권한 있는 액세스 스토리의 일부로 디바이스 보호
이 지침은 완전한 권한 있는 액세스 전략의 일부이며 권한 있는 액세스 배포의 일환으로 구현됩니다.
권한 있는 액세스 에 대한 종단 간 제로 트러스트 보안은 세션을 위한 다른 보안 보증을 구축하는 데 필요한 강력한 기기 보안 기초가 필요합니다. 세션에서 보안 보증이 향상될 수 있지만, 보안 보증이 원래 디바이스에 얼마나 강력한지에 따라 항상 제한됩니다. 이 디바이스를 제어하는 공격자는 디바이스에서 사용자를 사칭하거나, 향후 사칭을 위해 자격 증명을 훔칠 수 있습니다. 이 위험은 계정, 점프 서버와 같은 중개자 및 리소스 자체에 대한 다른 보증을 훼손합니다. 자세한 내용은 클린 소스 원칙 참조하세요.
이 문서에서는 수명 주기 내내 중요한 사용자에게 보안 워크스테이션을 제공하는 보안 컨트롤의 개요를 제공합니다.
보안 워크스테이션워크플로
이 솔루션은 Windows 10 운영 체제, 엔드포인트용 Microsoft Defender, Microsoft Entra ID 및 Microsoft InTune의 핵심 보안 기능을 사용합니다.
보안 워크스테이션의 이점은 누구에게 있나요?
모든 사용자와 운영자는 보안 워크스테이션을 사용하면 이점을 누릴 수 있습니다. PC 또는 디바이스를 손상시키는 공격자는 PC 또는 디바이스를 사용하는 모든 계정에 대해 자격 증명/토큰을 가장하거나 도용하여 많은 보안 보증 또는 기타 모든 보안 보증을 훼손할 수 있습니다. 관리자 또는 중요한 계정의 경우 공격자가 권한을 확대하고 조직에서 가지고 있는 액세스 권한을 크게 도메인, 전역 또는 엔터프라이즈 관리자 권한으로 늘릴 수 있습니다.
보안 수준 및 어떤 사용자를 어느 수준에 할당해야 하는지에 대한 자세한 내용은 권한 있는 액세스 보안 수준 참조하세요.
디바이스 보안 컨트롤
보안 워크스테이션을 성공적으로 배포하려면 디바이스, 계정, 중개자및 애플리케이션 인터페이스적용되는 보안 정책을 비롯한 종단 간 접근 방식의 일부여야 합니다. 완전한 권한 있는 액세스 보안 전략을 위해 스택의 모든 요소를 처리해야 합니다.
이 표에서는 다양한 디바이스 수준에 대한 보안 컨트롤을 요약합니다.
| 프로필 | 기업 | 전문 | 특권 |
|---|---|---|---|
| Microsoft 엔드포인트 관리자(MEM) 관리 | 예 | 예 | 예 |
| BYOD 디바이스 등록 거부 | 아니요 | 예 | 예 |
| MEM 보안 기준 적용 | 예 | 예 | 예 |
| 엔드포인트용 Microsoft Defender | 예* | 예 | 예 |
| Autopilot을 통해 개인 디바이스 가입 | 예* | 예* | 아니요 |
| 승인된 목록으로 제한된 URL | 대부분 허용 | 대부분 허용 | 기본 설정 거부 |
| 관리자 권한 제거 | 예 | 예 | |
| 애플리케이션 실행 제어(AppLocker) | 감사 -> 적용됨 | 예 | |
| MEM에서만 설치된 애플리케이션 | 예 | 예 |
메모
솔루션은 새 하드웨어, 기존 하드웨어를 사용하여 배포할 수 있으며 BYOD(Bring Your Own Device) 시나리오를 사용할 수 있습니다.
모든 수준에서 보안 업데이트에 대한 적절한 보안 유지 관리 위생은 Intune 정책에 의해 적용됩니다. 디바이스 보안 수준이 높아짐에 따라 보안의 차이는 공격자가 악용하려고 시도할 수 있는 공격 노출 영역을 줄이는 데 초점을 맞추고 있습니다(최대한 많은 사용자 생산성을 유지하면서). 엔터프라이즈 및 특수 수준 디바이스는 생산성 애플리케이션 및 일반 웹 검색을 허용하지만 권한 있는 액세스 워크스테이션은 허용하지 않습니다. 엔터프라이즈 사용자는 자체 애플리케이션을 설치할 수 있지만 특수한 사용자는 워크스테이션의 로컬 관리자가 아닐 수 있습니다.
메모
여기서 웹 검색은 위험 수준이 높은 활동이 될 수 있는 임의의 웹 사이트에 대한 일반적인 액세스를 의미합니다. 이러한 검색은 웹 브라우저를 사용하여 Azure, Microsoft 365, 다른 클라우드 공급자 및 SaaS 애플리케이션과 같은 서비스에 대해 잘 알려진 소수의 관리 웹 사이트에 액세스하는 것과는 분명히 다릅니다.
신뢰의 하드웨어 루트
보안 워크스테이션에 필수적인 것은 '신뢰의 루트'라는 신뢰할 수 있는 워크스테이션을 사용하는 공급망 솔루션입니다. 신뢰 하드웨어의 루트 선택에 고려해야 하는 기술에는 최신 노트북에 포함된 다음 기술이 포함되어야 합니다.
- TPM(신뢰할 수 있는 플랫폼 모듈) 2.0
- BitLocker 드라이브 암호화
- UEFI 보안 부팅
- Windows 업데이트를 통해 배포된 드라이버 및 펌웨어
- 가상화 및 HVCI 사용 활성화
- 드라이버 및 앱 HVCI 지원 가능 상태
- Windows Hello
- DMA I/O 보호
- 시스템 가드
- 모던 대기 모드
이 솔루션의 경우 최신 기술 요구 사항을 충족하는 하드웨어와 함께 Windows Autopilot 기술을 사용하여 신뢰의 루트를 배포합니다. 워크스테이션을 보호하기 위해 Autopilot을 사용하면 Microsoft OEM 최적화 Windows 10 디바이스를 활용할 수 있습니다. 이러한 디바이스는 제조업체에서 알려진 양수 상태로 제공됩니다. Autopilot은 잠재적으로 안전하지 않은 디바이스를 다시 설치하는 대신 Windows 10 디바이스를 "비즈니스 준비" 상태로 변환할 수 있습니다. 설정 및 정책을 적용하고, 앱을 설치하고, Windows 10 버전을 변경합니다.
디바이스 역할 및 프로필
이 지침에서는 Windows 10을 강화하고 디바이스 또는 사용자 손상과 관련된 위험을 줄이는 방법을 보여 줍니다. 최신 하드웨어 기술과 신뢰 디바이스의 루트를 활용하기 위해 솔루션은 Device Health 증명사용합니다. 이 기능은 디바이스의 초기 부팅 중에 공격자가 지속될 수 없도록 하기 위해 제공됩니다. 정책 및 기술을 사용하여 보안 기능 및 위험을 관리하는 데 도움이 됩니다.
- Enterprise Device – 조직에서 최소 보안 기준을 높이려는 가정 사용자, 중소기업 사용자, 일반 개발자 및 기업에 첫 번째 관리되는 역할이 적합합니다. 이 프로필을 사용하면 사용자가 애플리케이션을 실행하고 웹 사이트를 검색할 수 있지만 엔드포인트용 Microsoft Defender 같은 맬웨어 방지 및 EDR(엔드포인트 검색 및 응답) 솔루션이 필요합니다. 보안 태세를 강화하기 위한 정책 기반 접근 방식이 적용됩니다. 전자 메일 및 웹 검색과 같은 생산성 도구를 사용하는 동시에 고객 데이터로 작업할 수 있는 안전한 수단을 제공합니다. 감사 정책 및 Intune을 사용하면 엔터프라이즈 워크스테이션에서 사용자 동작 및 프로필 사용을 모니터링할 수 있습니다.
권한 있는 액세스 배포 지침의 엔터프라이즈 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.
-
특수 디바이스 – 워크스테이션을 자체 관리하는 기능을 제거하고 권한 있는 관리자가 설치한 애플리케이션(프로그램 파일 및 사용자 프로필 위치의 사전 승인된 애플리케이션)으로만 실행할 수 있는 애플리케이션을 제한하여 엔터프라이즈 사용에서 중요한 단계를 나타냅니다. 애플리케이션을 설치하는 기능을 제거하면 잘못 구현되는 경우 생산성에 영향을 미칠 수 있으므로 사용자의 요구를 충족하기 위해 신속하게 설치할 수 있는 Microsoft 스토어 애플리케이션 또는 회사 관리형 애플리케이션에 대한 액세스 권한을 제공했는지 확인합니다. 특수 수준 디바이스를 사용하여 사용자를 구성해야 하는 지침은 Privileged Access 보안 수준 참조하세요.
- 특수 보안 사용자는 간편한 사용 환경에서 전자 메일 및 웹 검색과 같은 작업을 수행할 수 있는 동시에 보다 제어된 환경을 요구합니다. 이러한 사용자는 쿠키, 즐겨찾기 및 기타 바로 가기와 같은 기능이 작동할 것으로 예상하지만 디바이스 운영 체제를 수정하거나 디버그하거나 드라이버를 설치하는 기능이 필요하지 않습니다.
권한 있는 액세스 배포 지침의 특수한 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.
- PAW(권한 있는 액세스 워크스테이션) – 계정이 손상된 경우 조직에 중요하거나 중대한 영향을 미칠 매우 중요한 역할을 위해 설계된 가장 높은 보안 구성입니다. PAW 구성에는 로컬 관리 액세스 및 생산성 도구를 제한하는 보안 제어 및 정책이 포함되어 공격 노출 영역을 중요한 작업 수행에 절대적으로 필요한 것으로 최소화합니다.
따라서 PAW 디바이스는 피싱 공격에 가장 일반적인 벡터인 이메일 및 웹 브라우징을 차단하기 때문에 공격자가 손상하기 어렵게 만듭니다.
이러한 사용자에게 생산성을 제공하려면 생산성 애플리케이션 및 웹 검색을 위해 별도의 계정과 워크스테이션을 제공해야 합니다. 불편하지만 계정이 조직의 대부분의 또는 모든 리소스에 손상을 줄 수 있는 사용자를 보호하는 데 필요한 제어입니다.
- 권한 있는 워크스테이션은 명확한 애플리케이션 제어 및 애플리케이션 보호가 있는 강화된 워크스테이션을 제공합니다. 워크스테이션은 자격 증명 보호, 디바이스 가드, 앱 가드 및 exploit guard를 사용하여 악의적인 동작으로부터 호스트를 보호합니다. 모든 로컬 디스크는 BitLocker로 암호화되고 웹 트래픽은 허용되는 대상의 제한 집합으로 제한됩니다(모두 거부).
권한 있는 액세스 배포 지침에서 권한 있는 보안 프로필은 Windows 10과 제공된 JSON 파일을 사용하여 이를 구성하는 데 JSON 파일을 활용합니다.
다음 단계
보안 Azure 관리형 워크스테이션배포합니다.