Documentation
문서 검색
karat

+

K

API 참조 ↗
보안신원 보호

본 번역은 검증되지 않았습니다. AIP를 통해 영문원문으로부터 번역되었습니다.

신원 보호

신원 보안 모범 사례

Palantir Foundry에 접근하기 위해 단일 로그인 신원 제공자(IdP)를 사용할 때 준수해야 할 보안 모범 사례가 있습니다.

강력한 다중 인증(MFA) 사용

Palantir는 사용자 이름 + 비밀번호의 전통적인 사용을 넘어 신원 증명을 강력히 권장합니다. 다중 인증은 소프트웨어 제품에 필수적입니다. 신원 제공자에서 다중 인증을 자체 구현하는 경우 강력한 형태의 인증을 요구해야 합니다.

강력한 형태의 인증 예시(선호도 순서):

  • FIDO2 호환 USB 보안 토큰(예: YubiKey, Google Titan) 또는 CAC 스마트카드와 같은 연결된 하드웨어 토큰
  • RSA SecurID, Thales SafeNet과 같은 일회용 비밀번호(OTP) 토큰 생성기와 같은 비연결 하드웨어 토큰
  • Microsoft Authenticator, Google Authenticator와 같은 모바일 기기 인증 애플리케이션과 같은 소프트웨어 토큰
    • 모바일 기기에서의 푸시 알림보다 OTP 생성기 사용이 바람직함
  • Apple Touch ID 및 Face ID, Windows Hello와 같은 지문 또는 얼굴 인식과 같은 생체 인식

SMS 기반 OTP(문자 메시지), 이메일 OTP 및 이중 인증(링크 클릭) 또는 보안 질문과 같은 다른 형태의 MFA는 강력한 인증 형태로 간주되지 않으며 다른 방법을 선호해야 합니다.

신원 제공자에 필수 다중 인증이 없는 경우, 우리의 제품은 다중 인증에 대한 기본 지원을 제공합니다.

주기적인 재인증 요구

Palantir Foundry는 신원 제공자에 대한 주기적인 재인증을 강제하기 위해 의도적으로 비교적 짧은 최대 세션 수명을 요구합니다. 세션 토큰은 적에 의해 도난당할 수 있으며 그 기간 동안 악용될 수 있으므로 모든 사용자 세션에 대해 비교적 짧은 수명을 강제하는 것은 오용이 시간 제한된다는 일부 보장을 제공합니다.

같은 이유로, 신원 제공자가 생성한 세션 토큰의 수명이 지나치게 관대하지 않도록 해야 합니다.

제로 트러스트 보안 원칙 구현

최신 신원 제공자를 사용하는 경우 제로 트러스트 기술 및 전략을 활성화하고 사용해야 합니다. 이러한 기술에는 조건부 접근, 기기 상태 또는 자세 평가, 강력한 다중 인증 주장 및 관련 제어가 포함될 수 있습니다. 사용 가능한 기능과 구현 방법에 대해서는 신원 제공자 문서를 참조하세요.

제로 트러스트 보안 모델의 모범 사례는 다음과 같습니다:

  • 약한 보안 지표에 기반한 기기나 사용자를 신뢰하지 마세요. 여기에는 소프트웨어 기반 기계 인증서, 단일 인증 또는 네트워크 위치가 포함됩니다.
  • 필수 보안 제어에서 사용자나 기기를 면제하지 마세요.
  • 민감한 리소스에 대한 접근을 위해 최근의 강력한 다중 인증을 요구하세요.
  • 접근 조건으로 기기 보안 또는 상태 증명이나 평가를 요구하세요.
  • 비정상적인 로그인이나 활동에 대해 재인증을 요구하세요.

서비스 계정 엄격 관리

서비스 계정은 종종 민감한 데이터에 대한 광범위한 접근 권한을 가지며, 표준 사용자 계정에 비해 보안이 취약한 경우가 많습니다. 이는 적에게 매력적인 목표가 됩니다.

서비스 계정 관리의 함정은 다음과 같습니다:

  • 서비스 계정은 여러 사람에게 접근 가능할 수 있습니다.
  • 서비스 계정은 다중 인증이 활성화되지 않을 수 있습니다.
  • 서비스 계정은 조직을 떠난 후에도 자격 증명이 회전되지 않을 수 있습니다.
  • 서비스 계정은 스크립트나 애플리케이션에 자격 증명이나 토큰이 하드코딩되어 있을 수 있습니다.

Palantir Foundry와 함께 서비스 계정을 사용하는 경우 데이터를 보호하기 위해 이를 안전하게 보호하는 것이 중요합니다.

서비스 계정 관리의 모범 사례는 다음과 같습니다:

  • 각 서비스 계정이 문서화되고, 명명된 소유자가 있으며, 적절성을 주기적으로 검토해야 합니다.
  • 신원 제공자를 구성하여 특정 IP 주소에서만 서비스 계정이 인증할 수 있도록 하세요.
  • 가능하다면 서비스 계정에 대해 다중 인증을 요구하세요.
  • 서비스 계정 자격 증명 자료를 특권 접근 관리(PAM) 솔루션에 저장하세요.
  • 서비스 계정 자격 증명 자료에 접근하기 위해 다자 인증을 요구하세요.
  • 팀 변경이나 퇴사자에 따라 서비스 계정 자격 증명 자료를 필요에 따라 회전하세요.
  • 서비스 계정의 행동, 로그인 및 자격 증명 자료를 엄격하게 모니터링하세요.

감사 로그 모니터링

모범 사례

고객은 자체 감사 로그를 캡처하고 모니터링하는 것을 강력히 권장합니다. 추가 지침은 보안 감사 로그 모니터링을 확인하세요.

중앙 인증

중앙 인증은 Palantir가 관리하는 Microsoft Entra ID(Azure AD) 신원 제공자입니다. 중앙 인증은 Palantir 정보 보안 팀에 의해 관리되며, 자체 신원 제공자가 없거나 Foundry와의 통합이 아직 이루어지지 않은 고객을 위한 보안 우선 인증 솔루션으로 설계되었습니다.

Foundry 설치에 대한 신원 제공자가 없는 경우, 중앙 인증을 통해 접근을 제공할 수 있습니다. 자세한 정보는 Palantir 담당자에게 문의하세요.

중앙 인증 보안

중앙 인증은 SAML Multipass 영역으로 Foundry 설치와 통합될 수 있습니다. 통합 시, 사용자 계정 프로비저닝 및 해제는 Palantir에 의해 관리됩니다. 그룹, 마킹 및 기타 플랫폼 보안 기능은 여전히 귀하에 의해 관리됩니다.

모든 중앙 인증 계정은 엄격한 보안 통제를 충족해야 합니다:

  • 고강도 비밀번호와 강력한 다중 인증이 요구됩니다.
  • 중앙 인증 사용자는 의심스러운 로그인이나 행동에 따라 재인증을 수행해야 할 수 있습니다.
  • 30일 이상 사용되지 않은 계정은 사전 통지 없이 비활성화될 수 있습니다.