SAC General Configurations

Overview

Configurations 페이지는 QueryPie에서 서버 접근 및 보안 정책을 관리할 수 있는 설정 페이지입니다. 로그인 실패 임계치 설정, 세션 타임아웃, 안전하지 않은 프로토콜 제어 등 서버 연결 보안의 핵심 요소를 설정할 수 있습니다. 이를 통해 관리자는 조직의 보안 요구사항에 맞게 서버 환경을 구성하고 잠재적 위협으로부터 시스템을 보호할 수 있습니다.

서버 커넥션 보안 설정

서버 접근 제어에 적용되는 보안 설정을 관리합니다.

일반 설정

기본적인 보안 설정을 관리합니다.

Open

• Maximum OS Account Login Failures before Lockout : 로그인 실패 시 계정 잠금 정책

  • 서버 로그인 실패 허용 최대 횟수 지정

  • Enable 선택 시 횟수 및 기간 범위 기준 추가 입력 가능 (예: 11분 내 2회 실패 시 계정 잠금)

• Maximum Command Attempts before Session Termination : 금지 명령어 최대 실행 횟수

  • Enable 선택 시 횟수 및 기간 범위 기준 추가 입력 가능 (예: 10분 이내 10회 시도 시 세션 종료)

• Retain Session After Policy Change : 서버 접근 정책 변경시 연결되어있는 세션 유지 여부 설정

  • Enable 선택 시:

    • 다음과 같은 경우에도 활성 세션이 종료되지 않고 유지

      • 직접적인 권한 부여 또는 취소

      • 정책 업데이트

      • 사용자 역할 변경

    • 단, 사용자의 역할이나 권한이 완전히 제거될 경우 관련 리소스에 대한 세션은 종료 됨

    • 변경된 정책을 적용하려면 세션을 재접속 필요

  • Disable 선택 시:

    • 정책 변경 시 연결된 모든 세션 자동 종료

    • 새로 연결되는 세션부터 변경된 정책 적용

• Server Session Timeout : 서버 세션 타임아웃 기준 (분)

  • 지정된 시간 동안 서버 접속 후 명령 미실행시 타임아웃

  • 개별 Policy에 타임아웃 지정되지 않은 경우 해당 설정 적용

  • 개별 Policy 또는 Server Default Settings에 지정된 타임아웃 정책이 있는 경우 더 짧은 것으로 적용

• Using insecure protocols : 권장하지 않는 서버 접속 프로토콜 사용 설정

  • TELNET 또는 FTP 사용 여부 설정

• Access Server with MFA : 서버 접속시 MFA 인증 여부 (Default : Disabled)

  • 현재 Google OTP 지원하며, 옵션 선택시 MFA 인증을 적용할 서버를 태그 기준으로 지정

    • 태그 입력 방식 : 키 입력 → 엔터 키 입력 → 밸류 입력 → 엔터 입력

  • 입력된 태그는 key = value 식으로 표시되며, 입력된 태그와 일치하는 태그를 하나라도 가지고 있는 서버는 MFA 인증 후 접속 가능

• Resource IP Access Control Configuration : 서버 접속 허용 IP 접근 제어 설정

  • IP 접근 제어를 적용할 서버를 태그 기준으로 지정

  • User/Group에 부여된 Role 또는 Direct Permission보다 우선 적용

  • Add Configuration 버튼 클릭 시, 모달이 생성되며 이하의 정보를 기입하여 Add 버튼을 클릭하여 추가 (우측 상단의 Save Changes 버튼 클릭 이전까지 미반영)

    Open

    

    • Server Tag Key : 서버 태그 키를 기입하며, 한번에 하나씩만 적용 가능 (사용 시 기재 필수)

    • Server Tag Value : 서버 태그 값을 기입하며, 한번에 하나씩만 적용 가능(사용 시 기재 필수)

    • Allowed Zones : General > Company Management > Allowed Zones 명단을 불러오며 사용 시 최소 1개 선택 필수

• Password Provisioning : 패스워드 프로비저닝 사용 여부 설정

  • 등록된 서버의 서버 계정 패스워드를 주기적으로 변경

  • On으로 설정 시 아래와 같이 변경

    • Server Group에서 패스워드 프로비저닝에 사용할 계정 선택 옵션 추가

    • Password Provisioning 메뉴 활성화 및 Password 변경 Job 등록

    • Account Management 메뉴 활성화 및 QueryPie에서 관리하는 서버의 계정 리스트 조회 기능 제공

• Allow RDP Connection without Server Agent : RDP Server Agent가 설치되지 않은 Windows Server 접속 허용 여부 설정

  • QueryPie를 경유하여 RDP 프로토콜로 Windows Server에 접속

서버 권한 신청의 기본 정책 설정

Workflow 요청을 통한 Direct Permission 할당 시에 적용되는 서버 접근 정책을 관리합니다.

Open

• Protocols : 허용 프로토콜 (지원 프로토콜 : SSH, SFTP, TELNET, FTP, RDP, VNC)

• Command Template : 접속시 적용할 차단 명령어 템플릿

  • 선택한 Command Template의 내용은 Command Policy Detail 아코디언을 펼쳐서 확인 가능

  • 차단 명령어 템플릿의 생성 및 관리 방법은 Command Templates 참고

• Access Start Time : 접속 허용 시작 시각

• Access End Time : 접속 허용 종료 시각

• Access Weekday : 접속 가능 요일

• Command Audit : 접속시 명령어 감사 적용 여부

• Command Detection : 접속 후 Script/Alias 내 금지 명령어 탐지 여부

• Proxy Usage : Agent를 통한 프록시 접속 허용 여부

• Allow Local Port Forwarding : Client에서의 Port Forwarding 허용 여부

  • VSCode 등 Port Forwarding을 사용하는 경우 사용

• Max Sessions : 서버 당 최대 동시 접속수

• Session Timeout : 서버 세션 타임아웃 기준 시간 (분)

• Show Server Groups in Workflow if Assigned as Member : 체크된 경우, 이용자가 Server Access Request 신청시, Server Group Member로 지정된 서버 그룹만 표시

• Require Minute-Based Requests : Workflow에서 서버 관련 권한 신청시 분 단위 신청 허용. 미설정시 일단위로 권한을 신청

  • Server Access Request : 체크된 경우, 서버 접속 권한 신청시 분 단위 권한 신청

  • Server Privilege Request : 체크된 경우, 서버 특권 신청시 분 단위로 권한 신청