brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Nov 03. 2019

11탄-4. ISMS-AWS- 계정 관리

<1> IAM계정 생성 절차 확인(필수)

<2> 장기미사용등  불필요한 AWS  계정이 있는지 점검 후 삭제 확인 (필수)

<3>  MFA는 필수로 설정 확인.(필수)

<4> 그룹에 맞는 권한인지 확인.

<5>  액세스 키는 발급 최소화 확인.(필수)




<1> IAM계정 생성 절차 확인


계정 신청 시스템을 통해 발급되었는지 확인 = 권한 부여 내역도 체크

예) 신청시 계정과 필요한 서비스에 대한 요청이 있어야 한다.


LDAP연동 되어 있다하더라도 해당 사용자만 접속 가능한지 확인한다. 




<2> 장기미사용등  불필요한 AWS  계정이 있는지 점검 후 삭제 확인 (필수)


1

IAM >  사용자에서 점검한다.


계정은 사용자가 누구인지 인지될 수 있도록 해야 한다.

100이나 test 1 계정은 누가 사용하는지 알 수 없다.

삭제하도록 한다.


2) 1인 1 계정을 사용하도록 한다. = 공용 계정은 없어야 한다.


3) 장기 휴가자 계정이 있으면 삭제


4) 퇴사자 계정 삭제


5) 외부 계약 종료 업체 계정 삭제





2

MFA는 필수로 설정 확인.

MFA를 필수로 설정하자. 


아래 MFA부분에 '활성화되지 않음'은  설정되어 있지 않은 경우다.

반드시  2차 인증 설정을 하자.

https://brunch.co.kr/@topasvga/95



3

EC2 키페어 괸리 지침이 있는지 확인

지침에 따라 교체가 되는지 확인.

사용자용 Access/Secretkey 주기적인 교체 증적 필요하다. 결함 사항



4

그룹에 맞는 권한인지 확인. =  Admin권한이 할당되어 있으면 회수하자.

DB 생성 권한 등은 최소 인원만 가지도록 설정한다.  = 기존 온프라미스에서는 DB는 DBE만 접속한다.


불필요한 admin role이 존재 한다. 삭제 필수. 결함 사항


직무에 맞는 AWS 정책

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_job-functions.html




5

액세스 키는 발급 최소화 확인.


1) 액세스 키 노출로 인해  보안 문제가 발생할 수 있다.

예)

아래 100 계정은 액세스 키 수명이 없으므로, 액세스 키가 없는 것이다.

아래 test 1 계정은 액세스 키 수명에 오늘이므로, 액세스 키가 있는 것이다. 

사용하지 않으면 해당 계정의  보안 자격증명에서 액세스 키를 삭제한다.


2) 사용자를 인지할 수 있는 일반 계정을 만들어 사용한다.


3) 서비스용 프로그래밍 방식 액세스 키는 별도로 만들어 사용하자.

(AWS API, CLI, SDK 및 기타 개발 도구에 대해  액세스 키 ID  및  비밀 액세스 키 )

일반 사용자 계정 삭제 시 서비스가 안될 수 있으므로, 서비스용 계정은 별도로 생성 관리하도록 한다.




6

액세스 키는 주기적인  변경 확인 증적이 있어야 한다(필수)


액세스 키는  외부에 노출될 수 있다.

주기적으로 변경하도록 하자.

2개까지 생성할 수 있으므로 추가로 생성하고 , 기존 액세스 키는 삭제하자.

마지막 활동일 확인 : 30일이 넘지 않도록 한다.

Key수명과 비밀번호 수명 확인 : 60일이 넘지 않도록 한다.


교체 

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey



7

서버를 접속하는 PEM키의 경우 외부에 노출되지  않도록 관리  확인.


참고 : pem키 분실 시 조치법

https://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/automation-ec2reset.html




사용자 계정에 대한 현황 및 검토 이력이 있어야 한다. (필수)



10


계정 비밀번호 복잡도 확인


1

관련 법적 요건 ?

패스워드 작성 규칙을 수립하고 주기적으로 변경(분기 1회 이상 권고)

정보 시스템 도입시 초기/임시 패스워드 로그인시 지체 없이 변경 - 이부분은 계정 생성시 다음번 로그인시 암호변경 체크

정보 시스템 침해사고 발생시는 지체 없이 패스워드 변경

패스워드 저장 금지



2

정보 통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적,관리적 보호조치 기준(고시)'

제 4조 (접근 통제)


영문 대문자, 영문 소문자, 숫자, 특수 문자 중 2종류 이상을 조합하여 최소 10자리 이상

또는

3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성


예)

seo12345ss  (영문자와 숫자 2종류 이상이다. 10자리이다) = 만족

seo1!678   (영문자 , 숫자, 특수문자 3종류 이상이며, 8자리 이다) = 만족




3. AWS 의 경우 설정법  -  IAM > 계정 설정 > 암호 정책 설정


영문 대문자, 영문 소문자, 숫자, 특수 문자 중 2종류 이상을 조합하여 최소 10자리 이상

또는

3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

알파벳 대문자(A-Z)는 필수는 아니라 제외해도 된다.

대문자는 없어도 ISMS 기준에 만족한다.








4.  계정 암호 정책 증적 제출






다음

https://brunch.co.kr/@topasvga/751





<11>  (정리) 비공인 AWS  ISMS-P체크 리스트



https://brunch.co.kr/@topasvga/1771

        


감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari