Microsoft ID 및 액세스 관리 이해: 알아야 할 모든 것
게시 됨: 2019-11-142018년에만 4억 4,500만 달러가 사이버 범죄자에게 손실되었다는 사실을 알고 계셨습니까?
2019 Verizon Data Breach Investigations Report에 따르면 해킹 스타일 공격의 80%는 손상되거나 취약한 자격 증명과 관련이 있습니다. 전반적으로 모든 위반의 29%가 자격 증명 도난으로 인한 것이었습니다.
ID 및 액세스 관리 솔루션은 그 어느 때보다 기업에서 중요합니다. 그러나 대부분의 회사는 어디서부터 시작해야 할지 모릅니다. 시작점을 제공하고 Microsoft ID 및 액세스 관리 솔루션에 대해 자세히 설명하기 위해 이 문서를 만들었습니다.
IAM 서비스는 무엇을 합니까?
직원은 가장 큰 보안 위험입니다. 그들이 암호를 안전하게 유지하는 데 부주의하거나 약한 암호를 사용하는 경우 "Hack me"라는 알림을 보낼 수도 있습니다. 몇 명의 직원이 있는 소규모 비즈니스를 운영하는 경우 액세스 관리가 간단합니다. 직원이 많을수록 관리하기가 더 어려워집니다. IAM 서비스가 작동하는 곳입니다.
직원 액세스 관리
이를 통해 시스템에 대한 직원 액세스를 보다 효율적으로 관리할 수 있습니다. 더 안전한 대안 액세스 옵션을 제공합니다. 예를 들어 Microsoft의 Azure Active Directory는 다단계 인증 시스템과 결합된 단일 로그인 지점을 제공합니다.
따라서 사용자 이름과 비밀번호를 입력하는 대신 몇 가지 다른 인증 단계를 거치게 됩니다. 예를 들어 휴대폰으로 전송된 인증 코드를 입력해야 할 수 있습니다. 또는 더 많은 보안이 필요한 경우 생체 인식을 사용할 수 있습니다.
IAM 시스템을 사용하면 직원이 액세스할 수 있는 시스템을 한 눈에 볼 수 있습니다. 기능에 중요한 시스템에만 액세스 권한을 조정할 수 있습니다. 또한 설정된 간격이 지나면 자동으로 암호를 재설정하도록 시스템을 프로그래밍할 수 있습니다.
고객 여정 개선
이러한 시스템은 로그인 프로세스를 보다 쉽고 안전하게 만들어 클라이언트 여정을 개선할 수 있습니다.
외부 계약자에 대한 액세스 관리
프리랜서와 작업해야 하는 경우 이러한 시스템을 사용하면 사용자 프로필을 빠르고 쉽게 설정할 수 있습니다. 액세스해야 하는 시스템에만 제한된 사용자 권한을 할당할 수 있습니다.
예를 들어, 하나의 회사 이메일 주소에 대한 액세스 권한이나 데이터베이스에 대한 기본 액세스 권한을 부여할 수 있습니다. 액세스가 자동으로 취소되도록 계약 종료 날짜를 프로그래밍할 수도 있습니다.
생산성 향상
직원들이 다른 장치에서 안전하게 작업할 수 있으므로 생산성 향상에도 유용할 수 있습니다. 이러한 서비스의 대부분은 클라우드 기반이므로 장치에 종속되지 않습니다. 즉, 장치 자체에 다운로드할 필요가 없습니다.
시스템에 대한 직원 액세스를 제한하면 해당 시스템 내에서 혼잡을 더 잘 관리할 수 있습니다. 이는 차례로 생산성을 향상시킵니다.
지원 규정 준수
개인정보 보호법이 강화되면서 기업은 고객 정보를 보호해야 하는 부담이 커졌습니다. IAM 시스템이 이를 지원할 수 있습니다.
IT 담당자가 더 중요한 작업에 집중할 수 있도록 허용
마지막으로 이러한 시스템을 통해 필수 보안 작업을 자동화할 수 있습니다. 이렇게 하면 IT 직원이 더 중요한 작업을 수행할 수 있습니다. 또한 인적 오류의 가능성도 줄어듭니다.
Microsoft는 어떻게 적합합니까?
Microsoft의 Azure 제품군은 필요한 보안 수준을 제공하는 강력한 도구 집합을 제공합니다. 또한 보호 기능을 더욱 강화하기 위해 여러 타사 제공업체와 파트너 관계를 맺었습니다. 따라서 예를 들어 Microsoft에 얼굴 인식 소프트웨어를 제공할 기술이 없는 경우 제공하는 회사와 파트너 관계를 맺게 됩니다.
Azure 권한 있는 ID 관리
이 제품은 승인 기반 및 시간 기반 활성화를 제공하여 리소스 남용 및 무단 액세스를 방지합니다.
기능은 다음과 같습니다.
- Just-in-time 권한 있는 액세스 : 이 기능을 사용하면 Azure 가상 머신으로 들어오는 트래픽을 차단할 수 있습니다. 이는 노출을 줄여 공격으로부터 효과적으로 보호합니다. 시스템을 사용하지 않을 때는 잠겨 있습니다.
- 시간 제한이 있는 액세스 권한 : 예를 들어 누군가를 임시로 고용한다고 가정해 보겠습니다. 계약이 시작되고 종료되는 날짜를 입력합니다. 시스템은 종료 날짜에 자동으로 액세스를 차단합니다.
- 제어 대상 제어 : 시스템은 사용자 프로필을 생성한 다음 활성화해야 합니다. 특수 권한의 활성화는 시스템 관리자의 승인이 있어야만 가능합니다. 메이커/체커 모델을 따르고 싶다면 여기에서 할 수 있습니다. IT pro 1은 프로필을 만든 다음 활성화 승인을 위해 프로필을 시작합니다.
- 사용자 활성화를 위해 다단계 인증 사용 : 보호는 직원뿐만 아니라 확장됩니다. 사이트에 가입하는 사용자에 대해서도 2단계 인증을 활성화할 수 있습니다. 예를 들어 프로필을 만든 경우 활성화하려면 이메일 주소를 확인해야 합니다.
- 권한 있는 역할이 활성화될 때 알림 : 이것은 인증의 또 다른 형식입니다. 누군가 시스템에 로그인하거나 승인을 요청하면 알림이 전송됩니다.
- 액세스 검토 : 직원이 역할을 변경했습니까? 여전히 이전만큼 많은 액세스 권한이 필요합니까? Microsoft Identity Access Management를 사용하면 간단하게 역할을 검토하고 필요에 따라 액세스를 변경할 수 있습니다.
- 전체 감사 기록 : 감사 중인 경우에 유용합니다. 이것은 활성화 날짜, 데이터 변경 날짜 등의 증거를 제공합니다. 귀하의 회사가 개인 정보 보호법과 관련하여 혐의를 받고 있는 경우 이는 중요할 수 있습니다. 또한 내부 감사를 훨씬 쉽게 수행할 수 있습니다.
누가 무엇을 할 수 있습니까?
시스템은 관리를 담당하는 사람들에게 다른 권한을 할당합니다. 작동 방식은 다음과 같습니다.
- 보안 관리자
여기에 등록된 첫 번째 사용자에게는 권한 있는 관리자 및 보안 관리자 역할이 할당됩니다.
- 권한 있는 관리자
이들은 다른 관리자에게 역할을 할당할 수 있는 유일한 관리자입니다. 다른 관리자에게 Azure AD에 대한 액세스 권한을 부여할 수도 있습니다. 다음 역할의 사용자는 할당을 볼 수 있지만 변경할 수는 없습니다. 이러한 사람들에는 보안 관리자, 글로벌 관리자, 보안 독자 및 글로벌 독자가 포함됩니다.
- 구독 관리자
이러한 역할의 사용자는 다른 관리자의 할당을 관리할 수 있습니다. 그들은 할당을 변경하고 종료할 수 있습니다. 이를 수행할 수 있는 다른 역할은 사용자 액세스 관리자 및 리소스 소유자입니다.
보안 관리자, 권한 있는 역할 관리자 및 보안 독자와 같은 역할의 사용자에게는 할당을 볼 수 있는 권한이 할당되어야 합니다.
알아야 할 용어
Microsoft Privileged Identity Management에서 사용되는 용어는 초심자에게는 혼란스러울 수 있습니다. 다음은 기본 용어에 대한 설명입니다.
- 자격이있는
이 할당을 통해 사용자는 역할을 활성화하기 위해 특정 작업을 수행해야 합니다. 이 역할과 영구 역할의 차이점은 모든 사람이 항상 액세스해야 하는 것은 아니라는 점입니다. 사용자는 액세스가 필요할 때 역할을 활성화할 수 있습니다.
- 활동적인
시스템에서 기본적으로 할당하는 역할 할당입니다. 활성화할 필요가 없습니다. 예를 들어 시스템 관리자는 다른 관리자에 대한 할당을 생성할 수 있습니다.
- 활성화
이것은 사람들이 시스템을 사용할 권한이 있음을 증명하기 위해 취해야 하는 조치입니다. 사용자 이름과 암호를 입력하는 것이 이에 대한 예입니다. 여기에서 다양한 인증 방법을 사용할 수 있습니다.
- 할당 된
이는 사용자에게 시스템 내에서 특정 권한이 부여되었음을 의미합니다.
- 활성화됨
시스템을 사용할 수 있고 역할을 활성화할 수 있고 현재 사용 중인 사용자입니다. 일정 시간 동안 사용하지 않으면 시스템에서 사용자에게 자격 증명을 다시 입력하라는 메시지를 표시합니다. 예를 들어 인터넷 뱅킹은 10분 동안 사용하지 않으면 로그아웃됩니다.
- 영구 적격
이것은 사용자가 원할 때마다 역할을 활성화할 수 있는 할당입니다. 역할에 액세스하려면 특정 작업을 수행해야 합니다. 예를 들어 직원이 지불해야 할 금액을 캡처한다고 가정해 보겠습니다. 거래를 확인하기 위해 무작위로 할당된 코드를 입력해야 할 수도 있습니다.
- 영구 활성
이 할당을 통해 사용자는 활성화 없이 역할을 사용할 수 있습니다. 사용자가 추가 작업 없이 수행할 수 있는 역할입니다.
- 만료 가능
이것은 시간 기반 역할입니다. 여기에서 시작 날짜와 종료 날짜를 지정해야 합니다. 이것은 프리랜서를 위해 할 수 있습니다. 또한 직원이 정기적으로 암호를 업데이트하도록 강제하는 데 사용할 수도 있습니다.
특히 중대형 조직에서 액세스 관리는 어려운 작업이 될 수 있습니다. 그러나 Microsoft Azure 제품군의 기능을 사용하면 훨씬 쉽게 달성할 수 있습니다. IAM 서비스는 내부 액세스 및 손상으로 인한 침해로부터 보호하기 위해 추가 보안 계층을 추가합니다.
***
Chris Usatenko 는 컴퓨터 괴짜이자 작가이자 콘텐츠 제작자입니다. 그는 IT 산업의 모든 측면에 관심이 있습니다. 천성적으로 프리랜서인 그는 기꺼이 전 세계에서 경험과 지식을 얻고 이를 자신의 삶에 적용합니다.