다.
[c.] 다단계 인증은 권한 있는 계정에 대한 네트워크 액세스를 위해 구현됩니다.
[d.] 다단계 인증은 권한 없는 계정에 대한 네트워크 액세스를 위해 구현됩니다.		 다음 항목은 이 제어 영역에 사용되는 용어에 대한 정의입니다.
  • 로컬 액세스 - 네트워크를 사용하지 않고 직접 연결을 통해 통신하는 사용자(또는 사용자를 대신하여 작동하는 프로세스)가 조직 정보 시스템에 액세스합니다.
  • 네트워크 액세스 - 네트워크를 통해 통신하는 사용자(또는 사용자를 대신하여 작동하는 프로세스)가 정보 시스템에 액세스합니다(예: 로컬 영역 네트워크, 광역 네트워크, 인터넷).
  • 권한 있는 사용자 - 일반 사용자가 수행할 수 있는 권한이 없는 보안 관련 기능을 수행할 수 있는 권한이 부여된(따라서 신뢰할 수 있는) 사용자입니다.

    이전 요구 사항을 세분화하면 다음을 의미합니다.
  • 모든 사용자는 네트워크/원격 액세스에 MFA가 필요합니다.
  • 권한이 있는 사용자만 로컬 액세스에 MFA가 필요합니다. 일반 사용자 계정에 컴퓨터에 대한 관리 권한만 있는 경우 "권한 있는 계정"이 아니며 로컬 액세스에 MFA가 필요하지 않습니다.

    다단계 인증을 요구하도록 조건부 액세스를 구성해야 합니다. AAL2 이상을 충족하는 Microsoft Entra 인증 메서드를 사용하도록 설정합니다.
    조건부 액세스 정책에서 제어 권한 부여
    Microsoft Entra ID로 NIST 인증자 보증 수준 달성
    인증 방법 및 기능
    		•
    IA.L2-3.5.4

    연습 문: 권한 있는 계정과 권한 없는 계정에 대한 네트워크 액세스에 재생 방지 인증 메커니즘을 사용합니다.

    목표:
    다음을 확인합니다.
    [a.] 권한 있는 계정과 권한 없는 계정에 대한 네트워크 계정 액세스에 재생 방지 인증 메커니즘이 구현되었습니다.    		 AAL2 이상의 모든 Microsoft Entra 인증 메서드는 재생 방지입니다.
    Microsoft Entra ID로 NIST 인증자 보증 수준 달성
    IA.L2-3.5.5

    연습 문: 정의된 기간 동안 식별자를 재사용하지 않습니다.

    목표:
    다음을 확인합니다.
    [a.] 식별자를 다시 사용할 수 없는 기간이 정의됩니다. 그리고
    [b.] 식별자 재사용은 정의된 기간 내에 방지됩니다.    		 모든 사용자, 그룹, 디바이스 개체 GUID(Globally Unique Identifiers)는 Microsoft Entra 테넌트의 수명 동안 고유하고 재사용할 수 없음을 보장합니다.
    사용자 리소스 유형 - Microsoft Graph v1.0
    그룹 리소스 유형 - Microsoft Graph v1.0
    디바이스 리소스 유형 - Microsoft Graph v1.0
    IA.L2-3.5.6

    연습 문: 정의된 비활성 기간이 지나면 식별자를 비활성화합니다.

    목표:
    다음을 확인합니다.
    [a.] 식별자를 사용하지 않도록 설정한 후 비활성 기간이 정의됩니다. 그리고
    [b.] 식별자는 정의된 비활성 기간 후에 사용하지 않도록 설정됩니다.    		 Microsoft Graph 및 Microsoft Graph PowerShell SDK를 사용하여 계정 관리 자동화를 구현합니다. Microsoft Graph를 사용하여 로그인 작업을 모니터링하고 Microsoft Graph PowerShell SDK를 사용하여 필요한 시간 내에 계정에 대한 작업을 수행합니다.

    비활성 확인
    Microsoft Entra ID에서 비활성 사용자 계정 관리
    Microsoft Entra ID에서 부실 디바이스 관리

    계정 삭제 또는 사용 중지
    Microsoft Graph에서 사용자 작업
    사용자 가져오기
    사용자 업데이트
    사용자 삭제

    Microsoft Graph에서 디바이스 작업
    디바이스 가져오기
    디바이스 업데이트
    디바이스 삭제

    Microsoft Graph PowerShell SDK 사용
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA.L2-3.5.7

    연습 문:

    목표: 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다.
    다음을 확인합니다.
    [a.] 암호 복잡성 요구 사항이 정의됩니다.
    [b.] 문자 요구 사항의 암호 변경이 정의됩니다.
    [c.] 정의된 최소 암호 복잡성 요구 사항은 새 암호를 만들 때 적용됩니다. 그리고
    [d.] 새 암호를 만들 때 정의된 문자 요구 사항의 최소 암호 변경이 적용됩니다.

    IA.L2-3.5.8

    연습 문: 지정된 세대 수에 대해 암호 재사용을 금지합니다.

    목표:
    다음을 확인합니다.
    [a.] 암호를 다시 사용할 수 없는 세대 수가 지정됩니다. 그리고
    [b.] 지정된 수의 세대 동안 암호 재사용이 금지됩니다.    		 암호 없는 전략을 강력하게 권장합니다. 이 컨트롤은 암호 인증자에만 적용할 수 있으므로 사용 가능한 인증자로 암호를 제거하면 이 컨트롤을 적용할 수 없게 렌더링됩니다.

    NIST SP 800-63 B 섹션 5.1.1에 따라 일반적으로 사용되는 암호, 필요한 암호 또는 손상된 암호의 목록을 유지 관리합니다.

    Microsoft Entra 암호 보호를 사용하면 Microsoft Entra 테넌트의 모든 사용자에게 기본 전역 금지 암호 목록이 자동으로 적용됩니다. 사용자의 비즈니스 및 보안 요구 사항을 지원하기 위해 사용자 지정 금지 암호 목록에 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다.
    엄격한 암호 문자 변경이 필요한 고객의 경우 암호 재사용 및 복잡성 요구 사항은 Password-Hash-Sync로 구성된 하이브리드 계정을 사용합니다. 이 작업을 수행하면 Microsoft Entra ID에 동기화된 암호가 Active Directory 암호 정책에 구성된 제한을 상속합니다. Active Directory Domain Services에 대한 온-프레미스 Microsoft Entra 암호 보호를 구성하여 온-프레미스 암호를 추가로 보호합니다.
    NIST Special Publication 800-63 B
    NIST Special Publication 800-53 Revision 5(IA-5 - 제어 향상(1)
    Microsoft Entra 암호 보호를 사용하여 잘못된 암호 제거
    Microsoft Entra ID에서 암호 해시 동기화란?
    IA.L2-3.5.9

    연습 문: 영구 암호를 즉시 변경하여 시스템 로그온에 임시 암호 사용을 허용합니다.

    목표:
    다음을 확인합니다.
    [a.] 시스템 로그온에 임시 암호를 사용하는 경우 영구 암호를 즉시 변경해야 합니다.    		 Microsoft Entra 사용자 초기 암호는 성공적으로 사용되면 즉시 영구 암호로 변경해야 하는 임시 일회용 암호입니다. Microsoft는 암호 없는 인증 방법을 채택할 것을 강력히 권장합니다. 사용자는 TAP(임시 액세스 패스)를 사용하여 암호 없는 인증 방법을 부트스트랩할 수 있습니다. TAP는 강력한 인증 요구 사항을 충족하는 관리자가 발급한 제한된 암호를 사용하는 시간입니다. 시간 및 제한된 TAP 사용과 함께 암호 없는 인증을 사용하면 암호 사용(및 다시 사용)이 완전히 제거됩니다.
    사용자 추가 또는 삭제
    암호 없는 인증 방법을 등록하기 위해 Microsoft Entra ID에서 임시 액세스 패스 구성
    암호 없는 인증
    IA.L2-3.5.10

    연습 문: 암호화로 보호되는 암호만 저장하고 전송합니다.

    목표:
    다음을 확인합니다.
    [a.] 암호는 스토리지에서 암호화 방식으로 보호됩니다. 그리고
    [b.] 암호는 전송 중에 암호화 방식으로 보호됩니다.    		 미사용 비밀 암호화:
    디스크 수준 암호화 외에도 미사용 시 디렉터리에 저장된 비밀은 DKM(분산 키 관리자)을 사용하여 암호화됩니다. 암호화 키는 Microsoft Entra 코어 저장소에 저장되며, 그 후 배율 단위 키로 암호화됩니다. 키는 가장 높은 권한이 있는 사용자 및 특정 서비스에 대해 디렉터리 ACL로 보호되는 컨테이너에 저장됩니다. 대칭 키는 일반적으로 6개월마다 회전됩니다. 환경에 대한 액세스는 운영 제어 및 물리적 보안으로 더욱 보호됩니다.

    전송 중 암호화:
    데이터 보안을 보장하기 위해 Microsoft Entra ID의 디렉터리 데이터는 배율 단위 내의 데이터 센터 간에 전송되는 동안 서명되고 암호화됩니다. 데이터는 연결된 Microsoft 데이터 센터의 보안 서버 호스팅 영역 내에 있는 Microsoft Entra 코어 저장소 계층에 의해 암호화 및 암호화 해제됩니다.

    고객 대면 웹 서비스는 TLS(전송 계층 보안) 프로토콜로 보호됩니다.
    자세한 내용은 데이터 보호 고려 사항 - 데이터 보안을 다운로드합니다. 15페이지에 자세한 내용이 있습니다.
    암호 해시 동기화 이해(microsoft.com)
    Microsoft Entra 데이터 보안 고려 사항
    IA.L2-3.5.11

    연습 문: 인증 정보에 대한 모호한 피드백입니다.

    목표:
    다음을 확인합니다.
    [a.] 인증 프로세스 중에 인증 정보가 가려집니다.    		 기본적으로 Microsoft Entra ID는 모든 인증자 피드백을 모호하게 합니다.

    다음 단계