Google은 ID 및 액세스 관리 포트폴리오에서 인증서 기반 액세스(CBA)를 공식 출시했습니다. 이 기능은 계정 보안을 강화하고 조직을 자격 증명 도난 및 쿠키 도난으로부터 보호하는 것을 목표로 합니다.
도난당한 자격 증명은 공격자가 사용자 계정에 대한 무단 액세스 권한을 얻고 정보를 훔치는 데 사용하는 가장 일반적인 공격 벡터 중 하나입니다. CBA는 클라우드 리소스에 대한 액세스를 승인하기 전에 상호 TLS(mTLS)를 사용하여 사용자 자격 증명이 기기 인증서에 바인딩되도록 하여 보안을 강화합니다.
CBA의 중요한 측면 중 하나는 기기 식별자로 X.509 인증서를 사용한다는 것입니다. 이렇게 하면 신뢰할 수 있는 기기만 중요한 리소스에 액세스할 수 있습니다. 공격자가 사용자의 자격 증명을 손상시키더라도 해당 인증서가 없기 때문에 계정 액세스는 차단된 상태로 유지됩니다.
또한 이 보안 접근 방식은 초기 로그인을 넘어 확장되어 리소스 액세스를 더욱 보호하기 위해 모든 권한 부여 요청을 평가합니다. 이는 올바른 인증서를 가진 합법적인 사용자만 액세스 권한을 부여받도록 하는 인증서 기반 액세스 제어 정책을 통해 실현됩니다.
또한 CBA는 강력한 키 보호를 위해 TPM 및 OS 키 저장소와 같은 안전한 암호화 저장소를 활용하여 전체 시스템 보안을 더욱 강화합니다.
결론적으로 Google Cloud에서 CBA를 출시함으로써 계정 도용을 방지하고 자격 증명을 보호하여 보안의 또 다른 중요한 계층을 제공합니다. 조직은 CBA를 보안 전략에 통합함으로써 데이터 보호를 강화하고 사용자의 신뢰를 유지할 수 있습니다.
