GN⁺: Ask HN: 회사에서 어떤 방법으로 비밀번호를 저장하고 공유하나요?
(news.ycombinator.com)- IT 직종에서는 수많은 비밀번호를 관리해야 함
- 비밀번호를 저장하고 접근 권한을 부여하는 추천 방법이 있을까?
- 새로운 직원이 첫날부터 필요한 모든 비밀번호에 접근할 수 있도록
- 새로운 직원이 승진할 때 추가로 필요한 비밀번호에 접근 권한을 부여
- 직원이 회사를 떠날 때, 그들이 접근했던 중요한 비밀번호를 변경하고, 접근 권한이 있는 모든 사람에게 변경 사실을 알리기
Hacker News 의견
-
비밀번호 관리 최소화
- SSO를 사용하여 가능한 많은 서비스를 OIDC로 통합하고, 클라우드 버전의 1Password를 사용하여 감사와 접근 관리가 용이하게 함
- 사람들에게 비밀번호에 대한 액세스 권한을 부여할 때, 해당 사람들이 다른 역할로 변경하거나 퇴사할 경우 비밀번호를 교체해야 한다는 점을 기억할 것. 비밀번호가 전혀 귀찮지 않다면 뭔가 잘못하고 있는 것
-
비밀번호 관리 방법:
- 모든 암호는 유니크 해야함. 가능한 한 비밀번호 공유를 피할 것. SSO 사용
- 필요 시 비밀번호 관리자를 사용하거나 Hashicorp Vault 또는 OpenBao 와 같은 솔루션을 사용
-
조직 규모에 따른 접근 방법:
- 사람과 서비스 수에 따른 보안 전략
- 1-20명 - 비밀번호 관리자(Bitwarden, 1Password 등) 사용
- 20-30명 이상 - SSO 사용
- 50명 이상 - SSO 스키마에 실제 역할 할당 시작
- 1-5개 서비스 - CircleCI의 시크릿과 비밀번호 관리자로 충분함
- 5개 이상 인스턴스 - Vault와 같은 시크릿 관리자 사용
- 10개 이상 인스턴스 - 개발을 위해 로컬에서도 시크릿 관리자 사용 시작. 각 서비스와 팀 구성원에게 잘 범위가 지정된 IAM 정책 사용 고려 시작
- 15개 이상 인스턴스 - 추가적인 제로 트러스트 경계 고려 시작
- 당연히 이는 매우 대략적임. 규제/규정 준수 요구 사항과 수익 규모에 따라 이러한 작업을 더 일찍 해야 할 수도 있음
- 보안 강화 단계
- 쉽게 취소할 수 없더라도 시크릿을 중앙 집중화(비밀번호 관리자)
- 쉽게 취소 가능하고 중앙 집중화(SSO)
- 역할과 액세스를 더 세분화(RBAC)
- 이 단계들 사이에 자동화 적용(적절한 경우)
- 사람과 서비스 수에 따른 보안 전략
- 일반 계정과 관리자 계정을 분리하여 사용
-
중앙 집중화와 자동화:
- 비밀을 중앙 집중화하고 쉽게 철회 가능하게 함
- 역할 기반 접근 제어(RBAC)를 사용하여 세분화된 접근 권한 부여
- 자동화를 통해 모든 단계를 연결함
- 자체 인증/비밀 관리 도구 구축 하지 말 것: 매우 복잡하고 위험이 크므로 자체 구축을 가능한 피할 것
- 가능한 한 많은 작업을 자동화하고, 직원이 프로덕션 시스템에 접근할 필요가 없도록 할 것
- Rippling 추천: SSO와 HR 관리가 통합된 솔루션으로 추천
-
보안 프로그램 구축 경험:
- SSO 사용: 예산이 허용되면 Okta, 그렇지 않으면 Keycloak 사용
- 비밀번호 관리자 사용: 1Password 추천
- 비밀 관리 솔루션 사용: HashiCorp Vault 추천
- SSO와 2FA: SSO와 2FA를 함께 사용하여 보안 강화