CA-09: 접근 제어 설정 관리

분류: Cloud

중요도: 상

개요

불필요한 접근 정책 존재 여부 점검

클라우드 서비스에 접근할 수 있는 IP를 등록하여 비인가자의 클라우드 서비스 접근을 차단하고, 권한이 부여된 관리자만 클라우드 서비스에 접근할 수 있도록 하기 위함

불필요한 접근 제어 정책이 존재할 경우, 비인가자의 클라우드 서비스 접근 시도로 인한 내부 정보의 유출 위험이 존재함

-

클라우드 플랫폼

✅ 양호: 접근 제어 정책을 주기적으로 검토하고 불필요한 규칙이 존재하지 않는 경우

❌ 취약: 접근 제어 정책을 비주기적으로 검토하고 불필요한 규칙이 존재하는 경우

접근제어 정책 주기적 검토 및 불필요한 정책 제거

일반적인 경우 영향 없음

Step 1) 클라우드 서비스 접근 제어 관리

클라우드 관리 콘솔에서 제공하고 있는 메뉴에서 접속 IP나 계정 제한 확인

설정되어 있는 정책의 출발지와 목적지의 IP주소 범위, 프로토콜/포트, 허용/차단, 정책 순서 등을 종합적으로 검증하여 불필요한 방화벽 규칙(또는 보안그룹 규칙)이 존재하는지 주기적으로 확인

관리자 IP 또는 특정 IP 및 계정에서만 접속할 수 있도록 설정

불필요한 정책 제거