기존에는 사실상 IP 내지 포트기반의 보안 마지노선만을 지키고 있던 인프라들을 체계적으로 관리해야겠음
AS-IS
iptables/ufw 기반의 IP 및 포트기반 접근관리
서버 접근시 일부 계정에 한해서만 2FA(TOTP) 적용
비밀번호 만료일 등에 대한 정책 전무
파편화된(개별적으로 구축된) 사용자 정보 관리
TO-BE
AD 기반 사용자 정보 통합 관리 및 SSO 서비스 도입하여 인증체계 일원화
MFA 의무화 적용 및 모든 활동이력에 관한 로깅 강화
디바이스 등록 정책, 비밀번호 정책 등 도입
AD는 대부분 G Suite, Azure AD 등등 많이 쓰긴 하지만 나 혼자 내지 1~2명 정도 더 쓸거라 이런 시스템에까지 투자할 여력은 안되고
자체적으로 구축하는것도 인프라 비용 대비 효용이 개씹망인것이 분명해서 여럿 서비스 찾아봄
JumpCloud라는 서비스 찾았는데 10인 이하 사용자는 모든 기능 무료라길래 이걸로 사용해보고 있다
그 외애 Cisco에서 투자한건지 만든 서비스인건지 Duo란것도 있어서 테스트좀 해보는데 30일 무료 이후엔 유료고, 비용도 최소 10인 요금 청구해서 안쓸 것 같음
JumpCloud가 클라우드 기반 인증 서비스를 제공하는데 RADIUS, LDAP 이런것도 지원함. 이런 서비스가 좀 public하게 운영되는게 보안상 리스크가 될 염려가 있다고 보이긴 하는데... 막말로 저기서 RADIUS 응답값 가라로 성공했다 보내면 인증 패스하는거 아닌가 싶긴 함
SAML로 연동하고 이것저것 하고있는데 재밌긴 재밌다