권한 집합 그룹 제어

제어 이름

권한 집합 그룹 관리

권장 구성

사용자 작업 페르소나 또는 역할을 기반으로 권한 집합을 함께 번들링합니다.

표준 권한 집합 그룹 | 고객 권한 집합 그룹 | 관리 패키지 | 세션 기반 권한 집합 그룹의 권한 집합 그룹.

제어 개요

권한 집합 그룹을 관리하여 특정 작업 기능(personas)을 기반으로 사용자 액세스 권한이 부여되고 최소 권한 원칙을 준수하여 "권한 확산"을 최소화합니다.

구성되지 않은 경우 보안 위험

권한 집합 그룹(PSG)을 비효율적으로 관리하면 간소화된 보안 모델을 중복 액세스의 "블랙 박스"로 전환할 수 있습니다. PSG가 올바르게 관리되지 않을 경우 회사는 의도한 보안과 실제 사용자 권한 사이에 상당한 차이가 있습니다.

위협 시나리오

비관리 권한 집합 그룹은 역할을 변경한 사용자가 프로비저닝이 해제되지 않은 "모든 데이터 수정" 또는 "보고서 내보내기"와 같은 상위 수준의 레거시 권한을 유지하는 "보안 블랙 박스로" 작동합니다. 그러면 악의적인 작업자 또는 손상된 계정이 해당 번들링된 문서화되지 않은 권한을 사용하여 복잡한 그룹 구조 내에서 합법적인 시스템 동작으로 표시되므로 활동이 감지되지 않고 전체 고객 데이터베이스를 추출할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

회사의 사용자 수, 역할 및 권한에 따라 증가되는 위험

위험이 높은 경우

다단계 인증(MFA) 및 실시간 이벤트 모니터링이 없으므로 권한이 없는 작업자가 즉시 감지하지 않고도 과도한 권한이 있는 계정을 활용할 수 있으므로 위험이 크게 증가합니다.

또한 공식적인 정기적인 액세스 검토가 없으면 무단 권한이 숨겨지므로 사용자의 비즈니스 역할이 변경된 후에 불필요한 상위 수준 권한이 활성화됩니다.

낮은 위험 또는 비위험

효율적이지 않은 권한 집합 그룹(PSG) 관리와 관련된 위험을 최소화하기 위해 회사는 Salesforce Shield 이벤트 모니터링을 구현하여 과도한 권한이 있는 사용자가 시도할 수 있는 대량 데이터 내보내기와 같은 의심스러운 활동을 실시간으로 확인하고 자동으로 차단할 수 있습니다.

또한 엄격한 분기별 액세스 검토(QAR) 프로세스를 설정하면 실제 직무에 대해 모든 사용자의 현재 그룹 할당을 확인하여 무단 권한이 체계적으로 식별되고 수정됩니다.

비즈니스 및 통합 고려 사항

관리자는 회사 구조에 부합하도록 권한 집합 그룹을 검토해야 합니다.

권장 수정

정기적인 액세스 검토를 구현하고 최소 권한 원칙에 부합하는 권한 집합 그룹화를 수행합니다.

보안 상태 검토 지침

N/A - 현재 보안 상태 검토 도구에서 검사되지 않았습니다.