약 13,000개의 조직에서 3,000만 명의 사용자가 본인임을 확인하기 위해 SecurID를 사용하고 있습니다. SecurID 소프트웨어 인증기는 고객이 언제 어디서나 사용할 수 있으며, 모든 기업이 고유한 ID 문제를 해결하는 데 필요한 단순성, 보안성 및 편의성을 제공합니다.
하지만 신뢰할 수 있는 ID 플랫폼이 된다는 것은 다음을 지원할 수 있어야 한다는 것을 의미합니다. 모든 사용 사례와 마찬가지로 SecurID 소프트 토큰은 사용 및 관리가 쉽지만 때로는 하드 토큰이 여전히 가장 좋은 방법입니다.
조직이 하드 토큰을 사용하는 데에는 몇 가지 이유가 있습니다:
- 하드 토큰은 암호화 자료(시드)를 훨씬 더 강력하게 보호하고 맬웨어가 토큰에 액세스할 가능성을 줄여줍니다.
- 소프트 토큰은 일반적으로 스마트폰에 배포되며, 대부분의 사용 사례에서는 편리하지만 경우에 따라서는 고도로 통제되거나 민감한 환경에 스마트폰을 가져오는 것이 좋지 않을 수 있습니다.
- 직원은 개인 스마트폰에 업무 관련 소프트웨어를 설치하는 것을 원하지 않거나 허용되지 않을 수 있습니다.
하지만 하드웨어는 배포하기 어렵고, 다루기 어렵고, 관리하기 어렵고, 교체하기 어려울 필요는 없습니다: SecurID 하드 토큰은 클라우드에서 할당, 활성화, 비활성화 및 구성할 수 있습니다.
사용자는 SecurID Access 클라우드 인증 서비스 마이페이지를 통해 PIN을 재설정할 수도 있습니다. 이러한 기능만으로도 큰 비용 절감 효과를 얻을 수 있습니다. 50% 의 IT 헬프 데스크 비용이 비밀번호 재설정에 할당됩니다.
저는 거의 20년 동안 SecurID 고객의 IAM 프로세스 구성을 지원해 왔으며, 이제 모든 비즈니스에 고유한 ID 요구 사항이 있다는 것을 분명히 알게 되었습니다. 최근 웨비나, 에서 하드 토큰과 소프트 토큰을 결정할 때 기업이 고려해야 할 몇 가지 요소에 대해 공유했습니다. 이는 중요한 질문이며, 기업들이 많은 시간을 들여 고민하는 문제이기도 합니다.
똑같이 중요하지만 간과하기 쉬운 또 다른 질문은 '사용자에게 인증자를 어떻게 할당해야 하는가'입니다.
이는 기업이 필요에 맞는 IAM 프로세스를 개발할 수 있는 또 다른 기회이기 때문에 프로세스 초기에 조금 더 시간을 투자했으면 하는 부분입니다.
기업은 이 단계를 관리하기 위해 두 가지 방법 중에서 선택할 수 있습니다:
이 방법은 이미 보안 전송 메커니즘을 갖춘 비즈니스에 적합한 방법입니다.
이 시나리오에서는 관리자가 특정 토큰을 특정 사용자에게 할당하고 해당 토큰을 사용자에게 배송합니다(이상적으로는 변조 방지 패키징을 사용하여). 이 경우 관리자가 토큰을 대량으로 발송할 수 없으므로 비용이 조금 더 높을 수 있습니다.
관리자는 비활성화된 토큰을 사용자에게 배송한 다음 사용자가 수령을 확인하면 활성화할 수 있습니다. 사용자는 자신에게 속한 토큰을 정확하게 받게 됩니다.
이 방법은 보안 팀이 할당 프로세스 중에 사용자를 안전하게 인증할 수 있는 방법이 있는 경우에 가장 효과적입니다. 또한 비용 효율적이기도 합니다. 모든 사용자가 수령할 수 있도록 할당되지 않은 토큰을 준비해두기만 하면 됩니다. 우편으로 보내는 것도 더 쉽습니다. 누군가가 각 수신자에게 하나의 토큰(사용 가능한 토큰)을 우편으로 보내기만 하면 됩니다. 어떤 토큰이 어떤 사용자에게 전송될지 걱정할 필요가 없습니다.
또는 사용자가 직접 나가서 FIDO2 토큰을 포함한 자체 토큰을 구매할 수도 있습니다.
더 까다로운 부분은 토큰을 특정 ID에 바인딩하는 것인데, 이는 안전하게 이루어져야 합니다. 또한 비즈니스가 토큰에 부여하는 신뢰는 사용자가 등록 중에 생성하는 초기 신뢰보다 훨씬 높을 수 없으며, 어디서나 소싱할 수 있는 FIDO 토큰의 경우 특히 그렇습니다. 토큰을 인증하는 데 사용되는 '등록 신뢰'의 양은 토큰의 수명 기간 동안 해당 토큰의 제한 요소가 됩니다.
짧은 대답은 두 가지 방법 모두 효과가 있으며, 하드웨어 토큰을 배포하는 '최고의' 모델은 없다는 것입니다.
더 긴 대답은 IAM과 마찬가지로 배포 및 인증도 비즈니스 요구 사항을 충족해야 한다는 것입니다. 조직은 실용적인 솔루션이 필요합니다. 충분 보안 충분 사용자 행동의 균형을 맞추고 가장 빈번하고 영향력이 큰 보안 문제를 해결합니다.
'선 할당 후 배포'가 두 가지 방법 중 더 안전하다는 주장이 제기될 수 있습니다. 완벽한 세상에서는 일련 번호를 사용하여 토큰과 특정 사용자를 일치시키는 것이 변수를 줄이고 처음부터 인증을 제어하는 데 유용한 방법이 될 수 있습니다.
하지만 '할당 후 배포'는 그렇지 않습니다. 가지고 를 사용하는 것이 더 안전합니다. '배포 후 할당'은 팀의 요구 사항을 충족하기에 충분히 안전하고 실용적일 수 있습니다.
그리고 어떤 방법을 사용하든 실용적이지 않다면 아무리 보안을 강화해도 소용이 없다는 점을 기억하세요. 그렇기 때문에 직원들에게 다음 사항을 기억하고 관리하도록 요청하는 것이 중요합니다. 평균 100개의 비밀번호 생성할 수 있습니다. 조직의 중대한 취약점.
또 다른 요인은 많은 사람들이 코로나19에 적응하기 위해 노력하고 있으며, 이는 우리의 방식부터 모든 것을 바꾸어 놓았습니다. 작업 어떻게 투표. 오늘날 팀원들에게 사무실에 모여 토큰을 수령하도록 요청하는 것은 이상적이지도, 안전하지도, 실용적이지도 않을 수 있습니다.
SecurID 고객에게 좋은 소식은 '선 할당 후 배포' 또는 '배포 후 할당'을 선택하든 SecurID 하드웨어 토큰을 사용할 수 있다는 것입니다: SecurID Access는 둘 다 처리할 수 있습니다.
실제로 저희 하드웨어 토큰은 최대한 소프트웨어와 같은 유연성을 제공하도록 설계되었습니다:
- SecurID 액세스 클라우드 인증 고객은 어디서나 SecurID 700 토큰을 등록하고 관리할 수 있습니다.
- 새 토큰을 추가하는 방법은 간단합니다. 관리자는 XML 시드 파일을 업로드하고 해당 비밀번호를 입력하기만 하면 됩니다.
- 토큰을 비활성화하는 방법도 간단합니다. 관리자는 만료된 모든 토큰을 일괄 삭제하거나 삭제할 특정 토큰의 일련번호를 제공할 수 있습니다.
- 등록이 완료되면 관리자는 조직의 필요에 따라 사용자 비밀번호 및 잠금 정책을 설정할 수 있습니다. 또한 관리자는 잠금 또는 비밀번호 재설정에 관한 이메일 알림을 사용하거나 사용하지 않도록 설정할 수 있습니다.
- 얼마나 많은 토큰을 관리하고 있는지, 누가 토큰을 소유하고 있는지 알고 싶으신가요? 가져온 모든 토큰에 대한 보고서를 생성하기만 하면 됩니다. 이 보고서는 토큰 일련 번호, 유형, 만료일, 상태, 할당된 사용자 등에 대한 가시성도 제공합니다.
- 보안 팀은 필요에 따라 보증 수준을 조정할 수도 있습니다. 위험 기반 인증 를 통해 보안을 유지하면서 편의성을 높이기 위한 단계적 업그레이드의 필요성을 줄였습니다.
조직은 이 토큰을 웹 애플리케이션, RADIUS, SecurID 다단계 인증에 사용할 수 있습니다(MFA) 에이전트(Windows 10 및 MacOS 포함).
사실 SecurID 하드웨어 토큰은 클라우드에서 관리할 수 있는 하드웨어 토큰의 한 유형일 뿐입니다. 모든 FIDO U2F 또는 FIDO2 호환 토큰은 SecurID Access 클라우드 인증 서비스를 통해 관리할 수 있습니다.
조직이 무엇을 선택하든, IAM 솔루션이 요구 사항에 맞게 조정할 수 있어야 하며, 그 반대가 되어서는 안 됩니다.
하드웨어에서 '하드'를 빼고 싶으신가요? 문의하기 를 통해 하드웨어 토큰이 얼마나 쉬운지 확인해보세요.
