액세스 제어의 정의
액세스 제어는 누가 어떤 상황에서 특정 데이터, 앱 및 리소스에 액세스할 수 있는지를 정하는 보안의 기본적인 요소입니다. 열쇠와 사전 승인된 손님 목록이 물리적인 공간을 보호하는 데 사용되는 것처럼 액세스 제어 정책은 디지털 공간을 보호합니다. 즉, 올바른 사람은 입장시키고 올바르지 않은 사람은 차단합니다. 액세스 제어 정책은 조직에서 사용자가 실제로 해당 사용자가 맞는지 명시적으로 확인하고 이러한 사용자에게 디바이스, 위치, 역할 등과 같은 컨텍스트를 기반으로 적정 수준의 액세스를 부여할 수 있도록 지원하는 인증 및 권한 부여와 같은 기법을 기반으로 합니다.
액세스 제어는 고객 데이터 및 지적 재산과 같은 기밀 정보를 악의적인 행위자 또는 다른 권한이 없는 사용자가 도난당하지 않도록 합니다. 직원들에 의한 데이터 반출의 위험을 줄이고 웹 기반 위협을 차단합니다. 보안 중심 조직은 대부분 권한을 수동으로 관리하는 대신 ID 및 액세스 관리 솔루션을 사용하여 액세스 제어 정책을 구현합니다.
액세스 제어의 다른 유형
액세스 제어에는 네 가지 유형이 있습니다. 각 유형은 저마다의 방식으로 중요한 정보에 대한 액세스를 관리합니다.
DAC(재량적 액세스 제어)
DAC 모델에서는 보호되는 시스템에 있는 모든 개체에 소유자가 있으며, 소유자는 자신의 재량에 따라 사용자에게 액세스 권한을 부여합니다. DAC는 리소스에 대한 케이스별 제어를 제공합니다.
MAC(필수 액세스 제어)
MAC 모델에서는 사용자에게 단계별로 액세스 권한이 부여됩니다. 중앙의 관리자가 액세스 권한을 규제하며, 사용자를 범위가 균일하게 확장되는 계층으로 구성합니다. 이 모델은 정보 및 군사 맥락에서 주로 사용됩니다.
RBAC(역할 기반 액세스 제어)
RBAC 모델에서는 개인의 ID나 서열이 아닌 정의된 비즈니스 기능을 기준으로 액세스 권한이 부여됩니다. RBAC 모델의 목표는 사용자가 작업을 수행하는 데 필요한 만큼만의 데이터를 제공하는 것입니다.
ABAC(특성 기반 액세스 제어)
ABAC 모델에서는 시간 및 위치와 같은 특성과 환경 조건의 조합을 기준으로 액세스 권한이 유연하게 부여됩니다. ABAC는 가장 세분화된 액세스 제어 모델이며, 역할 할당의 개수를 줄이는 데 도움이 됩니다.
액세스 제어의 작동 방식
액세스 제어란 간단히 말하면 자격 증명을 기준으로 사용자를 식별하고 인증된 사용자에게 적정 수준의 액세스를 부여하는 것입니다.
암호, PIN, 보안 토큰, 생체 스캔은 모두 사용자를 식별하고 인증하는 용도로 널리 사용되는 자격 증명입니다. MFA(다단계 인증)는 사용자가 둘 이상의 확인 방법을 통해 확인되도록 요구함으로써 추가적인 보안 레이어를 적용합니다.
사용자의 ID가 인증되면 사용자가 의도한 대로 진행할 수 있도록 액세스 제어 정책이 특정 권한을 부여합니다.
액세스 제어의 가치
액세스 제어의 목표는 중요한 정보가 공격자들에게 넘어가지 않도록 하는 것입니다. 기밀 데이터에 대한 사이버 공격은 지적 재산의 유출, 고객 및 직원 개인 정보의 노출, 회사 자금의 손실과 같은 심각한 결과로 이어질 수 있습니다.
액세스 제어는 보안 전략의 중요한 구성 요소입니다. 액세스 제어는 데이터, 그중에서도 특히 클라우드에 저장된 데이터에 대해 승인되지 않은 액세스 보안 위험을 최소화하려는 조직에서 사용할 수 있는 가장 좋은 도구 중 하나이기도 합니다.
승인되지 않은 액세스에 취약한 디바이스가 늘어남에 따라 정교한 액세스 제어 정책이 없는 조직에 가해지는 위험도 커지고 있습니다. ID 및 액세스 관리 솔루션은 이러한 정책의 관리를 간소화해 줄 수 있으나, 가장 먼저 데이터를 어떤 경우에 어떤 방법으로 관리해야 하는지를 파악하는 것이 중요합니다.
액세스 제어를 구현하는 방법
목표 공유하기
의사 결정권자들이 액세스 제어 솔루션을 구현하는 데 있어 중요한 요소가 무엇인지 합의합니다. 이 작업을 진행하는 이유 중 하나는 조직에 가해지는 위험을 줄이는 것입니다. 액세스 제어 솔루션을 구현하는 그 밖의 이유는 다음과 같습니다.
• 생산성: 직원들이 자신의 업무를 수행하는 데 필요한 앱과 데이터에 대한 승인된 액세스 권한을 해당 앱과 데이터가 필요한 바로 그 시점에 부여합니다.
• 보안: 위협이 발생하면 실시간으로 승격되는 반응형 정책을 사용하여 중요한 데이터와 리소스를 보호하고 사용자 액세스로 인한 문제를 줄입니다.
• 셀프 서비스: ID 관리, 암호 재설정, 보안 모니터링 및 액세스 요청을 위임하여 시간과 노력을 절약합니다.
솔루션 선택하기
데이터를 보호하면서도 탁월한 최종 사용자 환경을 제공할 수 있는 ID 및 액세스 관리 솔루션을 선택합니다. 직원들의 원활한 원격 액세스를 지원하고 관리자의 시간을 절약해 주는 등 사용자와 IT 부서 양쪽에 최고 수준의 서비스를 제공하는 솔루션이 좋은 솔루션입니다.
강력한 정책 설정
선택한 솔루션을 도입했으면 누가 리소스에 액세스해야 하는지, 그리고 이들이 어느 리소스에 어떤 조건하에서 액세스해야 하는지 정합니다. 액세스 제어 정책은 비즈니스의 필요에 따라 액세스를 부여하거나, 세션 제어를 사용하여 액세스를 제한하거나, 액세스를 차단하도록 설계할 수 있습니다.
이 과정에서 다음과 같은 질문을 숙고해 보세요.
• 정책에 포함하거나 정책에서 제외해야 하는 사용자, 그룹, 역할 또는 워크로드 ID는 무엇인가요?
• 이 정책은 어느 애플리케이션에 적용되나요?
• 이 정책은 어느 사용자에게 적용되나요?
모범 사례 따르기
정책을 잘못 구성한 경우 액세스가 잠기지 않도록 비상 액세스 계정을 설정하고, 모든 앱에 조건부 액세스 정책을 적용하고, 환경에 적용하기에 앞서 정책을 테스트하고, 모든 정책에 적용할 명명 규칙을 설정하고, 중단 사태를 위한 계획을 세웁니다. 적절한 정책을 적용했으면 한숨을 돌리세요.
액세스 제어 솔루션
액세스 제어는 모든 조직에서 데이터 유출 및 반출로부터 조직을 보호하기 위해 구현할 수 있는 기본적인 보안 조치입니다.
Microsoft Security의 ID 및 액세스 관리 솔루션은 조직의 일상적인 작업이 점점 더 클라우드로 이전되는 상황에서 조직의 자산을 상시 보호할 수 있도록 지원합니다.
중요한 항목을 안전하게 보호하세요.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
보안 분야에서 액세스 제어 시스템이란 네트워크, 웹 사이트, 클라우드 리소스와 같은 디지털 자산에 대한 액세스를 의도적으로 조정하는 모든 기술을 가리킵니다.
액세스 제어 시스템은 인증 및 권한 부여와 같은 사이버 보안 원칙을 적용하여 미리 정의된 ID 및 액세스 정책을 기준으로 사용자가 실제로 해당 사용자가 맞으며 사용자에게 특정 데이터에 대한 액세스 권한이 있는지를 확인합니다.
-
클라우드 기반 액세스 제어 기술은 클라우드의 효율을 바탕으로 온-프레미스 액세스 제어 시스템을 실행하고 유지하는 데 소요되는 값비싼 비용 없이 조직 전체의 디지털 자산에 대한 제어를 적용합니다.
-
액세스 제어는 ID와 자격 증명이 확인된 사용자만 특정 정보에 액세스할 수 있도록 함으로써 데이터 도난, 손상 또는 반출로부터 조직을 보호합니다.
-
액세스 제어는 특정 공간 또는 정보를 보고 사용할 수 있는 사용자를 선택적으로 규제합니다. 액세스 제어에는 물리적 액세스 제어와 논리적 액세스 제어가 있습니다.
- 물리적 액세스 제어 란 물리적 위치에 대한 액세스를 제한하는 것을 가리킵니다. 이는 잠금 장치와 열쇠, 암호로 보호되는 문, 보안 요원의 경비와 같은 도구를 사용하여 이루어집니다.
- 논리적 액세스 제어 란 데이터에 대한 액세스를 제한하는 것을 가리킵니다. 이는 식별, 인증, 권한 부여와 같은 사이버 보안 기법을 사용하여 이루어집니다.
-
액세스 제어는 명시적 확인, 최소 권한 액세스와 같은 기법을 적용하여 중요한 정보를 보호하고 잘못된 사람에게 유출되지 않도록 하는 최신 제로 트러스트 보안 철학의 한 가지 특징입니다.
액세스 제어는 인증과 권한 부여라는 두 가지 원칙을 기반으로 합니다.
- 인증이란 사용자 이름과 암호, 생체 스캔, PIN, 보안 토큰과 같은 로그인 자격 증명을 기준으로 특정 사용자를 식별하는 것을 가리킵니다.
- 권한 부여란 사용자에게 액세스 제어 정책에 의해 정해진 적정 수준의 액세스를 부여하는 것을 가리킵니다. 이러한 프로세스는 대부분 자동화됩니다.
Microsoft Security 팔로우