SSO가 있습니까? 여전히 암호 보안이 필요합니다

게시 됨: 2021-04-16

SSO는 뛰어난 생산성 및 보안 도구이지만 비밀번호와 관련된 보안 공백을 남깁니다.

SSO(Single Sign-On) 솔루션은 COVID-19 대유행이 클라우드로 미친 듯이 돌진하기 전에도 빠르게 인기를 얻었습니다. 이제 SSO는 다음과 같이 분산된 인력을 조직에 제공하는 편의성과 보안 이점으로 인해 그 어느 때보다 인기를 얻고 있습니다.

  • 직원이 기억할 단 하나의 암호. "비밀번호 피로"의 제거는 SSO 채택의 가장 큰 동인 중 하나입니다. 직원들은 앱과 서비스마다 비밀번호를 다르게 하는 대신 SSO(Single Sign-On) 비밀번호만 기억하면 됩니다.
  • 암호는 하루에 한 번만 입력할 수 있습니다. 여러 암호를 기억할 필요가 없는 것 외에도 직원은 근무 시간 내내 여러 암호를 입력할 필요가 없습니다. 근무 시간이 시작될 때 SSO 비밀번호를 한 번만 입력하면 근무 시간 내내 비밀번호를 입력하는 데 시간을 낭비할 필요가 없습니다.
  • 헬프 데스크 티켓을 반으로 줄이십시오. Gartner Group은 비밀번호 재설정이 헬프 데스크 티켓의 최대 50%를 차지하는 것으로 추정합니다. SSO는 이러한 티켓을 사실상 제거하여 지원 직원이 더 복잡한 문제를 가진 최종 사용자를 돕는 데 더 많은 시간을 할애할 수 있도록 합니다.
  • ID 액세스 및 관리(IAM)를 더 쉽게 배포할 수 있습니다. SSO는 인증 및 액세스 제어 구성의 복잡성을 줄여 IAM 솔루션을 더 빠르고 간단하게 배포하고 제로 트러스트 환경으로 가는 더 빠른 경로를 가능하게 합니다.
  • 보다 쉬운 규정 준수 보고. 많은 일반적인 규정 준수 프레임워크에는 사용자 로그인 데이터에 대한 사용자 감사 추적이 필요합니다. SSO를 사용하면 이 데이터를 규정 준수 보고서에 더 쉽게 포함할 수 있습니다.

SSO의 단점: 비밀번호 관련 보안 허점

SSO의 목적은 리소스에 더 쉽게 액세스할 수 있도록 하는 것입니다. 생산성에는 좋지만 보안 관점에서는 그렇지 않습니다.

  • 단일 암호는 단일 실패 지점과 같습니다. 직원이 단일 계정의 암호를 분실하거나 잊어버린 경우 해당 계정에서 잠깁니다. SSO 비밀번호를 잊어버리면 모든 계정에서 잠깁니다. 더욱 우려되는 점은 사이버 범죄자가 SSO 비밀번호를 알고 있으면 직원의 모든 업무 관련 계정에 들어갈 수 있다는 것입니다. Verizon은 성공적인 데이터 유출의 80% 이상이 암호 손상으로 인한 것으로 추정하며 이는 엄청난 단점입니다.
  • 기존 LOB(기간 업무) 앱은 SSO를 지원하지 않습니다. COVID-19 전염병이 몇 년 동안 디지털 혁신 노력을 가속화했음에도 불구하고 대부분의 조직은 여전히 ​​SSO를 지원하지 않는 최소한 몇 개의 레거시 LOB 앱을 사용합니다. 너무 오래되었기 때문에 현대화하는 것은 현실적이지 않습니다. 매우 전문화되어 있기 때문에 교체하는 것도 불가능합니다.
  • 모든 최신 앱이 SSO를 지원하는 것은 아닙니다. 레거시 앱만 문제가 되는 것은 아닙니다. 많은 최신 앱 및 서비스, 특히 데스크톱 앱도 SSO를 지원하지 않습니다. 조직의 SSO 배포가 직원이 사용하는 모든 앱, 특히 말 그대로 수백 개의 앱을 사용할 수 있는 대기업에서 사용하는 경우는 드뭅니다.
  • 다른 앱은 다른 SSO 프로토콜을 사용할 수 있습니다. 직원은 조직의 IdP(ID 공급자)에서 사용하는 것과 다른 프로토콜을 사용하는 앱을 사용해야 할 수 있습니다. 예를 들어 IdP가 SAML 프로토콜을 사용하는 경우 SSO 솔루션은 OAuth를 사용하는 앱을 지원하지 않습니다.
  • 사용자 암호 습관을 제어할 수 없습니다. SSO 배포는 잘못된 암호 보안 관행에 대한 가시성을 제공하지 않습니다. 직원은 SSO 로그인에 대해 취약하거나 이전에 손상된 암호를 선택하거나 여러 추가 계정에서 사용 중인 암호를 재사용할 수 있습니다. SSO 배포가 지원하지 않는 모든 앱에 대해 동일한 작업을 수행할 수 있습니다. 또한 권한이 없는 당사자와 암호를 공유할 수도 있습니다.
  • 권한 있는 사용자 또는 세션에 대한 보호 기능이 없습니다. 일반적으로 사용자는 특히 민감한 시스템과 데이터에 액세스하려면 별도의 자격 증명을 입력해야 하지만 SSO의 목적은 사용자에게 단일 인증으로 모든 액세스 권한을 부여하는 것입니다.

SSO가 남긴 암호 관련 보안 격차를 해소하는 4가지 방법

암호 해독

이러한 위험에도 불구하고 보안을 중시하는 조직은 SSO 배포를 포기해서는 안 됩니다. 보안 솔루션이 만병통치약은 아닙니다. SSO 솔루션을 보완 기술과 결합하여 조직은 SSO 사용 이점과 생산성을 유지하면서 암호 관련 보안 격차를 해소할 수 있습니다.

#1. 모든 사용자에 대해 최소 권한 액세스로 RBAC(역할 기반 액세스 제어) 구현

사용자가 작업을 수행하기 위해 최소 수준의 시스템 권한에만 액세스할 수 있어야 한다는 최소 권한 원칙은 조직의 잠재적인 공격 표면을 줄이는 데 중요합니다. 액세스 제어 수준의 할당 및 관리를 단순화하는 RBAC를 입력합니다.

RBAC 역할 할당을 보다 쉽게 ​​관리하려면 사용자에게 직접 역할을 할당하지 마십시오. 대신 그룹을 만들고 그룹에 권한을 할당하고 그에 따라 사용자를 그룹에 추가합니다. 이 방법은 역할 할당 수를 최소화하는 것 외에도 그룹 내의 모든 사용자에게 권한을 변경해야 하는 경우 시간을 절약합니다. 그룹을 재사용할 수 있는지 확인하고 사용자 지정 역할을 너무 많이 생성하지 마십시오.

#2. 권한 있는 사용자를 위한 PSM(Privileged Session Management)으로 PAM(Privileged Access Management) 구현

가능한 한 쉽게 액세스하는 데 중점을 둔 SSO와 달리 PAM은 회사의 가장 민감한 시스템 및 데이터에 대한 액세스를 제한하는 데 중점을 둡니다. 조직은 PAM을 사용하여 가장 중요하고 민감한 시스템에 대한 액세스를 제한하고 모니터링합니다. 권한 있는 사용자는 일반적으로 IT 및 보안 관리자와 C급 경영진과 같은 고위 회사 내부자이지만 신뢰할 수 있는 공급업체와 파트너도 이 범주에 속할 수 있습니다.

PAM과 PSM은 함께 사용됩니다. PAM이 민감한 리소스에 대한 사용자 액세스를 제어하는 ​​동안 PSM은 권한 있는 사용자 세션을 제어, 모니터링 및 기록하여 권한 있는 사용자가 해당 액세스를 남용하는 것을 방지합니다. 일반적인 PSM 모니터링 및 기록은 매우 세분화되어 있으며 키 입력, 마우스 움직임 및 스크린샷이 포함됩니다. 보안을 보장하는 것 외에도 PSM 감사 추적은 HIPAA, PCI DSS, FISMA 및 SOX를 비롯한 여러 규정 준수 프레임워크에 필요합니다.

#삼. 다단계 인증을 지원하는 모든 앱 및 서비스에 다단계 인증 구현

다중 요소 인증(2FA)은 손상된 암호에 대한 가장 강력한 방어 기능 중 하나입니다. 사이버 범죄자가 비밀번호를 훼손하더라도 두 번째 인증 요소 없이는 사용할 수 없습니다. 2FA는 회사의 가장 권한 있는 사용자에 대한 가장 최소한의 시스템 액세스 권한을 가진 사용자로부터 모든 사용자를 보호합니다. 조직이 사용자 ID를 인증할 수 있도록 하여 제로 트러스트를 향상시킵니다.

일부 조직에서는 직원이 로그인을 위해 추가 단계를 거쳐야 생산성이 저하될 수 있다는 두려움 때문에 2FA 구현을 주저합니다. 이 문제는 2FA를 사용자가 암호와 함께 2FA 자격 증명을 저장할 수 있도록 하는 최신 암호 보안 솔루션과 연결하여 쉽게 수정할 수 있습니다. .

#4. 전사적으로 엔터프라이즈 암호 보안 및 암호화 플랫폼 배포

암호 보안 및 암호화 플랫폼을 통해 직원은 모든 로그인 자격 증명을 하나의 중앙 집중식 개인 암호화 저장소에 안전하게 저장할 수 있습니다. SSO와 마찬가지로 사용자는 디지털 저장소의 모든 자격 증명에 액세스하는 데 사용되는 "마스터 암호"를 하나만 기억합니다.

SSO와 달리 우수한 엔터프라이즈 암호 보안 및 암호화 플랫폼은 레거시 앱을 포함한 모든 서비스 및 앱에서 작동하도록 설계되었습니다. 여기에는 강력한 자동 암호 생성기 및 자동 완성 도구와 같은 추가 기능이 포함됩니다. 또한 IT 관리자에게 사용자 암호 습관에 대한 완전한 가시성을 제공하고 암호 보안 정책을 시행합니다. 기존 SSO 배포와 원활하게 통합되고 RBAC, 2FA, 감사 및 이벤트 보고를 지원하는 엔터프라이즈급 암호 보안 및 암호화 플랫폼을 배포해야 합니다.

SSO는 조직에서 이를 독립 실행형 솔루션으로 보는 경우에만 보안 위험을 내포합니다. SSO에 내재된 비밀번호 관련 보안 격차를 인정하고 2FA, RBAC, PAM/PSM, 비밀번호 보안 및 암호화 플랫폼과 같은 보완 기술을 구현하여 이를 보완함으로써 조직은 효율성을 높이고 최종 사용자 경험을 개선하고, 암호 관련 사이버 공격으로부터 자신을 보호합니다.

테레사 로타르가 각본을 맡은 작품