서버 접근 정책 설정하기

Overview

조직에서 관리하는 서버의 접근 정책(Policy)를 관리할 수 있습니다. Policy는 IaC와 같은 형태로 YAML Code를 베이스로 동작합니다.

접속을 허용할 요일 및 시간을 설정할 수 있을 뿐만 아니라 접속 가능한 IP 주소 설정 및 Audit 여부, Agent 사용 가능 여부를 설정할 수 있습니다. 그 외 유저별 허용 세션 수 또한 설정이 가능합니다.

Policy 생성하기

1. Server Settings > Server Access Control > Policies 메뉴로 이동합니다.

2. 우측 상단의 Create Policy 버튼을 클릭합니다.

3. 정책 생성을 위한 다음의 정보들을 입력합니다.

   1. Name : Policy를 화면 상에서 구별할 수 있는 이름입니다.

   2. Description : 해당 Policy에 대한 부가적인 설명을 입력할 수 있습니다.

4. Save 버튼을 통해 저장합니다.

Policy 수정하기

1. Server Settings > Server Access Control > Policies 메뉴로 이동합니다.

2. List에서 생성된 Policy를 클릭합니다.

3. 화면 우측 상단에 있는 두 버튼을 클릭하여 Policy를 수정할 수 있습니다.

   1. Edit : Policy의 Name과 Description를 수정할 수 있습니다.

   2. Delete : Policy를 삭제할 수 있습니다.

4. 화면 우측 중앙에 있는 Edit 버튼 클릭, Code Editor에 진입하여 Policy의 내용을 수정할 수 있습니다.

Code Editor에서 Policy Code 수정하기

Code Editor 최초 진입시, 디폴트 YAML Code를 제공합니다. YAML에서는 대소문자를 구분합니다.

1. YAML Code

   1. apiVersion : 작성된 YAML Code의 버전입니다. 시스템에서 관리하는 값으로, 수정이 불필요합니다.

   2. kind : 작성된 YAML Code의 종류입니다. 시스템에서 관리하는 값으로, 수정이 불필요합니다.

   3. spec : 해당 YAML Code의 스팩을 명시합니다. spec은 한 개의 allow와 한 개의 deny로 구성됩니다.

      1. allow : 접속 허용 조건을 입력할 수 있으며, 4개의 값(resources, actions, conditions, options)으로 구성됩니다.

         1. resources : 이 Policy가 적용되는 server group과 server group에 포함된 account를 입력합니다. server group과 account입력 위치에 “*”을 입력하여 모든 값 선택을 지원합니다.

         2. actions : 이 Policy에서 사용할 protocols과 적용할 command template을 입력합니다.

            1. protocols : 배열 형태로 다음 값의 입력이 가능합니다. ["ssh", "sftp"]

            2. commandsRef : 설정한 command template의 Name을 입력합니다. command template을
               등록하는 방법은 차단 명령어 템플릿 설정하기를 참고합니다.

         3. conditions : 이 Policy를 통해 접근이 가능한 시간, 날짜 및 IP 주소를 설정할 수 있습니다.

            1. accessTime : 접속 가능한 시간을 00:00~23:59 범위 내에서 입력합니다.

            2. accessWeekday : 배열 형태로 아래의 값이 입력 가능합니다.
               ["monday", "tuesday", "wednesday", "thursday", "friday", "saturday", "sunday"]

            3. ipAddresses : 배열 형태로 특정 IP 또는 IP Band의 입력이 가능합니다.

         4. options : 이 Policy가 적용 될 경우, 입력된 command 로깅 여부, Agent를 통한 접속 허용 여부, 한 유저의 동시 연결 허용 세션 수 및 세션 타임아웃 값을 설정합니다.

            1. commandAudit : true인 경우, 연결된 세션에서 사용된 command를 로깅합니다.

            2. useProxy : true인 경우, Agent를 통한 서버 접속을 허용합니다.

            3. maxSessions : 한 유저가 한 서버에 동시 연결 가능한 세션 수를 제한합니다.

            4. sessionTimeout : 입력된 시간(분) 만큼 활동하지 않으면 세션은 종료됩니다

      2. deny : 접속 불가 조건을 입력할 수 있으며, 1개의 값(resources)으로 구성됩니다. Policy 내에서는 deny 정책이 우선적으로 적용됩니다.

         1. resources : 이 Policy에서 접속을 차단하는 server group과 server group에 포함된 account를 입력합니다.

관련 토픽

• 서버 알림 정책 설정하기

• 장기 미접속 및 타임아웃 정책 설정하기

• Role 설정하기

• 서버 접근 권한 관리

• 인증 및 보안 설정

Back to 서버 접근 정책 설정하기