네이버11탄-(ISMS-P) 2.5 인증 및 권한 관리
본 내용은 개인적으로 작성한 내용입니다.
보호 대책 요구사항(클라우드 점검 포함)(64개)/세부항목(192개)에 대한 확인법입니다.
네이버 클라우드의 공식적인 가이드는 아님을 밝혀 드립니다.
<0> 점검 항목 - 보호 대책 요구사항(클라우드 점검 포함)
<1> 계정 암호정책 - ROOT 계정 관리
<2> 계정 암호정책 - SubAccount 콘솔 관리
<3> 계정 암호정책 - API 인증키 = Access-key 관리
<4> 계정 관리 - 통합 관리 서비스인 Organization 사용 시 (선택)
<5> 계정 관리 - 서버 접속키 관리
<6> 권한 관리 - 그룹별 최소 권한, 사용자별 최소 권한
<7> 권한 관리 - 불필요한 Role 정책, 미사용 Role 정책 확인
<20> (비공인) 네이버 클라우드 ISMS-P 인증심사 통과하기
항목은 계속 추가됩니다.
<0> 점검 항목 - 보호 대책 요구사항(클라우드 점검 포함)
(ISMS-P) 2.5 인증 및 권한 관리
<1> 계정 암호정책 - ROOT 계정 점검
1
ROOT 계정은 모든 리소스 삭제와 계정을 없앨 수 있다.
따라서, ROOT 계정 사용은 최소한으로 제한해야 한다.
2
패스워드 작성 규칙을 수립하고 주기적으로 변경(분기 1회 이상 권고)
정보 시스템 도입 시 초기/임시 패스워드 로그인 시 지체 없이 변경 - 이 부분은 계정 생성 시 다음번 로그인 시 암호 변경 체크
정보 시스템 침해사고 발생 시는 지체 없이 패스워드 변경
패스워드 저장 금지
정보 통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적, 관리적 보호조치 기준(고시)'
제4조 (접근 통제)
3
계정 암호 정책?
영문 대문자, 영문 소문자, 숫자, 특수 문자 중 2종류 이상을 조합하여 최소 10자리 이상
또는
3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
예)
seo12345 ss (영문자와 숫자 2종류 이상이다. 10자리이다) = 만족
seo1! 678 (영문자 , 숫자, 특수문자 3종류 이상이며, 8자리이다) = 만족
4
ROOT 계정 패스워드 작성 규칙?
기본으로 적용되어 있다.
5
하지만 확인해야 할 사항?
확인 1
ROOT 계정 사용은 최소한으로 사용하고, 별도의 관리자 계정을 만들어 사용하고 있는가?
별도의 admin권한을 가진 sub Account로 관리하는지 확인하자.
오른쪽 위 콘솔 > Products & Services > Management > Sub Account
Sub account를 만들고, NCP_ADMINISTRATOR 권한을 부여한다.
Sub account 계정을 만든다
admin 그룹을 만든다.
계정을 admin 그룹에 넣는다.
그룹에 NCP_ADMINISTRATOR 권한을 부여한다.
실무에서는 그룹으로 계정을 관리한다.
확인 2
ROOT계정은 API 인증키를 사용하지 않도록 해야 한다.
Access Key / Secret Key를 사용하지 않도록 한다.
원격에서 모든 리소스 삭제와 계정을 없앨 수 있다.
따라서, ROOT 계정의 API 인증키는 사용하지 않도록 한다.
확인 3
ROOT계정 접근 이력 확인?
불필요한 ROOT계정의 접근 시도나 이력이 있는지 확인하는가?
Cloud Activity Tracer로 확인하자.
Cloud Activity Tracer
Cloud Activity Tracer
Tracer
(Cloud Activity Tracer = AWS CloudTrail와 같은 서비스이다)
확인 4
ROOT 계정 2차 인증 설정 확인?
보안설정 > 2차 인증 설정이 되어 있어야 한다.
2차 인증은 구글 OTP나 핸드폰 인증으로 설정할 수 있다.
MFA 설정 적용 확인 or 핸드폰 인증 확인
확인 5
관리자 접근권한(Access Key)을 IP(인터넷에 연결된 기기를 식별하는 고유 번호)로 제한하는가?
확인 6
로그인 제한 설정은 디폴트로 3시간으로 되어 있다.
확인 7
ROOT 계정 암호 정책이 법적 요건에 맞도록 설정되어 있다.
따로 설정한 건 없다.
아래 증적만 제출
오른쪽 위 > 계정 관리 > 비밀번호 변경
비밀번호는 8자리 이상, 16자리 이하 영문, 숫자 및 특수문자 조합으로만 가능하다.
최근 사용 3개의 비밀번호는 재 사용할 수 없다.
6
AWS 관리자 접근권한(Access Key)을 IP(인터넷에 연결된 기기를 식별하는 고유 번호)로 제한 필수!!!
참고 자료?
"개인정보 보호조치 미흡으로 개인정보가 유출된 4개 사업자에 대해 총 1억 8530만 원의 과징금과 8300만 원의 과태료가 부과됐다.
4개 사업자 모두 AWS 관리자 접근권한(Access Key)을 IP(인터넷에 연결된 기기를 식별하는 고유 번호)로 제한하지 않아 권한 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영해 개인정보가 유출되거나 제삼자가 열람한 것으로 드러났다.
또 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장해 관리하지 않은 사실도 적발됐다."
[출처] - 국민일보
<2> 계정 암호정책 - SubAccount 콘솔 관리
1
확인 1
관리 콘솔 접속 시 특정 IP나 IP 블록에서만 접속하도록 접근 제어를 하는가?
인터넷 아무 곳에서나 접속을 하는가? (취약)
서비스 시스템은 물리적 또는 논리적으로 망 분리된 환경에서만 접속이 가능해야 한다.
또는
서비스 시스템은 특정 IP나 IP 블록에서만 접속이 가능하도록 해야 한다.
2
확인 2
불필요한 콘솔 계정이 있는지 확인 1?
퇴사자 계정 , 업무 변경 계정, 팀 변경 계정 있는지 확인
오른쪽 위 콘솔 > Products & Services > Management > Sub Account에서 확인한다.
(옵션)
로그인 아이디는 사번이나 메일 등 기존 온프라미스 계정 시스템과 매칭 될 수 있도록 해야 한다.
추후 사내 인사 시스템이나 AD 시스템과 연계를 통한 자동 관리가 되도록 한다.
퇴사자에 대해 자동 관리가 되도록 한다.
3
장기 미사용 계정이 있는지 확인?
SubAccount 계정의 사용자가 부서이동이나 업무 변경 등으로 장기 미사용인지 확인
최종 접속 일시가 1달 이상 계정이 존재하는지 확인한다.
4
콘솔 계정은 1인 1 계정 원칙이다.
1명의 사용자가 여러 계정을 사용하면 안 된다.
공용 계정은 없어야 한다.
공용 계정이 존재하는가?
5
SubAccount 명으로 누가 사용하는지 확인할 수 있어야 한다.
로그인 아이디는 사번이나 메일 등 기존 온프라미스 계정 시스템과 매칭 될 수 있도록 해야 한다.
6
2차 인증은 필수로 사용하고 있는가?
Sub Accounts 메뉴 클릭 > 로그인 아이디가 2차 인증 사용이 사용 안 함으로 되어 있으면 취약
7
Console 계정 1개로 API 계정과 같이 사용하지 않도록 한다.
원격에서 관리할 수 있는 API 계정 필요시는 별도의 API 계정을 만들어 사용한다.
API계정은 서비스로 사용하기도 한다.
부서 변경이나 업무 변경으로 Console 계정 삭제 시 API 계정도 삭제가 되므로 서비스에 문제가 된다.
따라서, 별도의 API 계정을 만들어 사용한다.
8
콘솔 계정은 주기적으로 패스워드를 변경하고 있는가?
비밀번호 만료일을 설정하자.
디폴트는 만료일이 없다.
9
관리 콘솔의 세션 타임아웃 설정해야 한다.
Sub Account > Dashboard
미사용 세션 만료 설정 필요 , 디폴트 미설정임
10
최근 패스워드는 재사용하지 않아야 한다.
11
패스워드 복잡성 적용을 확인한다.
디폴트로 8자리 이상이 되도록 되어 있다.
디폴트로 숫자 특수문자 조합이 적용된다.
20
기타
Sub account 접속은?
Dashboard에서 서브계정 로그인 페이지 접속키 사이트를 만들고 해당 사이트 접속을 통해 로그인한다.
isms1이라고 입력하면, 해당 접속 사이트가 나온다.
Sub Account의 로그인 페이지는 별도이다.
isms1로 지정하면 아래와 같이 별도의 서브계정 로그인 페이지가 나온다.
해당 로그인 페이지로 로그인이 가능한다.
<3> 계정 암호정책 - API 인증키 = Access-key 관리
1
관리자 접근권한(Access Key)을 IP(인터넷에 연결된 기기를 식별하는 고유 번호)로 제한하는가?
"개인정보 보호조치 미흡으로 개인정보가 유출된 4개 사업자에 대해 총 1억 8530만 원의 과징금과 8300만 원의 과태료가 부과됐다.
4개 사업자 모두 AWS 관리자 접근권한(Access Key)을 IP(인터넷에 연결된 기기를 식별하는 고유 번호)로 제한하지 않아 권한 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영해 개인정보가 유출되거나 제삼자가 열람한 것으로 드러났다."
2
Access Key를 주기적으로 변경하는가?
액세스 키는 외부에 노출될 수 있다.
주기적으로 변경해야 한다.
마지막 활동일 확인 : 30일이 넘지 않도록 한다.
Key수명과 비밀번호 수명 확인 : 60일이 넘지 않도록 한다.
3
불필요한 AccessKey가 존재하는가?
사용하지 않는 키가 있는가?
장기간 사용하지 않는 키 인가?
불필요한 액세스 키는 비활성화하거나 삭제해야 한다.
4
암호화 키 생성/삭제/변경 절차가 있는지?
업무 요청 시스템으로 관리하고 있는지?
있다면 해당 티켓으로 개발자가 요청하고 관리자가 작업한 이력이 증적으로 있어야 한다.
증적 자료로 제출해야 한다.
5
키 암호화 서비스를 사용하고 있는가?
키 암호화 서비스 사용 중인지 확인한다.
사용 중인 키 암호화 내용을 증적으로 제출한다.
사용하고 있지 않다면 취약
<4> 계정 관리 - 통합 관리 서비스인 Organization 사용 시 (선택)
Organization 서비스는 통합 관리 서비스이다.
해당 회사의 모든 서비스 계정에 대해 상위 정책을 내릴 수 있다.
따라서, 더욱 철저한 관리가 필요한 계정이다.
1
Organization ADMIN 리스트 중 불필요한 인원은 없는지 점검
Organization 계정중 불필요한 인원은 없는지 점검
2
정기적으로 Organization 계정 접속에 대해 점검하고, 직책자의 확인을 받은 이력이 있는가?
Organization 계정에 불필요한 인원이 로그온 한 적이 없는지 확인
Organization 계정에 불필요한 인원에 대한 계정 삭제 등 조치 이력
정기적인 점검과 직책자 확인 이력에 대한 증적 제출
<5> 계정 관리 - 서버 접속키 관리
1
서버 접근용 계정에 대해 root 등 기본 서버 접속 계정 삭제 확인?
서버에서 제공되는 기존 계정은 사용하지 않도록 한다.
기본(Default) 사용자 계정으로 접속하는가?
단순 암호라면 스캐닝 프로그램으로 해킹당해 서버를 탈취당할 수 있다.
2
사용하지 않는 키페 어가 있는가?
키 페어 사용 유무를 확인하자
사용하지 않는 키페 어는 삭제 하자
키 페어 확인
<6> 권한 관리 - 그룹별 최소 권한, 사용자별 최소 권한
1
확인 1
그룹별 최소 권한, 사용자별 최소 권한이 부여되어 있는지 확인?
개발자 Groups이나 개발자 Sub Accounts 계정에 NCP_ADMINISTRATOR 권한은 없어야 한다.
개발자 Groups에 권한 적절성 확인
NCP_ADMINISTRATOR 권한은 없어야 한다.
개발자 Sub Accounts에 권한 적절성 확인
NCP_ADMINISTRATOR 권한은 없어야 한다.
2
확인 2
사용자 권한 부여에 대한 절차가 있는지 확인이 필요함
해당 절차대로 수행했는지 증적 제출이 필요함
시스템으로 권한 부여 요청을 받고 , 처리한 이력에 대한 증적 자료가 필요하다.
<7> 권한 관리 - 불필요한 Roles 정책, 미사용 Roles 정책 확인
상용 계정은 NCP_ADMINISTRATOR 권한은 없어야 한다.
사용하지 않는 미사용 Roles이 없어야 한다.
<20> (비공인) 네이버 클라우드 ISMS-P 인증심사 통과하기
https://brunch.co.kr/@topasvga/1954
