Splunk Search

Splunk Password Management Policy (암호 관리 정책)

victor1004
Engager

최근 Splunk의 자체 시스템 보안 강화의 요구가 증가됨에 따라 몇가지 요구사항이 있어서 다음과 같이 질문드리니 답변 부탁드립니다.
1. 시스템의 Password는 다음과 같은 규정을 만족해야 한다. (정보보호관리체계(ISMS) 인증 관련 Password Policy 참조)
- 암호화 알고리즘 사용여부: SHA512-crypt 사용
- 암호의 최소 길이: 8자 이상, conf 파일에서 정의 가능
- 암호는 다양한 방법의 복잡도를 제공해야 함: 대소문자, 특수문자, 숫자가 사용가능해야 함
- 암호 변경 주기 설정:
1) 암호는 최초 로그인시 필수적으로 변경하도록 해야 함(admin 계정만 적용되고 있음)
2) 암호는 일정한 주기(30일 ~ 3개월) 단위로 변경이 가능하도록 사용자에게 통보해야 함(팝업창 경고 제공)
3) 3개월(90일)이 지나서 로그인할 경우 사용하지 못하도록 해야 함
4) 암호 입력시 5회 틀리는 경우 로그인이 일정기간(1일) 안되게 설정
2. admin 계정을 유추할 수 없는 다른 계정으로 바꿀 수 있는지 여부
- splunk의 경우 admin 계정의 이름은 바꿀 수 있어도 계정(id) 자체는 Web 화면에서 바꿀 수 없는 것으로 보이는데, 변경 가능한지?
3. Login web page의 https 통신
- http 통신의 경우 packet capture를 해 보면 password가 노출되기 때문에 최소한 https 통신을 통해서 이를 방지해야 함
- splunk의 설정에서 https를 지원하는 것을 확인함

국내 실정에 맞게 자세한 답변 요청드립니다.
감사합니다.

1 Solution

asohahn_splunk
Splunk Employee
Splunk Employee

1. 암호화 알고리즘 및 암호 규칙 설정
스플렁크 기본 인증 기능을 사용할 경우 MD5-crypt를 사용하여 암호화합니다. authentication.conf 파일의 passwordHashAlgorithm 옵션을 통해 다른 암호화 알고리즘을 선택할 수 있고, 암호 최소 길이 설정 역시 minPasswordLength 옵션 값으로 조정할 수 있습니다. 기본값은 0(제한없음)입니다. http://docs.splunk.com/Documentation/Splunk/latest/Admin/Authenticationconf
암호의 복잡도 설정, 특정 주기 변경, 일정 기간 이후 접속 차단, 비민번호 오류 횟수 지정 등의 기능은 스플렁크의 기본 인증으로는 안되고 AD나 LDAP, SAML을 통해 전문 인증 시스템과 연동하여 그쪽의 암호화 정책 기능을 이용하셔야 합니다. 자세한 내용은 아래 링크를 보시고 연동하실 수 있습니다.
http://docs.splunk.com/Documentation/Splunk/latest/Security/SetUpUserAuthenticationWithLDAP

2. 기본 admin 계정의 변경
이미 만들어진 계정(admin)을 바꿀수는 없습니다. 새로운 관리자 계정, 가령 myadmin을 새로 만들고 동일한 역할(role) 및 권한을 지정한 후 myadmin 계정으로 로그인하면 기존 admin 계정을 삭제할 수는 있습니다. admin 계정은 스플렁크가 기본으로 생성한 계정이기 때문에 삭제하지 않는 편이 좋습니다. 필요하다면 관리자 역할(role)을 조정하여 사용하지 못하도록 설정하는 편이 좋습니다.

3. 스플렁크웹 HTTPS 설정
스플렁크 웹에서 설정 > 서버 설정 > 일반설정 메뉴로 가셔서 "Splnk Web에서 SSL(HTTPS)을 사용하도록 설정하시겠습니까?" 항목을 예로 바꾸고 재시작하시면 됩니다. 설정 파일을 직접 수정하시려면 web.conf에서 enableSplunkWebSSL 설정을 true로 변경하면 됩니다.(기본값은 false)

View solution in original post

asohahn_splunk
Splunk Employee
Splunk Employee

1. 암호화 알고리즘 및 암호 규칙 설정
스플렁크 기본 인증 기능을 사용할 경우 MD5-crypt를 사용하여 암호화합니다. authentication.conf 파일의 passwordHashAlgorithm 옵션을 통해 다른 암호화 알고리즘을 선택할 수 있고, 암호 최소 길이 설정 역시 minPasswordLength 옵션 값으로 조정할 수 있습니다. 기본값은 0(제한없음)입니다. http://docs.splunk.com/Documentation/Splunk/latest/Admin/Authenticationconf
암호의 복잡도 설정, 특정 주기 변경, 일정 기간 이후 접속 차단, 비민번호 오류 횟수 지정 등의 기능은 스플렁크의 기본 인증으로는 안되고 AD나 LDAP, SAML을 통해 전문 인증 시스템과 연동하여 그쪽의 암호화 정책 기능을 이용하셔야 합니다. 자세한 내용은 아래 링크를 보시고 연동하실 수 있습니다.
http://docs.splunk.com/Documentation/Splunk/latest/Security/SetUpUserAuthenticationWithLDAP

2. 기본 admin 계정의 변경
이미 만들어진 계정(admin)을 바꿀수는 없습니다. 새로운 관리자 계정, 가령 myadmin을 새로 만들고 동일한 역할(role) 및 권한을 지정한 후 myadmin 계정으로 로그인하면 기존 admin 계정을 삭제할 수는 있습니다. admin 계정은 스플렁크가 기본으로 생성한 계정이기 때문에 삭제하지 않는 편이 좋습니다. 필요하다면 관리자 역할(role)을 조정하여 사용하지 못하도록 설정하는 편이 좋습니다.

3. 스플렁크웹 HTTPS 설정
스플렁크 웹에서 설정 > 서버 설정 > 일반설정 메뉴로 가셔서 "Splnk Web에서 SSL(HTTPS)을 사용하도록 설정하시겠습니까?" 항목을 예로 바꾸고 재시작하시면 됩니다. 설정 파일을 직접 수정하시려면 web.conf에서 enableSplunkWebSSL 설정을 true로 변경하면 됩니다.(기본값은 false)

Get Updates on the Splunk Community!

Monitoring MariaDB and MySQL

In a previous post, we explored monitoring PostgreSQL and general best practices around which metrics to ...

Financial Services Industry Use Cases, ITSI Best Practices, and More New Articles ...

Splunk Lantern is a Splunk customer success center that provides advice from Splunk experts on valuable data ...

Splunk Federated Analytics for Amazon Security Lake

Thursday, November 21, 2024  |  11AM PT / 2PM ET Register Now Join our session to see the technical ...