최소권한 관리

안녕하세요~ BTC Hallo팀입니다. 이번에는 보안에 관련하여 권한에 대한 소개글 입니다.

클라우드 보안에 있어서 권한은 매우 민감한 문제 입니다. VPC Service control이나 Cloud Amor 같은 부가적인 보안 시스템을 이용하지 않는 환경에서는 더욱 중요하다고 볼 수 있습니다. 방화벽과 함께 보안에서 가장 큰 부분을 차지하는 권한, 이번에는 그 중에서도 권한을 최소로 관리하는 방법에 대해서 알아보겠습니다.
클라우드에서 권한은 세부적인 제어를 필요로 합니다. 예를 들어 운영팀은 시스템 로그를 보고 VM이나 인프라에 접근하지만 DB 데이터나 BQ 데이터에 접근을 하지 못하게 하거나 데이터 팀은 테이터에만 접근 가능하도록 구성하게 됩니다.
따라서 권한을 최소로 부여하여 보안성을 높일 수 있습니다.
1차적으로 권한을 부여할때 최소권한이 무엇인지에 대해 고민하고 부여하는것이 중요하며 IAM에서 개인단위로 권한을 부여하는 것을 지양하고 비슷한 역할군을 그룹으로 묶어서 해당 그룹에 권한을 부여하는 것을 지향하는 것이 좋습니다.
또한 임시작업으로 부여된 권한은 기한을 정하고 기한 후에는 삭제처리 하며 그룹내의 인원도 꾸준히 현행화 해주어야 합니다.
GCS의 경우 GCS 전체에 대한 권한을 부여하기 보다는 필요로 하는 버킷에 필요로 하는 권한을 부여하는것이 보안성을 높일 수 있는 방법입니다.
이처럼 리소스 별로 부여할때는 사용하는 리소스에 대해서만 각각 부여하는 것이 보안성에 좋다고 볼 수 있습니다.
권한 부여 후에도 IAM에서 사용하지 않는 권한을 파악하여 remove 혹은 변경을 추천해주기도 합니다. 해당 권한에 대해서는 권한 소유자에게 확인 후 변경해 주는것이 좋습니다.

이상으로 GCP 권한 관리에 대해서 알아보았습니다. 감사합니다.