IGA 도구를 사용하면 조직에서 누가 무엇에 액세스할 수 있는지 관리할 수 있습니다. IGA의 주요 초점은 비즈니스 결과와 운영 효율성입니다. 이는 보안 요구 사항과 항상 일치하지 않는 우선순위입니다. 효율성을 극대화하려는 과정에서 잠재적인 공격 벡터를 놓치기 쉽습니다.
직원들은 종종 역할을 바꾸고 더 이상 필요하지 않은 리소스에 대한 액세스를 유지하거나 계정이 활성 상태인 동안 직장을 완전히 그만둡니다. 이는 비효율적이고 중복적일 뿐만 아니라 공격자에게 침입 경로를 제공합니다.
이 블로그에서는 IGA를 보호하는 것이 무엇을 의미하는지, 그리고 거버넌스 프로세스가 과도하거나 오래되었거나 오용된 권한과 같은 보안 위험을 초래하지 않도록 하는 것이 무엇을 의미하는지 논의합니다. 그런 다음 원칙이 왜 최소 특권 이를 예방하는 것이 중요하고, 이 과정에 누가 참여해야 하는지(스포일러 경고: 보안 팀입니다)
과도한 접근의 위험
환영을 오래 받다: 지속되는 허가는 다시 돌아온다
때때로 우리는 실제로 필요하지 않은 것을 축적하고, 다행히도 공격자에게 사용자 권한은 그러한 것 중 하나입니다. 장기적으로 과도하고 사용되지 않는 권한은 조직의 신원 공격 아무도 모르는 사이에 표면화된다. 뭔가 잘못될 때까지 말이다.
IGA는 접근 권한을 할당하지만 항상 취소하지는 않습니다. 가장 먼저 해야 할 일은 사용자에게 부여된 모든 권한이 필요하다고 가정하는 대신 실제로 무엇이 사용되고 있는지 아는 것입니다. 몇 달 동안 권한이 사용되지 않았다면 실제로 존재할 필요가 있습니까?
잊어버리세요. 오래된 사용자는 여전히 사용자입니다.
직원들은 떠나고, 계약은 끝나고, 사람들은 다음 모험으로 나아갑니다. 이 모든 것이 회사 생활의 일부입니다. 그러나 그들의 계정은 떠나서 결코 돌아오지 않아야 합니다. 마찬가지로 사람들이 역할을 바꾸거나 다른 부서로 이동하면 누군가가 적극적으로 제거할 때까지 이전 권한이 그대로 유지되며, 이는 종종 시간이 걸립니다. 결국, 무슨 해가 있을까요? 그들은 여전히 회사의 일부입니다.
Bowman의 오래된 사용자 그리고 그들의 허가는 쉽게 잊혀지고, 잘못된 사람의 손에 들어가면 더욱 쉽게 악용될 수 있습니다.
사실대로 말하면, 규정 준수만으로는 보안이 보장되지 않습니다.
주기적 액세스 검토는 규정 준수 요건이지만, 규정 준수가 항상 보안과 같은 것은 아닙니다. 보안 위험은 끊임없이 변화하며, 어떤 권한이 부여되었는지, 그리고 실제로 어떻게 사용되고 있는지 실시간으로 추적하는 것은 악의적인 액세스 시도와 공격이 피해를 입히기 전에 차단하는 데 중요합니다.
아이덴티티 거버넌스에서 아이덴티티로 보안 통치
탭 유지: 액세스 권한이 있는 사용자가 실제로 사용하고 있는지 확인하세요.
조직은 액세스 패턴을 지속적으로 분석하고 실시간 분석 및 자동화된 제거 메커니즘을 사용하여 사용되지 않는 권한을 사전에 제거해야 합니다. 이러한 조치를 구현하면 불필요한 액세스가 축적되는 것을 제거하고 내부자 위협을 완화하며 다음을 방지할 수 있습니다. 측면 운동 보안 사고로 발전하기 전에.
우리는 단지 인간일 뿐입니다. IGA는 NHI에 초점을 맞추지 않지만,
IGA는 비인간적 정체성과 같은 인간 정체성에 거의 전적으로 초점을 맞춥니다. 서비스 계정, 똑같이 널리 퍼져 있으며 잘못된 사람의 손에 들어가면 더 위험할 수도 있습니다. NHI는 종종 과도한 권한을 가지고 있는데, 이는 그것이 그들이 만들어진 목적이기 때문입니다. 즉, 기본 권한으로는 일반적으로 허용되지 않는 작업을 수행합니다. 서비스 계정의 권한과 사용에 대한 완전한 가시성과 제어권이 없는 조직은 심각한 보안 위험에 직면합니다.
필요한 것을 얻으십시오: 항상 최소 권한의 원칙을 따르십시오
사용자가 실제로 액세스 권한을 사용하고 있는지 알아내는 것만으로는 충분하지 않습니다. 보안은 위험을 알고 관리하는 것과 관련이 있으며 IGA 도구는 본질적으로 보안 계층을 제공하지 않지만 중요한 부분을 차지합니다. 신원 보안 퍼즐. 보안 전략과 적절히 통합되면 신원 위험을 줄이고 전반적인 신원 보안 태세를 개선하는 데 중요한 역할을 할 수 있습니다.
권한은 항상 최소한으로 유지해야 하며, 각 권한과 관련된 위험은 항상 신중하게 평가하고 우선순위를 정해야 합니다. 최소 권한 원칙은 보안 팀의 표준이어야 하며, 일회성 프로젝트가 아니라 삶의 방식으로서의 기준이어야 합니다.
마지막 생각: 최소 권한 달성 및 유지
IGA는 신원 관리에 중요한 역할을 하지만 보안을 강화하기 위해 만들어진 것은 아닙니다. 그렇다면 어떻게 최소 권한을 달성할 수 있을까요? 다음 단계를 따르기만 하면 잘 될 것입니다(더 나아지지 않더라도!).
- 주기적 검토에서 지속적인 검증으로 전환합니다. 연간 또는 분기별 액세스 검토로는 충분하지 않습니다. 보안 팀에는 과도한 권한에 대한 실시간 통찰력과 즉시 조치할 수 있는 능력이 필요합니다.
- 사용하지 않는 액세스 제거를 자동화합니다. 오래된 권한을 수동으로 제거하는 것은 확장 가능하지 않지만 이 프로세스를 자동화하면 불필요한 작업 부하를 추가하지 않고도 최소 권한을 적용하는 데 도움이 됩니다.
- 보안을 IGA와 일치시킵니다. IGA는 거버넌스를 제공하지만 보안은 액세스가 실제로 어떻게 사용되는지에 대한 가시성이 필요합니다. 두 가지를 통합하면 거버넌스 결정이 보안 요구 사항에 기반을 둡니다.
- 지속적으로 액세스 동작을 모니터링합니다. 액세스 활동을 실시간으로 추적하면 이상을 감지하고 문제가 되기 전에 권한을 제거하는 데 도움이 됩니다.
기억하세요: 공격자는 과도한 액세스가 이미 존재하는 경우 화려한 소프트웨어 취약점이 필요하지 않습니다. 특히 액세스 권한이 많은 경우, 오래된 손상된 자격 증명을 사용하여 간단히 로그인하는 것이 훨씬 쉽습니다. 조직은 ID 거버넌스와 ID 보안 포스처, 실시간 모니터링 및 시행을 결합함으로써 사용자가 실제로 필요한 액세스만 가질 수 있도록 하여 ID를 축소할 수 있습니다. 공격 표면 측면 이동을 제한합니다.
