접근 제어 감사자 검사
기본 접근 제어 감사자 도구 모음에서 사용할 수 있는 검사, 이러한 검사에서 평가하는 기준, 인스턴스 보안을 향상하기 위해 사용할 수 있는 방법에 대해 알아봅니다.
| 검사 이름 | 검사 기준 | 설명 |
|---|---|---|
| 유형의 모든 프로세서 - 스크립트는 CSRF 토큰으로 보호되어야 합니다. | CSRF 토큰으로 보호되지 않는 스크립트 유형의 프로세서를 검사합니다. | SCRIPT 유형의 모든 프로세서는 CSRF(교차 사이트 요청 위조) 토큰으로 보호되어야 합니다. 이러한 프로세서에는 인스턴스가 CSRF 토큰을 사용하지 않는 한 프로세서가 실행되지 않도록 하는 CSRF 옵션이 선택되어 있어야 합니다. |
| 기고할 수 있음/기고할 수 없음 사용자 기준은 각 지식에 대해 정의될 수 있습니다. | 기고할 수 있음 또는 기고할 수 없음 사용자 기준이 정의되지 않은 지식베이스 기록을 확인합니다. | 각 지식베이스에는 기고할 수 있음 또는 기고할 수 없음 사용자 기준이 정의되어 있어야 합니다. 그렇지 않으면 모든 사용자가 기고 기준이 정의되지 않은 지식베이스에 콘텐츠를 기고할 수 있습니다. |
| 빈 ACL | 보안 속성, 역할 또는 공개 역할이 없는 ACL(접근 제어 목록) 기록을 검사합니다. | ACL을 비워 두거나 공용 역할을 사용하면 이 ACL로 보호되는 모든 컨텐츠에 대한 공개 액세스가 제공될 수 있습니다. |
| 클라이언트 호출 가능 스크립트 포함에 대한 접근 통제 | ACL로 보호되지 않는 클라이언트 호출 가능 스크립트 포함을 검사합니다. | 모든 클라이언트 호출 가능 스크립트 포함은 필수 역할을 사용하는 ACL로 보호되어야 합니다. |
| UI 페이지의 액세스 통제 | ACL로 보호되지 않는 UI 페이지 유무 검사 | UI 페이지에 대한 액세스를 보호하는 ACL이 없으면 로그인한 모든 내부 사용자가 해당 UI 페이지에 액세스할 수 있습니다. 아무런 제한 없이 로그인한 사용자는 잠재적으로 무단 변경을 수행할 수 있습니다. |
| 테이블의 액세스 통제 | ACL이 없는 테이블 확인 | 테이블은 ACL로 보호되어야 합니다. 테이블에 저장된 데이터에 대한 접근은 필요한 사용자만 제한해야 합니다. |
| 사용자 계정에 내부 및 외부 역할이 모두 있을 수 없습니다. | 내부 및 외부 역할이 모두 할당된 사용자 기록 유무 검사 | 내부 사용자 역할은 회사 내 사용자를 위한 것입니다. 외부 사용자 역할은 고객 및 파트너와 같은 외부 직원을 위한 것입니다. |
| 공개적으로 접근 가능한 지식베이스 및 문서 | 공개적으로 접근 가능한 지식베이스 및 지식베이스 문서를 확인합니다. | 공개적으로 접근 가능한 지식베이스와 문서는 인스턴스의 모든 사용자에게 표시됩니다. 지식베이스와 문서를 필요한 특정 대상으로 제한하여 보안을 강화합니다. |