클라우드 서비스는 언제 어디서나 업무를 수행할 수 있도록 생산성을 지원합니다. 하지만 이와 동시에 계정 정보만 있다면 회사 데이터 에 손쉽게 접근할 수 있다는 점에서 기업은 보안에 대한 우려로부터 자유로울 수 없는 것이 현실입니다. 이처럼 클라우드 서비스를 이용하면서 발생할 수 있는 다양한 보안 문제와 위협들로 인해 기업의 우려가 끊이지 않고 있습니다. 수많은 보안 위협들 중 하나로, “계정 정보 누출로 인한 보안 위협”을 최소화하기 위해 실시할 수 있는 보안 기능 중 하나가 바로 “다단계 인증”입니다. 다단계 인증의 기능을 잘만 활용한다면 조직의 생산성을 높이면서 동시에 회사의 소중한 자산을 안전하게 보호할 수 있습니다.
앞서 보안에 대해 다루었던 콘텐츠에서 언급되었던 것처럼 다단계 인증에는 “보안 기본값”이 포함되어 있습니다. 보안 기본값의 경우 무료로 보안 기능을 제공한다는 장점이 있는 반면 조직 “전체 적용” 혹은 “전체 미적용”이라는 두 가지 옵션만 제공하기 때문에 보안 관리/설정 시 유연성을 제공하지 못한다는 단점이 있습니다. 따라서 기업의 규모가 크거나 작은 기업일지라도 업무의 독립성이 강한 구조라면 이러한 제한된 선택 옵션(전체 적용 또는 미적용)으로 보안 정책을 세우는 데에는 한계가 있을 수 있습니다.
☞☞☞☞☞ (여기서 잠깐!!)지난 포스트 보러가기 ☜☜☜☜☜
이 같은 보안 기본값의 단점을 보완하면서 세부적인 설정이 필요한 경우에는 “조건부 액세스 정책“을 고려해 볼 수 있습니다. 해당 정책은 특정 사용자와 그룹 및 앱에 적용할 수 있으며 각 사용자게에 적절한 수준의 액세스를 제공합니다.
보안 환경의 유연성을 확보하기 위해서는 부가 라이선스인 “Microsoft Entra ID Plan 1″을 추가 구독하거나 ‘Microsoft 365 Business Premium”을 구독해야 합니다. “Microsoft Entra ID Plan 1″은 기본적인 Entra ID 기능을 제공하며 부가 라이선스이기 때문에 기존에 사용하던 라이선스 외에 추가로 구매하여 이용 가능합니다. 그리고 Microsoft 365 Business Premium은 Microsoft 365 Standard에서 제공하는 모든 기능에 더해 고급 사이버 위협 방지 및 디바이스 관리 기능인 고급 보안 기능이 추가로 제공되기 때문에 기존 Microsoft 365 라이선스를 이용중이었다면 라이선스를 업그레이드하여 이용 가능합니다.
[이미지 : 고우아이티가 제안하는 보안 성숙도 5단계]
조건부 액세스(Conditional Access)란..?
조건부 액세스(Conditional Access)를 사용하면 Microsoft Entra ID는 로그인 또는 사용자가 위험에 처한 상황을 로그인 위험 기반, 사용자 위험 기반으로 자동 감지하기 때문에 조건부 액세스 정책을 적용하여 조직을 안전하게 보호할 수 있습니다.
그렇다면 여기서 말하는 “로그인 위험 기반“이란 무엇일까?
-
관리자는 로그인 위험 기반의 조건부 액세스 정책을 구성하여 로그인 위험도에 따라 액세스 차단 및 허용, 다단계 인증 요구와 같은 액세스 제어를 적용할 수 있습니다.
“사용자 위험 기반“이란?
-
사용자에게 위험한 로그인 접근이 있거나 자격 증명이 노출된 경우, Microsoft Entra ID 보호는 이러한 신호를 통해 사용자 위험 수준을 계산합니다.
이처럼 조건부 액세스는 특정 조건을 만족할 때 클라우드 서비스에 접속하는 것을 허용하거나 차단이 가능합니다. 아래는 조건부 액세스의 활용 예시 입니다.
[ 조건부 액세스 활용 예시 ]
-
해외 IP에서 접속 시 로그인 차단(국내 IP만 접속 허용)
-
프리랜서 사용자는 Office 365 클라우드 앱 사용을 제한
-
중국에서 출장중인 사용자 A,B는 서비스 접속 시 필수로 2차 인증 진행
-
인증된 장치에서만 Office 365 클라우드 앱 접속 허용
How to use >> 정책 설정하기
01. 새로 만들기
조건부 액세스 정책 설정하는 방법은 다음과 같습니다.
1. 관리자 계정으로 Microsoft Entra 관리센터 에 로그인 합니다.
2. [ 보호 ] – [ 조건부 액세스 ] – [ +새 정책 생성 ]을 클릭합니다.
3. 정책 이름을 입력합니다.
4. [ 할당 ] – [ 사용자 또는 워크로드 ID ]에서 현재값을 선택합니다.
5. “이 정책은 무엇에 적용되나요?”에서 [ 사용자 및 그룹 ]이 선택되어 있는지 확인합니다.
6. [ 포함 ] – [ 사용자 및 그룹 선택 ]을 선택하고 [ 사용자 및 그룹 ]을 선택합니다.
(아직 할당된 것이 없기 때문에 사용자 및 그룹 목록(다음 단계에 표시됨)이 자동으로 열립니다.)
7. Microsoft Entra 그룹을 찾아서 선택하고 [선택]을 클릭합니다.
How to use >> 정책 설정하기
02. 템플릿 활용하기
앞서 설명 드린 것처럼 조직은 직접 정책을 생성하거나 마이크로소프트의 권장사항에 따라 편리하게 배포할 수 있는 조건부 액세스 템플릿을 이용할 수 있습니다. 지금부터 조건부 액세스 템플릿을 활용하여 설정하는 방법을 살펴보겠습니다.
1. 관리자 계정으로 Microsoft Entra 관리센터 에 로그인합니다.
2. [ 보호 ] – [ 조건부 액세스 ] – [ + 템플릿으로터 새 정책 생성 ]을 클릭합니다.
3. 개별 정책 템플릿을 선택하여 정책 설정 요약을 보거나 편집하여 요구사항에 따라 지정할 수 있습니다.
,
.
.
.
.
– C H E C K –
조건부 액세스 도입시 고려사항
회사의 정책으로 조건부 액세스를 도입할 때 고려해야 할 사항은 다음과 같습니다.
-
사용자가 조건부 액세스 환경에 적용할 수 있도록 “교육“과 “안내“가 필요합니다.
-
사용자의 업무 환경에 맞는 조건을 설정해야 합니다.
-
보안 기본값과 조건부 액세스 정책은 함께 적용될 수 없습니다.
-
전사 도입 후 변화된 업무 환경에 잘 적응할 수 있도록 도입 단계에서 충분한 테스트를 거치실 것을 권장 드립니다.
지금까지 조건부 액세스 정책에 대해 알아보았습니다. 기초편에서 안내해드렸던 “Microsoft 365의 보안 기본값 기능을 통한 조직내 계정을 보호하는 방안”을 시작으로 본 심화편에서는 한 단계 더 나아간 “조건부 액세스 기능과 설정 방법”까지 알아보았는데요. 조직의 환경을 파악하여 그에 걸맞는 정책이 적용되었을 때 비로소 기업의 계정과 소중한 자산들이 안전하게 지켜질 수 있습니다. 정책 구성에 어려움이 있으시거나 보다 안전하게 회사 자산 관리하길 원하신다면 언제든지 문의주시기 바랍니다.
다음 포스트에서는 기업의 보안 고민과 관련하여 많은 문의 비중을 차지하고 있는 “이메일 보안”에 대해 다뤄볼 예정이니 많은 관심 가져주시길 바랍니다.^^
고우아이티는 지난 14년간 중소기업의 디지털전환을 도운 Microsoft CSP 파트너로써, 약 900여개 기업의 디지털 전환을 도우며 업종별 다양한 구축 경험을 보유하고 있습니다. 기업 내에 IT 관리자, 보안 전담팀이 없더라도 기업의 소중한 자산을 안전하게 보호하고 관리할 수 있도록 다양한 경험을 보유한 IT 엔지니어로 구성된 기술 전담팀을 통해 각 기업의 특성과 상황에 맞는 다양한 Microsoft 365 보안팁과 가이드를 제안해드리고 있습니다.
※ 앞서 설명드린 보안 기능 설정에 어려움이 있으신 경우 고우아이티를 통해 Microsoft 365 서비스를 이용중인 고객이라면 설정 및 안내 도와드리고 있으니 편하게 문의주시기 바랍니다.^^ 이외에도 Microsoft 365 및 GoWorks 라이선스의 활용, 기능 문의, 오류 문의, 원격 지원 등 활용을 위한 다양한 서비스 지원은 물론, 타 서비스에서 Office 365로의 빠르고 안정적인 이관(마이그레이션)과 구축 등의 서비스를 받을 수 있습니다.
중소/중견 기업이 디지털 트랜스포메이션으로의 전환에서 보안에 이르기까지 긴 여정을 안전하게 하실 수 있도록 준비되어 있는 Microsoft 365 No.1 CSP 파트너 고우아이티와 함께하시기 바랍니다. 감사합니다.
