| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- 트랜잭션
- SSO
- 네트워크관리사
- 리눅스 마스터
- AWS
- 제로 트러스트
- Cloud
- 오답노트
- CVE
- 네관사2급
- 기업간의 협업 중요성
- 리마2급2차
- 클라우드
- 보안
- 오늘의 오답노트
- Java
- 악성코드
- 스프링부트
- security
- Linux
- 프로토콜
- 네트워크
- 보안이슈
- 리눅스
- 스프링
- 러시아
- tcp
- db
- 깃허브
- 개발자
- Today
- Total
일단 진행시켜
[Passkeys & 제로 트러스트] 사용 확대화: "비밀번호를 없애자" 본문
1. Docker Joins Movement To Dump Passwords for Security
https://thenewstack.io/docker-joins-movement-to-dump-passwords-for-security/
Docker Joins Movement To Dump Passwords for Security
As of Sept. 16, 2024, Docker will enforce Single Sign-On (SSO) for CLI access, discontinuing the use of passwords in favor of Personal Access Tokens (PATs) when SSO is enforced.
thenewstack.io
[ 요약 ]
1. Docker가 CLI에서 패스워드 로그인하는 기능을 중단했다.
2. 9월 16일부터 CLI 액세스에 대해 Single-Sign-On(SSO)을 시행하고 SSO가 시행될 때 개인 액세스 토큰(PAT)을 선호하여 비밀번호 사용을 중단할 예정이다. Docker 플랫폼의 보안을 강화하고 인증 프로세스를 간소화하기 위한 이유다.
3. SSO를 사용하면 비밀번호가 필요 없다.(정확히는 사용할 수 없다) 이를 통해 보안 강화뿐만 아니라 비밀번호 사용의 번거로움을 없애 더 간편하다.
4. Docker 외에도 GitHub 또한 패스키를 사용한다. 실제 개발자 95%가 2단계 인증(2FA) 패스키를 사용한다. (나 또한 사용 중이다^^!)
그 외 사용 기업: Google-Gmail에서 Passkeys사용 / Amazon-브라우저 Passkeys 사용 및 Android, iOS 지원 진행 중 / Shopify-Shop Pay / WhatsApp-Android Passkeys 지원출시 등
5. 이처럼 비밀번호를 대체하는 더 강력하고 신뢰할 수 있는 보안을 도입하는 것이 활발히 그리고 쉽게 진행되고 있다.
비밀번호가 레거시 기술?!
- Docker가 비밀번호 기반 인증에서 벗어나고 있다. 이는 제로 트러스트 보안 모델을 더 지향하는 산업 추세라고 볼 수 있다.
- 제로 트러스트는 모든 요청이 다 위험하다고 가정하고 모든 액세스 요청에 대한 엄격한 검증을 요구한다. 보안 취약 링크인 비밀번호를 제거함으로써 리소스/데이터를 더 잘 보호할 수 있게 된다.
결론
1. 플랫폼 보안 강화를 위해 Docker는 SSO로 전환하고 PAT를 선호하여 비밀번호 기반 CLI 액세스를 제거했다.
2. 이처럼 비밀번호를 대체하는 더 강력하고 신뢰할 수 있는 보안을 도입하는 것이 활발히 그리고 쉽게 진행되고 있다.
➕
Passkeys?
- FIDO Alliance에서 개발한 Apple, Google, Microsoft와 같은 주요 회사들의 지원을 받아 기존 비밀번호보다 더 안전하고 사용친화적인 대안
- 비밀번호와 달리 패스키는 아무것도 기억하거나 입력할 필요 없음
- 암호화 키 쌍을 사용하여 피싱 및 기타 온라인 공격으로부터 사용자 보호
- 개인 키는 외부 노출 x, 로그인 중인 서비스에도 액세스 할 수 없다.
- 공격자가 비밀번호처럼 키를 가로채거나 오용할 수 없어 피싱에 대한 저항력이 매우 높다.
<패스 키 작동 방식>
1. 서비스에 대한 암호키 생성
2. 장치에 안전하게 저장되는 개인 키 + 서비스로 전송되는 공개 키 생성
3. 로그인 시, 서비스에서 개인 키가 서명하는 질문을 장치에 전송항 서비스에 저장된 공개 키로 체크
4. 서명이 정확할 경우, 인증 완료
제로 트러스트?
- "절대 신뢰하지 말고 항상 확인하라"는 원칙에 기반한 사이버 보안 프레임워크
- 네트워크 내부 사용자를 신뢰할 수 있다고 가정하는 기존 보안 모델과 달리 제로 트러스트는 네트워크 내/외부 모두 어떤 사용자나 시스템도 자동으로 신뢰되지 않도록 설계되어 있다.
- 리소스에 대한 액세스 권한을 지속적으로 확인한다.
- 사용자에게 작업을 수행하는 데 필요한 최소한의 액세스 권한이 부여된다.
- 네트워크는 각각 자체 보안 제어 기능을 갖춘 더 작고 격리된 세그먼트로 나누어진다. 작은 부분 내에 이를 포함시켜, 잠재적 공격 확산을 최소화한다.
- 제로 트러스트는 이미 보안 침해가 발생했거나 언제든지 발생할 수 있다는 가정하에 운영되어, 잠재적 위협에 대한 엄격한 모니터링 및 빠른 대응이 강점이다.
- 데이터 저장 및 전송 중에 모두 암호화 처리하여, 민감한 데이터에 대한 접근을 엄격히 통제 및 모니터링한다.
🤔 이에 대한 나의 생각
요즘 "제로 트러스트"가 사회적으로 많이 언급된다. 이 기사를 통해 강력한 보안의 중요성, 이를 깨달은 기업들의 움직임을 이해할 수 있었다.
오늘날의 위협에 대해 "아무도 신뢰하지 않는다"는 원칙이 필요한 것 같다. 여러 기업들도 Docker와 같이 보안을 강화하고 사용자 인증을 단순화하기 위해 패스키, PAT, SSO 등 강력한 보안 모델을 도입하고 있는 것에 대해 긍정적 변화라고 생각한다.
Docker의 이러한 결정은 단순한 기술 업데이트가 아니라는 생각이 든다. 현대적이고 간편하고 안전하게 사용자친화적인 인증 방법을 도입하기 위한 더 크고 필수적인 변화의 일부라고 생각한다. 이러한 변화는 점점 더 복잡하고 위험해지는 사이버 환경을 계속 모니터링함에 따라 매우 중요하다는 것이 내 의견이다.
'🗞️ 보안 동향 파악 및 나의 생각 정리' 카테고리의 다른 글
| 리눅스 xz 결함: 기술적 문제가 아닌 윤리적 문제 (0) | 2024.08.30 |
|---|---|
| Java 동시성: 가시성 및 동기화 (0) | 2024.08.29 |
| [CORS] GET vs Optional Methods (POST, PUT, OPTIONS) (0) | 2024.08.27 |
| 향상된 Cyber Resilience를 위한 Flask + RDF: 시맨틱 웹 기술 활용 (0) | 2024.08.26 |
| [Java] Java로 강력한 REST API 구축 4가지 팁 (0) | 2024.08.25 |
