[10.1.1 접근통제 정책 수립] 📖 1) 접근 통제영역을 정의하고 접근 통제영역별로 접근통제 정책을 수립하고 있는가? (접근통제 영역별 통제 규칙, 방법, 절차, 예외사항에 대한 안전한 관리절차 등)

10. 접근통제 > 10.1 접근통제 정책
🔍 점검 취지 및 해설
■ 클라우드서비스 운영 서버, 개발 서버, 정보보호시스템, 이용자 또는 사용자 데이터 등에 대한 접근통제 정책을 수립하여야 한다.

- 접근통제 대상에 따라 접근에 대한 권한과 책임을 명시

- 주요 서버 또는 중요 데이터에 접근하는 경우 two
-fact 인증 고려

- 시스템별 계정을 명확히 식별하고 안전한 접근수단 적용

- 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용

- 클라우드서비스 보안 설정 기준(인증, 암호화, 세션 관리, 접근통제, 장기미사용 잠금 등)

- 이용자(국가공공기관 담당자)가 접근하는 경우 two
-fact 인증 필수 적용

■ 업무상 불가피하게 접근통제 정책을 벗어난 접근이 필요한 경우 접근시간, 접근위치 제한 등 추가적인 보완대책을 마련한 후 접근을 허용하여야 한다.

- 접근통제 정책 예외 시 책임자 승인 필요

■ 관리서버의 경우 보다 강력한 인증을 고려하여야 한다.

■ 클라우드서비스 운영 서버에 접근 가능한 관리용 단말을 지정하고 무선을 통한 접근은 차단하여야 한다.

- 관리시스템 접근 가능한 단말을 관리용 단말로 지정하고 목록 관리

- 접속 가능한 단말의 IP주소, MAC 주소 등으로 제한
✍️ 운영 현황 및 증적 기록
작성 완료됨

■ 클라우드서비스 운영 서버, 개발 서버, 정보보호시스템, 이용자 또는 사용자 데이터 등에 대한 접근통제 정책을 수립하여야 한다.
- 접근통제 대상에 따라 접근에 대한 권한과 책임을 명시
- 주요 서버 또는 중요 데이터에 접근하는 경우 two-fact 인증 고려

-> 접근관리대장, 계정관리대장에 사용하는 계정을 명시해야 하며 서비스에 접근할 수 있는 방법에 대해 VPN 적용(IPSEC, SSL등)및 OTP등 Two-Factor를 적용해야 합니다.(CSP사에서 기본적으로 적용해줍니다.)

이용자,사용자 또한 OTP 또는 이메일인증을 적용해야 합니다.(필수!)

∎ 관리서버의 경우 보다 강력한 인증을 고려하여야 한다.
∎ 클라우드서비스 운영 서버에 접근 가능한 관리용 단말을 지정하고 무선을 통한 접근은 차단하여야 한다.

-> IaaS 관리 시스템에 접속하는 장비는 별도로 지정되어야 합니다.(자산대장에 포함되어야 합니다.)
방화벽 또는 라우터(L3)를 통해 접근할 수 있는 범위를 통제하고, 인터넷은 차단되어야 합니다. 즉 전용으로 사용해야 합니다.
무선연결이 아닌 유선 랜을 통해 통신하도록 구성해야 합니다.

--> 해당 단말기는 취약점 점검을 통해 조치가 완료되어야 하고 보안 솔루션이 설치되어야 합니다. 또한 최신패치가 적용되어 있어야 합니다.

  • 이용자/사용자 차이(정보통신망법상 구분)
    이용자(user) 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자
    사용자(admin) 이용자에게 정보통신서비스를 제공하기 위해 정보시스템을 운영하는 자
내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.
검토 및 피드백 0

등록된 검토 의견이 없습니다.