제로 트러스트 사용하여 원격 및 하이브리드 작업 보호

  • 아티클

제로 트러스트 채택 지침의 일환으로 이 문서에서는 원격 및 하이브리드 작업을 보호하는 비즈니스 시나리오를 설명합니다. 비즈니스 데이터 및 인프라 보안은 별도의 비즈니스 시나리오의 항목이며 이 지침에 포함되지 않습니다.

하이브리드 작업 스타일로의 전환으로 인해 조직은 신속하게 적응해야 했습니다. 원격 직원들은 개인 디바이스 사용, 클라우드 서비스 공동 작업, 회사 네트워크 경계 외부 데이터 공유 등 가능한 모든 방식으로 작업을 수행하고 있습니다. 하이브리드 직원은 회사 및 홈 네트워크 모두에서 작업하여 비즈니스와 개인 디바이스 간에 전환합니다.

직원의 홈 네트워크가 회사 네트워크 경계를 확장함에 따라 여러 디바이스가 해당 네트워크에 연결되면서 공격 벡터가 진화하는 동안 보안 위협이 곱해지고 더욱 정교해지고 있습니다.

네트워크 컨트롤을 사용하는 기존 보호 제로 트러스트 사용하여 최신 보호
기존 보호는 네트워크 방화벽 및 VPN(가상 사설망)을 사용하여 회사 리소스를 격리하고 제한합니다.

직원은 실제로 사무실에 '배지'를 달고 사용자 계정과 암호를 사용하여 장치로 로그인합니다. 사용자 계정과 디바이스는 모두 기본적으로 신뢰할 수 있습니다.		 제로 트러스트 모델은 정책, 프로세스 및 기술을 결합하여 사용자가 네트워크에 액세스하는 위치에 관계없이 클라우드에서 에지로 신뢰를 설정합니다.

제로 트러스트 모델은 모든 네트워크에서 사용자 ID 또는 디바이스가 안전하다고 가정하지 않습니다. 이 접근 방식은 사용자 ID 및 디바이스를 확인하고 사무실, 가정 및 장치에서 네트워크, 데이터 및 애플리케이션 보안을 지속적으로 모니터링하는 동안 이를 수행해야 합니다.

다음 다이어그램은 왼쪽에 네트워크 컨트롤이 있는 기존 보호에서 제한된 알려진 위치에서 오른쪽의 제로 트러스트 있는 최신 보호(알 수 없는 위치)로 전환하여 사용자 및 디바이스의 위치에 관계없이 보호가 적용되는 것을 보여 줍니다.

제로 트러스트 알려진 위치와 알 수 없는 위치 모두에 적용되는 방법을 보여 주는 다이어그램

이 문서의 지침은 원격 및 하이브리드 작업을 보호하기 위한 전략을 시작하고 구현하는 방법을 안내합니다.

비즈니스 리더가 원격 및 하이브리드 작업 보안에 대해 어떻게 생각하는지

기술 작업을 시작하기 전에 이러한 동기가 전략, 목표 및 성공을 위한 조치를 알리는 데 도움이 되므로 원격 및 하이브리드 작업 보안에 투자하는 다양한 동기를 이해하는 것이 중요합니다.

다음 표에서는 조직 전체의 비즈니스 리더가 원격 및 하이브리드 작업 보안에 투자해야 하는 이유를 제공합니다.

역할 원격 및 하이브리드 작업 보안이 중요한 이유
최고 경영자(CEO) 비즈니스는 직원의 위치에 관계없이 전략적 목표와 목표를 달성할 수 있는 권한을 부여해야 합니다. 비즈니스 민첩성 및 비즈니스 실행은 제한되어서는 안 됩니다. 성공적인 사이버 공격의 비용은 보안 조치를 구현하는 가격보다 훨씬 더 많을 수 있습니다. 대부분의 경우 사이버 보험 요구 사항 또는 표준 또는 지역 규정을 준수해야 합니다.
CMO(최고 마케팅 책임자) 비즈니스가 내부 및 외부적으로 인식되는 방식은 디바이스 또는 상황에 의해 제한되어서는 안 됩니다. 직원 복지는 집이나 사무실에서 일하기로 한 선택에 의해 강화되는 높은 우선 순위입니다. 성공적인 공격은 대중의 지식이 될 수 있으며 잠재적으로 브랜드 가치에 해를 끼칠 수 있습니다.
CIO(최고 정보 책임자) 모바일 및 하이브리드 인력에서 사용하는 애플리케이션은 회사의 데이터를 보호하는 동안 액세스할 수 있어야 합니다. 보안은 측정 가능한 결과여야 하며 IT 전략에 부합해야 합니다. 사용자 환경 및 생산성이 중요합니다.
CISO(최고 정보 보안 책임자) 원격 또는 하이브리드 작업 환경은 보안 위반에 대한 더 큰 노출 영역을 만듭니다. 환경이 확장됨에 따라 조직은 여전히 보안 및 데이터 보호 요구 사항, 표준 및 규정을 준수해야 합니다.
CTO(최고 기술 책임자) 비즈니스 혁신을 지원하는 데 사용되는 기술과 프로세스를 보호해야 합니다. SecOps 및 DevSecOps 사례는 공격의 영향을 줄일 수 있습니다. 원격 작업과 클라우드 서비스의 안전한 채택을 모두 용이하게 하는 무료 기술을 채택해야 합니다.
COO(최고 운영 책임자) 인력이 모바일이 되고 고정 사무실 위치를 사용하는 빈도가 낮아짐에 따라 비즈니스 자산은 보안을 유지해야 하며 비즈니스 위험을 관리해야 합니다. 일상적인 비즈니스 생산에 대한 CEO의 책임으로 인해 공격으로 인한 운영 또는 공급망에 대한 간섭은 수익에 영향을 미칩니다.
CFO(최고 재무 책임자) 지출 우선 순위는 고정 모델에서 민첩한 모델로 전환되고 있습니다. 고정 데이터 센터 투자 및 건물은 클라우드 애플리케이션 및 집에서 작업하는 사용자로 이동하고 있습니다. 보안 기능 구현 비용은 위험 및 비용 분석과 균형을 이겨야 합니다.

비즈니스 리더의 동기 외에도 많은 직원들은 유연성을 기대하며 언제 어디서나 모든 장치에서 일하기를 원합니다.

Microsoft는 COVID-19 전염병이 시작될 때 원격 및 하이브리드 작업을 수용한 많은 엔터프라이즈 규모 조직 중 하나입니다. 2022년 Microsoft 디지털 방어 보고서 87페이지에서 Microsoft는 이 비즈니스 기회가 위험을 초래하고 공격에 대한 복원력을 높이기 위해 보안 조치와 쌍을 이뤄야 한다고 강조합니다.

  • 사이버 보안은 기술 성공의 핵심 인자입니다. 혁신과 향상된 생산성은 조직이 최신 공격에 대해 가능한 한 탄력적일 수 있도록 하는 보안 조치를 도입해야만 달성할 수 있습니다.
  • 이 전염병으로 인해 Microsoft의 직원들은 어디에서나 보호할 수 있도록 보안 관행과 기술을 피벗해야 했습니다. 지난 1년 동안 위협 행위자는 전염병과 하이브리드 작업 환경으로의 전환 중에 노출된 취약성을 계속 활용했습니다.

이 보고서는 기본적인 보안 위생을 사용하여 대부분의 성공적인 사이버 공격을 방지할 수 있음을 강조합니다.

원격 및 하이브리드 작업을 보호하기 위한 채택 주기

제로 트러스트 원격 및 하이브리드 작업 보안에는 기본적이고 동시에 정교한 보호를 제공하는 보안 보호 배포가 포함됩니다. 기술적으로 이 목표에는 전체 엔드 투 엔드 수명 주기 접근 방식을 사용하여 조직의 리소스에 대한 모든 액세스에 대한 정책 적용 및 모니터링이 포함됩니다.

이 문서에서는 Azure에 대한 클라우드 채택 프레임워크 동일한 수명 주기 단계(전략, 계획, 준비, 채택 및 관리 정의)와 동일한 수명 주기 단계를 사용하지만 제로 트러스트 맞게 조정된 비즈니스 시나리오를 안내합니다.

목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램입니다.

다음 표는 접근성 있는 일러스트레이션 버전입니다.

전략 정의 계획 준비 채택 제어 및 관리
결과

조직 맞춤

전략적 목표		 관련자 팀

기술 계획

기술 준비 상태		 평가하다

테스트

파일럿		 디지털 자산에서 증분 방식으로 구현 추적 및 측정

모니터링 및 검색

성숙도 반복

제로 트러스트 채택 프레임워크 개요에서 제로 트러스트 채택 주기에 대해 자세히 알아보세요.

전략 단계 정의

전략 정의 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

전략 정의 단계는 이 시나리오의 "이유"를 해결하기 위한 노력을 정의하고 공식화하는 데 중요합니다. 이 단계에서는 비즈니스, IT, 운영 및 전략적 관점을 통해 시나리오를 이해합니다.

보안이 증분적이고 반복적인 여정이라는 것을 이해하여 시나리오에서 성공을 측정할 결과를 정의합니다.

이 문서에서는 많은 조직과 관련된 동기 및 결과를 제안합니다. 이러한 제안을 사용하여 고유한 요구 사항에 따라 조직의 전략을 연마할 수 있습니다.

원격 및 하이브리드 작업 동기 보호

원격 및 하이브리드 작업을 보호하는 동기는 간단하지만 조직의 여러 부분에는 이 작업을 수행하기 위한 다른 인센티브가 있습니다. 다음 표에서는 이러한 동기 중 일부를 요약합니다.

지역 동기
비즈니스 요구 사항 보안 표준을 낮추고 데이터 액세스 위험을 관리하지 않고 언제 어디서나 모든 디바이스에서 정보에 액세스할 수 있도록 합니다.
IT 요구 사항 인간 및 비인간 ID 요구 사항을 충족하고, VPN에 대한 요구 사항을 제거하고, 회사 및 BYOD 디바이스의 원격 관리를 규정 준수 방식으로 제공하는 표준화된 ID 플랫폼은 원활하고 긍정적인 사용자 환경을 제공합니다.
운영 요구 사항 표준화된 방식으로 기존 보안 솔루션을 구현합니다. 보안 ID를 구현하고 유지하는 데 필요한 관리 작업을 줄입니다. ID 거버넌스는 사용자를 온보딩 및 오프보딩하고, 리소스에 대한 액세스 권한을 적시에 부여하고, 충분한 액세스 권한을 제공하는 것을 의미합니다. 또한 더 이상 필요하지 않은 경우 액세스 권한을 취소하는 것을 의미합니다.
전략적 요구 사항 강력한 보안 솔루션을 구현하여 사이버 공격에 대한 투자 수익을 증분 방식으로 줄입니다. 제로 트러스트 보안 위반 원칙을 통해 폭발 반경을 최소화하고 표면을 공격하며 위반으로부터 복구 시간을 줄일 수 있도록 계획을 수립할 수 있다고 가정합니다.

원격 및 하이브리드 작업 시나리오 결과 보호

생산성을 높이려면 사용자가 다음을 사용할 수 있어야 합니다.

  • ID를 확인하기 위한 사용자 계정 자격 증명입니다.
  • PC, 태블릿 또는 휴대폰과 같은 엔드포인트(디바이스)입니다.
  • 제공한 애플리케이션입니다.
  • 해당 작업을 수행하는 데 필요한 데이터입니다.
  • 사용자와 디바이스가 온-프레미스인지 아니면 인터넷에 있든 관계없이 디바이스와 애플리케이션 간에 트래픽이 흐르는 네트워크입니다.

이러한 각 요소는 공격자의 대상이며 제로 트러스트 "신뢰하지 않으며 항상 확인" 원칙으로 보호되어야 합니다.

다음 표에서는 안전한 원격 및 하이브리드 작업 시나리오에 대한 목표와 결과를 제공합니다.

목표 결과
생산성 조직은 인력 위치에 따라 직원 기능을 제한하지 않고 사용자 및 디바이스에 안전하게 생산성을 확장하려고 합니다.
안전한 액세스 회사 데이터 및 앱은 회사 지적 재산권 및 개인 데이터를 보호하는 안전한 방식으로 올바른 직원이 액세스해야 합니다.
최종 사용자 지원 조직이 하이브리드 인력 정신을 채택함에 따라 직원들은 안전하고 모바일적인 업무 환경을 위해 더 많은 애플리케이션 및 플랫폼 기능이 필요합니다.
보안 강화 조직이 모바일 인력 요구 사항으로 확장할 수 있도록 현재 또는 제안된 작업 솔루션의 보안을 강화해야 합니다. 보안 기능은 온-프레미스 인력이 달성할 수 있는 것과 동일하거나 초과해야 합니다.
IT 역량 강화 IT 팀은 사용자와의 마찰을 과도하게 증가하지 않고 직원의 사용자 환경을 보호하는 것으로 시작하는 작업 공간을 보호하려고 합니다. 또한 IT 팀은 거버넌스를 지원하고 사이버 공격을 탐지하고 완화할 수 있도록 프로세스와 가시성이 필요합니다.

계획 단계

계획 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

채택 계획은 제로 트러스트 전략의 포부 목표를 실행 가능한 계획으로 변환합니다. 조직 팀은 채택 계획을 사용하여 기술 활동을 안내하고 조직의 비즈니스 전략에 부합할 수 있습니다.

비즈니스 리더 및 팀과 함께 정의한 동기와 결과는 조직에 "이유"를 지원합니다. 이들은 당신의 전략에 대한 노스 스타, 또는 안내 대상이된다. 다음으로 동기와 목표를 달성하기 위한 기술 계획이 제공됩니다.

다음 연습을 사용하여 조직의 기술 전략 구현을 계획할 수 있습니다. 이러한 연습은 우선 순위가 지정된 작업을 캡처하여 제로 트러스트 채택 노력을 지원합니다. 이 프로세스가 끝나면 클라우드 채택 전략에 정의된 메트릭 및 동기에 매핑되는 클라우드 채택 계획을 갖게 됩니다.

연습 설명
디지털 자산 디지털 자산의 인벤토리(ID, 디바이스, 앱)를 가져옵니다. 조직의 동기와 비즈니스 결과를 조정하는 가정에 따라 디지털 자산의 우선 순위를 지정합니다.
초기 조직 맞춤 조직을 기술 전략 및 채택 계획에 맞게 조정합니다. 전략 및 계획은 인벤토리 내에서 식별한 우선 순위와 함께 조직의 목표를 기반으로 합니다.
기술 기술 준비 계획 조직 내에서 기술 준비 간격을 해결하기 위한 계획을 만듭니다.
클라우드 채택 계획 기술, 디지털 자산 및 조직 전반의 변화를 관리하는 클라우드 채택 계획을 개발합니다.

원격 및 하이브리드 작업을 보호하기 위한 기술 채택에는 다음을 요구하여 ID, 디바이스 및 애플리케이션에 제로 트러스트 원칙이 적용되도록 하는 단계별 접근 방식이 포함됩니다.

  • 조건부 액세스를 사용하는 MFA(다단계 인증)는 환경에 액세스하는 모든 사용자 ID에 적용됩니다.
  • 디바이스는 디바이스 관리에 등록되고 상태를 모니터링합니다.
  • 애플리케이션 및 해당 데이터에 액세스하려면 ID, 정상 디바이스 및 적절한 데이터 액세스를 확인해야 합니다.

많은 조직에서 다음 차트에 요약된 이러한 배포 목표에 대해 4단계로 구성된 접근 방식을 취할 수 있습니다.

스테이지 1 스테이지 2 3단계 스테이지 4
강력한 인증을 사용하여 모든 ID 확인 및 보호

Single Sign-On을 위해 Microsoft Entra ID와 SaaS 앱 통합

모든 새 애플리케이션은 최신 인증을 사용합니다.		 Microsoft Entra ID를 사용하여 디바이스 등록

시작 지점 제로 트러스트 ID 및 디바이스 액세스 정책 구현

Single Sign-On을 위해 온-프레미스 앱에서 Microsoft Entra 애플리케이션 프록시 사용		 디바이스 관리 솔루션에 디바이스 등록 및 권장 보안 보호 적용

규격 및 신뢰할 수 있는 디바이스만 데이터에 액세스하도록 허용		 디바이스 구성 드리프트 모니터링

암호 없는 인증 구현

이 단계적 접근 방식이 조직에 적합한 경우 다음을 사용할 수 있습니다.

  • 다운로드 가능한 PowerPoint 슬라이드 데크는 이러한 단계와 목표를 통해 비즈니스 리더 및 기타 이해 관계자에게 진행 상황을 발표하고 보고할 수 있습니다. 다음은 이 비즈니스 시나리오에 대한 슬라이드입니다.

    보안 원격 및 하이브리드 작업 배포 단계를 위한 PowerPoint 슬라이드입니다.

  • Excel 통합 문서는 소유자를 할당하고 이러한 단계, 목표 및 해당 작업에 대한 진행 상황을 추적합니다. 이 비즈니스 시나리오의 워크시트는 다음과 같습니다.

    보안 원격 및 하이브리드 작업 배포를 위한 진행률 추적 워크시트입니다.

조직에서 특정 GRC(거버넌스 위험 및 규정 준수) 또는 SOC(보안 운영 센터) 전략을 구독하는 경우 기술 작업에서 이러한 요구 사항을 충족하는 구성을 통합하는 것이 매우 중요합니다.

조직 이해

각 조직의 요구 사항과 구성은 다릅니다. 많은 애플리케이션과 고도로 표준화된 보안을 갖춘 다국적 기업은 민첩한 스타트업 또는 중간 규모의 조직과는 다르게 보안을 구현합니다.

조직의 크기와 복잡성에 관계없이 다음 작업이 적용됩니다.

  • 보안 상태를 이해하고 자산을 변환하는 데 필요한 노력 수준을 예측하기 위해 사용자, 엔드포인트, 앱, 데이터 및 네트워크를 인벤토리로 작성합니다.
  • 우선 순위에 따라 목표를 문서화하고 증분 채택 계획을 수립합니다. 예를 들어 ID 및 Microsoft 365 서비스 및 엔드포인트를 보호하는 것이 있습니다. 다음으로, 조건부 액세스에서 제공하는 최신 인증 방법 및 구분 기능을 사용하여 앱 및 SaaS 서비스를 보호합니다.
  • 최소 권한 액세스를 사용하는 원칙에 따라 권한 있는 액세스 권한이 있는 계정 수를 인벤토리화하고 가능한 최소 계정 수로 줄입니다. 권한 있는 액세스가 필요한 계정은 JIT/JEA(Just-In-Time 및 Just-Enough-Access)를 사용하여 고정 관리 권한을 제한해야 합니다. 위반이 발생하면 손상된 계정이 제한되어 폭발 반경을 최소화합니다. "중단" 계정을 제외하고 SharePoint, Exchange 및 Teams와 같은 생산성 서비스에 대한 애플리케이션 관리 역할을 포함하는 높은 권한의 역할에는 상주 관리자 액세스가 허용되지 않아야 합니다.

조직 계획 및 맞춤

보안 액세스 방법론의 구현 및 거버넌스는 여러 겹치는 영역에 영향을 미치며 일반적으로 다음 순서로 구현됩니다.

  1. Identities
  2. 엔드포인트(디바이스)
  4. 네트워크

데이터 보호는 원격 및 하이브리드 작업을 보호하는 데도 중요합니다. 이 항목은 중요한 비즈니스 데이터 식별 및 보호에서 보다 철저하게 다룹니다.

이 표에는 결과를 결정하고 추진하기 위해 스폰서쉽 프로그램 및 프로젝트 관리 계층 구조를 빌드할 때 권장되는 역할이 요약되어 있습니다.

지역 프로그램 리더 기술 소유자 역할
Identities CISO, CIO 또는 ID 보안 디렉터

ID 보안 또는 ID 설계자에서 프로그램 리더		 보안 설계자

ID 보안 또는 ID 설계자

ID 관리자

보안 거버넌스 또는 ID 관리자

사용자 교육 팀
끝점 CISO, CIO 또는 ID 보안 디렉터

ID 보안 또는 ID 설계자에서 프로그램 리드		 보안 설계자

ID 보안 또는 인프라 보안 설계자

MDM(모바일 디바이스 관리) 관리자

보안 거버넌스 또는 MDM 관리자

사용자 교육 팀
CISO, CIO 또는 애플리케이션 보안 디렉터

앱 관리의 프로그램 리드		 ID 설계자

개발자 설계자

네트워크 설계자

클라우드 네트워크 설계자

보안 거버넌스
네트워크 CISO, CIO 또는 네트워크 보안 디렉터

네트워킹 리더십의 프로그램 리더		 보안 설계자

네트워크 설계자

네트워크 엔지니어

네트워크 구현자

네트워킹 거버넌스

이 채택 콘텐츠에 대한 리소스의 PowerPoint 슬라이드 데크에는 사용자 고유의 조직에 맞게 사용자 지정할 수 있는 관련자 보기가 포함된 다음 슬라이드가 포함되어 있습니다.

PowerPoint 슬라이드를 통해 보안 원격 및 하이브리드 작업 배포에 대한 주요 관련자를 식별할 수 있습니다.

기술 계획 및 기술 준비

Microsoft는 이 작업의 우선 순위를 지정하고, 시작하고, 배포를 완성하는 데 도움이 되는 리소스를 제공합니다. 이 단계에서는 이러한 리소스를 계획 활동으로 사용하여 제안된 변경 내용의 영향을 이해하고 구현 계획을 만듭니다.

이러한 리소스에는 조직에서 권장되는 시작 지점으로 사용할 수 있는 규범적 지침이 포함됩니다. 우선 순위 및 요구 사항에 따라 권장 사항을 조정합니다.

리소스 설명
RaMP(신속한 현대화 계획) 검사 목록: 모든 액세스 요청에 대한 트러스트의 유효성을 명시적으로 검사합니다.

빠른 현대화 계획의 이미지		 이 일련의 검사 목록은 각 보안 배포 영역의 기술 목표를 우선 순위 순서로 열거하고 이를 달성하기 위해 수행해야 하는 단계를 문서화합니다. 또한 각 영역에 참여해야 하는 프로젝트 멤버를 나열합니다.

이 리소스를 사용하면 빠른 승리를 식별할 수 있습니다.
id 및 디바이스 액세스 구성 제로 트러스트 ID 및 디바이스 액세스 정책 이미지 이 솔루션 가이드에서는 함께 테스트된 ID 및 디바이스 액세스 정책 집합을 권장합니다. 여기에는 다음이 포함됩니다.
  • 시작되고 디바이스를 관리할 필요가 없는 시작 지점 수준 정책입니다.
  • 제로 트러스트 엔터프라이즈 수준 정책을 사용하는 것이 좋습니다. 이렇게 하려면 엔드포인트 관리를 위해 디바이스를 등록해야 합니다.
이러한 권장 사항을 시작점으로 사용하고 필요한 경우 고유한 환경 및 목표에 대한 정책을 조정합니다.
Intune을 사용하여 디바이스 관리

Intune을 사용하여 디바이스를 관리하는 이미지		 이 솔루션 가이드에서는 디바이스를 관리로 등록할 필요가 없는 작업부터 디바이스를 완전히 관리하는 작업까지 디바이스를 관리하는 단계를 안내합니다. 이러한 권장 사항은 위의 리소스와 조정됩니다.
Intune 등록 옵션

Intune 등록 옵션 이미지

PDF | Visio
업데이트 날짜: 2022년 6월		 이 포스터 세트는 플랫폼당 디바이스 등록 옵션의 검색하기 쉬운 비교를 제공합니다.
MFA 배포 계획 이 배포 가이드에서는 Microsoft Entra 다단계 인증 롤아웃을 계획하고 구현하는 방법을 보여줍니다.

다음 섹션에서는 이러한 리소스 외에도 이전에 정의된 4단계의 특정 작업에 대한 리소스를 강조 표시합니다.

스테이지 1

배포 목표 리소스
강력한 인증을 사용하여 모든 ID 확인 및 보호 Microsoft Entra ID에서 사용할 수 있는 인증 및 확인 방법은 무엇인가요?
Single Sign-On을 위해 Microsoft Entra ID와 SaaS 앱 통합 Microsoft Entra ID 및 정책 범위에 SaaS 앱 추가
새 애플리케이션은 최신 인증을 사용합니다. 검사 목록 - 워크로드에 대한 ID를 관리하는 방법은 무엇인가요?

스테이지 2

배포 목표 리소스
Microsoft Entra ID를 사용하여 디바이스 등록 Microsoft Entra 등록 디바이스

Microsoft Entra 조인 구현 계획
시작 지점 보호 수준에 대한 제로 트러스트 ID 및 디바이스 액세스 정책 구현 제로 트러스트 ID 및 디바이스 액세스 구성에 대한 보호 수준
Single Sign-On을 위해 온-프레미스 앱에서 Microsoft Entra 애플리케이션 프록시 사용 애플리케이션 프록시 애플리케이션에 대해 Single Sign-On을 구성하는 방법

3단계

배포 목표 리소스
관리에 디바이스 등록 및 권장 보안 보호 적용 Intune 개요를 사용하여 디바이스 관리

제로 트러스트 ID 및 디바이스 액세스 구성
규격 및 신뢰할 수 있는 디바이스만 데이터에 액세스하도록 허용 Intune을 사용하여 디바이스에 대한 준수 정책 설정

Intune을 사용하여 정상 및 규격 디바이스 필요

스테이지 4

배포 목표 리소스
디바이스 구성 드리프트 모니터링 Microsoft Intune에서 디바이스 프로필 배포

디바이스 위험 및 보안 기준 준수 모니터링
암호 없는 인증 구현 암호 없는 인증을 사용하여 로그인 보안 강화

클라우드 채택 계획

채택 계획은 제로 트러스트 성공적으로 채택하기 위한 필수 요구 사항입니다. 제로 트러스트 채택 계획은 회사가 기존 보안 접근 방식에서 변경 관리 및 거버넌스를 포함하는 보다 성숙하고 정교한 전략으로 전환하는 데 도움이 되는 반복적인 프로젝트 계획입니다.

ID, 엔드포인트, 앱 및 네트워크는 이 계획 단계의 범위에 있습니다. 이러한 각 항목에는 기존 자산을 보호하기 위한 요구 사항이 있으며 더 큰 온보딩 프로세스의 일부로 도착하는 새 엔터티로 보안을 확장할 계획입니다.

보안 원격 및 하이브리드 작업 솔루션 계획은 조직에 보안이 필요한 기존 ID가 있으며 보안 표준을 준수하는 새 ID를 만들어야 한다고 간주합니다.

채택 계획에는 다음을 포함할 수 있는 조직을 지원하는 데 필요한 사항을 이해하는 새로운 방식으로 작업하도록 직원을 교육하는 것도 포함됩니다.

  • 새로운 작업 방식에 대한 관리자 교육 권한 있는 액세스 방법은 고정 관리자 액세스와 다르며, 보편적인 수용에 도달할 때까지 처음에는 마찰을 불러올 수 있습니다.
  • 모든 수준의 기술 지원팀 및 IT 담당자에게 동일한 혜택 실현 메시지를 제공합니다. 보안을 강화하면 안전하게 작업할 때의 이점과 균형이 잡힌 공격자 마찰이 발생합니다. 이 메시지를 모든 수준에서 이해하고 통신할 수 있는지 확인합니다.
  • 사용자 채택 및 교육 자료 만들기 보안은 공유 책임으로 널리 채택되며 비즈니스 목표에 부합하는 보안 혜택은 사용자에게 전달되어야 합니다. 보안에 대한 사용자 채택이 새 기술에 대한 사용자 채택과 동일한 수준으로 달성되었는지 확인합니다.

클라우드 채택 프레임워크 자세한 내용은 클라우드 채택 계획을 참조하세요.

준비 단계

준비 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

이 시나리오(원격 및 하이브리드 작업 보안)는 ID, 디바이스 및 데이터를 사용하는 네트워크를 통해 평가하고 보호합니다. 기술이 잠재적으로 중단될 수 있으므로 기존 라이선스를 활용하고 사용자 영향을 최소화하는 빠른 승리를 제공하는 소규모 프로젝트부터 단계적 접근 방식을 사용하는 것이 좋습니다.

먼저 계획을 빌드한 다음 계획을 테스트합니다. 그런 다음, 새 구성 및 기능을 증분 방식으로 롤아웃합니다. 이렇게 하면 교훈을 학습하는 동안 계획을 개선할 수 있습니다. 배포 범위를 넓히면 통신 계획을 개발하고 변경 내용을 알려야 합니다.

다음 다이어그램에서는 변경 내용을 평가하기 위해 작은 그룹으로 프로젝트를 시작하는 권장 사항을 보여 줍니다. 이 소규모 그룹은 IT 팀의 구성원이거나 결과에 투자된 파트너 팀일 수 있습니다. 그런 다음, 더 큰 그룹으로 변경 내용을 파일럿합니다. 이 그림에는 전체 배포의 세 번째 단계가 포함되어 있지만 전체 조직이 적용될 때까지 배포 범위를 점진적으로 늘려서 수행하는 경우가 많습니다.

파일럿, 평가 및 전체 배포 채택 단계의 다이어그램.

예를 들어 디바이스를 등록할 때는 다음 지침을 사용하는 것이 좋습니다.

배포 단계 설명
Evaluate 1단계: 테스트를 위한 50개의 엔드포인트 식별
파일럿 2단계: 프로덕션 환경에서 다음 50-100개의 엔드포인트 식별
전체 배포 3단계: 나머지 엔드포인트를 더 큰 증분 단위로 등록

ID 보안은 MFA를 채택하고 Microsoft Entra 조건부 액세스를 사용하여 액세스를 분할하는 것으로 시작합니다. 이러한 기능은 명시적으로 확인하는 원칙을 지원하지만 증분 채택 프로세스가 필요합니다. 접근 방식에 따라 MFA 방법론을 롤아웃하고 전환 날짜 전에 사용자에게 전달해야 할 수 있습니다. 특히 암호를 사용하는 데 사용되는 기존 인력의 경우 특히 그렇습니다.

이 시나리오를 계획하는 동안 다음 요소를 고려합니다.

  • MFA 방법론에 따라 FIDO2 또는 다른 토큰 기반 접근 방식을 사용하는 대신 모바일 애플리케이션 기반 MFA를 사용하려면 사용자 구매를 요청해야 할 수 있습니다. 이는 비즈니스용 Windows Hello 적용됩니다.
  • 조건부 액세스 정책은 평가 및 의사 결정 기준과 관련하여 복잡할 수 있습니다. 이렇게 하려면 앱 및 사용자 환경에서 조건부 액세스를 증분 방식으로 파일럿하고 롤아웃해야 합니다.
  • 조건부 액세스는 엔드포인트의 상대 상태 및 패치 상태와 사용자의 위치를 조건부 매개 변수로 고려할 수 있습니다. 액세스 조건으로 앱 또는 서비스에 액세스하기 위해 엔드포인트를 관리해야 하는 경우 엔드포인트를 관리에 등록해야 합니다.
  • 최신 인증 방법을 지원하는 최신 앱은 MFA 기반 인증 및 조건부 액세스 정책과 쉽게 통합됩니다. 애플리케이션 수와 해당 인증 방법을 이해하는 것이 중요합니다.

보호 계층을 계획하고 준비하여 제로 트러스트 빌드할 때 Microsoft에서 제공하는 리소스를 활용합니다. 원격 및 하이브리드 작업을 보호하기 위해 Microsoft는 공통 제로 트러스트 ID 및 디바이스 액세스 정책 집합을 제공합니다. 이는 테스트되고 잘 작동하는 것으로 알려진 정책 집합입니다.

다음은 세 가지 수준의 보호에 대한 정책입니다.

세 가지 보호 수준을 보여 주는 제로 트러스트 ID 및 디바이스 액세스 정책 다이어그램

이 정책 집합에는 사용자에게 미치는 영향을 최소화하는 시작 지점 보호 수준이 포함됩니다. 이 정책 집합은 디바이스를 관리에 등록할 필요가 없습니다. 준비가 되었으며 디바이스를 등록한 경우 엔터프라이즈 수준을 배포할 수 있습니다. 이 수준은 제로 트러스트 권장됩니다.

이러한 보호 수준 외에도 다음과 같은 방법으로 정책 범위를 증분 방식으로 늘릴 수 있습니다.

  • 정책의 범위를 소규모 사용자 집합에 적용하여 시작한 다음, 포함된 사용자의 범위를 늘입니다. 사용자 구분은 대상 사용자 또는 디바이스만 영향을 받기 때문에 서비스 중단 또는 사용자 중단에 대한 위험 완화를 허용합니다.
  • 먼저 정책 범위에 Microsoft 365 앱 및 서비스를 추가합니다. 그런 다음 조직에서 사용하는 다른 SaaS 앱을 포함하도록 진행합니다. 준비가 되면 Azure 또는 다른 클라우드 공급자에서 빌드한 앱을 정책 범위에 포함합니다.

마지막으로, 사용자에 대해 잊지 마세요. 사용자 채택 및 통신은 데이터 센터 기반 서비스에서 Microsoft 365로 이동하는 초기 사용자 채택의 중요성과 유사하게 ID에 대한 보안을 구현할 때 중요합니다. 보안 서비스를 구현할 때 단일 단계 접근 방식은 거의 성공하지 않습니다. 변경 내용이 중단되고 제대로 전달되지 않으며 테스트가 제대로 수행되지 않는 경우 사용자 마찰이 증가하여 보안 이니셔티브가 실패하는 경우가 많습니다. 이것이 바로 보안 이니셔티브의 임원 후원이 가장 잘 작동하는 곳입니다. 임원이 배포 단계 초기에 채택하여 지원을 시연하는 경우 사용자가 더 쉽게 따를 수 있습니다.

Microsoft는 사용자 교육 및 채택을 돕기 위해 다운로드할 수 있는 최종 사용자 롤아웃 템플릿 및 자료를 제공합니다. 여기에는 이러한 항목을 다시 브랜딩하는 방법에 대한 지침과 사용자와 공유하기 위한 권장 사항이 포함됩니다. https://aka.ms/entratemplates을 참조하세요.

빌드 및 테스트

팀을 구성하고, 권장되는 기술 리소스를 검토하고, 프로젝트 및 배포를 준비하는 계획을 개발한 후에는 잘 문서화된 계획을 갖추게 될 것입니다. 계획을 공식적으로 채택하기 전에 테스트 환경에서 구성을 빌드하고 테스트해야 합니다.

조건부 액세스 정책 집합과 같은 각 기술 영역은 테넌트 전체에서 기능을 사용하도록 설정하여 보안을 설정할 수 있습니다. 그러나 잘못 구성된 정책은 광범위한 결과를 초래할 수 있습니다. 예를 들어 잘못 작성된 조건부 액세스 정책은 모든 관리자를 테넌트에서 잠글 수 있습니다.

위험을 완화하려면 테스트 또는 QA 테넌트를 배포하여 익숙해지면 각 기능을 구현하거나 처음으로 배포하는 것이 좋습니다. 테스트 또는 QA 테넌트는 현재 사용자 환경을 합리적으로 대표해야 하며 QA 함수를 수행하여 활성화된 기능이 보호되는 함수를 이해하고 지원하는지 테스트할 수 있을 만큼 정확해야 합니다.

RAMP 검사 목록을 사용하여 진행률을 추적할 수 있습니다. 계획 및 구현 단계를 모두 나열합니다. QA 테넌트는 처음으로 수행되는 구현 작업의 테스트 베드입니다.

이 단계의 출력은 새 학습이 계획에 적용되는 동안 변경 내용이 증분 방식으로 롤아웃되는 프로덕션 테넌트에서 채택으로 전환할 계획이 있는 QA 테넌트에 대해 처음에 빌드되고 테스트되는 문서화된 구성이어야 합니다.

프로덕션 환경에서 새 구성을 롤아웃할 때 일관된 사용자 메시징을 유지하고 이러한 변경 내용이 사용자에게 미치는 영향을 계속 파악합니다. 보안 기능을 구현하면 Just-In-Time 액세스를 사용하도록 설정하는 등 기술 영향이 낮을 수 있지만, 관리자가 업무 수행을 위해 승인 워크플로를 통해 서비스에 대한 액세스를 요청해야 하는 등 프로세스에 큰 영향을 미칩니다.

마찬가지로 디바이스 등록은 사용자 환경에 미치는 영향이 적지만, 디바이스 준수 및 상태 요구 사항에 따라 조건부 액세스를 구현하면 사용자가 서비스에 액세스할 수 없으므로 사용자 기반에 큰 영향을 미칠 수 있습니다.

서비스 및 계획된 변경의 영향을 이해하기 위해 각 서비스를 테스트하는 것은 성공에 매우 중요합니다. 프로덕션에서 파일럿을 시작하기 전까지는 일부 영향이 완전히 명백하지 않을 수 있습니다.

거버넌스 및 관리 변경 내용 추적

제로 트러스트 목표는 보안을 증분 방식으로 강화하고 이 목표를 달성하는 환경의 변화를 구현하는 것입니다. 이러한 변경 내용을 변경하려면 환경의 관리 및 거버넌스 모델을 변경해야 합니다. 테스트 및 배포가 수행되면 관리 및 거버넌스 모델에 대한 변경 내용과 영향을 문서화해야 합니다.

채택 단계

채택 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램.

채택 단계에서는 기능 영역에서 전략 및 배포 계획을 증분 방식으로 구현합니다. 채택 단계는 개념 증명의 더 큰 구현입니다. 배포 계획이 실행되고 사용자 분할 및 디지털 자산에서 대상으로 지정하는 영역에 따라 연속 웨이브에서 롤아웃이 발생합니다.

권장되는 대로 각 새 구성을 제한된 개념 증명으로 프로덕션 테넌트에 배포합니다(다음 다이어그램에서 "평가"라고 표시됨).

파일럿, 평가 및 전체 배포를 포함하는 채택 단계의 다이어그램.

QA 환경에서 새 구성을 이미 테스트했더라도 프로덕션 배포 계획에서 테스트 및 평가하는 내용과 각 단계에서 성공을 측정하기 위한 수용 조건도 문서화해야 합니다. 배포를 확대하기 전에 테스트할 영향을 낮은 사용자, 엔드포인트 및 앱의 하위 집합을 선택하는 것이 이상적입니다. 동일한 방법론에 따라 구현의 성공 및 실패에 대해 알아보고 계획을 업데이트합니다.

제한된 대상 그룹을 대상으로 하더라도 배포되는 일부 기능은 서비스 전체에 영향을 줄 수 있습니다. QA 테스트 중에 위험을 식별하고 롤백 계획이 있는지 확인하여 이러한 영향을 완화할 수 있습니다.

성공적인 배포 계획에는 다음 요소가 포함됩니다.

  • 사용자 통신 전략을 포함하는 채택 및 출시 계획
  • 경영진의 승인을 보장하기 위한 임원 채택 및 롤아웃 계획
  • 사용자 채택 및 출시 계획
  • 프로젝트 관리 및 거버넌스 아티팩트
  • 사업부별 사용자 구분 또는 사용자 영향
  • 사업부 또는 사용자 영향별 디바이스 세분화
  • 구현의 중요도 및 복잡성에 따라 순위가 지정된 앱
  • 일상적인 관리 및 거버넌스 변경에 대한 업데이트 초안

단계 관리 및 관리

거버넌스 및 관리 단계가 강조 표시된 단일 목표 또는 목표 집합에 대한 채택 프로세스의 다이어그램

보안 거버넌스는 반복적인 프로세스입니다. 디지털 자산에서 보안을 제어하는 기존 정책을 사용하는 조직의 경우 제로 트러스트 전략을 채택하면 이러한 정책을 발전시키는 인센티브가 제공됩니다. 보안 전략 및 정책이 시간이 지남에 따라 성숙함에 따라 클라우드 거버넌스 프로세스 및 정책도 완성됩니다.

계획 단계에서는 관리 작업이 발생한 테스트 테넌트에 대해 새 기능을 테스트했습니다. 제로 트러스트 원칙을 지원하는 기능을 구현하려면 결과 최종 상태를 관리하는 다른 방법이 필요하다는 점에 유의해야 합니다.

이 시나리오에 대한 새로운 요구 사항의 몇 가지 예는 다음과 같습니다.

  • 관리자 액세스가 아닌 필요한 경우 관리 액세스를 승인하는 프로세스를 설정합니다.
  • 사용자가 조직을 입력, 사용 및 종료할 때 사용자의 수명 주기 관리를 업데이트합니다.
  • 디바이스의 수명 주기 관리를 업데이트합니다.
  • 새 앱의 릴리스 조건을 업데이트하여 조건부 액세스 정책 범위에 포함되도록 합니다.

롤아웃 계획이 진행됨에 따라 결과 환경을 관리하면 관리 및 거버넌스 방법론이 변경됩니다. 제로 트러스트 변경으로 인해 환경을 모니터링하는 방법입니다.

제로 트러스트 환경의 보안 위험을 해결하므로 ID 개체 수명 주기 관리는 더 이상 선택 사항이 아닙니다. 개체 증명은 개체 수명 주기의 표현이며, 개체 수명 주기의 유일한 보유자로서 비즈니스에 대한 책임을 IT에서 멀어지게 합니다.

제로 트러스트 사용자와 관리자가 롤아웃된 최종 상태와 상호 작용하는 방법을 포함하여 자산의 결과 관리에서 성숙도를 높여야 합니다. 잠재적인 변경의 예는 다음 표를 참조하세요.

대상 함수 참조
사용자 사용자 기반 개체 증명 검토 액세스 검토를 사용하여 사용자 및 게스트 사용자 액세스 관리
관리자 Microsoft Entra ID 거버넌스의 ID 및 액세스 수명 주기 Microsoft Entra ID 거버넌스란?

일상적인 거버넌스 및 운영을 위한 추가 리소스는 다음과 같습니다.

다음 단계

진행률 추적 리소스

제로 트러스트 비즈니스 시나리오의 경우 다음 진행률 추적 리소스를 사용할 수 있습니다.

진행률 추적 리소스 도움이 됩니다... 대상 사용자
채택 시나리오 계획 단계 그리드 다운로드 가능한 Visio 파일 또는 PDF

단계 및 목표를 보여 주는 예제 계획 및 단계 그리드입니다. 		각 비즈니스 시나리오의 보안 향상 기능과 계획 단계의 단계 및 목표에 대한 노력 수준을 쉽게 이해할 수 있습니다. 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자.
제로 트러스트 채택 추적기 다운로드 가능한 PowerPoint 슬라이드 데크

단계 및 목표를 보여 주는 예제 PowerPoint 슬라이드입니다. 		계획 단계의 단계 및 목표를 통해 진행 상황을 추적합니다. 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자.
비즈니스 시나리오 목표 및 작업 다운로드 가능한 Excel 통합 문서

단계, 목표 및 작업을 보여 주는 Excel 워크시트의 예입니다. 		소유권을 할당하고 계획 단계의 단계, 목표 및 작업을 통해 진행 상황을 추적합니다. 비즈니스 시나리오 프로젝트 리드, IT 잠재 고객 및 IT 구현자.

추가 리소스는 제로 트러스트 평가 및 진행률 추적 리소스를 참조하세요.