☁️ 클라우드 보안 관리자: 인증과 보안

1. Microsoft Entra ID 인증 기능

1.1 Microsoft Entra ID의 보안 기능 개요

단순한 암호 입력만으로는 보안에 취약하므로, Azure는 다양한 ID 보안 기능을 제공합니다.

• 암호 복잡성/만료 규칙: 추측하기 어려운 암호 강제 및 주기적 변경.
• SSPR (Self-Service Password Reconstruction): 사용자가 암호를 잊었을 때 관리자 도움 없이 직접 재설정.
• Microsoft Entra ID 보호: 위험 기반 정책을 통해 조직의 ID 보호.
• Microsoft Entra ID 암호 보호: 전역 금지 암호 목록을 사용하여 취약한 암호 차단.
• Microsoft Entra ID 스마트 잠금: 무차별 암호 대입 공격(Brute Force) 방지.
• 애플리케이션 프록시: 외부에서 사내 앱에 안전하게 접근 지원.
• SSO (Single-Sign-On): 한 번의 로그인으로 여러 앱 접근.
• Microsoft Entra Connect: 온프레미스(자체 서버)와 클라우드 간 ID 동기화.

1.2 셀프 서비스 암호 재설정 (SSPR)

사용자가 관리자나 보안 지원센터의 도움 없이 직접 암호를 변경하거나 잠금을 해제하는 기능입니다.

• 장점: 관리자의 업무 부담/비용 절약, 사용자의 생산성 향상.
• 인증 방법: 모바일 앱 알림/코드, 이메일, 휴대폰, 전화, 본인 확인 질문 등.
• 설정: Microsoft Entra ID 메뉴의 '속성' 및 '인증 방법'에서 설정 가능.

1.3 다단계 인증 (Multi-Factor Authentication, MFA)

전체 인증 과정에서 둘 이상의 요소를 요구하여 ID 보안을 강화하는 프로세스입니다.

• 인증 요소 3가지:
  1. 지식 (Something you know): 암호, 본인 확인 질문
  2. 소유 (Something you have): 모바일 앱, 토큰 디바이스
  3. 생체 (Something you are): 지문, 얼굴 인식
• 지원되는 인증 방법:
  • 모바일 앱 (Microsoft Authenticator): 알림 승인 또는 확인 코드 입력.
  • 전화 걸기/SMS.
  • FIDO2 보안 키 (USB, Bluetooth, NFC).
  • 비즈니스용 Windows Hello (생체 인식).
  • OATH 토큰 (SW/HW 기반 토큰).

1.4 Microsoft Entra ID 암호 보호 기능

• 전역 금지 암호 목록: 최신 해킹 트렌드를 반영하여 취약한 암호 금지.
• 사용자 지정 암호 목록: 조직 내에서 특정 단어가 포함된 암호 금지.
• 암호 스프레이 보호: 여러 계정에 자주 사용하는 암호를 대입해보는 공격 방지.
• 하이브리드 보안: 클라우드 정책을 온프레미스 AD에도 적용 가능.

---

2. 액세스 관리 (Access Management)

2.1 조건부 액세스 (Conditional Access)

사용자와 장치의 신호(Signal)를 분석하여 액세스 허용 여부를 결정하는 If-Then 구조의 정책입니다. (Microsoft 제로 트러스트 정책 사용)

• 작동 원리:
  • 신호 (Signals): 사용자/그룹, IP 위치, 장치 상태, 애플리케이션, 실시간 위험 탐지 등.
  • 결정 (Decision): 액세스 허용, 차단, 또는 추가 인증(MFA, 암호 변경 등) 요구.
  • 적용 (Enforcement): 앱 및 데이터에 대한 접근 제어.
• 주요 정책 예시:
  • 관리자 역할 사용자에게 MFA 요구.
  • 특정 위치(국가)에서의 액세스 차단.
  • 위험한 로그인 동작 감지 시 차단.
  • 특정 앱 접근 시 회사 관리 기기 필수 사용.

2.2 역할 기반 액세스 제어 (RBAC)

사용자에게 필요한 최소한의 권한만 부여하여 관리하는 기능입니다.

• Azure RBAC: Azure 리소스(가상머신, 스토리지 등)에 대한 접근 권한 설정.
• Microsoft Entra RBAC: Microsoft Entra ID(사용자, 그룹, M365 등)에 대한 접근 권한 설정.
• 주요 역할:
  • 소유자 (Owner): 모든 권한 소유 (권한 위임 가능).
  • 기여자 (Contributor): 리소스 생성/관리는 가능하나, 권한 부여는 불가능.
  • 읽기 권한자 (Reader): 리소스 조회만 가능.

---

3. ID 보호 및 관리 기능

3.1 ID 거버넌스 (Identity Governance)

사용자의 입사부터 퇴사까지 ID 및 액세스 수명 주기를 관리하여, 올바른 사용자가 올바른 리소스에 접근하도록 보장합니다.

• 주요 기능:
  • 권한 관리: 대규모 ID/액세스 수명 주기 관리, 액세스 패키지 할당 자동화.
  • 액세스 검토: 정당한 사용자에게 권한이 부여되었는지 정기적으로 확인 및 검토.
  • 사용 약관: 규정 준수 및 고지 사항을 사용자에게 사전 표시.

3.2 PIM (Privileged Identity Management)

중요한 리소스에 대한 관리자 권한을 JIT(Just-In-Time) 방식으로 필요한 시간 동안만 부여하는 서비스입니다.

• 특징:
  • 정해진 시간에 정해진 사용자에게만 권한 부여.
  • 액세스 가능 시간 제한.
  • 권한 활성화 시 관리자 알림 및 승인 절차.
  • 액세스 기록 감사(Audit) 가능.

3.3 Microsoft Entra ID 보호 (Identity Protection)

ID 기반의 위험(Risk)을 감지하고 자동으로 대응하는 기능입니다.

• 위험 수준: 낮음, 중간, 높음으로 분류.
• 대응: 위험 감지 시 MFA 요구, 암호 재설정 강제, 또는 액세스 차단.
• 보고서: 위험한 사용자, 위험한 로그인, 위험 탐지 보고서 제공.

---

4. 복습

1. SSPR (Self Service Password Reconstruction): 사용자가 관리자 도움 없이 직접 암호를 재설정할 수 있는 기능.
2. MFA (Multi-Factor Authentication): 기본 인증(암호) 외에 전화, 토큰, 생체 인식 등 둘 이상의 요소를 요구하여 보안을 강화하는 프로세스.
3. 조건부 액세스 정책 (Conditional Access Policy): 신호(사용자, 장치 등)를 기반으로 액세스 허용 여부를 결정하고 정책을 적용하는 기능.
4. RBAC (Role Based Access Control): 조직 내 인증된 사용자의 권한을 관리(최소 권한 부여 등)하는 기능.