권한 액세스는 의도적인 위험과 우발적인 위험으로부터 관리 모델, 관리 계정, 권한 있는 액세스 워크스테이션을 보호하는 다양한 컨트롤을 포함하여 테넌트 및 리소스에 대한 권한 액세스를 보호하는 컨트롤을 포함합니다.
PA-1: 높은 권한/관리 사용자 분리 및 제한
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4, 6.8 | 교류-2, 교류-6 | 7.1, 7.2, 8.1 |
보안 원칙: 비즈니스에 영향을 미치는 모든 계정을 식별해야 합니다. 클라우드의 제어 평면, 관리 평면 및 데이터/워크로드 평면에서 권한 있는/관리 계정 수를 제한합니다.
Azure 지침: Azure 호스팅 리소스에 대한 직접 또는 간접 관리 액세스 권한을 사용하여 모든 역할을 보호해야 합니다.
Azure AD(Azure Active Directory)는 Azure의 기본 ID 및 액세스 관리 서비스입니다. Azure AD에서 가장 중요한 기본 제공 역할은 전역 관리자 및 권한 있는 역할 관리자입니다. 이러한 두 역할에 할당된 사용자는 관리자 역할을 위임할 수 있기 때문입니다. 이러한 권한으로 사용자는 Azure 환경의 모든 리소스를 직접 또는 간접적으로 읽고 수정할 수 있습니다.
- 전역 관리자/회사 관리자: 이 역할의 사용자는 Azure AD ID를 사용하는 서비스뿐만 아니라 Azure AD의 모든 관리 기능에 액세스할 수 있습니다.
- 권한 있는 역할 관리자: 이 역할을 가진 사용자는 Azure AD 및 Azure AD PIM(Privileged Identity Management) 내에서 역할 할당을 관리할 수 있습니다. 또한 이 역할을 사용하면 PIM 및 관리 단위의 모든 측면을 관리할 수 있습니다.
Azure AD 외부에서 Azure에는 리소스 수준에서 권한 있는 액세스에 중요할 수 있는 기본 제공 역할이 있습니다.
- 소유자: Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.
- 기여자: 모든 리소스를 관리할 수 있는 모든 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나, Azure Blueprints에서 할당을 관리하거나, 이미지 갤러리를 공유할 수는 없습니다.
- 사용자 액세스 관리자: Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.
참고: 특정 권한 있는 권한이 할당된 Azure AD 수준 또는 리소스 수준에서 사용자 지정 역할을 사용하는 경우 관리해야 하는 다른 중요한 역할이 있을 수 있습니다.
또한 Azure EA(기업계약) 포털에서 다음 세 가지 역할을 가진 사용자도 Azure 구독을 직접 또는 간접적으로 관리하는 데 사용할 수 있으므로 제한해야 합니다.
- 계정 소유자: 이 역할의 사용자는 구독 생성 및 삭제를 포함하여 구독을 관리할 수 있습니다.
- 엔터프라이즈 관리자: 이 역할이 할당된 사용자는 EA(포털 사용자)를 관리할 수 있습니다.
- 부서 관리자: 이 역할이 할당된 사용자는 부서 내의 계정 소유자를 변경할 수 있습니다.
마지막으로, Active Directory DC(도메인 컨트롤러), 보안 도구 및 비즈니스 크리티컬 시스템에 에이전트가 설치된 시스템 관리 도구와 같은 비즈니스 크리티컬 자산에 대한 관리 액세스 권한이 있는 다른 관리, ID 및 보안 시스템의 권한 있는 계정도 제한해야 합니다. 이러한 관리 및 보안 시스템을 손상시키는 공격자는 즉시 무기화하여 중요 비즈니스 자산을 손상시킬 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- Azure AD의 관리자 역할 권한
- Azure Privileged Identity Management 보안 경고 사용
- Azure AD에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보호
AWS 지침: AWS 호스팅 리소스에 대한 직접 또는 간접 관리 액세스 권한을 사용하여 모든 역할을 보호해야 합니다.
보안이 필요한 권한/관리 사용자는 다음과 같습니다.
- 루트 사용자: 루트 사용자는 AWS 계정에서 권한이 가장 높은 계정입니다. 루트 계정은 엄격하게 제한되어야 하며 긴급 상황에서만 사용해야 합니다. PA-5의 비상 액세스 제어(비상 액세스 설정)를 참조하십시오.
- 권한 있는 권한 정책이 있는 IAM 자격 증명(사용자, 그룹, 역할): AdministratorAccess와 같은 권한 정책으로 할당된 IAM 자격 증명은 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가질 수 있습니다.
Azure AD(Azure Active Directory)를 AWS의 ID 공급자로 사용하는 경우 Azure AD에서 권한 있는 역할을 관리하기 위한 Azure 지침을 참조하세요.
또한 비즈니스 크리티컬 자산(예: AWS Cognito, 보안 도구 및 비즈니스 크리티컬 시스템에 설치된 에이전트가 있는 시스템 관리 도구)에 대한 관리 액세스 권한이 있는 다른 관리, 자격 증명 및 보안 시스템의 권한 있는 계정을 제한해야 합니다. 이러한 관리 및 보안 시스템을 손상시키는 공격자는 즉시 무기화하여 중요 비즈니스 자산을 손상시킬 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: GCP 호스팅 리소스에 대한 직접 또는 간접 관리 액세스 권한이 있는 모든 역할을 보호해야 합니다.
Google Cloud에서 가장 중요한 기본 제공 역할은 최고 관리자입니다. 최고 관리자는 관리 콘솔에서 모든 작업을 수행할 수 있으며 취소할 수 없는 관리 권한을 갖습니다. 일상적인 관리를 위해 최고 관리자 계정을 사용하지 않는 것이 좋습니다.
기본 역할은 매우 허용적인 기존 역할이며, 기본 역할은 모든 Google Cloud 리소스에 대한 광범위한 액세스 권한을 부여하므로 프로덕션 환경에서는 사용하지 않는 것이 좋습니다. 기본 역할에는 Viewer, Editor 및 Owner 역할이 포함됩니다. 대신 미리 정의된 역할 또는 사용자 지정 역할을 사용하는 것이 좋습니다. 주목할 만한 권한 있는 미리 정의된 역할은 다음과 같습니다.
- 조직 관리자: 이 역할을 가진 사용자는 IAM 정책을 관리하고 조직, 폴더 및 프로젝트에 대한 조직 정책을 볼 수 있습니다.
- 조직 정책 관리자: 이 역할을 가진 사용자는 조직 정책을 설정하여 조직이 클라우드 리소스의 구성에 적용하려는 제한을 정의할 수 있습니다.
- 조직 역할 관리자: 이 역할의 사용자는 조직 및 그 아래 프로젝트의 모든 사용자 지정 역할을 관리할 수 있습니다.
- 보안 관리자: 이 역할의 사용자는 모든 IAM 정책을 가져오고 설정할 수 있습니다.
- 관리자 거부: 이 역할의 사용자는 IAM 거부 정책을 읽고 수정할 수 있는 권한이 있습니다.
또한 미리 정의된 특정 역할에는 조직, 폴더 및 프로젝트 수준에서 권한 있는 IAM 권한이 포함되어 있습니다. 이러한 IAM 권한은 다음과 같습니다.
- organization관리자
- 폴더IAMAdmin
- 프로젝트IAMAdmin
또한 다른 프로젝트의 계정에 역할을 할당하거나 Google Kubernetes Engine에서 이진 승인을 활용하여 업무 분리를 구현합니다.
마지막으로, 비즈니스 크리티컬 시스템에 설치된 에이전트가 있는 Cloud DNS, 보안 도구, 시스템 관리 도구와 같은 비즈니스 크리티컬 자산에 대한 관리 액세스 권한이 있는 다른 관리, ID 및 보안 시스템의 권한 있는 계정도 제한해야 합니다. 이러한 관리 및 보안 시스템을 손상시키는 공격자는 즉시 무기화하여 중요 비즈니스 자산을 손상시킬 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PA-2: 사용자 계정 및 권한에 대한 상주 액세스 방지
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음(N/A) | 교류-2 | 해당 없음(N/A) |
보안 원칙: 대기 권한을 만드는 대신 JIT(Just-In-Time) 메커니즘을 사용하여 다른 리소스 계층에 권한 있는 액세스를 할당합니다.
Azure 지침: Azure AD PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Azure AD에 대한 JIT(Just-In-Time) 권한 있는 액세스를 사용하도록 설정합니다. JIT는 사용자가 권한이 만료된 후 악의적이거나 권한이 없는 사용자가 액세스 권한을 얻지 못하도록 하는 권한 있는 작업을 수행할 수 있는 임시 권한을 받는 모델입니다. 액세스 권한은 사용자에게 필요한 경우에만 부여됩니다. PIM은 Azure AD 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 보안 경고를 생성할 수도 있습니다.
Microsoft Defender for Cloud의 JIT(Just-In-Time) VM 액세스 기능을 사용하여 중요한 VM(가상 머신) 관리 포트로 인바운드 트래픽을 제한합니다. 이렇게 하면 사용자가 필요할 때만 VM에 대한 권한 있는 액세스 권한이 부여됩니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS STS(AWS Security Token Service)를 사용하여 AWS API를 통해 리소스에 액세스하기 위한 임시 보안 자격 증명을 만듭니다. 임시 보안 자격 증명은 IAM 사용자가 사용할 수 있는 장기 액세스 키 자격 증명과 거의 동일하게 작동하지만, 다음과 같은 차이점이 있습니다.
- 임시 보안 자격 증명의 수명은 몇 분에서 몇 시간까지 짧습니다.
- 임시 보안 자격 증명은 사용자와 함께 저장되지 않지만 동적으로 생성되어 요청 시 사용자에게 제공됩니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: IAM 조건부 액세스를 사용하여 클라우드 ID 사용자에게 부여되는 허용 정책에서 조건부 역할 바인딩을 사용하여 리소스에 대한 임시 액세스를 만듭니다. 날짜/시간 속성을 구성하여 특정 리소스에 액세스하기 위한 시간 기반 제어를 적용합니다. 임시 액세스 권한은 몇 분에서 몇 시간까지 단기적으로 지속될 수도 있고, 요일 또는 시간을 기준으로 부여될 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
- IAM 조건 개요
- 임시 액세스 구성
- Access Context Manager 개요
고객 보안 관련자(자세한 정보):
PA-3: ID 및 자격의 수명 주기 관리
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1, 6.2 | 교류-5, 교류-6 | 7.1, 7.2, 8.1 |
보안 원칙: 자동화된 프로세스 또는 기술 제어를 사용하여 요청, 검토, 승인, 프로비저닝 및 프로비저닝 해제를 포함한 ID 및 액세스 수명 주기를 관리합니다.
Azure 지침: Azure AD 권한 관리 기능을 사용하여 액세스 요청 워크플로(Azure 리소스 그룹의 경우)를 자동화합니다. 이를 통해 Azure 리소스 그룹이 액세스 할당, 검토, 만료 및 이중 또는 다단계 승인을 관리할 수 있습니다.
Permissions Management를 사용하여 다중 클라우드 인프라에서 사용자 및 워크로드 ID에 할당된 사용되지 않는 과도한 권한을 감지하고, 자동으로 적절한 크기를 조정하고, 지속적으로 모니터링할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Access Advisor를 사용하여 리소스에 대한 사용자 계정 및 자격에 대한 액세스 로그를 끌어옵니다. AWS IAM과 통합할 수 있는 수동 또는 자동화된 워크플로를 구축하여 액세스 할당, 검토 및 삭제를 관리합니다.
참고: AWS Marketplace에서 자격 증명 및 권한의 수명 주기를 관리하기 위해 사용할 수 있는 타사 솔루션이 있습니다.
AWS 구현 및 추가 컨텍스트:
- IAM 액세스 관리자
- AWS Marketplace ID 및 액세스 관리 솔루션
GCP 지침: Google의 클라우드 감사 로그를 사용하여 리소스에 대한 사용자 계정 및 자격에 대한 관리자 활동 및 데이터 액세스 감사 로그를 가져옵니다. GCP IAM과 통합하는 수동 또는 자동 워크플로를 구축하여 액세스 할당, 검토, 삭제를 관리합니다.
Google Cloud Identity Premium을 사용하여 핵심 ID 및 기기 관리 서비스를 제공합니다. 이러한 서비스에는 자동화된 사용자 프로비저닝, 앱 허용 목록 및 자동화된 모바일 장치 관리와 같은 기능이 포함됩니다.
참고: Google Cloud Marketplace에는 ID 및 권한의 수명 주기를 관리하기 위해 사용할 수 있는 타사 솔루션이 있습니다.
GCP 구현 및 추가 컨텍스트:
- IAM 액세스 관리자
- Cloud Identity 및 Atlassian Access: 조직 전체의 사용자 수명 주기 관리
- API에 대한 액세스 권한 부여 및 취소
- Google Cloud 프로젝트에 대한 액세스 권한 취소하기
고객 보안 관련자(자세한 정보):
PA-4: 정기적으로 사용자 액세스 검토 및 조정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | 교류-2, 교류-6 | 7.1, 7.2, 8.1, A3.4 |
보안 원칙: 권한 있는 계정 자격을 정기적으로 검토합니다. 계정에 부여된 액세스 권한이 제어 플레인, 관리 플레인 및 워크로드의 관리에 유효한지 확인합니다.
Azure 지침: Azure 테넌트, Azure 서비스, VM/IaaS, CI/CD 프로세스, 엔터프라이즈 관리 및 보안 도구를 포함하여 Azure의 모든 권한 있는 계정 및 액세스 권한을 검토합니다.
Azure AD 액세스 검토를 사용하여 Azure AD 역할, Azure 리소스 액세스 역할, 그룹 멤버 자격 및 엔터프라이즈 애플리케이션에 대한 액세스를 검토합니다. Azure AD 보고는 부실 계정 또는 특정 시간 동안 사용되지 않은 계정을 검색하는 데 도움이 되는 로그를 제공할 수도 있습니다.
또한 특정 역할에 대해 과도한 수의 관리자 계정이 생성될 때 경고하고 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 Azure AD Privileged Identity Management를 구성할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 계정, 서비스, VM/IaaS, CI/CD 프로세스, 엔터프라이즈 관리 및 보안 도구를 포함하여 AWS의 모든 권한 있는 계정 및 액세스 권한을 검토합니다.
IAM Access Advisor, Access Analyzer 및 Credential Reports를 사용하여 리소스 액세스 역할, 그룹 멤버십 및 엔터프라이즈 애플리케이션에 대한 액세스를 검토합니다. IAM Access Analyzer 및 자격 증명 보고서 보고는 오래된 계정 또는 특정 시간 동안 사용되지 않은 계정을 검색하는 데 도움이 되는 로그를 제공할 수도 있습니다.
Azure AD(Azure Active Directory)를 AWS의 ID 공급자로 사용하는 경우 Azure AD 액세스 검토를 사용하여 권한 있는 계정 및 액세스 권한을 주기적으로 검토합니다.
AWS 구현 및 추가 컨텍스트:
- IAM 액세스 분석기
- 자격 증명 보고서
- IAM 액세스 관리자
GCP 지침: Cloud ID 계정, 서비스, VM/IaaS, CI/CD 프로세스, 엔터프라이즈 관리 및 보안 도구를 포함하여 Google Cloud의 모든 권한 있는 계정 및 액세스 권한을 검토합니다.
Cloud Audit Logs 및 Policy Analyzer를 사용하여 리소스 액세스, 역할, 그룹 멤버십을 검토합니다. Policy Analyzer에서 분석 쿼리를 만들어 특정 리소스에 액세스할 수 있는 보안 주체를 결정합니다.
Azure AD(Azure Active Directory)를 Google Cloud의 ID 공급자로 사용하는 경우 Azure AD 액세스 검토를 사용하여 권한 있는 계정 및 액세스 권한을 주기적으로 검토합니다.
또한 특정 역할에 대해 과도한 수의 관리자 계정이 생성될 때 경고하고 부실하거나 부적절하게 구성된 관리자 계정을 식별하도록 Azure AD Privileged Identity Management를 구성할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PA-5: 긴급 액세스 설정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음(N/A) | 교류-2 | 해당 없음(N/A) |
보안 원칙: 긴급 상황에서 중요한 클라우드 인프라(예: ID 및 액세스 관리 시스템)가 실수로 잠기지 않도록 긴급 액세스를 설정합니다.
응급 액세스 계정은 거의 사용되지 않아야 하며 손상된 경우 조직에 큰 피해를 줄 수 있지만 필요한 몇 가지 시나리오에서도 조직에 대한 가용성이 매우 중요합니다.
Azure 지침: Azure AD 조직에서 실수로 잠기지 않도록 하려면 일반 관리 계정을 사용할 수 없는 경우 액세스할 수 있도록 응급 액세스 계정(예: 전역 관리자 역할이 있는 계정)을 설정합니다. 응급 액세스 계정은 일반적으로 높은 권한이 있으며 특정 개인에게 할당해서는 안됩니다. 긴급 액세스 계정은 일반 관리 계정을 사용할 수 없는 긴급 또는 '비상' 상황에만 사용하도록 제한됩니다.
응급 액세스 계정에 대한 자격 증명(예: 암호, 인증서 또는 스마트 카드)이 안전하게 유지되고 응급 상황에서만 사용할 수 있는 권한이 있는 개인에게만 알려야 합니다. 또한 이 프로세스의 보안을 강화하기 위해 이중 제어(예: 자격 증명을 두 부분으로 분할하고 별도의 사람에게 제공)와 같은 추가 컨트롤을 사용할 수 있습니다. 또한 로그인 및 감사 로그를 모니터링하여 응급 액세스 계정이 권한이 부여된 경우에만 사용되도록 해야 합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS "루트" 계정은 일반 관리 작업에 사용하면 안 됩니다. "루트" 계정은 높은 권한을 가지므로 특정 개인에게 할당해서는 안 됩니다. 사용은 일반 관리 계정을 사용할 수 없는 긴급 상황 또는 "비상 유리" 시나리오로만 제한되어야 합니다. 일상적인 관리 작업의 경우 별도의 권한 있는 사용자 계정을 사용하고 IAM 역할을 통해 적절한 권한을 할당해야 합니다.
또한 루트 계정에 대한 자격 증명(예: 암호, MFA 토큰 및 액세스 키)이 안전하게 유지되고 비상 시에만 사용할 권한이 있는 개인만 알 수 있도록 해야 합니다. 루트 계정에 대해 MFA를 활성화해야 하며, 이중 컨트롤(예: 자격 증명을 두 부분으로 분할하고 별도의 사람에게 제공)과 같은 추가 컨트롤을 사용하여 이 프로세스의 보안을 강화할 수도 있습니다.
또한 CloudTrail 또는 EventBridge에서 로그인 및 감사 로그를 모니터링하여 루트 액세스 계정이 권한이 부여된 경우에만 사용되도록 해야 합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud Identity 최고 관리자 계정은 일반 관리 작업에 사용해서는 안 됩니다. 최고 관리자 계정은 높은 권한을 가지므로 특정 개인에게 할당해서는 안 됩니다. 사용은 일반 관리 계정을 사용할 수 없는 긴급 상황 또는 "비상 유리" 시나리오로만 제한되어야 합니다. 일상적인 관리 작업의 경우 별도의 권한 있는 사용자 계정을 사용하고 IAM 역할을 통해 적절한 권한을 할당해야 합니다.
또한 최고 관리자 계정에 대한 자격 증명(예: 암호, MFA 토큰 및 액세스 키)이 안전하게 유지되고 비상 시에만 사용할 권한이 있는 개인만 알 수 있도록 해야 합니다. MFA는 슈퍼 관리자 계정에 대해 활성화되어야 하며, 이중 컨트롤(예: 자격 증명을 두 부분으로 분할하여 별도의 사람에게 제공)과 같은 추가 컨트롤을 사용하여 이 프로세스의 보안을 강화할 수도 있습니다.
또한 Cloud Audit Logs에서 로그인 및 감사 로그를 모니터링하거나 정책 분석기를 쿼리하여 최고 관리자 계정이 승인된 경우에만 사용되도록 해야 합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PA-6: 권한 있는 액세스 워크스테이션 사용
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.8, 13.5 | 교류-2, 사우스캐롤라이나-2, 사우스캐롤라이나-7 | 해당 없음(N/A) |
보안 원칙: 보안되고 격리된 워크스테이션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다.
Azure 지침: Azure Active Directory, Microsoft Defender 및/또는 Microsoft Intune 사용하여 권한 있는 작업을 위해 온-프레미스 또는 Azure에 PAW(권한 있는 액세스 워크스테이션)를 배포합니다. PAW는 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함하여 보안 구성을 적용하도록 중앙에서 관리되어야 합니다.
가상 네트워크 내에서 프로비전할 수 있는 완전히 플랫폼 관리형 PaaS 서비스인 Azure Bastion을 사용할 수도 있습니다. Azure Bastion을 사용하면 웹 브라우저를 사용하여 Azure Portal에서 직접 가상 머신에 RDP/SSH 연결을 사용할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- 권한이 있는 액세스 워크스테이션에 대한 이해
- Privileged Access 워크스테이션 배포
AWS 지침: AWS 시스템 관리자의 세션 관리자를 사용하여 EC2 인스턴스에 대한 액세스 경로(연결 세션) 또는 권한 있는 작업을 위한 AWS 리소스에 대한 브라우저 세션을 만듭니다. Session Manager를 사용하면 포트 전달을 통해 대상 호스트에 대한 RDP, SSH 및 HTTPS 연결을 사용할 수 있습니다.
Azure Active Directory, Microsoft Defender 및/또는 Microsoft Intune 통해 중앙에서 관리되는 PAW(권한 있는 액세스 워크스테이션)를 배포하도록 선택할 수도 있습니다. 중앙 관리는 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함한 보안 구성을 적용해야 합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: IAP(Identity-Aware 프록시) 데스크톱을 사용하여 권한 있는 작업에 대한 컴퓨팅 인스턴스에 대한 액세스 경로(연결 세션)를 만듭니다. IAP 데스크톱을 사용하면 포트 전달을 통해 대상 호스트에 RDP 및 SSH 연결을 사용할 수 있습니다. 또한 외부를 연결하는 Linux 컴퓨팅 인스턴스는 Google Cloud 콘솔을 통해 SSH-in-browser를 통해 연결할 수 있습니다.
Google Workspace Endpoint Management 또는 Microsoft 솔루션(Azure Active Directory, Microsoft Defender 및/또는 Microsoft Intune)을 통해 중앙에서 관리되는 PAW(Privileged Access Workstation)를 배포하도록 선택할 수도 있습니다. 중앙 관리는 강력한 인증, 소프트웨어 및 하드웨어 기준, 제한된 논리 및 네트워크 액세스를 포함한 보안 구성을 적용해야 합니다.
또한 정의된 매개변수가 있는 신뢰할 수 있는 환경에 안전하게 액세스하기 위해 배스천 호스트를 생성할 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3, 6.8 | 교류-2, 교류-3, 교류-6 | 7.1, 7.2 |
보안 원칙: 충분한 관리(최소 권한) 원칙에 따라 세분화된 수준에서 사용 권한을 관리합니다. RBAC(역할 기반 액세스 제어)와 같은 기능을 사용하여 역할 할당을 통해 리소스 액세스를 관리합니다.
Azure 지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. RBAC를 통해 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 Azure CLI, Azure PowerShell 및 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.
Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한되어야 합니다. 제한된 권한은 Azure AD PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하며, 이러한 권한은 주기적으로 검토되어야 합니다. 필요한 경우 PIM을 사용하여 사용자가 지정된 시작 및 종료 날짜 내에만 역할을 활성화할 수 있는 역할 할당의 조건인 시간 제한 할당을 정의할 수도 있습니다.
참고: Azure 기본 제공 역할을 사용하여 권한을 할당하고 필요한 경우에만 사용자 지정 역할을 만듭니다.
Azure 구현 및 추가 컨텍스트:
- Azure RBAC(역할 기반 액세스 제어)란?
- Azure에서 RBAC를 구성하는 방법
- Azure AD ID 및 액세스 검토를 사용하는 방법
- Azure AD Privileged Identity Management - 시간 제한 할당
AWS 지침: AWS 정책을 사용하여 AWS 리소스 액세스를 관리합니다. 정책에는 자격 증명 기반 정책, 리소스 기반 정책, 권한 경계, AWS Organizations 서비스 제어 정책(SCP), 액세스 제어 목록 및 세션 정책의 6가지 유형이 있습니다. 일반적인 권한 사용 사례에 AWS 관리형 정책을 사용할 수 있습니다. 그러나 관리형 정책에는 사용자에게 할당해서는 안 되는 과도한 권한이 있을 수 있다는 점에 유의해야 합니다.
또한 AWS ABAC(속성 기반 액세스 제어)를 사용하여 IAM 엔터티(사용자 또는 역할) 및 AWS 리소스를 포함하여 IAM 리소스에 연결된 속성(태그)을 기반으로 권한을 할당할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud IAM 정책을 사용하여 역할 할당을 통해 GCP 리소스 액세스를 관리합니다. 일반적인 권한 사용 사례에 Google Cloud의 사전 정의된 역할을 사용할 수 있습니다. 그러나 미리 정의된 역할에는 사용자에게 할당해서는 안 되는 과도한 권한이 있을 수 있다는 점에 유의해야 합니다.
또한 IAM 추천자와 함께 정책 인텔리전스를 사용하여 계정에서 과도한 권한을 식별하고 제거합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
PA-8 클라우드 공급자 지원에 대한 액세스 프로세스 확인
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1, 6.2 | 교류-4, 교류-2, 교류-3 | 해당 없음(N/A) |
보안 원칙: 공급업체 지원 요청을 요청 및 승인하고 보안 채널을 통해 데이터에 대한 임시 액세스를 요청하고 승인하기 위한 승인 프로세스 및 액세스 경로를 설정합니다.
Azure 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토하고 승인하거나 거부합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 지원 팀이 데이터에 액세스해야 하는 지원 시나리오에서 AWS 지원 포털에서 계정을 만들어 지원을 요청합니다. 읽기 전용 데이터 액세스 제공과 같은 사용 가능한 옵션 또는 AWS 지원에서 데이터에 액세스할 수 있는 화면 공유 옵션을 검토합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud 고객 서비스에서 데이터에 액세스해야 하는 지원 시나리오에서는 액세스 승인을 사용하여 Cloud 고객 서비스에서 수행한 각 데이터 액세스 요청을 검토하고 승인하거나 거부합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):