주요 정보

• 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
• 교육 회차 정보 : '24. 01. 22. 클라우드 보안 컨설팅 실무 #04

4. 클라우드컴퓨팅서비스 보안

SSRM 공동 보안책임 모델(AWS 기준)

CSC는 클라우드 내부의 보안 책임
CSP는 부대설비, 등 클라우드 자체 보안 책임
엣지 로케이션 : CDN(컨텐츠 딜리버리 네트워크)로, 각 리전 내 AZ에 위치한 CDN으로부터 자주 이용하는 데이터를 사용

SSRM 예시

• CSC 책임

  • Amazon EC2 인스턴스 보안그룹 구성
  • Amazon EC2 인스턴스 소프트웨어 패치 적용
  • Amazon S3 객체 권한 설정

• CSP 책임

  • Amazon EC2 인스턴스 실행 서버 유지 관리
  • 데이터 센터 물리적 보안 구현
  • 네트워크 인프라 유지 관리

클라우드 컴퓨팅 보안 위협 요소

클라우드 컴퓨팅 환경 구성 요소에 따른 보안 위협 예시와 보안 속성을 기술한다.

가상환경

• 고려하는 보안 속성 : 기밀성, 무결성
• 보안 위협 예시
  • 악성코드 감염
  • SaaS 애플리케이션 취약점
  • 인터페이스 및 API 취약점
  • 가상자원 격리 위협
  • 개발, 운영 가상환경 비인가 접근
  • APP 데이터 변조

클라우드 인프라

• 고려하는 보안 속성 : 기밀성, 무결성
• 보안 위협 예시
  가. 설비 : 물리적 위협(화재, 정전, 지진, 등)
  나. 하드웨어 : QoS, DDoS, Flood Attack, 네트워크 장비 설정 오류
  다. 가상화 인프라 : Multi-Tenancy (다중 임차), 공유 유협, 솔루션 설정 오류

정책

• 고려하는 보안 속성 : 감사
• 보안 위협 예시
  • 규정/법 미준수
  • 인적 보안
  • SLA 위반
  • 용역 관리

SLA(Service Level Agreement)란 협약 당사자 간에 특히 서비스 제공자가 다른 상대방, 즉 서비스 가입자에게 합의를 통하여 사전에 정의된 수준의 서 비스를 제공하기로 협약을 맺는 것

사고 및 대응

• 고려하는 보안 속성 : 가용성
• 보안 위협 예시
  • 동일 사고 재 발생
  • 백업/복원 실패
  • 사고 후 운영 실패

인증 및 권한

• 고려하는 보안 속성 : 인증, 권한
• 보안 위협 예시
  • 계정 탈취
  • 내부자 위협
  • 권산 상승/오용
  • 단말 보안

데이터

• 고려하는 보안 속성 : 기밀성, 무결성
• 보안 위협 예시
  • 데이터 유출
  • 데이터 파괴
  • 데이터 위치(사법 관할권)
  • 데이터 안전성(백업 및 복원)
    

데이터 사법 관할권

• 국가 공공기관
  1) 교유식별정보, 기관에 비밀 데이터 등 구
  리전은 반드시 대한민국 내 존재해야 한다.
  2) CSD 모델 상, 프라이빗 클라우드로 설정해야 한다.
  즉, 기관 내 자체 클라우드를 사용해야 한다. (하이브리드, 퍼블릭 클라우드로 사용 불가)
• 금융회사, 전자금융업자
  1) 클라우드 컴퓨팅 서비스는 대한민국 리전 내 존재해야 한다.
• 클라우드 컴퓨팅 서비스 내 중요정보(고유식별정보, 개인신용정보, 신용카드정보, 계좌번호, 보험관련 증권번호)

클라우드 컴퓨팅서비스 보안운영 아키텍처

해당 표는 클라우드 이용자 보안 계층에 따른 보안 요소를 정의한다.

국내외 권고 암호 알고리즘
KISA 암호 알고리즘 및 키 길이 이용 안내서_2018 , 2018년도 버전이 최신 버전이다.

서비스 공급망 관리

클라우드서비스 범주 모델에 따른 평가항목 : 클라우드컴퓨팅법 제23조제2항 적용
클라우드서비스 보안통제평가는 연1회 이상 실시한다.

데이터 보안 생명주기

데이터 보안 생명주기는 6단계로, 개인정보 수명주기 관리와 구분된다. 높은 수준에서 데이터의 보안을 평가하고 중점 사항을 찾는데 도움이 되는 모델링 도구이다.
1. 생성
2. 저장
3. 이용
4. 공유
5. 보관
6. 파기

클라우드서비스 정보보호 정책·지침 문서체계

온·오프프레미스 환경에서 사용하는 정보보호 정책·지침 문서체계 구분

군 복무중 AIX 서버 관련 보안설정 관련 지침을 찾기 위해 가이드라인이 아닌 지침이나 정책 및 업무 규정 문서를 사용했으나 체크리스트 개념이 아니라 사용하기 불편했던 경험이 있었다. 강사님께서는 만약 꼭 메뉴얼이나 절차서가 아닌 더 상급 정책·지침 문서를 사용하지 않아도 되는 유연성을 언급하셨다.

아키텍처별 클라우드서비스 보안인증제도 평가기준 해설서 참고

5. 클라우드 개인정보보호 아키텍처

개인정보 안전성확보조치기준 의거 클라우드 개인정보보호 아키텍처를 기술한다.

클라우드 개인정보보호 아키텍처 10개 분야 개념

• 클라우드간 신뢰 관리 보안(Inter Cloud)
• 클라우드 기반 개인정보보호 정책, 접근통제, 권한 관리
• ABE(Attribute Based Encrypthon, 속성기반 암호화)
• 책임추적성, 개인정보 식별, 인증 (책임추적성: 클라우드 기반 개인정보처리시스템에 접속하는 모든 사용자에 대해 접속 로그 기록하여야 한다.)
• 데이터 암호화, 안전한 클라우드 통신
• RBAC·ABAC 접근통제 및 클라우드 환경 내 개인정보흐름통제 : 업무별 개인정보 생명주기 파악 후 흐름표, 흐름도로 관리
• 기밀성, 무결성, 가용성
• 클라우드 기반 개인정보 위험관리
• 개인정보처리시스템 장애대응, 성능 및 품질관리
• 취약점 분석·평가, 보안감사, 디지털 포렌식

RBAC : 역할기반 접근통제, ABAC : 속성기반 접근통제

7. CSAP 인증 클라우드 보안관리체계 컨설팅

CSAP 인증제도로부터 인증 취득이 목표로, 클라우드 보안관리체계 컨설팅 과정과 CSAP 통제항목의 보안 요구기준에 대해 기술한다.

CSAP 인증 취득
-> CSAP 인증제도 통제항목 충족
-> 어떻게 통제항목을 충족시킬 것인가?
-> 컨설팅

1. CSAP 인증제도 개요(정의, 절차, 제출문서, 일정, 수행프로세스, 보안인증 항목)
2. CSAP 인증제도 상세 수행방안(stage 1, 2, 3, 4)
3. CSAP 인증제도 보안 컨설팅 (산출물, 컨설팅 서비스 종류)
4. CSAP 인증제도 실습(통제항목별 보안 요구기준 1 ~ 14)
5. CSAP 인증 통제항목별 주요 보안 요구기준 8단계 프로세스

CSAP 인증제도란?

CSAP 인증제도

CSAP 인증제도란?
Cloud Security Assurance Program, 클라우드 보안 인증제도, CSP 제공 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 클라우드컴퓨팅법) 제23조의2에 의거 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증해 클라우드 서비스를 이용할 수 있도록 하는 제도

KISA 소개

• 인증목적 : 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드서비스 공급
• 평가항목 : 정보보호 정책 및 조직, 등 이용하는 클라우드컴퓨팅 서비스 보호조치 등 14개 분야
• 의무대상 : 전자결재, 보안서비스, SaaS, PaaS 등 중요데이터를 다루는 클라우드컴퓨팅 서비스
• 법적근거 : 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 클라우드컴퓨팅법) 제23조의2
• 기대효과 : 컴플라이언스 점검을 통해 법적 준거성을 확보해 이용자의 신뢰도 향상

CSAP 절차

보안인증 신청 이후 인증서 발급까지 평균 4~6 개월 소요.

CSAP 보안인증절차는 신청기관, 평가기관, 인증기관(KISA), 인증위원회가 주관한다.

• 클라우드서비스 보안인증 유형 : IaaS, SaaS(표준등급, 간편등급), DaaS 등 (유효기간은 모두 5년)
• 클라우드서비스 보안인증 등급 : 상·중·하
• 클라우드서비스 보안인증 소요 기간
  - 절차에 소요되는 기간은 클라우드서비스 보안인증 유형별로 상이하다.
  • IaaS, DaaS : 총 15일
  • SaaS 표준등급 : 총 14일(간편은 총 2일)

하 등급 고시 반영, 상·중은 추후 반영 예정 및 반영 전까지 기존 인증제도 신청가능
서면·현장 평가 결과로 부적합 및 취약점을 보완한다 (30일 ~ 2개월)

CSAP 인증지원 컨설팅 인증신청 제출문서

1. 클라우드서비스 보안인증 신청공문 1부
2. 클라우드서비스 보안인증 신청서 1부
3. 클라우드서비스 보안인증 명세서 1부(클라우드서비스 보안운영 명세서 포함)
4. 취약점 점검 및 침투테스트 동의서 1부
5. 법인/개인 사업자 등록증 1부
6. 보안기능변경 영향분석서 (CC 인증 제품군 중 SECaaS(보안형서비스 -> 정보보호시스템, 암호화솔루션, 네트워서비스))
7. 자산관리대장

KISA CSAP 보안인증 항목('23. 3 기준)

IaaS, PaaS& SaaS, DaaS, 등 유형에 따른 통제 영역 분류항목 상이
국내 기준과 국제 표준 기준이 다름.

CSAP 인증제도 컨설팅 상세 수행방안

SK 쉴더스 루키즈 교육과정의 강의 내용 기준으로 CSAP 인증제도 컨설팅 상세 수행방안을 기술한다.

컨설팅 시, 각 단계별 문서를 컨설팅 요청 업체에 제공하고, 이를 CSAP 인증에 사용한다.

Stage 1 환경분석 및 정보수집

• CSAP 통제사항 사전질의서 작성
• CSAP 클라우드 보안인증 유형 결정방안 시, 아래 두가지 유형 중 하나만 선택한다.
  1) 개발, 운영환경 대상 인증 취득
  PaaS : SaaS 표준
  IaaS : IaaS (단, 물리적 보안은 포함되지 않는다)
  2) CSC 제공 클라우드 컴퓨팅서비스(SW) : SaaS 간편

Stage 2 GAP 분석

• CSAP 클라우드서비스 보안통제평가 결과서를 사용해 GAP 분석 실시
• 국제표준 정보보안 위험관리체계 ISO 27017/27018 (클라우드 정보보안 통제 가이드라인 제공 표준, 클라우드 서비스 사용자 PII 안전한 처리 목적 통제 및 관련 가이드 국제 표준)
• 클라우드서비스 범주 모델(IaaS·PaaS·SaaS·DaaS) 보안통제항목 적용여부 표시와 SSRM(Shared Security Responsibility Model)로 보안책임 분산 구분을 정의(SCP, SCP)

Stage 3 클라우드 보호대책 수립

Stage 4 인증준비 구현

CSAP 인증 분야 및 통제항목 기준

• 국제표준 정보보안 위험관리체계((ISO 27005:2018) 기반으로 8개 프로세스로 구성해 지속적 순환체계로 이행해야 한다. (CSAP 인증제도는 국제표준 일부 포함)