2. 네이버 클라우드 개인정보 - 접근 권한 관리
<1> 접근 권한 최소화 및 차등 부여
<2> 접근 권한 부여 이력 보관
<3> 비밀번호 복잡도 설정
<4> 일정 횟수 이상 인증 실패 시 접근 제한
<5> 접근 권한 최소화 및 차등 부여 - 실습
<6> 접근 권한 부여 이력 보관- 실습
<7> 일정 횟수 이상 인증 실패 시 접근 제한 - 실습
<1> 접근 권한 최소화 및 차등 부여
관련 고시
제5조 접근 권한의 관리
1. 개인정보 처리가는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다.
2. 업무가 변경되었을때 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소 해야 한다.
3. 개인정보처리시스템에 접근할수 있는 계정을 발급한 경우 취급자별로 계정을 발급하고 공유 되지 않도록 하여야 한다.
1
계정 유형
1) Main Account
Main Account 는 계정 폐쇄등 모든 권한을 가지므로 사용하지 않도록 한다.
2) Sub Account
Services > Management & governance > Sub Account 에서 사용자별 계정을 생성하고 삭제할수 있는 권한을 제공한다.
사용자별 계정에 권한을 할당 할수 있다.
그러나, 실무에서는 계정별로 권한을 할당하지 않고 그룹(개발팀)에 권한을 할당하여 사용한다.
3) 그룹
dev 그룹
infra 그룹
dbe 그룹
sec 그룹
4) 접근 권한 정책 생성
Services > Management & governance > Sub Account > Polices > 정책 생성에서 이용자가 새로운 정책을 생성할수 있다.
2
Cloud DB for Mysql 사용자 계정 생성 및 권한 관리
DB Server 상세 보기 > DB User 관리에서 사용자 계정을 관리할수 이는 기능을 제공한다.
사용자별로 계정을 생성 ,삭제, 변경 할수 있다.
DB 권한을 활용하여 사용자별로 권한을 차등 부여 할수 있다.
<2> 접근 권한 부여 이력 보관
1
제5조 접근 권한의 관리
개인정보 처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관해야 한다.
2
Sub Account에서 계정 생성 및 접근 권한 부여한 이력을 관리한다.
Cloud Activity Tracer에서 권한 부여 이력 포함한 최근 작업 이력(계정 생성,로그인 이력)에 대해 조회한다.
3
Cloud Activity Tracer는 최근 3개월(90일)의 작업 내역 보관 기능을 제공한다.
Cloud Activity Tracer는 Object Storage로 연동하여 3년간 보관할수 있다.
4
Cloud DB 계정의 권한 부여 이력은 서비스를 이용하는 기간 동안 지속적으로 보관된다.
권한 부여 이력은 Cloud DB > Event 에서 조회 가능하며, 서비스 해지시 파기 된다.
<3> 비밀번호 복잡도 설정
1
제5조 접근 권한 관리
개인정보 처리자는 개인정보 취급자 또는 정보 주체의 인증수간을 안정하게 적용하고 관리해야 한다.
2
Sub Account 비밀번호 만료 설정(만료일)을 활성화해야 한다.
3
CLoud DB for Mysql
https://guide.ncloud-docs.com/docs/clouddbformongodb-compliance
최초 생성할때 영문,숫자,특수 문자를 각각 1자 이상씩 포함.
총 8~20자로 구성하도록 되어 있다.
비밀번호 복잡도 설정
DB Service 상세 보기 > Password Plugin 설정 > 세부 설정 > 활성화 > 비밀번호 복잡도 정책을 설정할수 있다.
<4> 일정 횟수 이상 인증 실패 시 접근 제한
1
제5조 접근 권한의 관리.
개인정보 처리자는 개인정보 처리 시스템에 접근 할수 있도록 일정 횟수 이상 인증에 실패한 경우 접근 제한 하는등 필요한 조치를 해야 한다.
2
네이버는 일정 횟수 이상 인증에 실패하는 경우 접근 제한 기능을 제공한다.
비밀번호 오류다 3회 연속 발생한경우 Capcha인증이 요구되며, 5회 이상 발생시 로그인이 제한된다.
<5> 접근 권한 최소화 및 차등 부여 - 실습
관련 고시
제5조 접근 제한의 관리
1. 개인정보 처리가는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다.
2. 업무가 변경되었을때 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소 해야 한다.
3. 개인정보처리시스템에 접근할수 있는 계정을 발급한 경우 취급자별로 계정을 발급하고 공유 되지 않도록 하여야 한다.
1
계정 유형
1) Main Account
Main Account 는 계정 폐쇄등 모든 권한을 가지므로 사용하지 않도록 한다.
2) Sub Account
Services > Management & governance > Sub Account 에서 사용자별 계정을 생성하고 삭제할수 있는 권한을 제공한다.
사용자별 계정에 권한을 할당 할수 있다.
그러나, 실무에서는 계정별로 권한을 할당하지 않고 그룹(개발팀)에 권한을 할당하여 사용한다.
3) 그룹
dev 그룹
infra 그룹
dbe 그룹
sec 그룹
4) 접근 권한 정책 생성
Services > Management & governance > Sub Account > Polices > 정책 생성에서 이용자가 새로운 정책을 생성할수 있다.
2
Cloud DB for Mysql 사용자 계정 생성 및 권한 관리
DB Server 상세 보기 > DB User 관리에서 사용자 계정을 관리할수 이는 기능을 제공한다.
사용자별로 계정을 생성 ,삭제, 변경 할수 있다.
DB 권한을 활용하여 사용자별로 권한을 차등 부여 할수 있다.
<6> 접근 권한 부여 이력 보관- 실습
1
제5조 접근 권한의 관리
개인정보 처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관해야 한다.
2
Sub Account에서 계정 생성 및 접근 권한 부여한 이력을 관리한다.
Cloud Activity Tracer에서 권한 부여 이력 포함한 최근 작업 이력(계정 생성,로그인 이력)에 대해 조회한다.
3
Cloud Activity Tracer는 최근 3개월(90일)의 작업 내역 보관 기능을 제공한다.
Cloud Activity Tracer는 Object Storage로 연동하여 3년간 보관할수 있다.
4
Cloud DB 계정의 권한 부여 이력은 서비스를 이용하는 기간 동안 지속적으로 보관된다.
권한 부여 이력은 Cloud DB > Event 에서 조회 가능하며, 서비스 해지시 파기 된다.
<7> 일정 횟수 이상 인증 실패 시 접근 제한 - 실습
1
제5조 접근 권한의 관리.
개인정보 처리자는 개인정보 처리 시스템에 접근 할수 있도록 일정 횟수 이상 인증에 실패한 경우 접근 제한 하는등 필요한 조치를 해야 한다.
2
네이버는 일정 횟수 이상 인증에 실패하는 경우 접근 제한 기능을 제공한다.
비밀번호 오류 3회 연속 발생한경우 Capcha인증이 요구되며, 5회 이상 발생시 로그인이 제한된다.
다음
https://brunch.co.kr/@topasvga/5124
전체 보기
https://brunch.co.kr/@topasvga/5128
