사이버 보안에서 ID는 매우 중요합니다. 그리고 ID를 통해 시스템에 액세스하는 사람, 액세스 대상, 액세스 권한이 적절한지 여부 등 가장 중요한 질문에 확실하고 긍정적으로 답할 수 있어야 합니다.
보안팀은 수십 년 동안 신뢰할 수 있는 답변을 얻기 위해 노력해 왔습니다. 모든 사람이 동일한 사이트에서 작업하거나 적어도 동일한 방화벽 뒤에서 작업할 때는 더 쉬웠습니다. 하지만 오늘날 사용자는 거의 모든 곳에서 작업할 수 있으며 클라우드, 여러 클라우드 또는 데이터 센터에 있는 애플리케이션과 리소스에 액세스해야 할 수 있습니다.
이러한 환경에서 사용자를 보호하고, 관리하고, 통제하는 일은 복잡할 수 있습니다. 다음 섹션에서는 보안팀이 질문해야 하는 ID 및 액세스 관련 질문을 다루고 ID 거버넌스가 이러한 질문에 대한 답을 더 강력한 제어, 위험 감소, 명확한 규정 준수 증거로 전환하는 데 어떻게 도움이 되는지 설명합니다.
ID 거버넌스 는 누가 무엇에 액세스할 수 있는지, 왜 액세스할 수 있는지, 시간이 지남에 따라 액세스 권한이 어떻게 변하는지를 제어하고 증명하는 데 도움이 되기 때문에 중요합니다. 하이브리드 환경에서는 최소 권한을 가정하는 것과 실제로 권한을 적용하는 것의 차이입니다.
거버넌스가 없으면 사용자의 역할이 바뀌고 새로운 앱이 등장하며 예외가 영구화됨에 따라 액세스 범위가 조용히 확장됩니다. 이로 인해 침해 영향이 커지고 조사가 느려지며 감사가 더 어려워집니다.
ID 리스크를 줄이려면 먼저 로그인 신뢰 및 액세스 가시성에 대한 신뢰할 수 있는 답이 필요합니다. 신원 확인과 시스템 및 환경 전반에서 어떤 액세스가 존재하는지 파악하는 것을 분리하는 것부터 시작하세요.
사용자는 자신이 말하는 그 사람인가요?
ID 및 액세스 관리(IAM)는 로그인 시 사용자의 신원을 확인하고 시스템 접근 허용 여부를 결정합니다. 실제로는 사용자를 인증한 다음 적절한 리소스에 대한 액세스 권한을 부여하는 것을 의미하며, 대개 다단계 인증(MFA)을 사용합니다.
IAM은 필수적이지만 이는 첫 번째 단계에 불과합니다. 사용자가 접속한 후에도 보안팀은 해당 사용자가 SaaS 앱, 멀티클라우드 인프라, IoT 디바이스 및 타사 시스템에서 액세스할 수 있는 항목에 대한 가시성을 확보해야 합니다. 이러한 가시성이 없으면 위험한 액세스를 발견하고, ID 위협의 우선순위를 정하고, 보안 및 개인정보 보호 요구 사항을 지원하기가 더 어려워집니다.
시스템에는 누가 있으며 어떤 정보에 액세스할 수 있나요?
ID 거버넌스 및 관리(IGA)는 클라우드 및 온프레미스 환경 전반에서 누가 무엇에 액세스할 수 있는지에 대한 가시성과 제어 기능을 제공합니다. 이를 통해 팀은 어떤 액세스가 존재하는지, 적절한지, 시간이 지남에 따라 어떻게 변경되어야 하는지 판단할 수 있습니다.
대부분의 IGA 프로그램은 네 가지 핵심 역량에 중점을 둡니다:
- ID 거버넌스: 고위험 사용자, 역할 및 애플리케이션을 포함하여 누가 어떤 항목에 액세스할 수 있는지 파악하고 검토하세요.
- ID 수명 주기: 요청, 승인, 프로비저닝, 정책 시행을 포함한 가입, 이동, 탈퇴 프로세스를 자동화하세요.
- 데이터 액세스 거버넌스: 비정형 데이터에 액세스할 수 있는 사용자를 식별하고, 문제가 있는 액세스를 감지하고, 신속하게 문제를 해결하세요.
- 비즈니스 역할 관리: 역할과 정책을 정의하고, 역할 확산을 줄이고, 역할 인증을 자동화하세요.
ID가 오용되거나 유출되면 과도하거나 불분명한 액세스로 인해 영향이 커집니다. 액세스에 대한 중앙 집중식 보기를 통해 팀은 문제를 조기에 발견하고, SOX, HIPAA, GDPR 등 규정 준수 요구 사항을 지원하며, 인증, 요청, 프로비저닝과 관련된 수작업을 줄일 수 있습니다.
액세스 권한을 가진 사람을 아는 것은 문제의 일부일 뿐입니다. 다음 단계는 액세스가 정당화되고 역할에 적합하며 정책 및 위험에 의해 제한되는지 확인하는 것입니다.
사용자에게 특정 리소스에 대한 액세스 권한이 필요한 이유는 무엇인가요?
사용자는 계정이 있거나 부서에 소속되어 있기 때문이 아니라 정해진 업무를 수행하기 위해 리소스에 액세스해야 합니다. ID 거버넌스는 명확한 비즈니스 정당성, 역할 및 소유자가 승인한 정책에 따라 액세스를 연결할 수 있도록 도와줍니다.
전술적으로 이는 일반적으로 역할 기반 또는 정책 기반 액세스 모델을 설정하고, 예외에 대한 명시된 목적을 요구하며, 위험과 필요성에 따라 액세스를 승인할 수 있는 애플리케이션 및 데이터 소유자를 지정하는 것을 의미합니다. 시간이 지나면서 거버넌스는 사용자가 역할이나 프로젝트를 변경할 때 액세스가 여전히 필요한지 다시 검증하여 “액세스 드리프트'를 줄입니다.
사용자는 특정 액세스 권한으로 무엇을 할 수 있나요?
접근 권한은 단순히 '예' 또는 '아니오'로 결정되는 것이 아닙니다. 사용자가 어떤 작업을 수행할 수 있는지, 어떤 데이터에 액세스할 수 있는지, 계정이 손상될 경우 얼마나 많은 피해가 발생할 수 있는지를 결정합니다.
ID 거버넌스를 통해 팀은 권한 있는 작업, 민감한 데이터 노출, 함께 있어서는 안 되는 유해한 액세스 조합 등 위험에 따라 액세스를 평가할 수 있습니다. 실제로는 여기에서 최소 권한, 업무 분리, 액세스 인증, 고위험 권한에 대한 목표 수정 워크플로우를 도입합니다. 또한 다음과 같은 지속적인 액세스 보장 기능이 필요한 곳이기도 합니다. RSA 거버넌스 및 수명 주기, 를 사용하여 더 빠른 감지 및 해결을 지원합니다.
실무에서 최소 권한을 어떻게 정의하나요?
최소 권한은 사용자가 업무 수행에 필요한 시간 동안 필요한 만큼만 액세스하고 그 이상은 허용하지 않는다는 의미입니다. 이는 일회성 결정이 아닙니다. 지속적인 규율입니다.
팀은 역할 기반 액세스 및 “기본” 액세스 패키지를 정의한 다음 표준을 벗어나는 모든 것을 정당화 및 승인이 필요한 예외로 취급합니다. 지속적인 액세스 검토, 업무 분리 점검 및 고위험 권한의 대상 정리를 통해 환경 변화에 따른 권한 상승을 방지합니다.
사람들이 입사, 역할 변경, 퇴사함에 따라 액세스 권한은 지속적으로 변경됩니다. 강력한 거버넌스는 반복 가능한 워크플로, 시기적절한 업데이트, 실제 수정으로 이어지는 검토를 통해 자격을 정확하게 유지합니다.
조인, 무버, 리퍼 프로세스는 어떻게 위험을 줄이나요?
입사, 이동, 퇴사 프로세스는 고용 상태 및 역할 변경에 따라 액세스 권한을 조정하여 더 이상 필요하지 않은 액세스 권한이 남아 있지 않도록 함으로써 위험을 줄입니다. 이러한 워크플로가 무너지면 고아 계정과 오래된 권한이 오용될 수 있는 쉬운 경로가 됩니다.
실질적인 목표는 일관성과 속도입니다. 좋은 수명 주기 프로세스는 시스템 전반에서 요청, 승인, 프로비저닝 및 프로비저닝 해제를 자동화하고 변경된 사항과 그 이유를 기록합니다. 이렇게 하면 액세스 범위를 줄이고 침해 영향을 제한하며 조사 및 감사를 훨씬 쉽게 수행할 수 있습니다.
액세스 검토 및 인증은 실제로 어떻게 작동하나요?
액세스 검토 및 인증은 적절한 검토자가 역할, 정책 및 위험에 따라 사용자의 액세스가 여전히 적절한지 확인하는 방식으로 작동합니다. 그 결과 승인, 취소 또는 조정과 같은 일련의 결정이 내려지며, 이는 실제 개선으로 이어집니다.
검토가 잘 수행되면 의미 있는 액세스 권한으로 범위가 지정되고, 책임 있는 소유자에게 전달되며, 위험성이 높은 권한에 우선순위가 지정됩니다. 또한 누가 무엇을 검토했는지, 무엇을 결정했는지, 언제 결정했는지, 변경이 완료되고 확인되었는지 추적하여 감사에 대비한 증거를 생성합니다.
가장 의미 있는 리스크 결정은 액세스 결정이기 때문에 ID 거버넌스는 모든 사이버 리스크 전략의 일부가 되어야 합니다. 액세스 권한이 있는 사람, 액세스 권한이 있는 이유, 액세스 권한이 적절한지 여부를 자신 있게 설명할 수 없다면 지속적으로 위험을 줄이거나 신속하게 대응하거나 감사에 적합한 증거를 생성할 수 없습니다.
거버넌스는 액세스를 측정 가능하고 실행 가능하게 만들어 위험 전략을 운영합니다. 이를 통해 팀은 영향에 따라 우선순위를 정하고, 과도한 권한을 줄이고, 가입, 이동 및 탈퇴 자동화를 통해 고아 액세스를 방지할 수 있습니다. 또한 많은 팀이 다음과 같은 RSA의 관점에 설명된 대로 액세스 결정에 위험 렌즈를 적용하여 프로그램을 체크박스 규정 준수 이상으로 전환합니다. 거버넌스에 리스크 렌즈가 필요한 이유.
강력한 신원 보안을 위해서는 로그인 시 인증과 액세스 권한 부여 후 거버넌스가 모두 필요합니다. RSA 솔루션 및 제품 인증부터 하이브리드 환경 전반의 지속적인 접속 보장에 이르기까지 전체 보기를 지원합니다.
자세히 알아보려면 다음을 살펴보세요. RSA 거버넌스 및 수명 주기 지속적인 액세스 보장을 위한 RSA의 인증 기능에는 다음과 같은 것들이 있습니다. 다단계 인증 (MFA) 및 비밀번호 없는 인증.
ID 및 액세스 관리(IAM)는 로그인 시 사용자의 신원을 확인하고 시스템 접근을 허용할지 여부를 결정합니다. 사용자를 인증하고 올바른 리소스에 대한 액세스 권한을 부여하며, 대개 다단계 인증(MFA)을 사용합니다. IAM은 필수적이지만 첫 번째 단계에 불과합니다. 사용자가 로그인한 후에도 보안팀은 해당 사용자가 SaaS 앱, 멀티클라우드 인프라, IoT 디바이스 및 타사 시스템에서 액세스할 수 있는 항목에 대한 가시성을 확보해야 합니다.
IGA(ID 거버넌스 및 관리)는 클라우드 및 온프레미스 환경 전반에서 누가 어떤 항목에 액세스할 수 있는지에 대한 가시성과 제어 기능을 제공합니다. 이를 통해 팀은 어떤 액세스가 존재하는지, 적절한지, 시간이 지남에 따라 어떻게 변경되어야 하는지 판단할 수 있습니다. 대부분의 IGA 프로그램은 ID 거버넌스, ID 수명 주기, 데이터 액세스 거버넌스, 비즈니스 역할 관리에 중점을 둡니다. 액세스에 대한 중앙 집중식 보기는 팀이 문제를 조기에 발견하고, 규정 준수 요구를 지원하며, 인증, 요청 및 프로비저닝과 관련된 수동 작업을 줄이는 데 도움이 됩니다.
사용자는 계정이 있거나 부서에 소속되어 있기 때문이 아니라 정의된 직무를 수행하기 위해 리소스에 액세스해야 합니다. ID 거버넌스는 명확한 비즈니스 정당성, 역할 및 소유자가 승인한 정책과 액세스를 연결합니다. 실제로 이는 역할 기반 또는 정책 기반 액세스 모델을 사용하고, 예외에 대한 명시된 목적을 요구하며, 위험과 필요성에 따라 액세스를 승인할 수 있는 애플리케이션 및 데이터 소유자를 지정하는 것을 의미합니다.
접근 권한은 단순히 '예' 또는 '아니오'로 결정되는 것이 아닙니다. 사용자가 어떤 작업을 수행할 수 있는지, 어떤 데이터에 액세스할 수 있는지, 계정이 유출될 경우 얼마나 많은 피해가 발생할 수 있는지를 결정합니다. ID 거버넌스는 팀이 권한 있는 작업, 민감한 데이터 노출, 함께 있어서는 안 되는 유해한 액세스 조합 등 위험에 따라 액세스를 평가하는 데 도움을 줍니다. 최소 권한, 업무 분리, 액세스 인증, 고위험 권한에 대한 수정 워크플로우를 지원합니다.
최소 권한은 사용자가 업무를 수행하는 데 필요한 액세스 권한만 필요한 시간 동안만 갖고 그 이상은 갖지 않는 것을 의미합니다. 팀은 역할 기반 액세스 및 기본 액세스 패키지를 정의한 다음 표준을 벗어나는 모든 것을 정당화 및 승인이 필요한 예외로 취급합니다. 지속적인 액세스 검토, 업무 분리 점검, 고위험 권한의 대상 정리를 통해 환경 변화에 따른 권한 상승을 방지합니다.
입사, 이동, 퇴사 프로세스는 고용 상태 및 역할 변경에 따라 액세스 권한을 조정하여 더 이상 필요하지 않은 액세스 권한이 남아 있지 않도록 함으로써 위험을 줄입니다. 올바른 수명 주기 프로세스는 시스템 전반에서 요청, 승인, 프로비저닝 및 프로비저닝 해제를 자동화하고 변경된 사항과 그 이유를 기록합니다. 이렇게 하면 액세스의 확산을 줄이고, 침해의 영향을 제한하며, 조사와 감사를 더 쉽게 할 수 있습니다.
액세스 검토 및 인증은 적절한 검토자가 역할, 정책 및 위험에 따라 사용자의 액세스가 여전히 적절한지 확인하는 방식으로 작동합니다. 검토자는 액세스를 승인, 취소 또는 조정하며, 결정에 따라 실제 개선이 이루어져야 합니다. 검토가 제대로 이루어지면 의미 있는 액세스 권한으로 범위가 지정되고, 책임 있는 소유자에게 전달되며, 고위험 권한에 우선순위가 지정되고, 감사 준비 증거로 추적됩니다.
