위치:
OAuth 정책 구성: 외부 클라이언트 앱의 OAuth 2.0 코드 및 자격 증명 플로 정책
이 보안 설정은 대화형 인가 코드 교환 및 자동화된 시스템 간 클라이언트 자격 증명 플로 모두에 대한 특정 운영 매개 변수 및 인가 제약을 정의합니다.
제어 이름
외부 클라이언트 앱: OAuth 정책 구성: 외부 클라이언트 앱의 OAuth 2.0 코드 및 자격 증명 플로 정책
권장 구성
외부 클라이언트 앱에 대한 OAuth 2.0 코드 및 자격 증명 플로 정책을 구성합니다.
제어 개요
이 보안 설정은 대화형 인가 코드 교환 및 자동화된 시스템 간 클라이언트 자격 증명 플로 모두에 대한 특정 운영 매개 변수 및 인가 제약을 정의하여 토큰 발급 방법을 규제합니다.
구성되지 않은 경우 보안 위험
플로별 정책이 없으면 인증 아티팩트 도난 및 권한이 없는 세션 획득의 위험이 증가합니다. 시스템에 가로채기된 코드 또는 자격 증명의 사용을 방지하는 데 필요한 세분화된 배리어가 없기 때문입니다.
위협 시나리오
공격자는 임시 인가 코드 또는 정적 클라이언트 암호를 가로채고 끝점에서 2차 유효성 검사 또는 엄격한 실행 사용자 격리를 적용하지 않으므로 권한이 높은 액세스 토큰으로 성공적으로 교환합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
이러한 정책을 구현하지 못하면 도난된 인증 아티팩트가 쉽게 무장화되므로 잠재적으로 무단 작업자가 표준 ID 모니터링을 통해 감지되지 않고 조직 데이터 계층에 지속적으로 액세스할 수 있습니다.
위험이 높은 경우
통합은 광범위한 데이터 권한을 사용하며 PKCE(Proof Key for Code Exchange) 또는 소스 기반 네트워크 제한과 같은 보충 제어 기능이 없습니다.
낮은 위험 시기
회사에서 디지털 인증서와 함께 JWT 전달자 플로를 사용하도록 요구하고 모든 수신 토큰 요청에 대해 엄격한 IP 주소 필터링을 적용하는 경우
비즈니스 및 통합 고려 사항
이러한 정책을 구성하면 타사 통합이 기업 보안 표준을 준수하지만 선택한 플로가 클라이언트의 기술 기능과 일치하는지 확인하기 위해 애플리케이션 아키텍처의 자세한 인벤토리가 필요합니다.
권장 수정
외부 클라이언트 앱의 OAuth 정책으로 이동하여 자동 프로세스에 대해 최소 권한이 있는 전용 실행 사용자를 할당하는 동안 필수 플로를 명시적으로 활성화합니다.
보안 상태 검토 지침
이러한 제어를 통해 백엔드 자동 프로세스 및 대화형 세션이 대규모 데이터 오용을 방지하기 위해 제한된 ID로 작동하는지 확인할 수 있습니다.
