[10.3.2 사용자 인증] 📖 1) 클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증절차에 의해 통제하고 있는가?

10. 접근통제 > 10.3 사용자 식별 및 인증
🔍 점검 취지 및 해설
■ 클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증절차에 의해 통제하여야 한다.

- 시스템 설계 시에 사용자 인증 시 통제방안 고려

- 공개 인터넷망을 통해 접속하는 포탈의 경우 아이디, 패스워드 기반 이외에 강화된 인증수단(OTP, 공인인증서 등) 적용 고려

- 법적 요구사항에 따른 강화된 인증방식 사용이 필요한 경우 준수
✍️ 운영 현황 및 증적 기록
작성 완료됨

∎ 클라우드 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증절차에 의해 통제하여야 한다.

-> OTP 적용, 관리 시스템 접근시 SSL VPN 사용, 접속 페이지 분리등 조치를 적용해야 합니다.

1) DevOps, Tech 팀들이 시스템 접근시 IaaS사에서 제공하는 VPN등을 사용해야 합니다.

2) 모든 시스템 접근시 OTP를 이용해야 합니다.
- OTP 시스템은 모두 적용해야 하며, 상황에 따라 모바일 OTP가 아니더라도 E-Mail 인증등을 적극 적용해야 합니다.

3) 일반사용자(user), 고객사 담당자(admin) 용 접근 URL이 있어야 하며, 시스템 관리자(서비스제공자) 의 로그인을 별도로 분리해야 합니다.

- 고객사용(페이지 : https://aaa.com) | 관리자용 페이지(https://admin.aaa.com:30005) 등

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.
검토 및 피드백 0

등록된 검토 의견이 없습니다.