Active Directory (AD)는 네트워크 환경에서 리소스를 관리하고 구성하기 위한 중앙 위치를 제공하는 Microsoft에서 개발한 디렉터리 서비스입니다. 에 대한 정보를 저장하는 저장소 역할을 합니다. 사용자 계정, 컴퓨터, 그룹 및 기타 네트워크 리소스.
Active Directory 관리자가 관리할 수 있는 서비스 집합과 계층 구조를 제공하여 네트워크 관리를 단순화하도록 설계되었습니다. 사용자 인증, 권한 부여 및 리소스에 대한 효율적인 액세스가 가능합니다.
Active Directory 객체를 도메인이라는 계층 구조로 구성하여 작동합니다. 도메인은 그룹화되어 트리를 형성할 수 있고, 여러 트리를 연결하여 포리스트를 만들 수 있습니다. 도메인 컨트롤러는 사용자를 인증 및 권한 부여하고, 디렉터리 데이터베이스를 유지 관리하며, 동일한 도메인 내에서 또는 여러 도메인에 걸쳐 다른 도메인 컨트롤러에 데이터를 복제하는 중앙 서버 역할을 합니다. 클라이언트는 도메인 컨트롤러와 상호 작용하여 인증 및 네트워크 리소스에 대한 액세스를 요청합니다.
Active Directory 오늘날 거의 모든 조직 네트워크에서 인증 인프라로 작동합니다. 클라우드 이전 시대에는 모든 조직 리소스가 온프레미스에만 상주했기 때문에 AD가 사실상 유일한 ID 공급자가 되었습니다.
그러나 조직이 워크로드와 애플리케이션을 클라우드로 이전하려고 하는 시점에도 AD는 여전히 조직 네트워크의 95% 이상에 존재합니다. 이는 주로 핵심 리소스가 클라우드로 마이그레이션하기 어렵거나 불가능하기 때문입니다.
하늘빛 Active Directory (하늘빛 광고)는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. 하는 동안 Active Directory 주로 온-프레미스 네트워크 환경에 사용되지만 Azure AD는 그 기능을 클라우드로 확장합니다. Azure AD는 SSO(Single Sign-On)와 같은 기능을 제공합니다. 다중 요소 인증 (MFA), 클라우드 애플리케이션 및 서비스에 대한 사용자 프로비저닝. 또한 온프레미스에서 사용자 계정과 비밀번호를 동기화할 수도 있습니다. Active Directory Azure AD로 전환하여 조직이 온-프레미스 및 클라우드 환경 전반에서 사용자 ID를 일관되게 관리할 수 있습니다.
Active Directory 조직에 여러 가지 이점을 제공합니다.
DaVinci에는 Active Directory 강력한 보안 기능을 제공하지만 취약점에 면역되지는 않습니다. 몇 가지 일반적인 취약점은 다음과 같습니다.
조직에서는 이러한 취약점을 완화하고 조직의 무결성과 보안을 보호하기 위해 정기적인 패치, 강력한 비밀번호 정책, 다단계 인증, 모니터링과 같은 강력한 보안 조치를 구현하는 것이 중요합니다. Active Directory 환경을 제공합니다.
Active Directory 도메인, 트리, 포리스트의 세 가지 주요 구성 요소를 사용하여 구조화됩니다. 도메인은 네트워크 내 사용자 계정, 컴퓨터, 리소스 등의 개체를 논리적으로 그룹화한 것입니다. 도메인을 결합하여 트리를 형성할 수 있습니다. 트리는 하위 도메인이 상위 도메인에 연결되는 계층 구조를 나타냅니다. 여러 나무를 서로 연결하여 숲을 만들 수 있는데, 이는 조직의 최고 수준입니다. Active Directory. 포리스트를 사용하면 동일한 조직 내의 도메인 간에 또는 서로 다른 조직 간에 리소스와 신뢰 관계를 공유할 수 있습니다.
도메인 Active Directory 각 도메인은 고유한 도메인 이름을 갖는 계층 구조를 따릅니다. 도메인은 도메인 내의 개체를 구성하고 관리하는 데 사용되는 컨테이너인 조직 단위(OU)로 더 나눌 수 있습니다. OU는 관리 작업을 위임하고, 그룹 정책을 적용하고, 보다 세부적인 수준에서 액세스 권한을 정의하는 방법을 제공합니다. OU는 서로 중첩되어 조직의 구조에 맞는 계층 구조를 만들 수 있으므로 리소스에 대한 액세스를 더 쉽게 관리하고 제어할 수 있습니다.
신뢰 관계 Active Directory 서로 다른 도메인 간에 안전한 통신 및 리소스 공유를 설정합니다. 트러스트란 한 도메인의 사용자가 다른 도메인의 리소스에 액세스할 수 있도록 두 도메인 간에 설정된 관계입니다. 트러스트는 전이적이거나 비전이적일 수 있습니다. 전이적 트러스트를 사용하면 트러스트 관계가 포리스트 내의 여러 도메인을 통해 전달되는 반면, 비전이적 트러스트는 두 특정 도메인 간의 직접적인 관계로 제한됩니다. 트러스트는 사용자가 신뢰할 수 있는 도메인 전체에서 리소스를 인증하고 액세스할 수 있도록 하여 조직 내 및 조직 간 협업 및 리소스 공유를 위한 응집력 있고 안전한 환경을 제공합니다.
도메인 컨트롤러는 다음의 핵심 구성 요소입니다. Active Directory 건축학. 이들은 사용자 액세스 인증 및 권한 부여, 디렉터리 데이터베이스 유지 관리, 도메인 내 디렉터리 관련 작업 처리를 담당하는 중앙 서버 역할을 합니다. 도메인에는 일반적으로 디렉터리 데이터베이스의 읽기/쓰기 복사본을 보관하는 하나의 주 도메인 컨트롤러(PDC)가 있고, 추가 백업 도메인 컨트롤러(BDC)는 읽기 전용 복사본을 유지 관리합니다. 도메인 컨트롤러는 복제라는 프로세스를 사용하여 데이터를 복제 및 동기화하여 한 도메인 컨트롤러의 변경 사항이 다른 도메인 컨트롤러에 전파되도록 하여 도메인 전체에서 일관된 디렉터리 데이터베이스를 유지합니다.
글로벌 카탈로그 서버는 다음에서 중요한 역할을 합니다. Active Directory 포리스트 내의 여러 도메인에 분산되고 검색 가능한 개체 카탈로그를 제공합니다. 도메인 관련 정보를 저장하는 도메인 컨트롤러와 달리 글로벌 카탈로그 서버는 포리스트에 있는 모든 도메인 개체의 부분 복제본을 저장합니다. 이를 통해 다른 도메인을 추천할 필요 없이 더 빠르게 정보를 검색하고 액세스할 수 있습니다. 글로벌 카탈로그 서버는 사용자가 전자 메일 주소를 찾거나 다중 도메인 환경에서 리소스에 액세스하는 등 도메인 전체에서 개체를 검색해야 하는 시나리오에 유용합니다.
Active Directory 사이트는 여러 사무실이나 데이터 센터 등 조직 내의 물리적 위치를 나타내는 네트워크 위치의 논리적 그룹입니다. 사이트는 네트워크 트래픽을 관리하고 인증 및 데이터 복제를 최적화하는 데 도움이 됩니다. Active Directory 환경. 사이트 링크는 사이트 간의 네트워크 연결을 정의하며 복제 트래픽 흐름을 제어하는 데 사용됩니다. 사이트 링크 브리지는 여러 사이트 링크를 연결하는 방법을 제공하여 인접하지 않은 사이트 간의 효율적인 복제를 허용합니다. 복제 프로세스는 한 도메인 컨트롤러의 변경 사항을 동일한 사이트 내 또는 다른 사이트의 다른 도메인 컨트롤러에 복제하여 데이터 일관성을 보장합니다. 이 프로세스는 네트워크 전체에 걸쳐 동기화된 최신 디렉터리 데이터베이스를 유지하는 데 도움이 되며 변경 사항이 전체 디렉터리에 안정적으로 전파되도록 보장합니다. Active Directory 하부 구조.
AD DS는 다음의 기본 서비스입니다. Active Directory 인증 및 권한 부여를 처리합니다. 사용자의 신원을 확인하고 권한에 따라 네트워크 리소스에 대한 액세스 권한을 부여합니다. AD DS는 디렉터리 데이터베이스에 대해 사용자 이름 및 암호와 같은 자격 증명의 유효성을 검사하여 사용자를 인증합니다. 권한 부여는 그룹 멤버십 및 보안 원칙에 따라 사용자가 리소스에 대해 보유해야 하는 액세스 수준을 결정합니다.
사용자 계정, 그룹 및 보안 원칙은 AD DS의 기본 구성 요소입니다.
사용자 계정은 개별 사용자를 나타내며 사용자 이름, 비밀번호, 이메일 주소 및 전화번호와 같은 속성과 같은 정보를 포함합니다.
그룹은 유사한 권한과 액세스 권한을 공유하는 사용자 계정의 모음입니다. 관리자가 개별 사용자가 아닌 그룹에 권한을 할당할 수 있도록 하여 액세스 관리를 단순화합니다.
SID(보안 식별자)와 같은 보안 원칙은 AD DS 내의 개체를 고유하게 식별하고 보호하여 액세스 제어 및 보안을 위한 기반을 제공합니다.
도메인 컨트롤러는 AD DS를 호스팅하고 해당 기능에 중요한 역할을 하는 서버입니다. 이들은 디렉터리 데이터베이스를 저장 및 복제하고, 인증 요청을 처리하며, 도메인 내에서 보안 정책을 시행합니다. 도메인 컨트롤러는 디렉터리 데이터베이스의 동기화된 복사본을 유지 관리하여 여러 도메인 컨트롤러 간의 일관성을 보장합니다. 또한 한 도메인 컨트롤러에서 변경된 내용을 동일한 도메인 내에서 또는 여러 도메인에 걸쳐 다른 도메인 컨트롤러로 쉽게 복제할 수 있어 AD DS 환경 내에서 내결함성과 중복성을 지원합니다.
AD FS는 다양한 조직과 애플리케이션에서 SSO(Single Sign-On)를 지원합니다. 신뢰할 수 있는 중개자 역할을 하여 사용자가 한 번만 인증하면 별도의 로그인 없이 여러 리소스에 액세스할 수 있습니다. AD FS는 SAML(Security Assertion Markup Language) 및 OAuth와 같은 표준 프로토콜을 활용하여 안전하고 원활한 인증 환경을 제공합니다. 이를 통해 사용자는 여러 자격 증명을 기억할 필요가 없으며 조직 경계 전반에 걸쳐 사용자 액세스 관리가 단순화됩니다.
AD FS는 조직 간의 신뢰 관계를 설정하여 보안 통신 및 인증을 가능하게 합니다. 신뢰는 ID 공급자(IdP)와 신뢰 당사자(RP) 간의 디지털 인증서 교환을 통해 설정됩니다. 일반적으로 ID 정보를 제공하는 조직인 IdP는 사용자 클레임이 포함된 보안 토큰을 발급하고 확인합니다. 리소스 또는 서비스 제공자인 RP는 IdP를 신뢰하고 보안 토큰을 사용자 인증의 증거로 받아들입니다. 이러한 신뢰 관계를 통해 한 조직의 사용자는 다른 조직의 리소스에 액세스할 수 있으므로 공동 작업과 공유 서비스에 대한 원활한 액세스가 가능해집니다.
AD LDS는 다음에서 제공하는 경량 디렉터리 서비스입니다. Active Directory. 전체 AD DS 인프라가 필요 없이 디렉터리 기능이 필요한 경량 응용 프로그램을 위한 디렉터리 솔루션 역할을 합니다. AD LDS는 AD DS보다 더 작은 공간, 단순화된 관리 및 더 유연한 스키마를 제공합니다. 이는 디렉터리 서비스가 필요하지만 전체 서비스의 복잡성을 필요로 하지 않는 웹 응용 프로그램, 엑스트라넷 및 LOB(기간 업무) 응용 프로그램과 같은 시나리오에서 일반적으로 사용됩니다. Active Directory 전개.
AD LDS의 주요 기능에는 단일 서버에 여러 인스턴스를 만드는 기능이 포함되어 있습니다. 이를 통해 다양한 응용 프로그램이나 서비스가 자체 격리된 디렉터리를 가질 수 있습니다. AD LDS는 특정 응용 프로그램 요구 사항에 맞게 사용자 지정할 수 있는 유연하고 확장 가능한 스키마를 제공합니다. 인스턴스 간에 디렉터리 데이터를 동기화하는 경량 복제를 지원하여 분산 및 중복 디렉터리 서비스를 활성화합니다. AD LDS의 사용 사례에는 웹 애플리케이션용 사용자 프로필 저장, 클라우드 기반 애플리케이션용 디렉터리 서비스 제공, 별도의 디렉터리 저장소가 필요한 LOB(기간 업무) 애플리케이션용 ID 관리 지원 등이 포함됩니다.
Active Directory 인증서 서비스(AD CS)는 Active Directory 디지털 인증서를 발급하고 관리하는 데 중요한 역할을 합니다. AD CS를 사용하면 조직은 보안 통신을 설정하고, 사용자 또는 장치의 ID를 확인하고, 네트워크 환경 내에서 신뢰를 구축할 수 있습니다. 데이터를 암호화하고 사용자를 인증하며 전송된 정보의 무결성을 보장하는 데 사용되는 디지털 인증서를 발급하고 관리하기 위한 중앙 집중식 플랫폼을 제공합니다.
조직은 AD CS를 활용하여 통신 보안을 강화하고 중요한 데이터를 보호하며 내부 및 외부 엔터티와 신뢰 관계를 구축할 수 있습니다. AD CS의 이점에는 향상된 데이터 기밀성, 리소스에 대한 보안 액세스, 향상된 인증 메커니즘 및 업계 규정 준수가 포함됩니다. AD CS는 조직이 강력한 보안 인프라를 구축하고 네트워크 환경에서 신뢰의 기반을 구축할 수 있도록 지원합니다.
인증은 중요한 단계입니다. Active Directory의 보안 프레임워크입니다. 사용자가 네트워크 리소스에 액세스하려고 하면 Active Directory 저장된 사용자 계정 정보와 비교하여 제공된 자격 증명을 확인하여 신원을 확인합니다. 이 프로세스에는 사용자 이름과 비밀번호 조합의 유효성을 검사하거나 다음과 같은 다른 인증 프로토콜을 사용하는 작업이 포함됩니다. Kerberos 또는 NTLM.
Active Directory 안전하고 안정적인 인증을 보장하기 위해 이러한 프로토콜을 지원합니다. 사용자가 인증되면, Active Directory 권한 부여를 수행하여 할당된 권한과 그룹 구성원 자격에 따라 액세스 수준을 결정합니다. 효과적인 승인 제어는 승인된 개인만 특정 리소스에 액세스할 수 있도록 보장하여 무단 액세스 및 잠재적인 보안 위반 위험을 최소화합니다.
그룹 정책 개체(GPO)는 다음과 같은 강력한 도구입니다. Active Directory 네트워크 전반에 걸쳐 보안 정책 및 구성 설정을 시행합니다. GPO는 특정 OU(조직 단위) 내의 사용자와 컴퓨터에 적용되는 규칙과 설정을 정의합니다. 이를 통해 관리자는 보안 조치를 일관되고 효율적으로 구현할 수 있습니다. 예를 들어, GPO는 암호 복잡성 요구 사항을 적용하고, 계정 잠금 정책을 정의하고, 승인되지 않은 소프트웨어의 실행을 제한할 수 있습니다.
GPO를 효과적으로 활용함으로써 조직은 표준화된 보안 기준을 설정하여 잘못된 구성의 위험을 줄이고 네트워크의 전반적인 보안 상태를 강화할 수 있습니다.
AD에 대한 의존도가 높아짐에 따라 잠재적인 위협으로부터 보호하기 위해 강력한 보안 관행을 구현하는 것이 중요해졌습니다. 이 문서에서는 보안을 위한 주요 보안 고려 사항과 모범 사례를 살펴보겠습니다. Active Directory에서는 강력한 비밀번호와 비밀번호 정책의 중요성, 다단계 인증(MFA) 구현, 보안 환경 유지에 있어서 감사의 역할에 중점을 둡니다.
보안 Active Directory 인프라의 다양한 측면을 다루는 포괄적인 접근 방식이 필요합니다. 몇 가지 필수 보안 고려 사항은 다음과 같습니다.
강력한 비밀번호는 무단 액세스를 방지하는 데 중요한 역할을 합니다. Active Directory 자원. 강력한 비밀번호 정책을 구현하면 사용자가 안전한 비밀번호를 만들고 유지할 수 있습니다. 비밀번호 정책은 최소 길이, 대문자와 소문자 혼합, 숫자 및 특수 기호와 같은 복잡성 요구 사항을 적용해야 합니다. 정기적인 비밀번호 만료와 비밀번호 재사용 방지도 강력한 인증 관행을 유지하는 데 중요합니다. 고유하고 강력한 비밀번호를 만드는 것의 중요성에 대해 사용자를 교육하면 비밀번호 보안을 더욱 강화할 수 있습니다.
예, 동기화 또는 페더레이션이 가능합니다 Active Directory (AD)를 다른 ID 및 액세스 관리(IAM) SaaS 애플리케이션에 대한 액세스 및 SSO(Single Sign-On)를 관리하는 솔루션입니다. 이러한 통합을 통해 조직은 AD의 기존 사용자 계정 및 그룹을 활용하는 동시에 클라우드 기반 애플리케이션 및 서비스로 범위를 확장할 수 있습니다.
이러한 통합을 달성하는 방법에는 여러 가지가 있습니다.
동기화 또는 페더레이션 프로세스에는 일반적으로 다음 단계가 포함됩니다.
AD를 클라우드 기반 IAM 솔루션과 통합함으로써 조직은 사용자 관리를 간소화하고 보안을 강화하며 온프레미스 및 클라우드 환경 모두에서 원활한 사용자 경험을 제공할 수 있습니다.
예, 적이 성공적으로 타협하면 Active Directory (AD) 환경에서는 잠재적으로 해당 액세스를 사용하여 공격을 확대하고 SaaS 앱 및 클라우드 워크로드에 대한 무단 액세스를 얻을 수 있습니다. AD는 많은 조직의 IT 인프라의 중요한 구성 요소이며 이를 손상시키면 공격자에게 상당한 영향력을 제공할 수 있습니다.
다음은 공격자가 손상된 AD 환경을 활용하여 SaaS 앱 및 클라우드 워크로드에 액세스할 수 있는 방법을 보여주는 몇 가지 시나리오입니다.
AD 자체에는 합법적인 인증과 악의적인 인증을 구분할 수 있는 방법이 없습니다(유효한 사용자 이름과 자격 증명이 제공되는 한). 이러한 보안 격차는 이론적으로 인증 프로세스에 MFA(Multi-Factor Authentication)를 추가하여 해결할 수 있습니다. 안타깝게도 AD에서 사용하는 인증 프로토콜(NTLM 및 Kerberos)은 기본적으로 MFA 스텝업을 지원하지 않습니다.
그 결과 AD 환경의 대부분의 액세스 방법은 손상된 자격 증명을 사용하는 공격에 대해 실시간 보호를 할 수 없습니다. 예를 들어 자주 사용되는 CMD 및 PowerShell 원격 액세스 도구는 다음과 같습니다. PsExec의 또는 Enter-PSSession은 MFA로 보호할 수 없으므로 공격자가 악의적인 액세스를 위해 악용할 수 있습니다.
MFA를 구현하면 보안이 강화됩니다. Active Directory 비밀번호가 유출된 경우에도 액세스하려면 추가 인증 요소가 필요하도록 보장합니다. 조직은 모든 사용자 계정, 특히 관리 권한이 있거나 중요한 정보에 대한 액세스 권한이 있는 사용자 계정에 대해 MFA 구현을 고려해야 합니다.
감사는 Active Directory 보안. 감사 설정을 활성화하면 조직은 사용자 활동, 보안 그룹 변경 사항 및 기타 중요한 이벤트를 추적하고 모니터링할 수 있습니다. Active Directory 하부 구조. 감사 로그를 정기적으로 검토함으로써 조직은 의심스러운 활동이나 잠재적인 보안 사고를 즉시 감지하고 대응할 수 있습니다. 감사는 무단 액세스 시도, 정책 위반 및 잠재적인 내부 위협에 대한 귀중한 통찰력을 제공하여 안전한 환경을 유지하고 사고 대응 노력을 지원하는 데 도움을 줍니다.