목차
1. 보안, 규정 준수, ID 개념 설명(10~15%)
1) 보안, 규정 준수
1-1) 공동 책임 모델
1-2) 심층 방어
1-3) 제로 트러스트 모델
1-4) 암호화 및 해시
1-5) GRC(거버넌스, 위험, 규정 준수) 개념
2) ID 개념 설명
2-1) 기본 보안 경계로서의 ID 정의
2-2) 인증 정의
2-3) 권한 부여 정의
2-4) ID 공급자 설명
2-5) 디렉토리와 Active Directory 개념 설명
2-6) 페더레이션 개념 설명
1) 보안, 규정 준수, ID 개념 설명(10~15%)
Microsoft 보안, 규정 준수 및 ID 기본 사항: 보안, 규정 준수 및 ID의 개념 설명 - Training
Microsoft 보안, 규정 준수 및 ID 기본 사항: 보안, 규정 준수 및 ID의 개념 설명
learn.microsoft.com
part 1 보안 및 규정 준수 개념 설명
1-1) 공동 책임 모델 설명
💡 공동 책임 모델
클라우드 공급자가 처리하는 보안 작업과 고객이 처리하는 보안 작업을 구분한다.
워크로드가 호스트되는 위치에 따라 달라진다. 아래 다이어그램은 보유 위치에 따른 고객과 클라우드 공급자간의 책임 영역을 보여준다.
✔️on-premise: 고객이 모든 책임
✔️IaaS: 클라우드 공급자 컴퓨팅 Infra 사용하므로, 컴퓨터/네트워크/데이터 센터 등의 물리적 보안 구성 요소를 책임지지 않음. 소프트ㅞ어 구성 요소에 대한 책임은 고객이 짐.(OS, 네트워크 제어, Application, 데이터 보호 등)
✔️PaaS: 기본 인프라를 고객이 관리하지 않고 최대한 빨리 어플리케이션을 만들 수 있도록 지원하는 것이므로 클라우드 공급자가 하드웨어 및 운영체제를 관리, 고객은 Application, data를 책임을 짐.
✔️SaaS: 거의 모든 것을 클라우드 공급자가 책임을 짐.(데이터, 디바이스, 계정, ID를 제외한 모든 항목)
1-2) 심층 방어 설명
💡심층방어
보안에 대해 계층화된 접근 방식을 사용한다. 공격의 진행을 늦추고 모든 레이어는 보호된다.
한 레이어가 공격받으면 다른 계층 데이터에 엑세스 하지 못하도록 보호 기능이 제공된다.
물리적 보안 >ID & 액세스 > 경계 > 네트워크 > 컴퓨팅 > 어플리케이션 > 데이터
✔️ 물리적 보안: 권한 있는 작업자만 데이터 센터에 액세스하도록
✔️ ID & 액세스: 다단계 인증 또는 조건 기반 액세스 -> 인프라 및 변경 제어에 대한 액세스 제어
✔️ 경계: DDoS 보호 기능, 최종 사용자에게 서비스 거부가 발생하기 전 대규모 공격을 필터링
✔️ 네트워크: 네트워크 분할 및 네트워크 액세스 제어, 리소스 간의 통신을 제한
✔️ 컴퓨팅: 특정 포트 닫아 온프레미스 또는 클라우드 VM에 대한 액세스 보호
✔️ 애플리케이션: 애플리케이션 보호
✔️ 데이터: 비즈니스 및 고객 데이터에 대한 액세스 제어 컨트롤, 데이터 보호를 위한 암호화
💡 CIA(기밀성, 무결성, 가용성)
✔️ 기밀성: 중요한 기밀 데이터 유지 필요성, 데이터 암호화 및 암호화 키(private key) 기밀 유지
✔️ 무결성: 메시지 변조되지 않았다는 확신을 갖는 것, 암호화 되기 전과 동일한 암호로 해독할 수 있어야 함.
✔️ 가용성: 필요한 사람이 필요할 때 사용할 수 있도록 만드는 것.직원들 또한 해독된 데이터에 액세스 할 수 있어야 함.
1-3) 제로 트러스트 모델 설명
***아디애데인네***
💡제로 트러스트 모델
모든 리소스(방화벽으로 보호되는 리소스까지도)들이 개방된 신로할 수 없는 네트워크에 있다고 가정한다.
네트워크의 무결성을 신뢰하지 않음으로써 보안을 강화한다.
사용자 유효성 검사 시 암호를 너어서 다단계 인증을 더해 추가 검사를 제공한다.
3가지 원칙
✔️ 명시적으로 확인: 사용 가능한 데이터 요소에 따라 항상 인증하고 권한을 부여함.
✔️ 최소 권한으로 액세스: JIT/JEA, 위험 기반 적응형 정책, 데이터 보호를 사용해 사용자 액세스 제한->데이터와 생산성을 모두 보호
✔️ 위반 가정: 네트워크, 사용자, 디바이스, 애플리케이션을 기준으로 액세스 분할, 암호화를 사용해 데이터 보호하고 분석을 사용해 가시성을 얻고, 위협을 검색하고, 보안을 강화함.
6가지 기본 핵심 요소
제로 트러스트 모델은 엔드투엔드 보안 제공(모든 요소가 함께 작동)
->ID, 디바이스, 애플리케이션, 데이터, 인프라(온프레미스, 클라우드 기반 상관 없이 위협 벡터를 나타냄),
네트워크 세분화
1-4) 암호화 및 해시 설명
💡 대칭 암호화
데이터 암호화 및 암호 해독에 동일한 키 사용
💡 비대칭 암호화
퍼블릭 키와 프라이빗 키 쌍을 사용
두 키 모두 데이터를 암호화할 수 있지만 동일 키를 사용해 데이터 해독을 할 순 없음.
암호를 해독하려면 쌍으로 연결된 키가 필요함.
public key와 private key가 쌍을 이룸. 공개 키를 사용하여 암호화하면 해당 프라이빗 키만 해독에 사용 가능.
비대칭 암호화는 인터넷에서 HTTPS 프로토콜 및 전자 데이터 서명 솔루션을 사용해 사이트에 액세스하는데 사용됨.
상황별 암호화
✔️미사용 데이터 암호화: 공격자가 하드드라이브를 손에 넣더라도 암호화 키에 액세스 할 수 없으면 데이터 해독 불가
✔️ 전송 중 데이터 암호화: 네트워크로 데이터 전송하기 전에 애플리케이션 계층에서 암호화해 보안 전송 수행. ex) https
✔️ 사용 중 데이터 암호화: RAM 또는 CPU 캐시와 같은 비영구 스토리지에서의 데이터 보안 포함. enclave 기술을 통해 달성
💡 해시: 텍스트를 고유한 고정 길이 값으로 변환. 해당 해시를 연결된 데이터의 고유 식별자로 사용.
해시는 암호를 저장하는데 사용되기도 함. 해시 함수는 결정적이므로(동일한 입력 -> 동일한 출력) 해커가 암호를 해시하여 무차별 대입 공격을 수행할 수 있음. -> 이를 보완하기 위해 "솔트"됨. (해시 함수 입력에 고정 길이 난수 값 추가)
1-5) GRC(거버넌스, 위험, 규정 준수) 개념 설명
💡GRC
GRC관리를 위한 구조화된 방식은 조직 위험은 낮추고 규정 준수 효율성을 높이는 데 도움이 됨.
✔️ 거버넌스: 조직이 작업을 지시하고 제어하기 위해 사용하는 규칙, 사례 및 프로세스 시스템
✔️ 위험: 회사 또는 고객 목표에 영향을 미칠 수 있는 위협이나 이벤트를 식별, 평가 및 대응하는 프로세스
ex) 데이터 유출, 지적 재산 절도, 전염병, 보안 위반 등
✔️ 규정 준수: 조직이 따라야하는 연방법 심지어는 다국적 규정을 의미함. 프로세스, 이를 준수하지 않을 시 부과되는 처벌을 정의함.
규정 준수 관련 개념
데이터 보존, 데이터 주권, 데이터 프라이버시
💯중간 점검💯
❓️ 조직에서 전 직원에게 Microsoft 365 애플리케이션을 배포했습니다. 공유 책임 모델을 고려할 때 이러한 직원과 관련된 계정 및 ID는 누가 책임지나요?
-> 조직. 공동책임모델에서 고객 조직은 직원, 디바이스, 계정/ID와 관련된 정보 및 데이터를 포함해 자체 데이터를 항상 책임진다. (On-premise ,IaaS, PaaS, SaaS 모두 다)
❓️ 다음 중 조직이 심층 방어 보안 방법론의 일부로 구현할 수 있는 수단은 무엇인가요?
->다단계 인증
❓️ 인적 리소스 조직에서는 저장된 직원 데이터가 암호화되어 있는지 확인하려고 합니다. 어떤 보안 메커니즘을 사용해야 하나요?
-> 미사용 암호화
❓️ 다음 중 데이터 주권의 개념을 가장 잘 설명하는 것은 무엇입니까?
->데이터에는 해당 데이터가 물리적으로 수집, 보관 또는 처리되는 국가/지역의 법률 및 규정이 적용된다.
part 2 ID 개념 정의
인증 및 권한 부여의 주요 개념과 회사 리소스를 보호하는데 ID가 중요한 이유를 알아본다.
2-1) 기본 보안 경계로서의 ID 정의
모든 사용자 및 디바이스에는 리소스에 액세스할 때 사용하는 ID가 있다.
ID는 회사 네트워크와 클라우드에서 사용자와 사물을 식별하는 방법이다.
💡 ID 인프라 핵심 요소 4가지
✔️ 관리: 사용자, 디바이스, 서비스에 대한 ID 생성 및 관리(생성, 업데이트, 삭제 방법과 상황 관리)
✔️ 인증: 사람 또는 사물이 주장하는 신원을 충분히 입증하는 것
✔️ 권한 부여: 인증된 유저가 액세스하려는 애플리케이션 또는 서비스 내에서 갖게 될 액세스 수준을 결정하기위해
들어오는 ID 데이터를 처리하는 것
✔️ 감사: ID의 심층 보고, 경고, 거버넌스를 파악하는 일 등 누가 언제 어디서 무엇을 어떻게 추적하는지에 대한 것
2-2) 인증 정의
💡 인증
인증은 사용자가 자신이 누구인지를 증명하는 프로세스.
이름과 암호를 결합하여 사용하는 것 또한 인증의 한 형식임.
ex) 신용카드로 항목 구매시 신원 확인을 위한 추가적인 형식 표시, 사용자 이름과 암호 입력
2-3) 권한 부여 정의
사용자를 인증하면 사용자가 이동할 수 있는 위치 및 사용자가 터치할 수 있는 항목을 결정해야 함.
ex) 호텔 체크인을 위해 예약 확인(인증) -> 카드키 제공(권한)
2-4) ID 공급자 설명
💡 최신 인증
랩탑 또는 휴대폰과 같은 클라이언트와 웹 사이트 또는 애플리케이션과 같은 서버 간의 인증 및 권한 부여 방법에 대한 포관적인 용어.
ID 공급자는 최신 인증의 중심으로 인증, 권한 부여, 감사 서비스 제공, ID 정보 생성, 유지 및 관리를 함.
ID가 확인되면 ID 공급자가 클라이언트에서 서버로 보내는 보안 토큰을 발급한다.
서버는 ID 공급자와의 트러스트 관계를 통해 토큰 유효성 검사를 수행한다. 보안 토큰을 사용해 유저는 서버에서 필요한 리소스에 액세스한다. (ID 공급자는 토큰을 저장 및 관리)
중앙 집중식 ID 공급자가 인증 서비스를 제공한다.
💡 SSO(Single Sign-On)
ID 공급자의 또 다른 기본 기능과 최신인증에 대한 지원.
사용자가 한번만 로그인하여 해당 자격증명을 사용해 여러 애플리케이션 및 리소스에 액세스 할 수 있음.
여러 ID 공급자간에 작업하도록 SSO를 설정하는 것을 페더레이션이라고 함.
2-5) 디렉터리 서비스와 Active Directory의 개념 설명
💡 디렉토리
컴퓨터 네트워크 컨텍스트에서의 디렉토리는 네트워크의 개체에 대한 정보를 저장하는 계층 구조.
디렉토리 서비스는 디렉토리 데이터를 저장하여 네트워크 사용자, 관리자, 서비스, 애플리케이션에서 사용할 수 있도록 함.
💡 AD(Active Directory)
AD는 on-premise 도메인 기반 네트워크를 위해 Windows 2000에 포함된 기능.
이런 종류의 가장 잘 알려진 서비스는 AD DS(Active Directory Domain Services)로, 디바이스 및 사용자를 포함해 도메인 구성원에 대한 정보를 저장하고, 자격증명을 확인하여 액세스 권한을 정의한다. (실행 서버 - Domain Controler)
AD DS는 온프레미스 IT 인프라를 사용하는 조직의 중앙 구성 요소. AD DS는 사용자당 단일 ID를 사용하여 여러 온프레미스 인프라 구성 요소 및 시스템을 관리할 수 있는 기능을 조직에 제공함.
⚠️ 단, AD DS는 모바일 기기, SaaS 애플리케이션 또는 최신 인증 방법이 필요한 기간 업무 앱을 지원하지 않음.
-> Active Directory 기반 ID 솔루션의 진화 예는 Microsoft Entra 제품군이며 조직에 클라우드 및 온프레미스 전반의 모든 앱에 대한 IDaaS(Identity as a Service) 솔루션을 제공함.
2-6) 페더레이션 개념 설명
페더레이션을 사용하면 각 도메인의 ID 공급자 간 trust relationship을 설정해 조직 또는 도메인 경계에서 서비스에 액세스할 수 있음. 페더레이션을 사용하면 다른 도메인 리소스에 액세스할 때 사용자가 다른 사용자 이름과 암호를 유지관리할 필요가 없음.
1) 웹사이트는 도메인 A에서 ID 공급자 A(IdP-A)의 인증서비스를 사용
2) 사용자는 도메인 B에서 ID 공급자 B(IdP-B)를 사용해 인증
3) IdP-A에는 IdP-B와의 구성된 트러스트 관계가 있음.
4) 웹사이트에 액세스하려는 사용자가 웹사이트에 자신의 자격 증명을 제공하면 웹사이트는 사용자를 신뢰하고 액세스를 허용함. 이 액세스는 두 ID 공급자간에 이미 설정된 신뢰로인해 허용됨.
ex) 유저가 Twitter로 타사사이트에 로그인하는 경우, Twitter가 ID 공급자인데 타사 사이트는 다른 ID 공급자(ex) MS Entra ID)를 사용할 경우, MS Entra ID와 Twitter간에 트러스트 관계가 있음.
💯중간 점검💯
❓️Single Sign-On의 혜택은 무엇인가요?
-> 사용자가 한번만 로그인하면 여러 애플리케이션 또는 리소스에 액세스 가능.
❓️ 페더레이션된 서비스가 리소스에 액세스하도록 허용하는 관계는 무엇인가요?
->트러스트 관계. 두 서비스의 ID 공급자가 다르더라도, 트러스트 관계를 통해 공유 액세스로 접속할 수 있음.
❓️ 인증은 어떤 작업을 수행하는 프로세스인가요?
-> 사용자 혹은 디바이스가 주장하는 신원을 확인하는 프로세스
'학교 교육 프로그램 > Microsoft SC-900' 카테고리의 다른 글
| SC-900 : Microsoft Entra ID의 인증 기능 설명 (0) | 2024.02.23 |
|---|---|
| SC-900 2) Microsoft Entra의 기능 설명 (0) | 2024.02.22 |
