신원 보안의 10계명 

Zero Trust 세계에서 인간과 비인간의 접근을 보호하기 위한 현대적 선언문
Silverfort 영상
10계명
차례

이 게시물을 공유하기 :

많은 조직에서 ID 보안은 여전히 ​​전략적 필수 사항보다는 운영적 기능으로 여겨지고 있습니다. 이는 주로 ID 프로그램이 역사적으로 ID 및 액세스 관리(IAM) — 사용자 프로비저닝, 디렉토리 관리, SSO 활성화.

IAM은 기본 구성 요소이지만 다음과 동의어는 아닙니다. 신원 보안.

보안팀은 IAM 솔루션을 구현했기 때문에 ID 계층이 안전하다고 생각하는 경우가 많습니다. 하지만 ID 보안에는 훨씬 더 많은 것이 필요합니다. 하이브리드 환경 전체에 걸쳐 모든 ID(비인간 ID 포함)에 대한 가시성, 최소 권한 적용, 지속적인 액세스 검증, 그리고 위협 탐지가 필요합니다. 손상된 자격 증명.

그동안 공격자들은 적응해 왔습니다. 더 이상 "침입"하지 않습니다. 로그인하거나, 도용되거나 오용된 자격 증명을 사용하거나, 과도하게 프로비저닝된 액세스 권한을 악용하거나, 관리되지 않는 서비스 계정.

효과적으로 대응하려면 ID 및 보안 팀은 ID 보안을 통합적이고 지속적인 방어 계층으로 재고해야 합니다. — 인간과 비인간의 접근, 온프레미스와 클라우드, 실시간 위험 신호, 자동화를 모두 포괄하는 개념입니다.

At Silverfort우리는 이러한 신원 보안의 10계명이 그러한 전략적 기반을 제공한다고 믿습니다. CISO가 제로 트러스트 모델이든, 일상적인 위험에 대처하는 ID 엔지니어이든, 이러한 계명(일명 원칙)은 ID 보안 프로그램을 성숙시키고 회사 전체에서 지속 가능한 신뢰를 구축하는 데 도움이 될 것입니다.

ID 보안 플레이북

지속 가능한 ID 보안 전략을 위한 5단계 실행 계획

시작하기
플레이북(1)

1. 네 정체성을 알라 (너는 네 정체성을 알아야 한다)

환경 전반에서 인간과 비인간을 포함한 모든 정체성을 이해하고 목록을 작성합니다.

현대 기업은 사용자, 기기, 애플리케이션, API, 자동화 스크립트로 구성된 복잡한 네트워크입니다. 이러한 신원과 권한에 대한 완전한 가시성이 없다면 이를 보호하는 것은 불가능합니다.

예:
한 회사가 4,000개가 넘는 서비스 계정을 보유하고 있다는 사실을 알게 되었는데, 그중 2,500개만 실제로 사용 중입니다. 오랫동안 잊힌 나머지 계정들은 여전히 ​​특권 접근 권한을 가지고 있습니다.

교훈:
발견부터 시작하세요. 보이지 않으면 보호할 수 없습니다.

ID 그래프 및 인벤토리

2. 최소 권한을 수용하세요(최소 권한 접근을 수용해야 합니다)

필요한 최소한의 접근 권한만 부여하세요. 그 이상은 허용하지 마세요.

많은 침해는 사용자 또는 시스템이 더 이상 필요하지 않은 접근 권한을 보유하기 때문에 발생합니다. 최소 권한 원칙은 다음과 같은 위험을 최소화합니다. 측면 운동 필수적인 정보에 대한 접근을 제한함으로써 가능합니다. 이는 전반적인 포스처 관리 전략의 기반이 되므로, 잘못된 구성을 찾아 수정하고, 상관관계가 있는 인텔리전스를 활용하여 권한을 분석하고, 전반적인 신원 관리 체계를 강화할 수 있습니다.

예:
인턴은 역할 중복으로 인해 조직의 소스 코드에 대한 접근 권한을 상속받습니다. 퇴사 후에도 해당 접근 권한은 유효합니다.

교훈:
역할별, 시간적 제한, 맥락 인식을 고려하여 접근 권한을 설계합니다. 상속되거나 영구적으로 부여되는 권한이 아닙니다.

3. 강력하게 입증하고 시행하라 (강력하게 입증하라)

비밀번호를 넘어 안전하고 적응 가능한 방식으로 전환하세요. 위험 기반 인증.

비밀번호 기반 보안으로는 더 이상 충분하지 않습니다. 피싱 방지 기능을 구현하세요. 다중 요소 인증 (MFA)를 실행하고 장치 유형, 위치, 사용자 행동에 따라 적응되는 정책을 시행합니다.

예:
금융 사용자가 해외에서 낯선 기기를 통해 로그인을 시도합니다. 시스템에서 생체 인식 MFA를 요청하고 승인 워크플로를 실행합니다.

교훈:
유효한 인증 합법적인 사용자에게는 완벽하지만 공격자에게는 침투가 불가능합니다.

4. 타협을 가정하라(위반을 가정하고 타협을 계획하라)

타협을 예상하고 신원 시스템을 설계하세요.

제로 트러스트는 기본적으로 어떤 신원도 신뢰할 수 없다는 원칙을 기반으로 구축됩니다. 시스템은 지속적으로 신원을 검증하고 비정상적인 동작을 감지하여 대기 시간을 줄이고 피해를 완화해야 합니다.

예:
AWS 키가 실수로 GitHub에 게시되었습니다. 자동화된 동작 분석 기능을 통해 비정상적인 활동을 감지하고 즉시 키를 취소합니다.

교훈:
탐지 및 봉쇄를 예방과 동등하게 중요하게 여깁니다.

5. ID 수명 주기를 관리하세요(ID 수명 주기를 엄격하게 관리하세요)

온보딩부터 오프보딩까지 ID 관리를 자동화하고 조율합니다.

수동 신원 확인 프로세스는 느리고 오류가 발생하기 쉬우며 위험합니다. 역할이나 고용 상태의 변화에 ​​따라 접근 권한을 프로비저닝, 조정 및 취소하는 자동화를 구현하세요.

예:
직원이 퇴사하면 자동화된 프로비저닝 해제 프로세스가 시작되어 몇 분 내에 모든 시스템 액세스가 취소됩니다.

교훈:
보안은 정밀성에 달려 있으며, 정밀성은 자동화에 달려 있습니다.

6. 비인간적 정체성을 확보하라 (비인간적 정체성도 동등하게 확보해야 한다)

서비스 계정, API, 봇을 인간 사용자와 동일한 엄격함으로 취급하세요.

인간이 아닌 정체성 이제 많은 기업에서 직원의 수가 사람보다 많습니다. 이러한 주체들은 종종 더 높은 권한을 갖지만, 감독은 훨씬 덜 받습니다.

예:
레거시 스크립트는 2년 이상 교체되지 않은 하드코딩된 자격 증명을 사용합니다. 이러한 자격 증명은 민감한 데이터베이스에 액세스할 수 있습니다.

교훈:
머신 ID 목표이기도 합니다. 거버넌스, 로테이션, 가시성이 필요합니다.

비인간 신원 보안

모든 NHI는 가시적이고 통제 가능합니다.

  • 사용자 환경의 모든 NHI를 자동으로 검색합니다.
  • 활동을 지도화하고 기준선을 설정합니다.
  • 통제를 강화하고 활동을 차단합니다.
둘러보기
NHI 보안@2x

7. 지속적으로 접근을 검증하세요(접근을 지속적으로 검증해야 합니다)

접근은 기본적으로 일시적이어야 하며 정기적으로 재평가되어야 합니다.

어제 적절했던 것이 오늘은 과할 수 있습니다. 액세스 검토, 동적 권한 취소 및 재인증 트리거를 구현하여 적절한 사용자에게만 적절한 시기에 적절한 액세스 권한이 부여되도록 하세요.

예:
개발자가 1주일 프로젝트에 대한 프로덕션 로그에 대한 임시 접근 권한을 받았습니다. 시스템은 갱신하지 않으면 7일 후 접근 권한을 자동으로 취소합니다.

교훈:
신뢰는 지속적으로 얻어야 ​​하며, 계속해서 다시 얻어야 합니다.

8. 자동화를 통해 정책 시행(Thou Shalt Enforce Policy with Automation)

실시간 컨텍스트와 자동화를 활용하여 액세스 결정을 내리세요.

수동 액세스 승인은 확장되지 않습니다. 동적 위험 기반 정책은 사용자 행동, 시간대, 위치 및 기기 위험 태세를 기반으로 시행되어야 합니다.

예:
일반적으로 회사에서 지급한 노트북으로 로그인하여 오후 4시(호주 동부 표준시)까지 로그아웃하는 계약직 직원이 오후 11시 30분에 개인 기기를 사용하여 민감한 소스 코드 저장소에 접근하려고 시도합니다. 정책 엔진은 사용자의 과거 행동을 기반으로 이상 활동을 감지하고, 이상 징후를 표시하며, 단계별 인증을 실행합니다. MFA(다중 인증)가 실패하면 시스템은 접근을 차단하고 실시간으로 보안팀에 알립니다.

교훈:
실시간 정책 시행을 통해 조직은 사고로 이어지기 전에 이상을 포착할 수 있으며, 수동 검토에서는 제공할 수 없는 속도와 정밀성을 제공합니다.

9. ID 인프라를 보호하세요(ID 인프라를 보호해야 합니다)

모든 유형의 ID에 통합할 수 있는 단일 플랫폼으로 ID를 관리하는 플랫폼을 보호하고 모니터링합니다. 신원 인프라공급업체에 구애받지 않고 가벼워야 하며, 전체 ID 패브릭과 그 안에 있는 ID를 검색, 관리, 보호할 수 있는 단일 제어 평면을 제공해야 합니다.

ID 공급자(IdP), 페더레이션 서비스, 도메인 컨트롤러, 그리고 권한 있는 액세스 도구는 Tier 0 자산입니다. 이러한 자산이 침해되면 하위의 모든 것이 위험에 노출됩니다. 동시에 모든 ID는 공격자의 진입점이 될 수 있습니다. 모든 시스템의 모든 ID를 확인하고 조사할 수 있도록 가볍고 배포가 쉬운 솔루션을 사용하세요.

예:
FIDO2 기반 MFA를 사용하면 ID 공급자에 대한 관리자 액세스가 제한됩니다. 모든 변경 사항은 실시간으로 기록되고 모니터링됩니다.

교훈:
ID 인프라는 가장 중요한 자산입니다. 모든 ID 데이터를 단일 뷰로 모아 쉽게 상관관계를 파악하고 분석할 수 있도록 하세요.

10. 표준 및 프레임워크에 맞춰야 합니다(보안 프레임워크 및 표준에 맞춰야 합니다)

확립된 프레임워크를 활용해 아이덴티티 전략을 벤치마킹하고, 가이드하고, 성숙시키세요.

NIST 800-63, NIST 800-207(Zero Trust), ISO/IEC 27001, CIS Controls와 같은 표준은 신원 성숙도를 개선하고 규정 준수를 입증하기 위한 구조를 제공합니다.

예:
다국적 기업은 액세스 제어 정책을 NIST 800-207에 매핑하고 감사 및 보고를 위해 CIS Controls v8을 사용합니다.

교훈:
프레임워크는 규정 준수 체크리스트가 아닌 나침반입니다.

새로운 정체성 규칙에 따라 살라는 부름

신원은 더 이상 사이버 보안의 구성 요소가 아닙니다.바로 사이버보안입니다.

Zero Trust 환경에서 성공하려면 조직은 인간과 비인간의 접근을 모두 동등한 노력으로 보호해야 합니다.

이러한 10가지 계명은 가시성과 거버넌스부터 시행과 자동화까지 ID 보안 태세를 발전시키기 위한 실용적인 청사진 역할을 합니다.

At Silverfort, 우리는 조직이 이러한 원칙을 대규모로 구현할 수 있도록 지원합니다. 우리 플랫폼은 기존 방식에서 사용되던 자산 및 환경으로 ID 보안을 확장합니다. IAM 도구 레거시 시스템, 명령줄 인터페이스, 비연합 애플리케이션을 포함한 부족한 점이 있습니다.

신원을 보호하지 못하면 기업도 보호할 수 없습니다. 더 많은 내용을 확인하세요. Silverfort 길을 지나서 여기를 방문합니다.

우리는 신원 보안을 한층 더 강화하기로 했습니다.

무엇이 가능한지 알아보세요.

데모를 설정하여 확인하세요 Silverfort 실제 사용 중인 ID 보안 플랫폼입니다.

데모 받기