[Azure 자격증 - AZ-900] ID, 거버넌스, 개인 정보 보호 및 규정 준수 기능 - Part 1

인증과 권한

두 개념은 신원 확인과 접근 제어를 이해하는 데에 매우 중요.

인증과 권한 부여에 대한 다이어그램

 

인증 (Authentication)

• 리소스에 액세스하려는 사람이나 서비스의 ID를 식별하는 프로세스.
• 합법적인 액세스 자격 증명을 요청함.
• 보안 ID 및 액세스 제어 원칙을 만들기 위한 기반을 제공함.

 

권한 부여 (Authorization)

• 인증된 사람 또는 서비스의 액세스 수준을 결정하는 프로세스.
• 액세스 할 수 있는 데이터와 이를 사용하여 수행할 수 있는 작업을 정의함.

 

Azure Active Directory (AD)

• Microsoft Azure의 클라우드 기반 신원 확인 및 접근 관리 서비스.
• 클라우드 기반의 인증 : 응용 프로그램 및 리소스에 액세스 하기 위한 신원 확인, 셀프서비스 암호 재설정, MFA (다단계 인증), 사용자 지정 금지 암호 목록 및 스마트 잠금 서비스와 같은 기능을 제공.
• 단일 인증 (Single Sign On - SSO) : 사용자가 하나의 ID와 하나의 암호만 기억하여 여러 애플리케이션에 액세스 가능.
• 응용 프로그램 관리 : Azure AD 응용프로그램 프록시, Single Sign-On, SaaS 응용 프로그램을 사용하여 클라우드 및 온-프레미스 앱을 관리 가능.
• B2B 인증 서비스 : 게스트 사용자 및 외부 파트너를 관리와 회사 데이터에 대한 제어 가능.
• B2C 인증 서비스 : 서비스와 함께 앱을 사용할 때 사용자 등록, 로그인 및 프로필 관리 방법을 커스텀화와 제어 가능.
• 디바이스 관리 : 클라우드 또는 온-프레미스 디바이스가 회사 데이터에 액세스 하는 방법 관리 가능.

 

Azure 다단계 인증 (Azure Multi-Factor Authentication)

• 전체 인증을 위해 두 개 이상의 요소를 요구하여 신원 확인에 대한 추가 보안을 제공하며, 세 가지 범주로 분류 가능.
• 당신이 알고 있는 것 (Something you know) : 비밀번호나 보안 질문에 대한 답변.
• 당신이 가지고 있는 것 (Something you possess) : 알림을 받는 모바일 앱이나 토큰 생성 장치.
• 당신임을 증명할 수 있는 것 (Something you are) : 모바일 장치에서 사용되는 지문 또는 얼굴 스캔과 같은 생체 인식 속성.
• Azure에는 Azure AD Multi-Factor Authentication가 있으며, Azure Active Directory, Office 365용 다단계 인증 서비스에서 제공됨.

 

조건부 엑세스 (Conditional Access)

• ID 신호에 따라 리소스에 대한 액세스를 허용(또는 거부)하기 위해 Azure Active Directory에서 사용하는 도구.
• 신호에는 사용자의 신분, 사용자의 위치 및 사용자가 액세스를 요청하는 디바이스가 포함.
• 사용자에게 보다 세분화된 다단계 인증 환경을 제공 가능
• 신호는 사용자의 위치, 사용자의 디바이스 또는 사용자가 액세스하려고 하는 애플리케이션일 수 있음.
• 해당 신호에 근거하여 사용자가 정상적인 위치에서 로그인하는 경우 모든 액세스를 허용하도록 결정.
• 적용은 의사 결정을 수행하는 작업입니다.

조건부 엑세스 흐름도

 

Single Sign-On

• 사용자가 한 번 로그인하고 해당 자격 증명을 사용하여 여러 공급자의 여러 리소스 및 애플리케이션에 액세스 가능.
• SSO를 사용하는 경우 하나의 ID와 하나의 암호만 기억.
• 애플리케이션 전반에 걸친 액세스 권한이 사용자와 연결된 단일 ID에 부여되므로 보안 모델 간소화됨.
• 엑세스 권한이 단일 ID로 제한.
• 계정 관리를 보다 쉽게 하고 보안 역량 향상 가능.

 

---

이전 글

[Azure 자격증 - AZ-900] 보편적 보안 및 네트워크 보안 기능 - Part 2

 

다음 글

[Azure 자격증 - AZ-900] ID, 거버넌스, 개인 정보 보호 및 규정 준수 기능 - Part 2