[클라우드/보안관리] 클라우드 서비스 사용자 인증 강화 (CA-05)

클라우드 서비스 사용자 인증 강화

 

취약점 개요

■ 위험도

- 중

■ 점검 목적
- 클라우드 시스템에 등록한 계정들에 용도별 권한을 부여함으로써 권한 없는 사용자의 설정 변경으로 인한 시스템 침입 경로 유출 위험을 줄이고 관리자 계정이 아닌 일반 계정이 공격자에게 탈취되었을 때 클라우드 시스템을 장악 하지 못하도록 하기 위함

■ 보안 위협
- 클라우드 시스템에 등록된 계정이 모두 관리자 권한으로 부여된 경우 권한 없는 사용자의 의도하지 않은 설정 변경을 통하여 공격자에게 클라우드 시스템 침입 경로를 제공할 수 있음

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 사용자별 계정의 용도를 파악하고 적절한 권한을 부여하고 있는 경우
- 취약 : 사용자별 계정의 용도를 파악하지 않거나 적절한 권한이 부여되어 있지 않은 경우

■ 조치 방법
- 사용자별 계정의 용도를 파악하고 불필요한 권한 제거

 

■ 점검 및 조치 방법
VMware ESXi
Step 1) Web 콘솔 페이지 접속
https://<VMware ESXi IP>
Step 2) 호스트 > 작업 > 사용 권한
Step 3) 등록된 계정별 사용권한 확인

Step 4) 불필요한 권한이 부여 되어 있는 경우 해당 계정 선택

Step 5) 역할에 맞는 권한으로 변경

XenServer
※ XenServer는 사용자별 권한 부여 기능을 사용하기 위해서 Active Directory에 가입되어
있어야 한다.
• Active Directory에 가입되어 있지 않은 경우
Step 1) 호스트에 접속
Step 2) bash 사용자 목록 확인

Step 3)

Step 4) 인터뷰를 통하여 계정별 용도 확인 및 그룹에 불필요한 계정이 존재할 경우 제거

 

 

• Active Directory에 가입되어 있는 경우
Step 1) 호스트에 접속
Step 2) 계정별 부여된 권한 확인

Step 3) 인터뷰를 통하여 계정별 부여된 권한의 적정성 확인
Step 4) 부적절한 권한이 있는 경우 기존의 역할을 제거하고 새로운 역할을 추가

KVM
Step 1) 호스트에 접속
Step 2) bash 사용자 목록 확인

Step 3)

Step 4) 인터뷰를 통하여 계정별 용도 확인 및 그룹에 불필요한 계정이 존재할 경우 제거

■ 용어 설명 / 팁
※ 최고 관리자 권한은 최소한의 계정에만 부여