관리자 자격 증명 관리
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 권한 액세스 관리 시스템을 정의할 수 있습니다.
- 최소 권한 원칙에 대해 설명할 수 있습니다.
권한 액세스 관리
암호 관리자는 개인 암호를 생성하고 보호하는 데 매우 유용하지만, 권한 사용자(관리 사용자로고도 함)의 자격 증명을 보호하려면 더 안전한 시스템이 필요합니다. 권한 자격 증명은 여러 계정, 애플리케이션 및 시스템에 걸쳐 강화된 액세스 및 권한을 제공하는 자격 증명(암호 등)의 부분 집합입니다. 권한 암호는 사람, 애플리케이션, 서비스 계정 등과 연결할 수 있습니다.
권한 액세스 관리(PAM) 솔루션은 암호 또는 암호화 키(알고리즘과 함께 작동하여 일반 텍스트를 암호화(또는 스크램블)하는 단어, 숫자 또는 문구) 같은 암호를 저장하는 방법입니다. PAM 솔루션은 중앙통제식 도구를 사용하여 권한 액세스를 관리, 위임 및 감사합니다. 조직은 PAM을 사용하여 사용자에게 직무 수행에 필요한 수준의 액세스 권한만 부여해야 한다는 원칙인 최소 권한을 구현할 수 있습니다.
권한 계정 암호 정책
시스템을 보호하기 위해, 조직은 권한 계정 암호와 이 암호를 해당 계정을 사용 및 관리하는 모든 관련자와 공유하는 방법에 관한 분명한 정책을 수립하고 집행해야 합니다.
조직은 사람이 액세스하는 계정과 다른 시스템이 액세스하는 계정에 대한 권한 계정 암호 정책을 모두 수립하는 것이 좋습니다. 이 정책에는 인간 계정에 긴 암호와 다단계 인증(MFA) 사용을 의무화하는 규정이 포함되어야 합니다.
암호 로테이션 표준은 모든 계정, 시스템, 네트워크 연결 하드웨어 기기, 애플리케이션 및 서비스에 사용되는 암호의 체계적인 순환 사용을 보장합니다. 로테이션 표준에는 암호 업데이트 시기가 되면 이해관계자들에게 자동으로 알리는 알림이 포함되어야 합니다.
최소 권한 구현
경계 방어만으로는 보안 및 데이터 보호가 충분히 보장되지 않습니다. 공공 및 민간 부문에서 모두 네트워크 자격 증명 노출 때문에 발생하는 데이터 보안 침해가 계속 확인되고 있습니다. 이런 사례에서 공격자는 중요한 데이터와 비공개 레코드에 액세스하기 위해 권한 계정에 대한 액세스 권한을 얻으려고 합니다.
관리자 자격 증명을 설정하는 경우 최소 권한 원칙(POLP)을 따를지 생각해 봐야 합니다. 보안 교육에서 POLP에 대해 자주 얘기하는 이유는 POLP가 시스템을 안전하게 보호할 수 있는 기본적인 수단 중 하나이기 때문입니다. 최소 권한 원칙은 요구되는 작업을 수행하기 위해 필요한 경우에만 액세스 권한 및 프로그램 권한을 부여해야 한다는 IT 보안 디자인 원칙입니다. 모든 도어를 열 수 있는 열쇠를 갖고 있는 것과 특정한 방만 여는 열쇠를 갖고 있는 것의 차이입니다.
최소 권한을 구현하는 방법 중 하나는 시스템 엔드포인트에 대한 전체 로컬 관리자 액세스 권한을 제거하는 것입니다. 예를 들어 백업본을 만들 권한만 필요한 사용자 계정에는 소프트웨어 설치 권한은 필요하지 않으므로, 이 계정에는 백업 및 백업 관련 애플리케이션을 실행할 수 있는 권한만 부여합니다. 새 소프트웨어 설치 같은 그 외의 권한은 차단해야 합니다.
사용자가 누구이고 사용자가 무엇에 대한 액세스를 요청하고 있고 요청의 내용이 무엇인지를 기준으로 최소 권한 부여를 자동화하면 권한을 더 쉽게 관리할 수 있습니다. 사용자는 자신의 직무를 수행하는 데 필요한 시스템에만 액세스할 수 있어야 하고, 사용자에게 전체 정보 액세스 권한을 부여하면 안 됩니다.
따라서 예를 들어 인사팀(HR)에서 일하는 Sally는 전세계에서 증권을 매매하는 재무팀의 Bilal이 사용하는 데이터베이스에 액세스할 수 없어야 합니다. 올바른 권한 액세스 관리를 위해서는 Sally가 자신의 직무를 수행하기 위해 필요한 모든 HR 레코드에 액세스하고 Bilal이 자신의 직무에 필요한 모든 재무 레코드에 액세스할 수 있어야 하지만, 다른 파일에는 액세스할 수 없어야 합니다.
권한 액세스 관리(PAM) 솔루션 선택하기
시중에는 기능과 배포 옵션이 다양한 여러 PAM 솔루션이 있습니다. 구현할 솔루션을 결정하기 전에 솔루션을 몇 개 테스트하고 평가해 볼 수 있습니다. PAM 구현 시에는 적합한 사용 사례와 사용자 프로필을 확보하는 것이 중요합니다. PAM을 사용하여 서비스 계정 관리, 검색 기능, 자산 및 취약성 관리, 분석 등에 대한 액세스 수준을 할당하세요.
조직에 리소스가 부족하여 이런 솔루션을 설치, 구성 및 관리할 숙련된 보안 직원을 상시 고용할 수 없는 경우, 이런 기능을 대행할 수 있는 MSP(관리형 서비스 제공자)를 사용할지 고려하세요.
연속 권한 계정 검색 수행
서버, Cloud Services, 데이터베이스 및 기타 시스템에 대한 권한 액세스의 유효한 사용을 모두 식별하는 것은 권한 액세스 보안에 가장 중요한 단계 중 하나입니다. 이렇게 하면 권한 계정이 유효한지 확인하면서 유효하지 않은 계정을 정확히 가려낼 수도 있습니다. 예를 들어 권한 부여는 물론 직원이 부서를 옮기거나 퇴사하는 경우의 권한 제거도 계속 추척하는 것이 중요합니다.
자동 메커니즘을 사용해 권한 계정을 항시 모니터링하여 악의적이거나 부주의한 활동을 가려내야 합니다. 이 활동 분석을 통해 사용자 행동에 대한 통찰력을 얻고 액세스 시스템이 최신 상태로 유지되도록 하고 최소 권한이 올바르게 적용되는지 확인할 수 있습니다.
지식 평가
배운 내용을 복습할 준비가 되셨나요? 아래의 지식 평가는 채점되지 않으며, 스스로 지식을 확인하는 간편한 방법일 뿐입니다. 시작하려면 왼쪽 열의 설명을 오른쪽에 있는 일치하는 항목 옆으로 드래그하세요. 모든 항목을 짝 지은 후 Submit(제출)을 클릭하여 결과를 확인하세요. 다시 시작하려면 Reset(재설정)을 클릭하세요.
잘하셨습니다!
