Keycloak 규정 준수 관리

비밀번호 정책 설정

기본적으로 Keycloak에는 비밀번호에 관한 정책이 없지만 이 ID 공급자는 Keycloak 관리 콘솔을 통해 사용할 수 있는 다양한 비밀번호 정책(예: 비밀번호 만료, 최소 길이, 특수 문자)을 제공합니다.

비밀번호 정책을 설정하려면 Keycloak 관리 콘솔에서 다음 단계를 완료하세요.

  1. 탐색 메뉴에서 인증을 클릭합니다.
  2. 비밀번호 정책 탭을 클릭합니다.
  3. 정책 추가 목록에서 적용할 정책을 선택합니다.
  4. 선택한 정책에 해당하는 정책 값을 입력합니다.
  5. 저장을 클릭합니다.

정책을 저장하면 Keycloak에서 신규 사용자에게 정책을 적용하고 기존 사용자가 다음에 로그인할 때 비밀번호를 변경하도록 비밀번호 업데이트 작업을 설정합니다.

2단계 인증 구성

Keycloak은 FIDO2/WebAuthn 프로토콜을 통해 Yubikey를 2단계 인증 (2FA) 기기로 사용하는 것을 지원합니다.

2단계 인증 사용 설정

  1. Webauthn 등록필수 작업으로 추가합니다.

    1. 로컬 관리자 사용자 인증 정보를 사용하여 gdch 영역 관리 페이지를 엽니다.

    2. 탐색 메뉴에서 인증 페이지를 열고 필요한 작업 탭을 엽니다.

    3. Webauthn Register 항목을 사용 설정합니다.

    keycloak-webauthn-register.png

  2. 브라우저 흐름에 Webauthn 인증을 추가합니다.

    1. 흐름 탭으로 전환하고 브라우저 흐름 이름에 해당하는 복제 버튼을 사용하여 기존 브라우저 흐름을 브라우저 Yubikey 흐름으로 복사합니다.

    2. 브라우저 Yubikey 흐름으로 전환합니다.

    3. 브라우저 Yubikey 브라우저 - 조건부 OTP 단계를 삭제합니다.

    4. 브라우저 Yubikey 양식 단계에 해당하는 단계 추가 버튼을 클릭하고 WebAuthn 인증자를 추가합니다.

    5. WebAuthn 인증기 항목을 필수로 설정합니다.

    keycloak-yubikey-required.png

  3. 브라우저 YubiKey 흐름에 해당하는 바인드 흐름 버튼을 사용하고 브라우저 흐름을 선택합니다.

    keycloak-yubikey-binding.png

  4. 저장을 클릭합니다.

Yubikey 등록

  1. GDC 콘솔을 열어 로그인합니다.

  2. gdch 영역에서 이전에 만든 사용자를 사용하여 비밀번호를 입력합니다.

  3. 등록 버튼을 클릭합니다.

    keycloak-yubikey-registration-1.png

  4. USB 보안 키 옵션을 선택합니다.

    keycloak-yubikey-registration-2.png

  5. 삽입된 Yubikey를 탭합니다.

    keycloak-yubikey-registration-3.png

  6. 새 보안 키의 이름을 입력합니다.

    yubikey-label.png

  7. 다른 키로 전환하거나 이 흐름을 다시 시도하려면 로컬 관리자 계정을 사용하여 관리 콘솔을 열고 사용자의 인증 정보 탭에서 YubiKey를 삭제하세요.

    yubikey-delete.png

Yubikey로 로그인하기

  1. GDC 콘솔에서 로그아웃한 후 다시 엽니다.

  2. Yubikey를 등록한 사용자를 사용합니다.

  3. 비밀번호를 입력한 후 Yubikey 기기를 선택합니다.

    yubikey-login.png

  4. YubiKey 기기를 탭합니다.

    yubikey-login-select.png

로그인 시도 기준 설정

Keycloak에는 무차별 대입 공격 감지 기능이 있으며 로그인 실패 횟수가 지정된 기준점을 초과하면 사용자 계정을 일시적으로 사용 중지할 수 있습니다. 이 기준점을 구성하여 계정의 로그인을 일시적 또는 영구적으로 차단할 수 있습니다.

무차별 대입 공격 감지를 설정하려면 Keycloak 관리 콘솔에서 다음 단계를 완료하세요.

  1. 탐색 메뉴에서 영역 설정을 클릭합니다.
  2. 보안 방어 탭을 클릭합니다.
  3. 무차별 대입 공격 감지 탭을 클릭합니다.
  4. 사용 설정됨을 사용으로 전환합니다.

  5. 다음과 같은 규정 준수 요구사항에 맞게 필드에 값을 설정합니다.

    • 최대 로그인 실패 횟수
    • Wait Increment
    • 빠른 로그인 확인
    • 최대 대기 시간
    • Failure Reset time

    keycloak_brute_force.png

GDC 에어 갭 어플라이언스 감사 로깅 시스템에 연결

Keycloak에서 감사 로깅 사용 설정

감사 로깅을 사용 설정하려면 Keycloak 관리 콘솔을 사용하여 다음 단계를 완료하세요.

  1. 탐색 메뉴에서 이벤트를 클릭합니다.
  2. 구성 탭을 클릭합니다.
  3. 로그인 이벤트 설정관리자 이벤트 설정 섹션에서 이벤트 저장 전환 버튼을 사용으로 설정합니다.
  4. 만료 필드에 이벤트를 저장할 기간을 지정합니다.
  5. 저장된 유형 필드에 감사에 중요하다고 생각하는 다양한 작업을 지정합니다.
  6. 저장을 클릭합니다.
  7. 로그인 이벤트 탭을 클릭하여 사용자 계정 작업에 관한 감사 로그를 확인합니다.
  8. 관리자 이벤트 탭을 클릭하여 관리자가 관리 콘솔 내에서 실행한 모든 작업에 관한 감사 로그를 확인합니다.

Keycloak 감사 로그를 GDC 에어 갭 어플라이언스에 연결

Keycloak은 감사 로깅을 사용 설정하기 위한 기본 제공 서비스 제공업체 인터페이스 (SPI)를 제공합니다. 감사 로깅 내보내기는 포드에 감사 로그의 중복을 파일로 저장하도록 Keycloak에서 구성됩니다. 기본적으로 로그는 데이터베이스에 저장됩니다. GDC 오프라인 어플라이언스 로깅 시스템은 볼륨 마운트를 사용하여 로그를 선택하고 로그를 자동으로 파싱합니다.

Keycloak 테마 변경

테마는 Keycloak의 다양한 측면을 맞춤설정할 수 있는 하나 이상의 유형을 제공합니다. 사용 가능한 유형은 다음과 같습니다.

  • 계정 - 계정 관리
  • 관리자 - 관리 콘솔
  • 이메일 - 이메일
  • 로그인 - 로그인 양식
  • 환영 - 환영 페이지

Keycloak 테마를 변경하려면 다음 단계를 따르세요.

  1. Keycloak 관리 콘솔에 로그인합니다.
  2. 드롭다운 목록에서 영역을 선택합니다.
  3. 영역 설정을 클릭합니다.
  4. 테마 탭을 클릭합니다.
  5. 마스터 관리 콘솔의 테마를 설정하려면 마스터 영역의 관리 콘솔 테마를 설정하세요.
  6. 관리 콘솔의 변경사항을 확인하려면 페이지를 새로고침하세요.

루트 관리자 계정 관리

Keycloak은 admin/admin이라는 사소한 사용자 이름과 비밀번호를 사용하는 초기 루트 관리자 계정으로 부트스트랩됩니다. 이 루트 계정의 보호 및 보안을 보장하려면 부트스트랩이 완료되는 즉시 다음 수동 단계를 완료하세요.

  • 루트 관리자 계정의 안전한 비밀번호 설정
  • 루트 관리자 계정에 2FA 설정

루트 관리자 계정의 사용자 인증 정보를 안전한 곳에 에스크로하는 것이 좋습니다.