Cloud 환경의 SAML, SCIM 강의 정리

유튜브 강의 링크

 

https://www.youtube.com/playlist?list=PLyyGd0TtkG3UIBfw_NjOm4XxMP3oPXjNW 

okta

 

코로나 이후 문제점:

재택등 사용자가 여러 프로그램, 플렛폼을 이용해야할 때 계정이 다수 필요하고 그 관리를 일괄적으로 하기 힘들다.

 

제로 트러스트

context를 확인하는것.

이 유저가 맞는지 확인, 위치가 맞는 지 확인, 이 디바이스가 제대로 된 인증을 할 수 있는지 확인.

유저가 쓸 수 있는 적절한 어플리케이션인지 확인.

등등 정책을 설정해서 위험이 있는지 아닌지 판단해주는 시스템.

 

 

제로 트러스트에서 가장 중요하게 생각하는 요소 3가지

1. 이 유저가 실제로 이 곳에 엑세스 할 수 있는 지 확인

2. 제로트러스트의 특성상 외부와 외부의 차이가 없기 때문에 단말기의 신뢰도가 중요하다.

그래서 디바이스가 신뢰성 있는지 확인 후 mdm 등의 인증을 통해서 우리가 등록한 제품인지 확인.

3. 적절한 엑세스 권한 부여.

 

※ MDM (Mobile device management)
모바일 기기의 보안을 향상시켜 업무 용도로 사용하기 적합하게 하는 앱. BYOD(Bring Your Own Device)라고 하는 개인소유의 단말기를 업무에 활용하는 정책과 맞물려서 사용되곤 한다.

 

 

OKTA에 유저 인증정보가 저장돼있고 AWS 에는 인증정보가 저장돼있지 않다. (예를 들어 패스워드)

대략 요약하자면, 옥타가 인증과정의 대리를 하고 있다고 보면 된다. 3자 인증기관같은것.

 

옥타 정책 설정 화면.

인증의 방법에는 비밀번호, 오티피 등만 생각할 수 있는데, 사실 더 자세한 조건을 설정할 수 있다.

어떠한 네트워크에서 접속했는지, 어떤 플렛폼에서 어떤 시간에 어떤 행위로 접속했는지가 다 인증의 방법이다.

명백히 법칙에 어긋날 경우 디나이 할 수 있다.

 

예를들어 해외 출장간 맴버가 아니라면 해외에서의 접속은 디폴트 막아놓는다 라는 정책.

 

예를 들어 1분전에 부산에 있었는데 1분후 서울에서 접속했다는 컨텍스트가 읽히면 이것은 비정상이라고 판단되어 디나이 할 수 있다.

 

 

single sign on 시스템 단점?

1. 중심에 있기 때문에 해킹을 당하면 다른 서비스 프로바이더 계정 정보를 전부 탈취당할 위험

2. 중심에 있기 때문에 단일 장애포인트가 될 위험.

 

 

single sign on 시스템 장점

1. 유저 개인당 수십개가 넘는 패스워드나 인증수단을 전부 보안 규정을 준수하면서 기억하거나 생성할 수 있을까?

-> 어딘가에서 규칙이 있어야 하거나 보관을 해야만 함 -> 보안상 위험

2. 어떤 계정에 엑세스가 가능한 상태인지, 누구에게 부여가 되어있는지 등의 모니터링이 가능해진다.

3. 만약 입사자 퇴사자가 발생한다면 빠르게 계정을 부여하거나 제거가 가능하여 인적, 비용적인 측면을 절약할 수 있다.