강화된 기업 보안 및 규정 준수를 위해 Microsoft 세분화된 위임 관리자 권한(GDAP)을 활용하십시오.

마이크로소프트의 세분화된 위임 관리자 권한(GDAP)은 기업 및 CSP/파트너의 위험을 크게 줄입니다. 새로운 GDAP 보안 표준을 기존 DAP와 비교하고 GDAP를 활용하여 기업 보안 및 규정 준수를 강화하십시오.

이니셔티브: Microsoft DART/사고 대응 | 정보 보안, 사이버 보안, 규정 준수
대상: 최고정보보안책임자(CCO), 최고정보책임자(CISO), 최고기술책임자(CTO), 최고정보책임자(CIO) | IT 임원, 보안 임원, 규정 준수 임원

Microsoft 세분화된 위임 관리자 권한(GDAP) - 엔터프라이즈 보안 및 규정 준수

마이크로소프트의 세분화된 위임 관리자 권한(GDAP)은 마이크로소프트 기업 고객의 위험을 크게 줄이기 위해 설계되었습니다.

GDAP를 통해 MSFT 클라우드 서비스에 대한 직원 또는 공급업체(MSP, CSP, 파트너)의 접근 권한 수준을 제어할 수 있습니다.

접근 수준/역할: DAP 관계는 기본적으로 글로벌 관리자 및 헬프데스크 관리자 역할을 변경할 수 없는 상태로 제공합니다. GDAP를 사용하면 보다 세분화된 권한 수준을 선택하고 고객별로 고유하게 설정할 수 있습니다. 현재 제공업체와 협력 중이며 제3자 위험을 원치 않는 경우 이는 매우 중요합니다.

관계 타임라인: DAP 관계는 무기한 지속됩니다. 고객이 위임된 관리자 링크를 수락하면 해당 관계는 설정 > 파트너 관계에서 관계를 제거하지 않는 한 영구적입니다. GDAP에서는 관계 유지 기간에 대한 사용자 지정 타임라인을 생성할 수 있으며, 최대 기간은 2년입니다.

초대 링크: DAP 관계 링크는 지역별로 공통 적용됩니다. 즉, 파트너 센터에 온보딩하는 모든 고객에게 동일한 DAP 링크를 사용합니다. GDAP는 고객별로 접근 권한 수준이 다를 가능성이 높기 때문에 이를 변경합니다. 이는 각 초대가 특정 고객에게 고유하게 적용됨을 의미합니다.

보안 그룹 할당: DAP 관계에서는 할당 계층이 존재하지 않습니다. 고객에 대한 접근 권한을 가진 파트너 센터 환경 내 모든 구성원에게 동일한 수준의 접근 권한이 부여됩니다. GDAP는 권한을 더욱 세분화하기 위해 별도의 역할을 가진 중첩된 보안 그룹을 구성할 수 있도록 합니다. 해당 기능의 예시는 다음과 같습니다:

기업은 공급자 1단계 지원 그룹을 생성하고 서비스 지원 관리자 및 글로벌 리더 역할을 부여할 수 있습니다. 이는 공급자 그룹이 기업을 대신하여 티켓을 생성할 수 있지만 변경 사항은 적용할 수 없음을 의미합니다. 기업은 공급자 2단계 지원 그룹을 생성하고 Intune 관리자, Exchange 관리자, Dynamics 365 관리자 등 고권한 역할을 부여할 수 있습니다.

활동 로그: DAP에서는 파트너 센터에서 위임된 액세스 권한이 활용되는 시점을 보여주는 세부적인 활동 로그가 제공되지 않으며, 위임된 관리자 관계의 수명 주기(수락 시점, 제거 시점 등)에 관한 정보도 포함하지 않습니다. GDAP는 Azure AD 활동 로그에서 공급자 수준과 고객 수준 모두에 걸쳐 이러한 가시성을 제공함으로써 이를 개선합니다.

S&C 센터 접근성: DAP가 파트너 센터를 통해 고객을 대신하여 특정 관리 포털에 진입하는 것을 허용하지 않아, 이는 수년간 공급업체들의 골칫거리였습니다. 보안 및 규정 준수 센터(현재 두 개의 관리 센터로 분리됨)가 바로 이러한 접근성 부족의 대표적인 사례였습니다. GDAP는 이 부분에서 보다 유연하게 접근성을 확대하고 있습니다.

PIM 지원: Privilege Identity Management(PIM)은 "필요 시 즉시" 접근 권한 수준을 허용하는 Microsoft 서비스입니다. 기본적으로 특정 관리 작업을 수행하기 위해 일시적으로 역할을 상승시킬 수 있게 합니다. PIM은 GDAP과 결합되어 공급자가 고객 환경 내에서 특정 권한/역할을 부여받은 보안 그룹으로의 권한 상승을 가능하게 합니다. 이는 보안을 한층 더 강화합니다.

DAP를 지원하는 모든 Microsoft 클라우드 서비스는 GDAP도 지원하며, 새로운 Microsoft 클라우드 워크로드의 경우 GDAP만 지원됩니다.

GDAP가 적용되면 기업은 테넌트 보안을 위해 모든 DAP 권한을 제거해야 합니다. DAP 제거는 공급자 관계를 해제하지 않으므로 기존 라이선스 계약에는 영향을 미치지 않습니다. 다만 이 조치로 PowerShell 및 API(Microsoft 365 Lighthouse 포함)를 통한 모든 공급자 접근 권한이 제거됩니다.

GDAP는 기업이 Microsoft 클라우드 환경에서 최소 권한 원칙(POLP)을 시행하기 위한 주요 메커니즘입니다.

POLP는 컴퓨터 보안 개념으로, 사용자의 접근 권한을 업무 수행에 꼭 필요한 범위만으로 제한하는 것을 의미합니다.

Microsoft GDAP 최소 권한 원칙의 이점 사용자에게는 업무 수행에 필요한 파일이나 리소스에 대해서만 읽기, 쓰기 또는 실행 권한이 부여됩니다. 이 원칙은 접근 제어 원칙 또는 최소 권한 원칙으로도 알려져 있습니다.

POLP는 제로 트러스트(Zero Trust)로 알려진 마이크로소프트 보안 전략의 세 가지 핵심 원칙 중 하나입니다.

명시적으로 검증 – 사용자 신원, 위치, 기기 상태, 서비스 또는 워크로드, 데이터 분류, 이상 징후 등 이용 가능한 모든 데이터 포인트를 기반으로 항상 인증 및 권한 부여를 수행하십시오.

최소 권한 접근 사용 – 적시적·필요한 만큼의 접근(JIT/JEA), 위험 기반 적응형 정책, 데이터 보호를 통해 사용자 접근을 제한하여 데이터와 생산성 모두를 보호하십시오.

침해 가정 – 피해 범위 최소화 및 접근 세분화. 종단 간 암호화 검증 및 분석을 통한 가시성 확보, 위협 탐지 촉진, 방어 체계 강화.

마이크로소프트 세분화된 위임 관리 – 제로 트러스트

마이크로소프트의 제로 트러스트 접근 방식의 핵심은 최종 사용자에게 방해가 되지 않도록 하는 것이며, 사용자가 업무를 수행하는 동안 안전하게 업무 흐름을 유지할 수 있도록 배후에서 작동하는 것입니다.

GDAP의 최소 권한 접근 방식은 기업이 규정 준수 마이크로소프트 클라우드 배포에 필요한 정책 시행 도구를 제공합니다.

GDAP는 다음 사항에 대한 규정 준수를 달성하기 쉽게 하고 규정 준수 감사 시 이를 입증하는 속도를 높입니다:

HIPAA, GDPR, FDDC, FISMA, Government Connect, 연방 행정명령 14028호, SOX, ISO, SOC 등 기타 규정.

CISA는 2022년 이후를 위해 최소 권한 접근(GDAP)을 강력히 권장합니다.

최소 권한 부여의 이점 GDAP
BeyondTrust의 2021년 마이크로소프트 취약점 보고서에 따르면, 2016년부터 2020년까지 5년간 윈도우 시스템에서 발생한 중대한 취약점의 78%는 관리자 권한을 제거함으로써 완화될 수 있었습니다. 실제로 2020년에는 Internet Explorer 및 Edge의 중요 취약점 중 98%가 관리자 권한 제거로 완화될 수 있었습니다! 최소 권한 원칙의 강력한 위험 감소 효과는 Oracle, Adobe, Google, Cisco, VMware 등 타사 애플리케이션에서도 동일하게 입증되었습니다.

제한 없는 특권 권한과 접근 권한은 본질적으로 무제한적인 피해 가능성과 동일합니다. 사용자, 계정 또는 프로세스가 축적하는 특권이 많을수록 남용, 악용 또는 오류 발생 가능성이 커집니다. 최소 권한 원칙을 구현하면 침해 발생 가능성을 근본적으로 줄일 뿐만 아니라, 침해가 발생할 경우 그 범위를 제한하는 데 도움이 됩니다.

Microsoft GDAP 최소 권한 부여의 이점은 다음과 같습니다:

1. 마이크로소프트 공격 표면의 축소: 사용자, 프로세스, 애플리케이션/머신의 권한을 제한하면 악용 경로와 침투 지점이 감소합니다.
2. MSFT 악성코드 감염 및 확산 감소: 최소 권한 원칙은 악성코드(SQL 인젝션이나 랜섬웨어 등)가 설치 또는 실행을 허용하는 프로세스 권한 상승 능력을 차단함으로써 감염 및 확산을 획기적으로 감소시킵니다.
3. 운영 성능 향상: Microsoft 애플리케이션 및 시스템의 경우, 승인된 작업을 수행하는 데 필요한 최소한의 프로세스 범위로 권한을 제한하면 다른 애플리케이션이나 시스템 간에 호환성 문제가 발생할 가능성을 줄이고 가동 중단 위험을 감소시키는 데 도움이 됩니다.
4. 간소화되고 감사에 용이한 규정 준수: 최소 권한 원칙 적용은 가능한 활동을 제한함으로써 복잡성을 줄여 감사에 더욱 용이한 환경을 조성합니다. 또한 HIPAA, PCI DSS, FDDC, Government Connect, FISMA, SOX 등 다수의 규정 준수 기준은 적절한 데이터 관리 및 시스템 보안을 보장하기 위해 조직이 최소 권한 접근 정책을 적용할 것을 요구합니다. 예를 들어:

• • 미국 연방 정부의 FDCC 의무 규정에 따르면, 연방 직원들은 표준 사용자 권한으로 PC에 로그인해야 합니다.
  • HIPAA 개인정보 보호 규정은 특정 목적을 달성하기 위한 "최소 필요 사용"을 기준으로 데이터 접근(즉, 전체 기록이 아닌 환자 기록의 일부)을 제한하는 등 최소 권한 설정 지침을 제공합니다.

PCI DSS는 신용카드 데이터를 처리하거나 저장하는 조직이 업무상 필요에 따라 카드 소지자 데이터에 대한 접근을 제한해야 하며, 특히 최소 권한 사용자 계정의 사용을 명시적으로 요구합니다 [7.1.1 업무 수행에 필요한 최소 권한으로 특권 사용자 ID에 대한 접근 권한 제한; 7.2.2 직무 분류 및 기능에 기반한 개인별 권한 할당].

세분화된 위임 관리자 권한(GDAP)은 2022년 초에 Microsoft CSP, MSP 및 파트너와 같은 공급업체에 제공됩니다. 이러한 변경 사항은 노벨리움과 같은 공급망 공격을 해결하고 Microsoft 제로 트러스트 보안 모델의 최소 권한 원칙을 강화합니다.

과거에는 유통사(Microsoft 간접 공급업체/CSP Tier 1)와 MSP(간접 리셀러) 모두 하위 고객사에 위임된 관리자 권한(DAP)을 설정했습니다. 이를 통해 유통사는 고객 테넌트에 라이선스를 부여하고 지원을 제공할 수 있었습니다. 또한 MSP와 파트너는 파트너 센터를 통해 지원 제공 및 일상적인 관리 작업을 수행할 수 있었습니다.

세분화된 위임된 접근 권한을 통해:

• 공급자는 고객의 워크로드에 대한 보다 세분화되고 시간 제한적인 접근을 제어할 수 있으므로, 고객의 보안 우려 사항을 해결할 수 있습니다.
• CSP, MSP 및 파트너사는 이제 데이터 보안 관련 우려 사항을 해결하는 데 도움을 받을 수 있어 보안 사고 발생 가능성을 줄이고 파트너사 및 기업 생태계의 보안을 강화하는 데 기여할 것입니다.
• 공급자는 고객의 서비스 및 환경을 관리하는 직원의 워크로드 수준에서 고객별 접근을 제한할 수 있습니다.
• CSP, MSP 및 파트너는 모든 테넌트 전반에 걸쳐 공급자 팀이 엔터프라이즈 테넌트에 접근하는 방식을 보고할 수 있습니다.
• 공급자는 고객 보안을 강화하고 파트너의 법적 책임을 완화하기 위해 사용하지 않는 GDAP 또는 DAP 연결을 비활성화하거나 축소할 수 있습니다.

GDAP를 위한 기업 공급자 고려 사항

• 고객 환경에 대한 기준 설정: 공급업체가 이제 고객 테넌트 내에서 제공할 역할을 자율적으로 결정할 수 있게 되었으므로, 해당 업체의 규모에 따라 기준 및/또는 계층화를 설정해야 합니다. MSP 또는 파트너가 CSP와 협력하는 경우, 모든 고객에 대한 CSP의 기본 역할이 무엇인지 문의하고 해당되는 경우 특정 역할을 요청해야 합니다. 현실적으로 MSP 또는 파트너는 CSP에게 테넌트 라이선싱 권한을 부여하고 지원 기준선을 제공해야 합니다.
• 운영상의 복잡성: GDAP 도입으로 운영 측면에서 고려해야 할 사항이 많아졌습니다. 접근 권한 수준 결정 외에도, 최소 2년마다 GDAP 관계를 재승인해야 합니다. 또한 고객 환경별로 맞춤형 링크가 존재합니다. 전반적으로 보안상의 이점이 추가적으로 처리해야 할 복잡성을 상쇄합니다. CSP, MSP 또는 파트너로서 귀사는 자체, 고객 및 제3자를 위해 모든 테넌트에서 접근 권한 수준을 주기적으로 평가해야 합니다.
• 새로운 관리 센터 접근 권한: GDAP가 공급업체들이 수년간 누리지 못했던 모든 관리 센터(예: S&C 센터)에 대한 위임된 접근을 허용한다면 이는 큰 성과입니다. 이를 통해 공급업체들이 엔터프라이즈 테넌트에 글로벌 관리자를 생성하거나 지원 팀 전체에 MFA를 공유하는 것을 방지할 수 있습니다.
• 무료 Azure AD P2 라이선스: Microsoft는 공급업체가 PIM(개인 정보 관리) 등의 기능을 활용할 수 있도록 1년간 P2를 무료로 제공합니다. 파트너 센터 환경 내에서 보안을 강화하기 위해 P2를 활용하십시오.
• 모든 DAP 권한 제거: 공급자 및 고객 테넌트를 보호하기 위함입니다. DAP를 제거해도 파트너 관계는 유지되므로, 보유 중인 라이선스 계약에는 영향을 미치지 않습니다. 다만, Microsoft 365 Lighthouse를 포함한 PowerShell 및 API를 통한 모든 파트너 액세스 권한이 제거됩니다.