자료실

제로 트러스트 모델 구현을 위한 3가지 베스트 프랙티스


제로 트러스트 모델 구현을 위한 3가지 베스트 프랙티스


AD(Active Directory) 보안에 관심이 있다면 당연히 제로 트러스트 모델에 대해서도 알고 있을 것입니다. 간단히 말해 제로 트러스트는 침해는 필연적으로 발생하고 악의적 행위자는 IT 생태계 내부에 이미 있다고 전제하는, 현대 IT 환경에서 매우 효과적인 보안 모델입니다. 따라서 어떤 사용자나 서비스, 기타 주체도 암묵적으로 신뢰해서는 안 되며 보안 위협의 신호일 수 있는 이상 활동을 항상 부단히 살펴야 합니다.


제로 트러스트가 무엇인지에 대해서는 여기까지 이야기하겠습니다. 여기서는 온프레미스 및 하이브리드 AD 환경에 제로 트러스트 모델을 구현하는 방법을 중점적으로 살펴봅니다. 구체적으로 AD 보안을 비약적으로 강화하여 제로 트러스트 전략의 유용한 부분이 될 수 있는 3가지 베스트 프랙티스를 제안할 것입니다.


관리자 계정을 신뢰하지 말 것 : 승격된 권한은 정해진 기간 동안만 제공

강력한 권한이 있는 계정은 본질적으로 위험합니다. 의도적이든 우발적이든 자신의 승격된 권한을 오용하는 관리자는 막대한 피해를 유발할 수 있으며, 특권 계정을 탈취한 공격자는 치명적인 위협이 됩니다.


따라서 제로 트러스트 모델에서는 관리자에게 필요할 때, 필요한 동안만 승격된 권한을 부여합니다. AD에서 이 ‘적시’ 특권 승격을 실현하는 방법은 다음을 포함해 여러가지입니다.


1) ESAE(레드 포리스트) 모델 – 마이크로소프트는 한때 꽤 오랫동안 강화된 보안 관리자 환경(Enhanced Security Admin Environment, ESAE) 모델을 지지했습니다. ESAE에서는 보통 레드 포리스트(Red Forest)로 불리는 고도로 안전한 특수한 관리 포리스트 안에 특권 액세스 권한이 있는 계정이 위치합니다. 이 모델에서는 해당 사용자가 일정 기간 동안 “msDS-ShadowPrincipal” 개체의 구성원이 되고 이 객체는 관리되는 도메인의 강력한 그룹에 매핑됩니다. 본질적으로 이 말은 관리자가 실제 도메인 관리자 그룹의 구성원이 되지 않고도 일정 기간 동안 도메인 관리자 특권을 얻게 된다는 것을 의미합니다. 그러나 ESAE 아키텍처는 복잡하고, 일반적으로 AD의 가장 강력한 계정에 대해서만 효과가 있습니다. 따라서 마이크로소프트도 대부분의 고객에게 더 이상 ESAE를 권장하지 않습니다. (예외는 강력한 보안에 대한 필요성이 오프라인 연구소, 산업 제어 시스템과 같은 복잡성과 운영 비용 증가를 감수할 만큼 큰 경우)


2) 임시 그룹 멤버십 – 일반적으로 AD 계정에는 직접 권한이 부여되지는 않고 특정 그룹의 멤버십을 통해 권한이 부여됩니다. 제한된 시간 동안 그룹 멤버십을 제공하는 소프트웨어를 구현하는 것은 전부터 가능했지만, 발급된 Kerberos 티켓에 대한 권한이 계정에 남아 사용자가 해당 권한을 부여한 그룹의 구성원이 더 이상 아닌 시점까지 이어지는 경우가 많았습니다. 이 부분은 윈도우 2016에서 바뀌었습니다. 그룹 멤버십에 “시한” 값을 부여할 수 있게 되었고 티켓 만료가 동기화되었습니다. 이 말은 즉, AD 자체가 사용자를 특권 그룹에서 만료시키고 사용자의 Kerberos 티켓도 그 이후 곧 만료된다는 것을 의미합니다.


3) 임시 관리자 계정 – 최선은 특권이 없는 관리자 계정일 것입니다. 사용해야 하는 시점까지 계정을 비활성화하는 방법입니다. 특권 ID 관리 시스템은 체크인/체크아웃 시스템을 통해 사용되지 않는 특권 계정이 위협 요소가 되지 않도록 합니다.


제로 트러스트 모델에 따른 적시 특권 승격을 위해 어떤 방법을 선택하든, “누가, 언제, 무엇을” 할 수 있는지를 지정할 수 있어야 합니다. 또한 AD용 체인지 오디터(Change Auditor)와 같은 소프트웨어를 사용해 특권 및 일반 사용자 계정의 활동을 면밀히 감사하고 핵심 AD 보안 개체에 대한 우발적이거나 의도적인 변경을 방지할 수 있습니다.


암호를 믿지 말 것: 암호 사용을 중단하는 것도 고려

사용자들은 오래전부터 알고 있었지만 이제 보안 연구원들과 대규모 IT 부서도 인지하기 시작했습니다. 바로 암호는 불편하다는 것입니다. 특히 사용자에게 매우 복잡한 암호를 선택하고 분기마다 변경할 것을 강요하는 오래된 방법은 사용자와 헬프데스크, 양쪽 모두에 골칫거리였고, 무엇보다 AD 보안을 그다지 강화해주지도 못했습니다.


제로 트러스트 모델은 단일 암호를 훨씬 덜 신뢰합니다. 몇 가지 옵션은 다음과 같습니다.


1) 하이브리드 AD 환경에서 마이크로소프트 365 서비스를 사용한다면 사용자들은 이미 Azure AD 계정과 AD 계정이 있는 것입니다. Azure AD가 이제 온프레미스 AD 도메인에 대해 티켓 부여 티켓을 발급할 수 있으므로 Azure AD를 주 인증 소스로 활용하도록 사용자들을 전환하는 것이 좋습니다. 이렇게 하면 사용자들이 도메인에 조인하지 않은(하이브리드도 아닌) 엔드포인트를 사용하여 Kerberos 인증이 필요한 네트워크 리소스에 액세스할 수 있습니다. Azure AD를 인증에 사용하면 사용자가 주기적으로 VPN을 사용해 인증할 필요가 없어질 뿐만 아니라, 윈도우 헬로우 및 기타 암호 없는 옵션부터 지오 필터링, 불가능한 이동(Impossible travel)과 같은 옵션에 이르기까지 Azure AD의 모든 뛰어난 보안 기능을 활성화할 수 있습니다.


2) 하이브리드 AD 환경이 아니거나 Azure AD를 주 인증 소스로 활용할 수 없다면 AD와 통합되는 다중 요소 인증 시스템에 투자하십시오. 이렇게 하면 사용자 계정에 암호가 필요하긴 해도 이 암호를 자주 변경할 필요는 없으며 유출되는 경우의 위험도 훨씬 더 낮습니다.


클라우드의 AD 관리자 계정을 신뢰하지 말 것: 특권 역할이 있는 Azure AD 또는 마이크로소프트 365의 모든 계정은 클라우드 전용 계정이어야 합니다.

마이크로소프트는 AD와 Azure AD의 긴밀한 상호작용을 구현하기 위해 막대한 엔지니어링 리소스를 투자했습니다. 하이브리드 AD 환경에서는 온프레미스에 이미 구축된 인프라와 인증 정보를 활용해 마이크로소프트 클라우드의 데이터, 애플리케이션, 인프라에 손쉽게 액세스할 수 있습니다.


사실 지나치게 쉽다고도 할 수 있습니다. 하이브리드 AD 환경으로 전환하는 많은 조직은 기존 온프레미스 정책과 프로세스를 클라우드의 관리에 활용하기 위해 온프레미스 관리 계정과 서비스 계정을 하이브리드화했습니다. 이 아키텍처는 클라우드 인프라에 대한 여러 건의 매우 심각한 공격으로 이어졌습니다. 공격자들은 AD의 복잡성과 레거시 속성을 이용해 클라우드의 시스템과 정보를 공격합니다.


요약하면, Azure AD 또는 마이크로소프트 365에서 특권 역할을 가진 모든 계정은 하이브리드가 되어서는 안 됩니다. 클라우드 전용이어야 합니다.


결론

위의 3가지 베스트 프랙티스는 제로 트러스트 모델을 위한 견고한 기반을 제공합니다. 하지만 이 목록이 제로 트러스트를 “완성”하기 위한 체크리스트는 결코 아닙니다. 몇 가지 베스트 프랙티스를 도입하거나 하나의 소프트웨어 솔루션을 배포하는 것으로 완성되는 보안 모델은 존재하지 않습니다. 그보다는 광범위한 기술과 프로세스, 정책을 포괄하는 계층화된 보안 프레임워크를 구축하고, IT 환경과 비즈니스 요구사항과 위협 환경의 발전에 맞추어 지속적으로 이 프레임워크를 평가하고 개선해야 합니다. 기억하십시오. 제로 트러스트 모델은 AD 보안과 마찬가지로 목적지가 아닌 여정입니다.





퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB