위치:
연결된 앱의 세션 정책 관리: 세션 시간 제한
이 제어는 액세스 토큰이 만료되고 사용자 또는 시스템에서 새로 고침 토큰을 다시 인증하거나 사용해야 하는 경우 응용 프로그램 세션이 유휴 상태로 남아 있을 수 있는 최대 기간을 정의합니다.
제어 이름
연결된 앱: 연결된 앱의 세션 정책 관리: 세션 시간 제한
권장 구성
시간 초과 값 - "1시간"을 선택합니다.
제어 개요
이 제어는 액세스 토큰이 만료되고 사용자 또는 시스템에서 새로 고침 토큰을 다시 인증하거나 사용해야 하는 경우 응용 프로그램 세션이 유휴 상태로 남아 있을 수 있는 최대 기간을 정의합니다.
구성되지 않은 경우 보안 위험
장기간 또는 무기한 시간 제한 값은 장치 또는 서버에서 활성 세션을 유지하므로 권한이 없는 사용자가 무인 워크스테이션 또는 손상된 모바일 장치를 하이킹할 수 있는 기회 기간이 크게 증가합니다.
위협 시나리오
직원이 공용 영역에서 태블릿을 떠나거나 브라우저 기반 공격을 통해 세션이 가로채워지므로 세션 시간이 초과되지 않으므로 반대가 시간 또는 일 동안 중요한 데이터에 계속 액세스할 수 있습니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
과도한 세션 수명은 오랜 기간 동안 환경에 대한 "실시간" 키로 남아 있는 도난된 토큰으로 인해 무단 데이터 노출이 연장되고 사고 응답이 복잡해집니다.
위험이 높은 경우
"세션 시간 초과 시 강제 로그아웃"이 비활성화되거나 물리적 보안이 보장되지 않는 공유, 공개 또는 비관리 장치에서 앱을 사용하는 경우
낮은 위험 시기
이 앱은 하이재킹된 세션이 다른 네트워크로 이동되지 않도록 방지하는 높은 보증 MFA 요구 사항 및 IP 제한 로그인 정책과 연결되어 있습니다.
비즈니스 및 통합 고려 사항
1시간 시간 제한을 설정하면 세션이 더 자주 중단되는 방식으로 사용자 환경에 영향을 미치므로 개발자가 응용 프로그램이 사용자를 괴롭히지 않고도 백그라운드 토큰 새로 고침을 원활하게 처리할 수 있도록 해야 합니다.
권장 수정
연결된 앱의 OAuth 정책으로 이동하여 시간 초과 값 드롭다운을 찾고 "1시간"을 선택하여 세션 종료를 더욱 엄격하게 적용합니다.
보안 상태 검토 지침
보안 상태 검토는 1시간 세션 시간 제한을 "최소 권한 유지"의 기준선으로 식별하므로 높은 보안 상태를 유지하기 위해 액세스가 자주 다시 확인됩니다.
