[클라우드/접근통제] 클라우드 서비스 로그오프/세션 관리 (CA-01)

클라우드 서비스 로그오프/세션 관리 취약점 개요 위험도 - 중 점검 목적 - 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 위함 보안 위협 - 세션의 만료 기간을 정하지 않거나, 만료기한이 너무 길게 설정된 경우 악의 적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근을 시도할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 웹 콘솔 및 사용자 Shell Session Timeout 설정이 600초(10분) 이하로 설정되어 있는 경우 - 취약 : 웹 콘솔 및 사용자 Shell Timeout 설정이 600초(10분)를 초과하여 설정 되어 있는 경우 조치 방법 - 600초(10분) 동안 입력이 없을 경우 접속된 클라이언트 세션을 끊도록 설정 .....