시나리오: 중앙 액세스 정책
적용 대상: Windows Server 2012
조직은 파일에 대한 중앙 액세스 정책을 통해 사용자 그룹, 사용자 클레임, 장치 클레임 및 리소스 속성을 사용하는 조건식을 비롯한 권한 부여 정책을 중앙에서 배포하고 관리할 수 있습니다. 클레임은 연결된 개체의 특성에 대한 어설션입니다. 예를 들어 HBI(높은 비즈니스 영향) 데이터에 액세스하려면 정규 직원이 관리되는 장치에서 액세스 권한을 얻은 후 스마트 카드를 사용해서 로그온해야 합니다. 이러한 정책은 AD DS(Active Directory 도메인 서비스)에서 정의되어 호스트됩니다.
조직 액세스 정책은 규정 준수 및 비즈니스 규정 요구 사항에 따라 달라집니다. 예를 들어 PII(개인 식별 정보) 정보를 볼 수 있도록 허용된 HR(인사부)의 구성원과 파일 소유자만 파일의 PII에 액세스하도록 제한하는 비즈니스 요구 사항이 조직에 있는 경우 이 정책은 조직 전체의 파일 서버에 있는 PII 파일에 적용됩니다. 이 예제에서는 다음을 수행할 수 있어야 합니다.
PII가 포함된 파일 식별 및 표시
PII 정보를 볼 수 있도록 허용된 HR 구성원 그룹 식별
조직 전체의 파일 서버에 있는 모든 PII 포함 파일에 적용되는 중앙 액세스 정책 만들기
권한 부여 정책의 배포 및 적용에 대한 이니셔티브는 다양한 이유에서 비롯되고 조직의 여러 수준에 적용될 수 있습니다. 다음은 몇 가지 예제 정책 유형입니다.
조직 전체의 권한 부여 정책. 가장 일반적으로 정보 보안 부서에서 시작되는 이 권한 부여 정책은 규정 준수 또는 높은 수준의 조직 요구 사항에 따라 달라지며 조직 전체에 관련이 있습니다. 예를 들어 HBI 파일은 정규 직원만 액세스할 수 있습니다.
부서별 권한 부여 정책. 조직의 각 부서에는 적용하려는 특별한 데이터 처리 요구 사항이 있습니다. 예를 들어 재무 부서에서 재무 직원만이 재무 서버에 액세스하도록 제한할 수 있습니다.
특정 데이터 관리 정책. 이 정책은 일반적으로 규정 준수 및 비즈니스 요구 사항과 관련이 있으며, 관리 중인 정보에 대한 올바른 액세스 보호를 목표로 합니다. 예를 들어 금융 기관에서 분석가가 중개 정보에 액세스할 수 없고 중개자가 분석 정보에 액세스할 수 없도록 하는 정보 차단을 구현할 수 있습니다.
알아야 할 정책. 이 권한 부여 정책 유형은 일반적으로 이전 정책 유형과 함께 사용됩니다. 예를 들어 공급업체는 작업 중인 프로젝트와 관련된 파일에만 액세스하고 편집할 수 있어야 합니다.
또한 실제 비즈니스 환경에서는 중요한 비즈니스 요구가 발생할 때 조직에서 신속하게 대응할 수 있도록 모든 권한 부여 정책에 예외를 두어야 합니다. 예를 들어 스마트 카드 없이 HBI 정보에 빠르게 액세스해야 하는 임원이 기술 지원팀에게 전화를 걸어 HBI 정보에 액세스하는 권한을 일시적인 예외로 얻을 수 있습니다.
중앙 액세스 정책은 조직에서 서버 전체에 적용하는 보안 방어막과 같은 역할을 합니다. 중앙 액세스 정책은 파일과 폴더에 적용되는 로컬 액세스 정책 및 DACL(임의 액세스 제어 목록)을 대체하지 않고 강화합니다. 예를 들어 파일의 DACL에서 특정 사용자에 대한 액세스를 허용하지만 파일에 적용되는 중앙 정책이 동일한 사용자에 대한 액세스를 제한하는 경우 사용자가 파일에 액세스할 수 없습니다. 중앙 액세스 정책이 액세스를 허용하지만 DACL에서 액세스를 허용하지 않는 경우 사용자는 파일에 액세스할 수 없습니다.
중앙 액세스 정책 규칙에는 다음과 같은 논리 부분이 있습니다.
적용 가능성. 정책이 적용되는 데이터를 정의하는 조건(예: Resource.BusinessImpact=High)입니다.
액세스 조건. 데이터에 액세스할 수 있는 사람을 정의하는 하나 이상의 ACE(액세스 제어 항목) 목록(예: 허용 | 모든 권한 | User.EmployeeType=FTE)입니다.
예외. 정책에 대한 예외를 정의하는 하나 이상 ACE의 추가 목록(예: MemberOf(HBIExceptionGroup))입니다.
다음 두 그림에서는 중앙 액세스 및 감사 정책의 워크플로를 보여 줍니다.
그림 1 중앙 액세스 및 감사 정책 개념
그림 2 중앙 액세스 정책 워크플로
중앙 권한 부여 정책은 다음 구성 요소를 결합합니다.
HBI 또는 PII와 같은 특정 유형의 정보를 대상으로 하는 중앙에서 정의된 액세스 규칙 목록
규칙 목록을 포함하는 중앙에서 정의된 정책
액세스 권한을 부여하는 동안 적용해야 하는 특정 중앙 액세스 정책을 가리키도록 파일 서버의 각 파일에 할당되는 정책 식별자
다음 그림에서는 파일에 대한 액세스를 중앙에서 제어하기 위해 정책을 정책 목록으로 결합하는 방법을 보여 줍니다.
그림 3 정책 결합
이 시나리오의 내용
다음 지침은 중앙 액세스 정책에 대해 사용할 수 있습니다.
이 시나리오에 포함된 역할 및 기능
다음 표에는 이 시나리오에 포함된 역할 및 기능이 나열되어 있으며, 이러한 역할 및 기능이 시나리오를 지원하는 방법에 대한 설명이 나와 있습니다.
역할/기능 |
이 시나리오를 지원하는 방법 |
---|---|
Active Directory 도메인 서비스 역할 |
Windows Server 2012의 AD DS에는 사용자 클레임 및 장치 클레임, 복합 ID(사용자 + 장치 클레임), 새로운 CAP(중앙 액세스 정책)을 만들고 권한 부여 결정 시 파일 분류 정보를 사용할 수 있도록 해주는 클레임 기반 권한 부여 플랫폼이 도입되었습니다. |
파일 및 저장소 서비스 서버 역할 |
파일 및 저장소 서비스는 파일을 저장하고 다른 사용자와 공유할 수 있는 네트워크의 중앙 위치를 제공하는 하나 이상의 파일 서버를 설정 및 관리할 수 있는 기술을 제공합니다. 네트워크 사용자에게 동일한 파일 및 응용 프로그램에 대한 액세스 권한이 필요하거나 조직에서 중앙 집중 방식의 백업 및 파일 관리가 필요한 경우, 파일 및 저장소 서비스 역할과 해당 역할 서비스를 컴퓨터에 추가하여 하나 이상의 컴퓨터를 파일 서버로 설정해야 합니다. |
Windows 클라이언트 컴퓨터 |
사용자가 클라이언트 컴퓨터를 통해 네트워크의 파일 및 폴더에 액세스할 수 있습니다. |