Microsoft 보안 및 규정 준수: GDAP 대 DAP.

제로 트러스트 보안 모델이 모든 Microsoft 제품, 서비스 및 파트너 생태계에 적용됨에 따라, Microsoft는 위임된 관리자 권한(DAP)을 종료하고 보다 안전한 세분화된 위임된 관리자 권한(GDAP)으로 전환합니다.

이는 전 세계 모든 Microsoft 파트너에게 영향을 미치지만, 모든 Microsoft 고객에게 보편적으로 혜택을 주는 변경 사항입니다.

가장 먼저 그리고 가장 중요한 것은, 검증과 최소 권한 접근이라는 제로 트러스트 원칙을 준수함으로써 GDAP가 DAP보다 파트너의 고객 환경 접근에 대해 보다 명시적인 역할과 시간 기반 매개변수를 제공한다는 점입니다.

고객 테넌트에 대한 접근 권한이 더 세분화된 수준에서 제한되어 Microsoft 파트너와 고객 간 보안 위험이 감소합니다. 보다 구체적으로, GDAP는 다양한 Microsoft 서비스에 대해 고객, 파트너 테넌트, 파트너 사용자, 워크로드 수준별 접근 권한을 상세히 규정합니다.

GDAP는 고객 데이터 접근을 보호하는 조치로 설계되었으며, 동시에 파트너사가 공급자에 대한 최소 권한 접근만 허용하도록 하는 규제 요건을 고객사가 준수할 수 있도록 지원합니다.

2023년 5월 말, Microsoft는 활성 및 비활성 DAP 관계를 제한된 Azure Active Directory(AAD) 역할이 부여된 GDAP 관계로 전환했습니다.

향후 60일 동안 해당 DAP 관계가 제거되었습니다. 5월 이전에 DAP에서 GDAP로 전환된 관계는 영향을 받지 않았으나, 마이크로소프트는 7월 말에 모든 잔여 DAP 접근 권한을 비활성화했습니다.

Microsoft 파트너는 사용자를 서로 다른 보안 그룹 및 관련 역할에 할당할 수 있습니다.

이러한 보안 그룹은 최대 2년까지 고정된 기간 동안 고객 워크로드에 대한 접근 권한을 부여받습니다. 기간이 만료되면 접근 권한은 자동으로 종료됩니다.

DAP 연결은 만료되지 않지만, GDAP 연결은 보다 안전한 환경을 조성하기 위해 자동으로 만료됩니다. GDAP 관계가 만료되기 직전, 파트너와 고객 모두 종료 30일 전, 7일 전, 1일 전에 이메일 알림을 받게 됩니다. 해당 고객의 보안 그룹에 할당된 파트너 사용자는 갱신 없이는 더 이상 서비스에 접근하거나 관리할 수 없습니다. 접근 권한 기간을 갱신하려면 고객에게 새로운 GDAP 요청을 보내야 합니다.

GDAP는 Microsoft 기업 고객의 위험을 크게 줄이기 위해 설계되었으므로 DAP보다 더 세분화된 보안 솔루션을 제공합니다.

다음과 같습니다:

접근 수준/역할
DAP 관계는 기본적으로 글로벌 관리자(Global Admin) 및 헬프데스크 관리자(Helpdesk Admin) 역할을 부여하지만, 이를 변경할 수는 없습니다. GDAP는 고객별로 고유하게 설정할 수 있을 정도로 심층적인 권한 맞춤 설정을 허용합니다. 이는 현재 제공업체와 협력 중이며 제3자 위험을 원치 않는 경우 중요합니다.

관계 타임라인
DAP 관계는 영구적으로 유지됩니다. 고객이 위임된 관리자 링크를 수락하면, 설정에 들어가 수동으로 관계를 제거하지 않는 한 해당 관계는 영구적입니다. GDAP에서는 관계 기간에 대한 맞춤형 타임라인을 생성할 수 있으며, 최대 기간은 2년입니다.

초대 링크
DAP 관계 링크는 지역별로 공통 적용됩니다. 즉, 파트너 센터에 온보딩되는 모든 고객에게 동일한 DAP 링크를 사용합니다. GDAP는 고객별로 다른 수준의 접근 권한을 제공하므로, 각 초대는 고객마다 고유합니다.

보안 그룹 할당
DAP 관계에서는 할당 계층이 존재하지 않습니다. 파트너 센터 환경에서 고객에 대한 접근 권한을 가진 모든 구성원에게 동일한 수준의 접근 권한이 부여됩니다. GDAP는 별도의 역할 내에서 중첩된 보안 그룹을 허용하여 보다 다양한 권한을 제공합니다.

활동 로그
DAP에서는 파트너 센터에서 위임된 액세스 권한이 활용되는 시점을 보여주는 세부적인 활동 로그가 제공되지 않습니다. 또한 위임된 관리자 관계의 수명 주기(예: 수락 또는 제거 시점)에 관한 정보도 포함하지 않습니다. GDAP는 공급자 및 고객 수준 모두에서 AAD 활동 로그에 대한 더 높은 가시성을 제공합니다.

S&C 센터
에 대한 접근 권한 DAP는 파트너 센터를 통해 고객을 대신하여 특정 관리 포털에 진입하는 것을 허용하지 않습니다. GDAP는 이전 버전보다 더 큰 유연성을 제공하며 직관적입니다.

PIM 지원
권한 신원 관리(PIM)는 "필요 시 즉시" 접근 권한 수준을 허용하는 Microsoft 서비스입니다. 기본적으로 특정 관리 작업을 수행하기 위해 일시적으로 역할을 상승시킬 수 있게 합니다. PIM은 GDAP와 결합되어 공급자가 고객 환경 내에서 특정 역할을 가진 일부 보안 그룹에 대한 권한을 상승시킬 수 있도록 하여, 특정 문제에 대한 신속한 대응을 허용함으로써 보안을 더욱 강화합니다.

GDAP은 CSP 및 MSP를 포함한 모든 Microsoft 파트너에게 제공됩니다.

앞서 언급한 바와 같이, 이러한 변경 사항은 2023년 5월부터 시행되었으며, DAP를 계속 사용 중인 모든 사용자는 7월 말까지 완전히 GDAP 관계로 전환되었고 DAP 관계는 종료되었습니다.

기존에는 CSP Tier 1과 같은 유통업체와 간접 리셀러와 같은 MSP 모두 모든 하위 고객과 DAP를 체결했습니다. 이를 통해 유통업체는 고객 테넌트에 라이선스를 부여하고 지원을 제공할 수 있었으며, 동시에 MSP 및 파트너는 파트너 센터를 통해 지원 및 관리 기능을 제공할 수 있었습니다.

이제 공급자는 고객 워크로드에 대한 세분화된 시간 제한 접근 권한을 보다 효과적으로 제어할 수 있어 고객의 보안 우려를 보다 쉽게 해결할 수 있습니다. 클라우드 서비스 공급자(CSP), 관리형 서비스 공급자(MSP) 및 파트너사는 데이터 보안 관련 우려 사항을 해결하는 데 더 큰 도움을 받게 되어 향후 보안 사고 발생 가능성을 줄일 수 있습니다. 또한 이러한 기관들은 공급자 팀이 기업 테넌트에 접근하는 방식을 보고할 수 있습니다.

공급자는 고객의 서비스 및 환경을 관리하는 직원의 접근을 제한할 수 있으며, 사용되지 않는 GDAP 또는 DAP 연결을 비활성화하거나 축소하여 책임을 완화하고 보안을 강화할 수 있습니다.