Azure 인증 방법 설명
인증은 사람, 서비스 또는 디바이스의 ID를 설정하는 프로세스입니다. 사람, 서비스 또는 디바이스에 자신이 누구인지 증명하기 위한 자격 증명 유형을 제공하도록 요구합니다. Azure는 표준 암호, SSO(Single Sign-On), MFA(다단계 인증) 및 암호 없는 인증을 비롯한 여러 인증 방법을 지원합니다.
다음 다이어그램에서는 편의성과 비교한 보안 수준을 보여줍니다. 암호 없는 인증은 보안이 높고 편의성이 높지만, 암호는 보안은 낮지만 편의성이 높습니다.
Single Sign-On이란?
SSO(Single Sign-On)을 사용하면 사용자가 한 번 로그인하고 해당 자격 증명을 사용하여 여러 공급자의 여러 리소스 및 애플리케이션에 액세스할 수 있습니다. SSO가 작동하려면 다른 애플리케이션과 공급자가 초기 인증자를 신뢰해야 합니다.
더 많은 ID는 더 많은 암호를 기억하고 변경해야 한다는 뜻입니다. 암호 정책은 애플리케이션마다 다를 수 있습니다. 복잡한 암호를 요구하는 수준이 높아지면 사용자가 암호를 기억하기가 더 어려워집니다. 사용자가 관리할 암호가 많을수록 자격 증명 관련 보안 사고가 발생할 위험이 높습니다.
해당 ID를 모두 관리하는 프로세스를 생각해 봅시다. 계정 잠금 및 암호 재설정 요청을 처리하는 기술 지원팀의 부담이 가중됩니다. 사용자가 조직을 떠날 때 해당 사용자의 모든 ID를 추적하여 비활성화는 것이 어려울 수 있습니다. ID를 간과하면 제거했어야 하는 ID의 액세스를 허용할 수 있습니다.
SSO를 사용하는 경우 하나의 ID와 하나의 암호만 기억하면 됩니다. 애플리케이션 전반에 걸친 액세스 권한이 사용자와 연결된 단일 ID에 부여되므로 보안 모델이 간소화됩니다. 사용자가 역할을 변경하거나 조직을 떠나면 액세스 권한이 단일 ID로 제한됩니다. 이렇게 변경하면 계정을 변경하거나 사용하지 않도록 설정하는 데 필요한 노력이 크게 줄어듭니다. 계정에 SSO를 사용하면 사용자는 자신의 ID를, IT는 사용자를 더 쉽게 관리할 수 있습니다.
다단계 인증이란?
다단계 인증은 로그인 프로세스 중에 사용자에게 식별의 추가 양식(또는 요소)을 요청하는 프로세스입니다. MFA는 암호가 손상되었지만 두 번째 요소는 손상되지 않은 경우 암호 손상으로부터 보호해줍니다.
웹 사이트, 메일 또는 온라인 서비스에 로그인하는 과정에 대해 생각해 보세요. 사용자 이름 및 암호를 입력한 후 휴대폰으로 전송된 추가 코드를 입력해야 했던 적이 있나요? 있다면 다단계 인증을 사용하여 로그인한 것입니다.
다단계 인증은 인증 완료에 2개 이상의 요소를 요구하여 ID를 추가로 보호합니다. 이러한 요소는 세 가지 범주로 분류됩니다.
- 사용자가 알고 있는 것 - 이것은 어려운 본인 확인 질문일 수 있습니다.
- 사용자가 가지고 있는 것 - 사용자의 휴대폰으로 전송되는 코드가 여기에 해당할 수 있습니다.
- 사용자의 존재인 것 - 이는 일반적으로 지문 또는 얼굴 스캔과 같은 일종의 생체 인식 특성입니다.
다단계 인증은 자격 증명 노출(예: 도난당한 사용자 이름 및 암호)의 영향을 제한하여 ID 보안을 강화합니다. 다단계 인증이 사용될 경우 사용자의 암호를 알고 있는 공격자가 완벽하게 인증하려면 사용자의 전화기나 사용자의 지문도 있어야 합니다.
다단계 인증과 단일 단계 인증을 비교해 봅시다. 단일 단계 인증에서는 공격자가 사용자 이름과 암호만 있으면 인증할 수 있습니다. 다단계 인증은 보안에 상당한 이점을 제공하므로 되도록이면 다단계 인증을 사용하도록 설정해야 합니다.
Azure AD Multi-Factor Authentication이란?
Azure AD Multi-Factor Authentication은 다단계 인증 기능을 제공하는 Microsoft 서비스입니다. Azure AD Multi-Factor Authentication을 사용하면 사용자가 로그인 중에 전화 통화 또는 모바일 앱 알림과 같은 추가 인증 형식을 선택할 수 있습니다.
암호 없는 인증이란?
암호 없는 인증 방법 사용 시 암호가 제거되고 사용자가 소유하고 있거나 알고 있는 인증 수단으로 대체되기 때문에 더 편리합니다.
암호 없는 인증이 작동하려면 먼저 디바이스에서 설정해야 합니다. 예를 들어 컴퓨터는 사용자가 가지고 있는 것입니다. 컴퓨터가 등록되면 Azure는 이제 컴퓨터가 사용자와 연결되어 있음을 알 수 있습니다. 이제 컴퓨터가 알게 되었으므로 사용자가 아는 것이나 존재인 것(예: PIN 또는 지문)을 제공하면 암호를 사용하지 않고 인증할 수 있습니다.
조직마다 인증 요구 수단은 다릅니다. Microsoft 글로벌 Azure 및 Azure Government는 Azure Active Directory(Azure AD)와 통합되는 세 가지 암호 없는 인증 옵션을 다음과 같이 제공합니다.
- 비즈니스용 Windows Hello
- Microsoft Authenticator 앱
- FIDO2 보안 키
비즈니스용 Windows Hello
비즈니스용 Windows Hello 지정된 고유 Windows PC가 있는 정보 근로자에게 적합합니다. 비즈니스용 Windows Hello는 PKI(공개 키 인프라) 통합 및 기본 제공 SSO(Single Sign-On)를 사용하여 온-프레미스 및 클라우드에서 회사 리소스에 원활하게 액세스할 수 있는 편리한 방법을 제공합니다.
Microsoft Authenticator 앱
직원의 휴대폰을 암호 없는 인증 방법으로 사용하도록 허용할 수도 있습니다. 암호 외에도 편리한 다단계 인증 옵션으로 Microsoft Authenticator 앱을 이미 사용하고 있을 수도 있습니다. Authenticator 앱을 암호 없는 옵션으로 사용할 수도 있습니다.
Authenticator 앱으로 iOS 또는 Android 휴대폰이 강력한 암호 없는 자격 증명으로 바뀝니다. 사용자는 휴대폰으로 알림을 받고, 화면에 표시되는 숫자를 휴대폰에 표시되는 숫자와 일치시킨 다음, 생체 인식 데이터(지문 또는 얼굴 인식) 또는 PIN을 사용하여 확인함으로써 플랫폼 또는 브라우저에 로그인할 수 있습니다. 설치에 대한 자세한 내용은 Microsoft Authenticator 앱 다운로드 및 설치를 참조하세요.
FIDO2 보안 키
FIDO(Fast IDentity Online) Alliance는 공개 인증 표준을 알리고 암호를 인증 형태로 사용하는 것을 줄이도록 지원합니다. FIDO2는 WebAuthn(웹 인증) 표준을 통합하는 최신 표준입니다.
FIDO2 보안 키는 모든 폼 팩터로 제공할 수 있으며, 피싱이 불가능한 표준 기반의 암호 없는 인증 방법입니다. FIDO(Fast Identity Online)는 암호 없는 인증을 위한 공개 표준입니다. FIDO를 사용하여 사용자와 조직은 사용자 이름 또는 암호 없이 외부 보안 키 또는 디바이스의 기본 제공 플랫폼 키로 해당 리소스에 로그인할 수 있습니다.
사용자는 로그인 인터페이스에서 FIDO2 보안 키를 등록한 다음에 인증의 기본 수단으로 선택할 수 있습니다. 이러한 FIDO2 보안 키는 일반적으로 USB 디바이스이지만 Bluetooth 또는 NFC를 사용할 수도 있습니다. 인증을 처리하는 하드웨어 디바이스를 사용하면 노출되거나 추측될 수 있는 암호가 없으므로 계정의 보안이 강화됩니다.
