1) 클라우드 시스템(SaaS 서비스, 가상서버 등)에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고, 추측 가능한 식별자의 사용을 제한하고 있는가?

🔍 점검 취지 및 해설

■ 클라우드 시스템은 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다.

- 시스템 설계 시에 유일한 식별자 발급에 대한 부분을 고려

- 관리자 및 특수권한 계정은 추측 가능한 식별자(root, administrator 등) 사용은 제한

- 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정 등은 제거 또는 추측이 어려운 계정으로 변경하여 사용

- 기본계정 사용시 별도의 통제 방안 마련

✍️ 운영 현황 및 증적 기록

작성 완료됨

∎ 클라우드 시스템은 사용자를 유일하게 구분할 수 있는 식별자(아이디)를 할당하여 모든 사용자의 책임추적성을 보장하여야 한다.

--> 관련 내용을 지침에 명시하며, 실 계정 생성시 유일성을 고려하여 생성, 적용하여야 합니다.

admin, root,administrator, super,superuser 등이 존재할 경우 부적합 대상이 되며

방화벽등 네트워크인프라에 있는 기본 계정들은 다른 이름으로 변경 후 사용해야 합니다.

* 네트워크 인프라 계정은 설치시, 또는 유지보수시 담당 엔지니어를 통해 변경하시는 것을 추천합니다.

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.

[10.3.1 사용자 식별] 📖 1) 클라우드 시스템(SaaS 서비스, 가상서버 등)에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고, 추측 가능한 식별자의 사용을 제한하고 있는가?

✍️ 운영 현황 및 증적 기록

검토 및 피드백 0