사이버 보안은 하나의 주요 원칙에서 시작합니다. "모르는 것은 보호할 수 없습니다." 이는 엔드포인트, 서버 등과 같은 자산에 해당하지만 계정에도 적용됩니다. 지금 당장 다음과 같은 질문을 스스로에게 던져보세요. 환경에 어떤 계정이 있는지 알고 있습니까? 그리고 네트워크에서 어떤 역할을 하는지 알고 있습니까? 게다가, 이러한 계정의 역할을 제어하고, 이러한 계정에 대한 보안 시행을 어떻게 관리합니까?
최근 게시물에서 우리는 인간 및 비인간 신원(NHI)이 조직에 가져오는 다양한 위험에 대해 논의했습니다. 이 블로그에서는 자동화 및 보안 정책을 활용하여 환경에서 대량의 NHI를 관리하고 보호하는 과제에 초점을 맞출 것입니다. 자동화의 이유를 알아보겠습니다. 서비스 계정 보안은 기업이 보호를 강화하고, 관리를 간소화하고, 위험을 줄이는 데 필수적입니다.
비인간적 정체성 보호
계정에 대해 논의할 때, 그것은 인간을 나타내는 사용자 계정에 대한 것만은 아닙니다. 사용자뿐만 아니라 비사람의 정체성.
사용자 계정 표면적으로 보면 관리하기 쉽습니다. 서비스와 리소스에 인증하기 위해 계정을 사용하는 실제 사람의 소유이기 때문입니다. 비밀번호 로테이션 정책, 계정 잠금 임계값과 같은 추가 보안 계층을 계정에 추가할 수 있습니다. MFA 검증 등
비인간 신원(NHI)은 기계(또는 애플리케이션, 서비스, 자동화 등)가 비대화형 작업을 수행하는 데 사용하는 계정을 설명하는 일반적인 용어입니다. 인증 인간 사용자가 관여하지 않는 계정입니다. 이를 서비스 계정이라고 합니다(Active Directory) 또는 서비스 원칙 (Entra ID).
서비스 계정은 일반적으로 뚜렷한 사용 패턴을 갖지만, 보안 태세를 제한하는 것은 고유한 과제를 안겨줍니다. 조직에서 실행되는 모든 서비스에는 하나 이상의 서비스 계정이 필요할 수 있으므로 보호는 규모에 맞게 이루어져야 합니다.
서비스 계정 보호 몇 가지 핵심 측면으로 요약됩니다.
- 시정: 모든 계정에 대한 명확한 개요를 갖고 있나요?
- 목적: 그것들이 왜 환경에 존재하는지 아십니까?
- 행동: 사용법을 검증하고 확인할 수 있나요?
- 권한: 계정의 권한을 검증하고 보호할 수 있나요?
- 공격 탐지: 특정 서비스 계정 기반 공격으로부터 보호할 수 있습니까?
- 보안 구축: 모든 계정에 대한 명확한 보호 기능이 있나요?
시간을 거슬러 올라가기: 관리 서비스 계정
관리 서비스 계정(MSA)은 전문화된 관리 도메인 계정입니다. Active Directory 자동화된 비밀번호 관리 및 간소화된 서비스 계정 관리와 같은 더 높은 수준의 보안을 제공하도록 설계되었습니다. 독립형 관리 서비스 계정(sMSA)은 단일 서버의 개별 서비스에 사용되며 여러 서버에서 공유할 수 없습니다. 그룹 관리 서비스 계정(gMSA)반면, 로드 밸런서를 통해 서비스를 제공하는 경우와 같이 환경 내에서 여러 서버에서 사용되도록 설계되었습니다.
전반적으로 gMSA는 보안을 강화하고, 계정 관리를 간소화하며, 엔터프라이즈 환경에서 서비스 계정과 관련된 운영 복잡성을 줄입니다. 그러나 모든 서비스 계정이 MSA에 적합한 것은 아니며, MSA를 관리하는 것은 올바른 애플리케이션 구성을 보장하고 도메인 전제 조건을 이해하는 것과 같은 과제를 초래할 수 있습니다. 여러 공격 기술을 포함하여 일반 서비스 계정을 관리하는 과제 중 많은 부분이 MSA에도 적용됩니다. 따라서 ID 팀과 보안 팀이 혜택을 볼 수 있는 추가 개선의 여지가 있습니다.
서비스 계정 보호 자동화 및 확장 과제
서비스 계정의 활동과 보호를 완벽하게 제어하고자 할 때 너무나 자주, 그리고 빠르게 새로운 과제가 발생합니다. 바로 이러한 계정을 적절하게 관리하는 방법입니다.
서비스 계정 관리와 관련해 우리가 지속적으로 직면하고 있는 주요 과제는 다음과 같습니다.
- 서비스 계정 수: 조직의 계정 수는 특히 서비스 계정과 관련하여 빠르게 증가할 수 있습니다. 그 이유 중 하나는 조직에서 실행되는 모든 서비스 또는 애플리케이션이 다른 리소스에 대한 특정 액세스가 필요하고 이를 달성하기 위해 여러 서비스 계정을 사용하기 때문입니다. 모범 사례에서 정의한 대로입니다. 이에 대한 좋은 예는 Microsoft의 서비스 주체 수입니다. Entra ID 환경을 제공합니다.
- 다양한 팀의 책임: 대부분의 경우, 애플리케이션을 관리하고 구성하는 팀은 ID 공급자를 담당하는 팀도 보안 팀도 아닙니다. 결과적으로 애플리케이션 팀, 보안 팀, ID 팀 등 여러 팀이 협력하여 서비스 계정을 적절히 보호해야 합니다.
- 계정 수명 주기: 서비스 계정은 서비스 수와 함께 성장하며, 위에서 언급했듯이 자동으로 생성될 수 있습니다. 이로 인해 ID 관리자가 모든 계정을 추적하고 새 계정이 올바르게 보호되는지 확인하기 어렵습니다. 애플리케이션과 서비스는 폐기되어 환경에서 제거될 수 있지만, 관련 서비스 계정을 정리하는 것을 잊어버리는 경우가 많아 보안 위험을 초래할 수 있는 고아 계정이 생성됩니다.
- 가시성 및 문서화: 서비스 계정은 종종 제대로 문서화되지 않아 보안 정책을 적용할 때 어려움이 발생합니다. 계정 소유자도 제대로 문서화되지 않아 사람들이 조직을 떠날 때 '매달린 소유자'로 이어질 수 있습니다.
서비스 계정 보호 확장 과제를 해결하기 위해 조직에서는 서비스 계정에 대한 효율적이고 명확한 관리 기능을 통해 보안 태세를 강화해야 합니다.
서비스 계정 보호 정책 확장 Silverfort
Silverfort 서비스 계정 보호는 모든 서비스 계정에 대한 개요를 한곳에서 제공하고, 사용자 환경에서의 활동을 모니터링하며 보호 정책을 시행합니다.
서비스 계정 정책 확장 과제를 해결하려면 Silverfort 서비스 계정 보안 보호 계층을 제어하기 위한 여러 메커니즘을 제공합니다. 이 섹션에서는 이러한 기능에 대해 간략히 살펴보겠습니다.
서비스 계정 분류
Silverfort's 서비스 계정 감지 엔진은 인증 동작 패턴을 기반으로 서비스 계정을 감지하고 M2M(머신 대 머신) 계정, 하이브리드 계정, 스캐너 및 휴면 계정을 포함한 범주로 분류합니다. 분류는 어떤 계정이 머신 기반이고 사용 중인지 식별하기 위한 첫 번째 단계입니다.
서비스 계정 엔진은 또한 대화형 사용, 새로운 계정, 광범위하게 사용되는 계정 등을 감지합니다. 이 모든 정보는 보안 정책으로 보호할 준비가 된 계정의 초기 '분류'에 도움이 됩니다.
Silverfort 조직에서 서비스 계정을 관리하는 데 사용되는 모범 사례를 활용하여 엔진이 분류뿐만 아니라 감지하는 데도 도움이 됩니다. 서비스 계정 사용에 대한 모범 사례를 구현하면 보안 정책을 수립하는 데 유리하므로 서비스 계정 보호를 다룰 때 항상 염두에 두어야 합니다.
거의 모든 환경에서 수많은 계정이 혼합된 행동 패턴을 보이고, 하이브리드 방식으로 기능하고, 구성 오류가 발생하거나, 레거시 계정으로 남아 있습니다. 이러한 계정은 ID 팀의 주의가 필요합니다. 분류는 초점을 맞추는 첫 번째 단계입니다.
Silverfort 및 관리 서비스 계정
Microsoft는 서비스 계정의 관리 및 보안을 돕기 위해 MSA를 제공합니다. 자동 암호 관리, 간소화된 서비스 주체 이름(SPN) 관리 및 다른 관리자에게 관리를 위임하는 기능을 제공합니다. 주요 보안 조치 중 하나는 서비스와 애플리케이션에서 비대화형으로 사용하도록 의도되었기 때문에 대화형 로그인이 허용되지 않는다는 것입니다.
함께 Silverfort서비스 계정 보호 정책 기능을 통해 gMSA의 보안 태세는 더욱 강화되었으며 이를 통해 관리의 간편성을 유지할 수 있습니다. Active Directory.
Silverfort 서비스 계정 보호 정책에 따라 gMSA와 같은 기능을 지원합니다. 이러한 계정은 머신 대 머신으로 분류되며 플랫폼에서 사용 가능한 모든 기능이 적용됩니다. 각 gMSA는 모든 서비스 계정과 동일하게 감지되고 처리됩니다. 즉, 서비스 계정 정책을 포함한 모든 기능이 환경의 gMSA 위에 적용됩니다.
스마트 정책: 자동화된 서비스 계정 보호를 위한 방법
보안 정책 관리를 용이하게 하기 위해 최근 스마트 정책 기능을 도입했습니다.
스마트 정책을 사용하면 활동 프로필에 따라 서비스 계정의 전체 논리적 그룹을 자동으로 보호할 수 있습니다. 스마트 정책은 순환적으로 실행되어 서비스 계정의 기준 변경 사항을 스캔하고 그에 따라 서비스 계정 보호 정책을 정의합니다. 이 변경은 수동 개입이 필요 없이 자동적이고 동적으로 수행됩니다.
정의된 기간 동안 계정 동작이 일관되게 유지되는 경우 정책이 적용됩니다.
자동으로 계정에 보안 계층을 적용합니다. Silverfort 알려진 기준 동작과 다른 모든 인증을 보호합니다.
스마트 정책으로 Silverfort 안정적이고 일관된 서비스 계정의 회복성을 강화하여 보다 복잡하고 역동적인 서비스 계정에 집중할 수 있습니다. 서비스 계정 정책은 구성 설정에 따라 자동으로 적용되어 최소한의 관리 노력으로 서비스 계정의 보안 포스처를 강화하는 동시에 명확한 개요를 유지합니다.
서비스 계정 정책 API와 통합
보다 자동화되고 일관된 서비스 계정 정책 관리를 위한 다른 접근 방식은 자동화된 상관 관계를 구축하는 것입니다. Silverfort's 서비스 계정 정책 및 타사 서비스. 이는 다음을 통해 설정할 수 있습니다. Silverfort 통합; 예를 들어, 다음을 사용하여 SilverfortServiceNow의 서비스 계정 보호 앱(아래 참조).
서비스 계정 보호 정책 통합은 서비스 계정 보안 정책을 완벽하게 제어할 수 있는 서비스 계정 정책 API를 사용합니다. 앞서 논의했듯이 이러한 보안 정책의 일부는 스마트 정책을 사용하여 완전히 자동화할 수 있습니다. 다른 정책은 효과적이려면 추가 정보나 지침이 필요할 수 있습니다. 자동화 관점에서 볼 때 이 모든 것은 API를 통해 읽고 제어할 수 있습니다.
API를 통한 기능은 다양합니다. 예를 들어, 플레이북 내부에서 이 API를 활용하거나 타사 이벤트에 따라 자체 API 상호 작용을 수행할 수 있습니다.
CMDB(구성 관리 데이터베이스)와의 통합
CMDB는 종종 조직의 전체 인프라를 한곳에 매핑하고 환경에 대한 단일 기록 시스템을 제공하는 데 사용됩니다. CMDB는 다양한 소스에서 온 복잡한 데이터 집합을 통합하고 유지 관리합니다. 이러한 종류의 정보가 라이브이고 쿼리 가능한 CMDB와 같은 단일 위치는 회사의 모든 부서에 매우 귀중한 자산입니다.
CMDB의 핵심 구성 요소 중 하나는 실행 중인 애플리케이션과 서비스에 대한 개요입니다. 여기에는 소프트웨어 버전, 하드웨어 매핑, 통신 흐름 및 소유권이 포함됩니다. CMDB에는 서비스나 애플리케이션을 계속 실행하는 것에 대한 방대한 양의 데이터가 포함되어 있습니다.
서비스 계정 보호의 맥락에서 Silverfort CMDB의 서비스 또는 애플리케이션과 관련된 서비스 계정 정보에 관심이 있습니다. CMDB의 서비스 계정 데이터 대 애플리케이션 데이터를 활용하면 Silverfort NHI 보안 태세를 강화합니다.
CDMB는 진실의 단일 지점 역할을 할 수 있을 뿐만 아니라 다음을 활용하여 Silverfort서비스 계정 감지 기능, Silverfort 또한 검증 메커니즘을 제공하고 CMDB의 데이터 완전성과 일관성을 위한 데이터 소스 중 하나가 될 수 있습니다. 예를 들어, 이는 조직이 CMDB의 어디에도 문서화되지 않은 활성 계정을 감지하는 데 도움이 될 수 있습니다.
예: ServiceNow CMDB
자동화되고 확장 가능한 서비스 계정 보호 기능에 대한 필요성을 확인했습니다. Silverfort ServiceNow 애플리케이션을 개발했습니다 ServiceNow CMDB 데이터를 활용하는 데 특히 중점을 둡니다. Silverfort 서비스 계정 정책.
통합은 보안 관리자의 상호 작용 없이 서비스 계정 정책 기능을 자동으로 시행합니다. 이는 CMDB 애플리케이션 및 서비스 데이터를 기반으로 실시간으로 이루어집니다.
을 사용해서 바이 Silverfort ServiceNow CMDB 인스턴스에서 서비스 계정 보호 애플리케이션을 활성화하려면 다음을 수행합니다.
확장성: CMDB를 단일 정보 소스로 활용하여 서비스 계정 보호를 확장하고 서비스 계정 보호 정책을 실시간으로 시행합니다.
팀 협업: 보안 시행에 대한 팀 간 협업을 쉽게 하기 위해 통합을 활용합니다. CMDB 애플리케이션 정보를 업데이트하는 애플리케이션 팀은 보안 팀의 수동 개입 없이 이러한 애플리케이션에 대한 보안 정책을 조정할 수 있습니다.
인간의 오류 최소화: 실수는 인간이 쉽게 저지르지만 자동화에서는 그렇지 않습니다. 소스 데이터는 적절한 위치에 적절한 데이터가 있는 해당 정책에 즉시 반영됩니다.
통합은 ServiceNow Store를 통해 설치할 수 있습니다. 여기에서 확인하세요.
맺음말
비인간의 확장 신원 보호 성공은 서비스 계정 동작의 일관성과 품질에 달려 있습니다. Silverfort자동화된 동작 감지, 분류 및 스마트 정책 적용을 통해 완전히 자동화되고 보호되는 서비스 계정 환경으로 나아가는 첫 단계가 훨씬 쉬워집니다.
대규모 환경에서는 데이터 소스가 엄청나게 증가하고 대부분 IT 인프라, 애플리케이션 및 서비스 데이터를 포함하여 단일 진실 소스로 중앙 데이터 저장소(CMDB)를 등록합니다. 이 정보를 사용하여 활용 Silverfort의 통합 기능을 통해 실시간으로 정확한 보안 시행이 가능해져 환경 내 NHI의 보안 태세를 더욱 강력하고 회복력 있게 구축할 수 있습니다.