시나리오: 중앙 액세스 정책

  • 아티클

 

적용 대상: Windows Server 2012

조직은 파일에 대한 중앙 액세스 정책을 통해 사용자 그룹, 사용자 클레임, 장치 클레임 및 리소스 속성을 사용하는 조건식을 비롯한 권한 부여 정책을 중앙에서 배포하고 관리할 수 있습니다. 클레임은 연결된 개체의 특성에 대한 어설션입니다. 예를 들어 HBI(높은 비즈니스 영향) 데이터에 액세스하려면 정규 직원이 관리되는 장치에서 액세스 권한을 얻은 후 스마트 카드를 사용해서 로그온해야 합니다. 이러한 정책은 AD DS(Active Directory 도메인 서비스)에서 정의되어 호스트됩니다.

조직 액세스 정책은 규정 준수 및 비즈니스 규정 요구 사항에 따라 달라집니다. 예를 들어 PII(개인 식별 정보) 정보를 볼 수 있도록 허용된 HR(인사부)의 구성원과 파일 소유자만 파일의 PII에 액세스하도록 제한하는 비즈니스 요구 사항이 조직에 있는 경우 이 정책은 조직 전체의 파일 서버에 있는 PII 파일에 적용됩니다. 이 예제에서는 다음을 수행할 수 있어야 합니다.

  • PII가 포함된 파일 식별 및 표시

  • PII 정보를 볼 수 있도록 허용된 HR 구성원 그룹 식별

  • 조직 전체의 파일 서버에 있는 모든 PII 포함 파일에 적용되는 중앙 액세스 정책 만들기

권한 부여 정책의 배포 및 적용에 대한 이니셔티브는 다양한 이유에서 비롯되고 조직의 여러 수준에 적용될 수 있습니다. 다음은 몇 가지 예제 정책 유형입니다.

  • 조직 전체의 권한 부여 정책. 가장 일반적으로 정보 보안 부서에서 시작되는 이 권한 부여 정책은 규정 준수 또는 높은 수준의 조직 요구 사항에 따라 달라지며 조직 전체에 관련이 있습니다. 예를 들어 HBI 파일은 정규 직원만 액세스할 수 있습니다.

  • 부서별 권한 부여 정책. 조직의 각 부서에는 적용하려는 특별한 데이터 처리 요구 사항이 있습니다. 예를 들어 재무 부서에서 재무 직원만이 재무 서버에 액세스하도록 제한할 수 있습니다.

  • 특정 데이터 관리 정책. 이 정책은 일반적으로 규정 준수 및 비즈니스 요구 사항과 관련이 있으며, 관리 중인 정보에 대한 올바른 액세스 보호를 목표로 합니다. 예를 들어 금융 기관에서 분석가가 중개 정보에 액세스할 수 없고 중개자가 분석 정보에 액세스할 수 없도록 하는 정보 차단을 구현할 수 있습니다.

  • 알아야 할 정책. 이 권한 부여 정책 유형은 일반적으로 이전 정책 유형과 함께 사용됩니다. 예를 들어 공급업체는 작업 중인 프로젝트와 관련된 파일에만 액세스하고 편집할 수 있어야 합니다.

또한 실제 비즈니스 환경에서는 중요한 비즈니스 요구가 발생할 때 조직에서 신속하게 대응할 수 있도록 모든 권한 부여 정책에 예외를 두어야 합니다. 예를 들어 스마트 카드 없이 HBI 정보에 빠르게 액세스해야 하는 임원이 기술 지원팀에게 전화를 걸어 HBI 정보에 액세스하는 권한을 일시적인 예외로 얻을 수 있습니다.

중앙 액세스 정책은 조직에서 서버 전체에 적용하는 보안 방어막과 같은 역할을 합니다. 중앙 액세스 정책은 파일과 폴더에 적용되는 로컬 액세스 정책 및 DACL(임의 액세스 제어 목록)을 대체하지 않고 강화합니다. 예를 들어 파일의 DACL에서 특정 사용자에 대한 액세스를 허용하지만 파일에 적용되는 중앙 정책이 동일한 사용자에 대한 액세스를 제한하는 경우 사용자가 파일에 액세스할 수 없습니다. 중앙 액세스 정책이 액세스를 허용하지만 DACL에서 액세스를 허용하지 않는 경우 사용자는 파일에 액세스할 수 없습니다.

중앙 액세스 정책 규칙에는 다음과 같은 논리 부분이 있습니다.

  • 적용 가능성. 정책이 적용되는 데이터를 정의하는 조건(예: Resource.BusinessImpact=High)입니다.

  • 액세스 조건. 데이터에 액세스할 수 있는 사람을 정의하는 하나 이상의 ACE(액세스 제어 항목) 목록(예: 허용 | 모든 권한 | User.EmployeeType=FTE)입니다.

  • 예외. 정책에 대한 예외를 정의하는 하나 이상 ACE의 추가 목록(예: MemberOf(HBIExceptionGroup))입니다.

다음 두 그림에서는 중앙 액세스 및 감사 정책의 워크플로를 보여 줍니다.

 

Image 1

그림 1   중앙 액세스 및 감사 정책 개념

Image 2

그림 2   중앙 액세스 정책 워크플로

 

중앙 권한 부여 정책은 다음 구성 요소를 결합합니다.

  • HBI 또는 PII와 같은 특정 유형의 정보를 대상으로 하는 중앙에서 정의된 액세스 규칙 목록

  • 규칙 목록을 포함하는 중앙에서 정의된 정책

  • 액세스 권한을 부여하는 동안 적용해야 하는 특정 중앙 액세스 정책을 가리키도록 파일 서버의 각 파일에 할당되는 정책 식별자

다음 그림에서는 파일에 대한 액세스를 중앙에서 제어하기 위해 정책을 정책 목록으로 결합하는 방법을 보여 줍니다.

Image 3

그림 3   정책 결합

이 시나리오의 내용

다음 지침은 중앙 액세스 정책에 대해 사용할 수 있습니다.

이 시나리오에 포함된 역할 및 기능

다음 표에는 이 시나리오에 포함된 역할 및 기능이 나열되어 있으며, 이러한 역할 및 기능이 시나리오를 지원하는 방법에 대한 설명이 나와 있습니다.

역할/기능

이 시나리오를 지원하는 방법

Active Directory 도메인 서비스 역할

Windows Server 2012의 AD DS에는 사용자 클레임 및 장치 클레임, 복합 ID(사용자 + 장치 클레임), 새로운 CAP(중앙 액세스 정책)을 만들고 권한 부여 결정 시 파일 분류 정보를 사용할 수 있도록 해주는 클레임 기반 권한 부여 플랫폼이 도입되었습니다.

파일 및 저장소 서비스 서버 역할

파일 및 저장소 서비스는 파일을 저장하고 다른 사용자와 공유할 수 있는 네트워크의 중앙 위치를 제공하는 하나 이상의 파일 서버를 설정 및 관리할 수 있는 기술을 제공합니다. 네트워크 사용자에게 동일한 파일 및 응용 프로그램에 대한 액세스 권한이 필요하거나 조직에서 중앙 집중 방식의 백업 및 파일 관리가 필요한 경우, 파일 및 저장소 서비스 역할과 해당 역할 서비스를 컴퓨터에 추가하여 하나 이상의 컴퓨터를 파일 서버로 설정해야 합니다.

Windows 클라이언트 컴퓨터

사용자가 클라이언트 컴퓨터를 통해 네트워크의 파일 및 폴더에 액세스할 수 있습니다.