CA-02: 사용자 정책 관리
분류: Cloud
중요도: 중
개요
점검 내용
사용자 계정에 적절한 권한 부여 여부 점검
점검 목적
계정별 권한을 점검하여 권한의 오남용을 예방하기 위함
보안 위협
사용자 정책 관리가 적절하게 할당되지 않을 경우 무단 접근, 데이터 유출, 내부자 위협 등 보안 위험이 존재함
참고
-
점검 대상 및 판단 기준
대상
Cloud Platform
판단 기준
✅ 양호: 사용자/그룹의 목적에 맞게 역할/권한이 할당된 경우
❌ 취약: 사용자/그룹을 목적에 맞지 않게 역할/권한이 할당된 경우
조치 방법
사용자/그룹의 역할/권한을 목적에 맞게 설정
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
공통
Step 1) 계정 및 그룹 확인 후 불필요한 권한 제거
- 클라우드 서비스 운영 시 사용자에 대한 직무 및 역할에 맞는 사용자 권한을 설정하고, 권한 오남용이 발생하지 않도록 주기적인 정책 검토가 요구됨
- 관리자 및 일반 사용자 등 관리 정책이나 권한을 분리하여 1인 1계정으로 운영되어야 함
Step 2) 별도의 계정을 생성하여 서비스 운영에 활용
- 콘솔 최상위 관리자(최초 가입계정) 계정은 서비스 운영에 활용 금지
- 서비스에 대해 관리자 권한이 필요한 경우, 신규로 계정을 생성하여 필요한 권한을 부여하여 활용