계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
GCP Terraform Misconfiguration: Overly Permissive IAM Role
Abstract
Terraform 구성이 IAM 사용자에게 서비스 계정 역할을 할당합니다.
Explanation
권한을 잘못 관리하면 데이터 무단 액세스 또는 수정 위험성이 높아지며 서비스 가용성도 낮아집니다.
사용자가 아닌 응용 프로그램이나 VM이 사용하는 특수 Google 계정인 서비스 계정은 중요한 권한을 사용해 자동화된 프로세스를 실행하거나 최종 사용자 대신 API 요청을 수행합니다. 그러므로 해당 계정을 신뢰할 수 있도록 신중하게 관리, 제어 및 감사해야 합니다. 일반적으로 특정 사용자에 해당하는 IAM 사용자에게 서비스 계정 역할을 할당하면 보안을 엄격하게 제어할 수 없게 됩니다.
사용자가 아닌 응용 프로그램이나 VM이 사용하는 특수 Google 계정인 서비스 계정은 중요한 권한을 사용해 자동화된 프로세스를 실행하거나 최종 사용자 대신 API 요청을 수행합니다. 그러므로 해당 계정을 신뢰할 수 있도록 신중하게 관리, 제어 및 감사해야 합니다. 일반적으로 특정 사용자에 해당하는 IAM 사용자에게 서비스 계정 역할을 할당하면 보안을 엄격하게 제어할 수 없게 됩니다.
References
[1] HashiCorp IAM policy for projects
[2] Google Cloud Service accounts
[3] Standards Mapping - CIS Google Cloud Computing Platform Benchmark Recommendation 1.6
[4] Standards Mapping - Common Weakness Enumeration CWE ID 285
[5] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000381, CCI-002233, CCI-002235
[6] Standards Mapping - FIPS200 AC
[7] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-6 Least Privilege (P1), CM-7 Least Functionality (P1)
[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-6 Least Privilege, CM-7 Least Functionality
[10] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 4.1.3 General Access Control Design (L1 L2 L3)
[12] Standards Mapping - OWASP Top 10 2017 A5 Broken Access Control
[13] Standards Mapping - OWASP Top 10 2021 A01 Broken Access Control
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 7.1.2
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 7.2.2
[16] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 7.2.2
[17] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control
[18] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control
[19] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls
[20] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000500 CAT II, APSC-DV-000510 CAT I, APSC-DV-001500 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000500 CAT II, APSC-DV-000510 CAT I, APSC-DV-001500 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000500 CAT II, APSC-DV-000510 CAT I, APSC-DV-001500 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000500 CAT II, APSC-DV-000510 CAT I, APSC-DV-001500 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000500 CAT II, APSC-DV-000510 CAT I, APSC-DV-001500 CAT II
desc.structural.hcl.gcp_terraform_misconfiguration_overly_permissive_iam_role