■ 클라우드서비스 운영 서버, 개발 서버, 정보보호시스템, 이용자 또는 사용자 데이터 등에 대한 접근통제 정책을 수립하여야 한다.
- 접근통제 대상에 따라 접근에 대한 권한과 책임을 명시
- 주요 서버 또는 중요 데이터에 접근하는 경우 two
-fact 인증 고려
- 시스템별 계정을 명확히 식별하고 안전한 접근수단 적용
- 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용
- 클라우드서비스 보안 설정 기준(인증, 암호화, 세션 관리, 접근통제, 장기미사용 잠금 등)
- 이용자(국가공공기관 담당자)가 접근하는 경우 two
-fact 인증 필수 적용 ∎ 업무상 불가피하게 접근통제 정책을 벗어난 접근이 필요한 경우 접근시간, 접근위치 제한 등 추가적인 보완대책을 마련한 후 접근을 허용하여야 한다.
- 접근통제 정책 예외 시 책임자 승인 필요 ∎ 관리서버의 경우 보다 강력한 인증을 고려하여야 한다. ∎ 클라우드서비스 운영 서버에 접근 가능한 관리용 단말을 지정하고 무선을 통한 접근은 차단하여야 한다.
- 관리시스템 접근 가능한 단말을 관리용 단말로 지정하고 목록 관리
- 접속 가능한 단말의 IP주소, MAC 주소 등으로 제한