Azure 조건부 액세스 + 다중 요소 인증 MFA 설정. 오늘의 사이버 위협 환경은 계속해서 진화하고 있습니다. 얼마 전에는 비밀번호로 계정이 안전하다고 가정할 수 있었습니다. 더는 그렇지 않습니다. 사이버 범죄가 진화하고 사이버 범죄자들이 새로운, 정교한 방법으로 비밀번호를 도난하고 그 사용을 충분하지 않게 만들었으며, 기업들이 이에 대해 주목했습니다.
그래서, Azure AD의 조건부 액세스 정책은 다양한 조건과 기준에 따라 Microsoft 365 앱을 보호할 수 있도록 설계되었습니다. 해당 정책은 사용자가 특정 상황에서 로그인할 때 다중 요소 인증을 요구할 수 있게 합니다.
이 문서는 Microsoft Azure의 조건부 액세스 및 다중 요소 인증 정책을 종합적으로 분석하고 계정에 이러한 정책을 설정하는 방법을 안내합니다.
또한 읽으십시오 Azure 보안 모범 사례 – 규정 준수(체크리스트)
이미지 출처: Thecloudcomputing
Azure에서 조건부 액세스 정책이란 무엇입니까?
현대적인 안전 시스템의 경계는 이제 네트워크뿐만 아니라 사용자의 신원과 그들의 장치를 포함합니다. 안전 조치로서, 많은 기관들은 오늘날 그들의 접근 제어 결정을 신원 기반 신호에 근거하고 있습니다. 그렇기 때문에 Azure는 이러한 예입니다. Azure AD 조건부 액세스는 결정을 내리고 정책을 시행하기 위해 신호를 통합합니다.
I’d phrase Conditional Access policies as a statement: if a certain user wants to access a certain resource, then they need to pass a security measure. For example, if a user wants to access their account in Azure, then they need to do multi factor authentication to access it.
중요한 점은 조건부 액세스 정책이 첫 번째 요소 인증이 완료된 후에 적용된다는 것입니다. 사용자가 앞선 조건을 통과했는지 여부에 따라 조건부 액세스 정책은 허용되거나 액세스가 차단됩니다.
가장 일반적인 조건부 액세스 정책에는 다음이 포함됩니다:
- 관리 사용자에 대한 다중 요소 인증 요구.
- 의심스러운 동작을 보이는 장치에서 로그인 차단.
- Azure 관리 작업에 대한 다중 요소 인증 요구.
- 지정된 위치에서 액세스 제한 또는 허용.
- 신뢰할 수 있는 위치 요구 Azure AD 다중 요소 인증 등록.
다중 요소 인증이란 무엇입니까?
여기 재미있는 통계가 있습니다: 사이버 범죄자들은 거의 150억 개의 기밀 자격증명을 안전하지 않은 시스템에서 훔쳤습니다. 그들이 당신의 것을 얻게 되면 기밀 데이터의 손실뿐만 아니라 회사에 큰 재정적, 명성적 피해를 줄 수 있습니다. 이것이 다중 요소 인증이 필요한 이유입니다.
기본적으로 다중 요소 인증은 이러한 공격을 방지하기 위해 당신의 시스템의 방어를 강화하는 것을 목적으로 합니다.
다중인증 확인을 도입하더라도 사용자 이름과 비밀번호를 제거하지 않습니다. 대신, 이미 존재하는 인증 방법에 추가 수단을 더함으로써 승인된 사용자만 접근을 허용하고 사기꾼들을 차단하는 것을 보장합니다.
게다가 다중인증은 해킹을 방지하는 데 매우 효과적으로 입증되었습니다. 마이크로소프트에 따르면, MFA는 거의 100%의 계정 해킹을 차단하는 만큼 효과적입니다. 간단하지만 매우 효과적입니다.
초과 55%의 기관들 시스템을 보호하기 위해 다중인증 확인을 사용하고 있으며, 이 수치는 매년 증가하고 있습니다. 기관들은 다중인증 확인을 구현하는 것의 중요성을 인식하고 있으며, 마이크로소프트 Azure가 이 분야의 선두에 있는 것은 놀라운 일이 아닙니다.
어떻게 작동합니까?
다중 요소 인증은 적어도 두 개의 별도의 요소를 결합하여 시스템의 방어를 강화합니다. 하나는 당신이 잘 아는 것입니다. 예를 들어 이메일 주소 또는 사용자 이름 및 암호입니다. 그리고 다른 요소는 다음 중 하나입니다:
당신이 있는 것(아이리스 스캔, 지문, 또는 기타 어떤 생체 인식 데이터) 또는 당신이 가진 것(당신의 전화, 카드, 심지어 당신의 USB)
A typical MFA process in Azure has the following sequence of events:
- 등록: 한 사람이 시스템에 무언가를 연결합니다. 예를 들어, 그들의 전화 번호.
- 로그인: 사용자는 시스템에 들어가기 위해 사용자 이름과 암호를 입력합니다.
- 검증: 그런 다음 시스템은 등록된 항목과 연결됩니다. 검증 코드가 사용자의 휴대전화로 전송됩니다. 사용자가 인증 앱을 사용하는 경우 시스템은 QR 코드를 표시하여 스캔할 때 사용자에게 검증 코드를 제공합니다.
- 접근 획득: 사용자는 보낸 검증 코드를 입력하고 접근 권한을 부여받습니다.
액티브 디렉토리 보안 및 Azure AD 개선을 위해 액세스 정책 +MFA 추가
시도해보세요 무료로, 모든 기능에 액세스합니다. – 200개 이상의 AD 보고서 템플릿 사용 가능. 쉽게 자신의 AD 보고서를 맞춤화하십시오.
조건부 액세스 정책 및 다단계 인증 생성
Azure에서 보안 그룹의 구성원에 적용되는 새로운 조건부 액세스 정책을 생성하는 데 필요한 다음 단계입니다.
- 첫 번째 단계는 글로벌 관리자 계정으로 Azure portal에 로그인하여 Azure Active Directory 블레이드에 접근하는 것입니다.
- 그런 다음 창의 왼쪽에서 Manage > Security로 이동하여 Azure Active Directory 보안 설정에 접근합니다.
- 보안 페이지의 왼쪽 사이드바에서 Protect 탭 아래에 있는 Conditional Access를 선택합니다.
- 조건부 액세스 정책 페이지에서새 정책 추가를 선택한 후 새 정책 만들기를 클릭합니다.
- 그 후 정책 이름 입력 (예: MFA 테스트 정책)을 완료합니다.
- 다음 단계는 할당으로 이동하여 사용자 및 그룹 선택 라디오 버튼을 선택하는 것입니다.
- 그런 다음 사용자 및 그룹 확인란을 클릭하고 정책이 적용될 사용자 또는 그룹을 선택합니다.
- 보안 그룹을 검색한 후 선택 버튼을 클릭합니다 (예: MFA-Security-Group).
- 클라우드 앱 또는 작업에서 모든 클라우드 앱을 선택합니다. 여기서 개별 앱을 선택하거나 정책에서 특정 앱을 제외할 수 있습니다.
- 조건 아래에서 선호하는 구성을 설정합니다. 모든 장치를 장치 플랫폼 아래에서 선택하고 이 정책에 적용할 모든 위치를 선택했습니다. 여기서 선호하는 설정으로 조정할 수 있습니다.
- 액세스 제어 아래에서 액세스를 선택하고 액세스 허용을 선택하고 다단계 인증 필요 옵션을 확인한 다음 선택 버튼을 클릭하십시오.
- 그런 다음 정책 활성화 토글을 클릭하고 켜짐으로 설정하십시오.
- 마지막으로 만들기 버튼을 클릭하십시오.
이 작업이 완료되면 조건부 액세스 정책이 활성화되어야 합니다. 정책을 테스트하고 확인하려면 테스트 사용자 계정을 생성하고 다단계 인증 프롬프트를 확인할 수 있습니다.
또한 읽기 Office 365 사용자 보고서 배포
다단계 인증 확인
다단계 인증 로그인을 설정한 후 다음 단계는 테스트 사용자 계정으로 확인하는 것입니다. 다음 단계를 따르십시오:
- 브라우저에서 새 프로필을 만들거나 InPrivate 또는 Incognito 모드에서 새 창을 열고 만드십시오.
- 열기 다단계 인증 페이지 또는 다음을 참조하십시오. 모든 Microsoft 365 온라인 앱에 로그인하십시오.
- 테스트 사용자 계정으로 로그인하세요. 이 계정은 테스트 보안 그룹에 할당되었습니다.
- 다음 창에서 다양한 옵션을 통해 다중 요소 인증을 활성화하라는 메시지가 표시됩니다.
- 적합한 방법을 선택하세요. 예를 들어 전화 코드 또는 인증 앱을 통해 선택할 수 있습니다. 그런 다음 선택한 인증 방법에 적용되는 추가 단계를 수행하여 인증을 완료하세요.
이 작업이 완료되면 이제 다중 요소 인증이 시스템에 성공적으로 확인되었음을 확신할 수 있습니다.
다중 요소 인증을 성공적으로 확인한 후에는 Azure AD에서 사용 가능한 다양한 다중 요소 인증 설정을 살펴보겠습니다.
Azure AD 다중 요소 인증 설정
특히, Azure AD Multi Factor Authentication을 통해 계정 잠금 임계값, 사기 경보 및 알림과 같은 옵션을 설정하여 최종 사용자 환경을 사용자 지정할 수 있습니다. Azure Active Directory (Azure AD)에 대한 일부 설정은 Azure 포털에 있고, Azure AD Multi Factor Authentication에 대한 일부 설정은 별도의 포털에 있습니다.
Azure 포털에서 다음 Azure AD에 대한 Multi Factor Authentication 설정을 설정합니다:
- 계정 잠금
- 사용자 차단/차단 해제
- 사기 경보
- 알림
- OATH 토큰
- 전화 통화 설정
또한 읽기 Azure AD 모니터링 도구 확인
1. 계정 잠금
계정을 일정 시간 동안 잠그기 전에 MFA 시도의 최대 실패 횟수를 설정하면 공격을 방지할 수 있습니다. 이는 사용자 계정에 반복적으로 접근하려고 시도하는 공격에 도움이 됩니다. 이러한 계정 잠금 설정은 MFA 프롬프트에 대한 PIN 코드를 입력한 후에만 적용됩니다.
이를 활성화하기 위해 다음 구성을 설정할 수 있습니다:
- 계정 잠금 전에 허용되는 MFA 실패 시도의 최대 횟수입니다.
- 계정 잠금 타이머가 재설정되기까지의 분 수입니다.
- 계정이 자동으로 언락되기까지의 분 수입니다.
2. 사용자 차단/언락
3. 사기 경고
이 기능은 사용자가 자신의 계정이 포함된 잠재적 사기를 신고할 때 유용합니다. 이 옵션을 통해 사용자는 Microsoft Authenticator 앱이나 휴대폰을 사용하여 알 수 없고 의심스러운 MFA 시도를 신고할 수 있습니다.
이 설정에 대해 다음과 같은 구성 옵션을 사용할 수 있습니다:
사기를 신고한 사용자를 자동으로 차단하는 설정 만들기
사기 신고를 위한 전화 통화 코드 구성
사용자는 다단계 인증 전화 통화 중 프롬프트가 나오면 #를 눌러 로그인을 확인합니다. 일반적으로 사기 신고를 하려면 사용자가 먼저 코드를 입력한 후 #를 눌러야 합니다.
이 코드의 기본값은 0이지만 맞춤화할 수 있습니다. 자동 차단 기능을 활성화하도록 설정을 구성할 수 있습니다. 사용자가 0을 눌러 계정 사기 신고를 하면 1을 눌러 계정 차단을 원하는지 프롬프트를 받을 수 있습니다.
4. 알림
5. OATH 토큰
이 설정을 통해 클라우드 기반 Azure AD 다단계 인증 환경에서 사용자의 OATH 토큰을 관리할 수 있습니다.
마이크로소프트의 인증기기 앱과 같은 애플리케이션은 소프트웨어 OATH 토큰의 예를 제공합니다. 각 OTP를 생성하는 데 사용되는 비밀 키 또는 시드는 Azure AD에서 생성된 다음 앱에 입력됩니다.
푸시 알림으로 구성된 경우 인증기 앱은 사용자 대신 코드를 생성하여 스마트폰이 오프라인 상태일지라도 보안 인증의 보조 방법을 제공합니다. 또한 OATH TOTP를 사용하여 이렇게 하는 경우 타사 프로그램을 사용하여 코드를 생성할 수도 있습니다.
6. 전화 통화 설정
이 설정을 사용하여 MFA 표시 요청에 대한 전화 통화를 받을 때마다 사용자의 경험을 구성할 수 있습니다. 예를 들어, 전화번호부를 구성하거나 듣는 음성 인사말을 설정할 수 있습니다.
Azure 조건부 액세스 + 다단계 인증(MFA) 설정 블로그 글을 읽어 주셔서 감사합니다. 이 기사를 마치겠습니다.
또한 읽어보십시오 사이버 보안의 최고 10가지 위협 헌팅 도구(장단점)
Azure 조건부 액세스 + 다단계 인증 결론
아주어 조건부 액세스와 다중 인증은 사이버 범죄자와 사이버 보안 전문가들 간의 끊임없는 전투에서 고안된 또 다른 도구입니다. 사이버 보안 전문가들은 Microsoft Azure 조건부 액세스 정책과 다중 인증이 사용자의 사기적인 로그인으로부터 보호하는 데 충분한 도구임을 인정하고 있습니다.
사이버 보안 전문가들은 사용자 이름과 비밀번호가 가장 정교한 사이버 공격에 대해 충분한 방어 수단이 아니라고 합니다. Microsoft Azure에서는 조건부 액세스 정책을 설정하고 다중 인증을 추가하여 시스템을 완벽하게 보호하고 안전하게 만들어야 합니다.
Source:
https://infrasos.com/setup-azure-conditional-access-multi-factor-authentication-mfa/