계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
GCP Terraform Misconfiguration: Cloud Storage Bucket Uniform Access Disabled
Abstract
Terraform 구성이 액세스 제어 목록을 사용한 권한 제어를 허용하는 Google Storage Bucket을 설정합니다.
Explanation
권한을 잘못 관리하면 제한된 데이터 무단 액세스 또는 수정 위험성이 높아집니다.
버킷과 버킷 내 개체 액세스를 위한 사용자 권한을 정의할 수 있도록 Google Cloud Storage에서 제공하는 두 가지 시스템은 ACL(액세스 제어 목록) 및 IAM(Identity and Access Management)입니다. IAM은 Google Cloud 전체에서 사용할 수 있는 반면 ACL은 Cloud Storage에서만 지원됩니다. 균일 버킷 수준 액세스를 활성화하면 ACL을 통해 권한을 부여할 수 없게 됩니다. 따라서 Google Cloud 리소스의 모든 액세스 제어를 관리할 때 IAM 시스템만 사용할 수 있습니다.
예제 1: 다음 Terraform 구성은
버킷과 버킷 내 개체 액세스를 위한 사용자 권한을 정의할 수 있도록 Google Cloud Storage에서 제공하는 두 가지 시스템은 ACL(액세스 제어 목록) 및 IAM(Identity and Access Management)입니다. IAM은 Google Cloud 전체에서 사용할 수 있는 반면 ACL은 Cloud Storage에서만 지원됩니다. 균일 버킷 수준 액세스를 활성화하면 ACL을 통해 권한을 부여할 수 없게 됩니다. 따라서 Google Cloud 리소스의 모든 액세스 제어를 관리할 때 IAM 시스템만 사용할 수 있습니다.
예제 1: 다음 Terraform 구성은
uniform_bucket_level_access를 false로 설정하여 ACL과 IAM을 함께 사용해 스토리지 버킷 액세스 권한을 부여하도록 허용합니다.
resource "google_storage_bucket" "bucket-demo" {
...
uniform_bucket_level_access = false
...
}
References
[1] HashiCorp google_storage_bucket
[2] Google Cloud Uniform bucket-level access
[3] Google Cloud Organization policy constraints for Cloud Storage
[4] Standards Mapping - CIS Google Cloud Computing Platform Benchmark Recommendation 5.2
[5] Standards Mapping - Common Weakness Enumeration CWE ID 284
[6] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002121
[7] Standards Mapping - FIPS200 AC
[8] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-2 Account Management (P1)
[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-2 Account Management
[11] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.4.4 Access Control Architectural Requirements (L2 L3)
[13] Standards Mapping - OWASP Top 10 2017 A5 Broken Access Control
[14] Standards Mapping - OWASP Top 10 2021 A01 Broken Access Control
[15] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002880 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002880 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002880 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002880 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002880 CAT II
desc.structural.hcl.gcp_terraform_misconfiguration_cloud_storage_bucket_uniform_access_disabled