다음을 통해 공유

Microsoft Entra ID를 사용하여 NIST 인증자 보증 수준 3

  • 아티클

이 문서에서는 NIST(National Institute of Standards and Technology) 인증자 보증 수준 3(AAL3)에 대한 정보를 사용합니다.

AAL2를 가져오기 전에 다음 리소스를 검토할 수 있습니다.

허용되는 인증자 유형

필요한 NIST 인증 유형을 충족하는 데 Microsoft 인증 방법을 사용하세요.

Microsoft Entra 인증 방법 NIST 인증자 유형
권장 방법
다단계 하드웨어 보호 인증서
FIDO 2 보안 키
macOS용 플랫폼 SSO(Secure Enclave)
하드웨어 TPM을 사용하는 비즈니스용 Windows Hello
Microsoft Authenticator1의 Passkey		 다단계 암호화 하드웨어
추가 방법
암호

단일 요소 하드웨어 보호 인증서		 저장된 비밀

단일 단계 암호화 하드웨어

1 Microsoft Authenticator의 Passkey는 전체적인 부분 AAL3으로 간주되며 FIPS 140 수준 2 전체(이상) 및 FIPS 140 수준 3 물리적 보안(이상)을 사용하는 플랫폼에서 AAL3으로 인정될 수 있습니다. Microsoft Authenticator(iOS/Android)의 FIPS 140 규정 준수에 대한 자세한 내용은 Microsoft Entra 인증에 대한 FIPS 140 규격을 참조 하세요.

권장 사항

AAL3의 경우 암호 없는 인증을 제공하는 다단계 암호화 하드웨어 인증자를 사용하여 가장 큰 공격 표면인 암호를 사용하지 않는 것이 좋습니다.

참고 자료는 Microsoft Entra ID에서 암호 없는 인증 배포 계획을 참조하세요. 비즈니스용 Windows Hello 배포 가이드를 함께 참고하세요.

FIPS 140 유효성 검사

검증 도구 요구 사항

Microsoft Entra ID는 인증 암호화 작업에 Windows FIPS 140 수준 1 전체 유효성 검사 암호화 모듈을 사용합니다. 따라서 Microsoft Entra ID가 규격 검증 도구가 됩니다.

인증자 요구 사항

단일 단계 및 다단계 암호화 하드웨어 인증자 요구 사항

단일 단계 암호화 하드웨어

인증자는 다음이어야 합니다.

  • FIPS 140 Level 1 전체 또는 그 이상

  • FIPS 140 Level 3 물리적 보안 또는 그 이상

Windows 디바이스와 함께 사용되는 단일 단계 하드웨어 보호 인증서는 다음과 같은 경우에 이 요구 사항을 충족합니다.

FIPS 140 준수에 대한 자세한 내용은 모바일 디바이스 공급업체에 문의하세요.

다단계 암호화 하드웨어

인증자는 다음이어야 합니다.

  • FIPS 140 Level 2 전체 또는 그 이상

  • FIPS 140 Level 3 물리적 보안 또는 그 이상

FIDO 2 보안 키, 스마트 카드 및 비즈니스용 Windows Hello는 이러한 요구 사항을 충족하는 데 도움이 될 수 있습니다.

  • 여러 FIDO2 보안 키 공급자가 FIPS 요구 사항을 충족합니다. 지원되는 FIDO2 주요 공급업체 목록을 검토하는 것이 좋습니다. 현재 FIPS 유효성 검사 상태 공급자에게 문의하세요.

  • 스마트 카드는 입증된 기술입니다. 여러 공급업체 제품이 FIPS 요구 사항을 충족합니다.

비즈니스용 Windows Hello

FIPS 140은 소프트웨어, 펌웨어 및 하드웨어를 비롯한 암호화 경계가 평가 범위 내에 있을 것을 요구합니다. Windows 운영 체제는 이러한 수천 가지 조합과 페어링할 수 있습니다. 따라서 Microsoft가 FIPS 140 보안 Level 2에서 비즈니스용 Windows Hello 유효성을 검사하는 것은 불가능합니다. 연방 고객은 이 서비스를 AAL3으로 수락하기 전에 위험 평가를 수행하고 다음 구성 요소 인증을 위험 수용의 일부로 평가해야 합니다.

현재 표준을 충족하는 TPM을 확인하려면 NIST 컴퓨터 보안 리소스 센터 암호화 모듈 유효성 검사 프로그램으로 이동합니다. 표준을 충족하는 하드웨어 TPM 목록을 보려면 모듈 이름 상자에 신뢰할 수 있는 플랫폼 모듈을 입력합니다.

MacOS 플랫폼 SSO

Apple macOS 13(이상)은 FIPS 140 수준 2 전체이며, 대부분의 장치도 FIPS 140 수준 3 물리적 보안입니다. Apple 플랫폼 인증을 참조하는 것이 좋습니다.

Microsoft Authenticator의 Passkey

Microsoft Authenticator(iOS/Android)의 FIPS 140 규정 준수에 대한 자세한 내용은 Microsoft Entra 인증에 대한 FIPS 140 규격을 참조 하세요.

재인증

AAL3에서는 NIST가 사용자 활동에 관계없이 12시간마다 재인증을 요구합니다. 비활성 기간 15분 이상 후에 재인증하는 것이 좋습니다. 두 요소를 모두 제공해야 합니다.

사용자 활동과 관계없는 재인증에 대한 요구 사항을 충족하려면 사용자 로그인 빈도를 12시간으로 구성하는 것이 좋습니다.

NIST를 이용하면 보상 컨트롤을 사용하여 구독자의 현재 상태를 확인할 수 있습니다.

  • Configuration Manager, GPO 또는 Intune을 사용하여 예약된 작업을 실행하여 활동에 관계없이 시간 제한을 설정합니다. 활동에 관계없이 12시간 후에 컴퓨터를 잠급니다.

  • 권장되는 비활성 시간 제한의 경우 세션 비활성 시간을 15분으로 설정할 수 있습니다. Microsoft Configuration Manager, GPO(그룹 정책 개체) 또는 Intune을 사용하여 OS 수준에서 디바이스를 잠급니다. 구독자가 잠금을 해제하려면 로컬 인증이 필요합니다.

Man-in-the-Middle 저항

청구인과 Microsoft Entra ID 간의 통신은 MitM(Man-in-the-Middle) 공격에 대한 저항을 위해 인증되고 보호된 채널을 통해 이루어집니다. 이 구성은 AAL1, AAL2, AAL3에 대한 MitM 저항 요구 사항을 충족합니다.

검증 도구 가장 저항

AAL3을 충족하는 Microsoft Entra 인증 방법은 인증할 세션에 인증자 출력을 바인딩하는 암호화 인증자를 사용합니다. 이 방법은 청구인이 제어하는 프라이빗 키를 사용합니다. 공개 키는 검증 도구에 알려져 있습니다. 이 구성은 AAL3에 대한 검증 도구 가장 저항 요구 사항을 충족합니다.

검증 도구 손상 저항

AAL3을 충족하는 모든 Microsoft Entra 인증 방법:

  • 검증 도구에 인증자가 보유하고 있는 프라이빗 키에 해당하는 퍼블릭 키를 저장하도록 요구하는 암호화 인증자를 사용합니다.
  • FIPS-140으로 검증된 해시 알고리즘을 사용하여 필요한 인증자 출력을 저장합니다.

자세한 내용은 Microsoft Entra 데이터 보안 고려 사항을 참조하세요.

재생 저항

AAL3을 충족하는 Microsoft Entra 인증 방법은 nonce 또는 챌린지를 사용합니다. 이러한 방법은 검증 도구가 재생된 인증 트랜잭션을 검색할 수 있기 때문에 재생 공격에 대한 저항력이 있습니다. 이러한 트랜잭션에는 필요한 nonce 또는 적시성 데이터가 포함되지 않습니다.

인증 의도

인증 의도를 요구하면 직접 연결된 실제 인증자(예: 다단계 암호화 하드웨어)가 주체 몰래 엔드포인트의 맬웨어 등에 의해 사용되기 어렵게 만듭니다. AAL3을 충족하는 Microsoft Entra 방법에는 인증 의도를 보여 주는 핀 또는 생체 인식의 사용자 항목이 필요합니다.

다음 단계

NIST 개요

AAL에 대한 자세한 정보

인증 기본 사항

NIST 인증자 유형

Microsoft Entra ID를 사용하여 NIST AAL1 달성

Microsoft Entra ID를 사용하여 NIST AAL2 달성