기계에 대한 사용자 관리 설계

작성자: Aviad Mizrachi, InfoWorld |

기술자들이 분석하는 신흥 기술

사용자가 인간적인 특성이 부족하고 개성이 별로 없다면 여기에는 그럴 만한 이유가 있을 수 있습니다. 사용자는 기계일 수 있습니다.

오늘날 인터넷 트래픽의 90% 이상이 컴퓨터 간에 발생합니다. 실제로 B2B SaaS 애플리케이션을 사용하는 시스템도 사용자입니다. 단지 다른 종류의 사용자일 뿐입니다. 그렇기 때문에 오늘날 모든 온라인 및 SaaS 애플리케이션에는 M2M(Machine-to-Machine) 상호 작용의 다양한 문제와 요구 사항을 처리하도록 특별히 고안된 신중한 사용자 관리 방식과 정책이 포함되어야 합니다.

B2B SaaS 회사가 M2M 상호 작용을 처리하도록 돕는 수년간의 경험을 바탕으로 효율적이고 효과적이며 안전한 기계 간 사용자 관리를 위한 모범 사례가 포함된 빠른 가이드를 작성했습니다. 뛰어 들어 봅시다.

컨텍스트는 사람이 사용자를 관리하는 데 중요할 수 있지만 컴퓨터 사용자는 자신의 상태, 상황 및 의도에 대해 훨씬 적은 정보를 제공하기 때문에 컴퓨터의 경우 훨씬 더 중요합니다. 기계 사용자는 단일 서비스 또는 소수의 서비스에만 액세스하는 반면 인간 사용자는 더 많은 서비스에 액세스하는 경우가 많습니다.

기계 간 상호 작용은 브라우저 에이전트, MAC 또는 NIC 주소, 지리적 위치 데이터와 같은 유용한 단서를 전달하지 않습니다. 이는 식별 특성이 거의 없는 일반적으로 사용되는 프로토콜의 API 호출일 가능성이 높습니다. 시스템 사용자가 수행하는 서비스 요청에 대한 컨텍스트에 따라 정책이 적용되고 사용자 관리가 설계되는 방식이 결정됩니다.

M2M 사용자 관리를 위해 모든 서비스는 다른 서비스와 어떻게 통신할 수 있는지, 어떤 서비스와 통신해야 하는지 알아야 합니다. 모든 서비스는 다른 서비스 및 액세스 권한을 부여 받아야 하는 주요 서비스와 통신하는 방법을 알아야 합니다. 이는 API 게이트웨이와 서비스 메시가 부분적으로 제공할 수 있는 기능이지만 어느 쪽도 사용자 중심 접근 방식이 없습니다(M2M 사용자의 경우에도).

오늘날 인간 사용자에게 MFA는 보안 검증 프로세스의 중요한 부분입니다. 컴퓨터 사용자의 경우 MFA는 옵션이 아닙니다. 동시에 M2M 트랜잭션은 기계가 인간보다 훨씬 빠른 속도로 상호 작용할 수 있기 때문에 밀리초 단위로 작동하는 경향이 있습니다. 이로 인해 현재 많은 사이버 범죄자가 API 공격을 통해 적극적으로 악용하려는 새로운 공격 노출 영역이 생성됩니다. M2M 상호 작용에 대해 사용자 관리 프로세스를 실행하는 SecDevOps 팀의 경우 이는 IP 주소 제한, 요청 속도 제한, 인증서 또는 키 순환, 이상적으로는 인간 또는 기계 생성 정책과 같은 다른 보안 메커니즘에 훨씬 더 엄격한 주의를 기울여야 함을 의미합니다. 비정상적인 사용 패턴을 인식합니다.

요청이 내부 컴퓨터에서 왔든 외부 사용자에게서 왔든 매우 다른 보안 고려 사항이 발생해야 합니다. 요청이 내부적이며 Kubernetes 클러스터 내에서 한 서비스에서 다른 서비스로 오는 경우 인증은 일반적으로 더 가벼운 터치로 내부적으로 적용됩니다. 예를 들어 서비스 메시는 특정 내부 서비스가 연결할 수 있는 서비스에 대한 정책을 설정하는 데 사용됩니다. 실제로 많은 조직에서는 여전히 내부 기계 간 상호 작용을 인증하지 않고 있지만 CISO와 위험 관리 팀은 모든 곳에서 기본 인증을 구현하기 위해 열심히 노력하고 있습니다.

현재까지 많은 플랫폼 운영 및 SecDevOps 팀은 내부 보안, 즉 공유 비밀을 위해 순진한 인증을 사용합니다. 그러나 단순 인증에는 위반되었거나 어떻게든 노출된 비밀을 쉽게 대체할 수 있는 강력한 프로세스가 필요합니다. 이 비밀 교환 프로세스가 없으면 조직은 새로운 비밀이 생성되고 공유되는 동안 가동 중지 시간을 겪을 위험이 있습니다. 규모에 따라 컴퓨터 사용자 쌍 또는 트리오 간에 동기화해야 하는 비밀 변경 사항은 많은 작업입니다. 따라서 내부 M2M 통신에도 기술적 과제가 있습니다.