사이버보안.5-Managing Identity

1 | Managing Identity >

Identity as a Service (IaaS), the new Control Plane

 

A Control Plane – Control Plane이란 무엇인가? -> 정적 또는 동적 경로를 학습

Identity Management

ID 관리 (ID 관리)는 개인이 기술 리소스에 적절하게 액세스 할 수 있도록하는 조직적 프로세스. 여기에는 응용 프로그램, 시스템 또는 네트워크에 액세스 할 수있는 개인의 식별, 인증 및 권한 부여가 포함. 권한 있는 액세스 보안은 현대 조직에서 비즈니스 자산에 대한 보안 보장을 확립하는 중요한 첫 단계

자격 증명 + 권한 = 디지털 ID

 

Securing Privilege Access (SPA) 권한액세스보안

권한 있는 액세스를 보호하려면 프로세스 변경뿐만 아니라 기술 구성 요소(호스트 방어, 계정 보호, ID 관리 등), 관리 관행 등 광범위 요소 필요

 

 

-보안 권한 액세스 로드맵 :1단계

가장 자주 사용되는 신용도용 및 남용 공격 기법을 신속하게 완화하는 데 초점

약 2-4주 내에 구현되도록 설계

 

-관리자 계정 보호

인터넷 위험(피싱 및 웹 브라우징)을 관리 권한에서 분리하려면 전용계정을 만들어야함

PAW 원칙은 별도의 전용 관리자 워크스테이션임, 신뢰할 수 있는 단일 보안 관리 VM

PAW는 별도 계정이 있더라도 동일한 계정이 하위 트러스트 워크스테이션에서 사용되는 경우 해당 워크스테이션의 모든 사용자가 해당 계정을 도용할 수 있음

 

PAW:  Privileged Access Workstations, 권한 있는 액세스 워크스테이션

---

1 | Managing Identity >

Security Privileged Access Roadmap: Stage 2

 

 

paw 2, 3단계 (1~3개월) -> 권한 있는 액세스 워크스테이션의 개념을 기반으로 서버 관리자 및 워크스테이션 관리자를 위한 Tier 1 및 Tier 2 관리자를 구축

 

Time-bound privileges (no permanent administrators): 시간 제한 권한(영구 관리자 없음)

관리자 권한의 경우 기본값은 관리자가 항상 영구적으로 권한을 갖는 것 ->  권한 노출 시간을 줄이고 권한 사용에 대한 가시성을 향상하고 적절한 시기에 권한을 제공

Time-bound elevation에 대한 다중 요인: 다중 요인 인증(MFA)을 지원, 모든 권한 상승 요청의 일부로 MFA가 필요

Just Enough Admin (JEA): 윈도우 파워쉘은 도메인 컨트롤러 및 기타 서버에서 공통 유지 관리 작업을 수행할 수 있는 옵션인 JEA 기능 지원

Lower attack surface of Domain and DCs:

공격자가 포리스트를 제어 할 수있는 기회를 줄이려면 공격자가 도메인 컨트롤러 또는 도메인을 제어하는 ​​개체를 제어하기 위해 취할 수있는 경로를 줄여야함

공격탐지 중요

 

 

 

보안 권한있는 액세스 로드맵 : 3 단계 (6개월)

 

역할 및 위임 모델 현대화: 보안 위험을 줄이려면 계층 모델의 규칙을 준수하도록 역할 및 위임 모델의 모든 측면을 다시 설계하고, 클라우드 서비스 관리 역할을 수용하고, 관리자 사용성을 핵심 원칙으로 통합해야함

관리자 인증의 보증 수준과 유용성을 높이려면 권한 증명뿐만 아니라 모든 인증에 대해 다단계 인증을 요구필요

DC에 대한 코드 무결성 정책: 도메인 컨트롤러에 대한 코드 무결성 정책은 권한이없는 프로그램이 DC에서 실행되는 위험을 제한하도록 설계

 

권한있는 액세스 보안은 현대 조직에서 비즈니스 자산에 대한 보안 보장을 설정하기위한 중요한 첫 번째 단계이지만 정책, 운영, 정보 보안, 서버, 애플리케이션, PC와 같은 요소를 포함하는 완전한 보안 프로그램의 유일한 부분은 아님

 

---

2 | Securing Active Directory >

Active Directory Security

 

타협 할 방법

Active Directory는 도메인의 개체에 대한 정보를 저장하는 데이터베이스가 포함 된 디렉터리 서비스. 도메인 사용자 및 그룹에 대한 암호 정보 및 권한은 도메인의 도메인 컨트롤러로 지정된 컴퓨터에 복제되는 Active Directory에 저장됨

 

AD기능:

광범위한 애플리케이션 및 리소스에 대한 SSO (Single Sign-On) 및 액세스 제어

응용 프로그램 간의 정보 공유

문서에 대한 암호화 및 제어 된 액세스를 가능하게하는 정보 보호

컴퓨터, 프린터, 파일, 응용 프로그램 및 기타 리소스 검색

사용자, 그룹 및 역할을 관리하는 도구 비밀번호 재설정;

 

AD의 ID 서비스:

Kerberos 네트워크 인증 서비스, AD CS, AD FS

위 이미지의 핵심 구성 요소

WinLogon, LogonUI, LSASS, LSAISO, Netlogon, SAM

 

멀웨어 보호 프로그램 최신상태 유지 중요!!

잘못된 구성 수정

활성 디렉토리 공격 표면 줄이기:

보호 된 그룹 및 계정에서는 권한 상속이 비활성화됩니다. 즉, 계정이나 그룹이 디렉터리의 다른 위치로 이동하더라도 새 상위 개체에서 권한을 상속하지 않음

활성 디렉토리 모니터링: 견고한 이벤트 로그 모니터링 시스템은 보안 Active Directory 설계의 중요한 부분임

침해 계획 - 타협을 위한 계획: 

적극적인 손상 계획이 필요, 파손된 모든 사항에 집중하고 해결하려고하기보다는 비즈니스와 인프라에서 가장 중요한 사항을 기준으로 우선 순위를 지정하는 접근 방식을 고려

 

 

출처: microsoft learn platform