보호 대책 요구사항(클라우드 점검 포함)(64개)/세부항목(192개)에 대한 확인법입니다.
네이버 클라우드의 공식적인 가이드는 아님을 밝혀 드립니다.
<0> 점검 항목 - 보호 대책 요구사항(클라우드 점검 포함)
<6> 권한 관리 - 그룹별 최소 권한, 사용자별 최소 권한
<7> 권한 관리 - 불필요한 Role 정책, 미사용 Role 정책 확인
<20> (비공인) 네이버 클라우드 ISMS-P 인증심사 통과하기
항목은 계속 추가됩니다.
<0> 점검 항목 - 보호 대책 요구사항(클라우드 점검 포함)
패스워드 작성 규칙을 수립하고 주기적으로 변경(분기 1회 이상 권고)
정보 시스템 도입 시 초기/임시 패스워드 로그인 시 지체 없이 변경 - 이 부분은 계정 생성 시 다음번 로그인 시 암호 변경 체크
정보 시스템 침해사고 발생 시는 지체 없이 패스워드 변경
패스워드 저장 금지
영문 대문자, 영문 소문자, 숫자, 특수 문자 중 2종류 이상을 조합하여 최소 10자리 이상
또는
3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
기본으로 적용되어 있다.
별도의 admin권한을 가진 sub Account로 관리하는지 확인하자.
오른쪽 위 콘솔 > Products & Services > Management > Sub Account
Sub account 계정을 만든다
admin 그룹을 만든다.
계정을 admin 그룹에 넣는다.
그룹에 NCP_ADMINISTRATOR 권한을 부여한다.
실무에서는 그룹으로 계정을 관리한다.
원격에서 모든 리소스 삭제와 계정을 없앨 수 있다.
따라서, ROOT 계정의 API 인증키는 사용하지 않도록 한다.
Cloud Activity Tracer로 확인하자.
Cloud Activity Tracer
Cloud Activity Tracer
Tracer
보안설정 > 2차 인증 설정이 되어 있어야 한다.
2차 인증은 구글 OTP나 핸드폰 인증으로 설정할 수 있다.
MFA 설정 적용 확인 or 핸드폰 인증 확인
로그인 제한 설정은 디폴트로 3시간으로 되어 있다.
비밀번호는 8자리 이상, 16자리 이하 영문, 숫자 및 특수문자 조합으로만 가능하다.
최근 사용 3개의 비밀번호는 재 사용할 수 없다.
관리 콘솔 접속 시 특정 IP나 IP 블록에서만 접속하도록 접근 제어를 하는가?
인터넷 아무 곳에서나 접속을 하는가? (취약)
서비스 시스템은 물리적 또는 논리적으로 망 분리된 환경에서만 접속이 가능해야 한다.
또는
서비스 시스템은 특정 IP나 IP 블록에서만 접속이 가능하도록 해야 한다.
최종 접속 일시가 1달 이상 계정이 존재하는지 확인한다.
1명의 사용자가 여러 계정을 사용하면 안 된다.
공용 계정은 없어야 한다.
공용 계정이 존재하는가?
로그인 아이디는 사번이나 메일 등 기존 온프라미스 계정 시스템과 매칭 될 수 있도록 해야 한다.
2차 인증은 필수로 사용하고 있는가?
Sub Accounts 메뉴 클릭 > 로그인 아이디가 2차 인증 사용이 사용 안 함으로 되어 있으면 취약
7
9
관리 콘솔의 세션 타임아웃 설정해야 한다.
Sub Account > Dashboard
미사용 세션 만료 설정 필요 , 디폴트 미설정임
11
패스워드 복잡성 적용을 확인한다.
디폴트로 8자리 이상이 되도록 되어 있다.
디폴트로 숫자 특수문자 조합이 적용된다.
Dashboard에서 서브계정 로그인 페이지 접속키 사이트를 만들고 해당 사이트 접속을 통해 로그인한다.
isms1이라고 입력하면, 해당 접속 사이트가 나온다.
isms1로 지정하면 아래와 같이 별도의 서브계정 로그인 페이지가 나온다.
해당 로그인 페이지로 로그인이 가능한다.
불필요한 AccessKey가 존재하는가?
사용하지 않는 키가 있는가?
장기간 사용하지 않는 키 인가?
불필요한 액세스 키는 비활성화하거나 삭제해야 한다.
4
암호화 키 생성/삭제/변경 절차가 있는지?
업무 요청 시스템으로 관리하고 있는지?
있다면 해당 티켓으로 개발자가 요청하고 관리자가 작업한 이력이 증적으로 있어야 한다.
증적 자료로 제출해야 한다.
5
키 암호화 서비스를 사용하고 있는가?
키 암호화 서비스 사용 중인지 확인한다.
사용 중인 키 암호화 내용을 증적으로 제출한다.
사용하고 있지 않다면 취약
따라서, 더욱 철저한 관리가 필요한 계정이다.
1
2
Organization 계정에 불필요한 인원이 로그온 한 적이 없는지 확인
Organization 계정에 불필요한 인원에 대한 계정 삭제 등 조치 이력
정기적인 점검과 직책자 확인 이력에 대한 증적 제출
서버에서 제공되는 기존 계정은 사용하지 않도록 한다.
기본(Default) 사용자 계정으로 접속하는가?
단순 암호라면 스캐닝 프로그램으로 해킹당해 서버를 탈취당할 수 있다.
2
사용하지 않는 키페 어가 있는가?
키 페어 사용 유무를 확인하자
사용하지 않는 키페 어는 삭제 하자
키 페어 확인
<6> 권한 관리 - 그룹별 최소 권한, 사용자별 최소 권한
1
확인 1
그룹별 최소 권한, 사용자별 최소 권한이 부여되어 있는지 확인?
개발자 Groups이나 개발자 Sub Accounts 계정에 NCP_ADMINISTRATOR 권한은 없어야 한다.
개발자 Groups에 권한 적절성 확인
NCP_ADMINISTRATOR 권한은 없어야 한다.
개발자 Sub Accounts에 권한 적절성 확인
NCP_ADMINISTRATOR 권한은 없어야 한다.
2
확인 2
사용자 권한 부여에 대한 절차가 있는지 확인이 필요함
해당 절차대로 수행했는지 증적 제출이 필요함
시스템으로 권한 부여 요청을 받고 , 처리한 이력에 대한 증적 자료가 필요하다.
<7> 권한 관리 - 불필요한 Roles 정책, 미사용 Roles 정책 확인
상용 계정은 NCP_ADMINISTRATOR 권한은 없어야 한다.
사용하지 않는 미사용 Roles이 없어야 한다.
<20> (비공인) 네이버 클라우드 ISMS-P 인증심사 통과하기
https://brunch.co.kr/@topasvga/1954