[클라우드/보안관리] 클라우드 서비스 루트계정 관리 (CA-03)

클라우드 서비스 루트계정 관리

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 알려진 계정을 통한 비인가자의 무단 접근 시도를 예방하기 위함

■ 보안 위협
- 루트 계정은 누구나 알 수 있는 계정이기 때문에 비인가자의 접속 시도 및 비밀번호 무작위 대입 공격에 노출될 수 있음

 

 

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 별도의 관리자 계정을 생성하여 클라우드 서비스를 관리하고 있는 경우
- 취약 : 루트 계정으로 클라우드 서비스를 관리하고 있는 경우

■ 조치 방법
- 별도의 계정을 생성하여 관리자 권한을 부여하고 루트 계정의 권한은 제거하거나 비활성화

■ 점검 및 조치 방법
VMware ESXi
Step 1) Web 콘솔 페이지 접속
https://<VMware ESXi IP>
Step 2) 호스트 > 작업 > 사용 권한
Step 3) root 계정의 관리자 권한이 제거되고 별도의 관리자 권한이 존재하는지 확인

Step 4) root 계정 이외에 관리자 권한이 부여된 계정이 없는 경우 별도의 계정 생성
• 호스트 > 관리 > 보안 및 사용자 > 사용자 추가

Step 5) 별도로 생성한 계정에 관리자 권한 부여
• 호스트 > 작업 > 사용 권한 > 사용자 추가

Step 6) root 계정의 관리자 권한 제거

XenServer, KVM
※ XenServer 및 KVM은 root 계정의 설정 변경을 지원하지 않으므로 해당사항 없음


■ 용어 설명 / 팁
※ 무작위 대입 공격(Brute Force Attack) : 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것