주요 정보
- 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
- 교육 회차 정보 : '24. 01. 24. 클라우드 보안 컨설팅 실무 #05
클라우드 개요
Cloud 와 on-premise
Cloud 란 무엇인가?
서버, 스토리지, DB, 네트워크, SW등의 컴퓨팅 서비스를 공유 네트워크("Cloud")를 통해 제공
Cloud 목적 : 비즈니스 규모에 맞춰 합리적인 비용으로 비즈니스 서비스를 효율적으로 운영하는 환경 제공
서버 가상화와 같이 네트워크 가상화 존재(SDN)
- 상용 public 네트워크 : 누구나 사용(돈만 내면)
- 상용 private 네트워크 : 나만 사용
무조건 Cloud 사용이 이득인가?
cloud는 사용한 만큼 내기 때문에 많이 사용한다면 그만큼 비용더 많이 지불해야 한다.
Cloud 사용이 유리한 환경 : 입시 관련 사이트와 같이 1년 내내 접속하는 것이 아닌 변동적인 이용 서비스에 유리.
신기술 사용 : Cloud 신기술(빅데이터 등)영역 사용, 스타트업과 같은 초기 자본 비용에서는 이점
클라우드 보안 고려사항
클라우드 보안에서 고려해야하는 영역은 전통적 보안 영역에서 추가적으로 고려해야 하는 점이 발생한다.
클라우드 환경이 복잡하고 관리하기 까다롭다는 것은 일손이 많이 필요하다는 것이고,
변동성있는 데이터 흐름은 정부에서 하는 업무를 보조하기에 알맞아 보인다고 생각이 듭니다. 추후 국가차원의 공공 CSP가 세워질수도 있을까요?
=> 민간업체가 CSP 역할을 자처하는 것은 경쟁과 클라우드 기술 특성상 신기술 및 발전 등의 사유로 인해 국가 차원에서의 CSP는 미비한 트렌드이다.
=> 개인적으로 국가 차원에서 CSP를 구축해도, 온나라와 같은 방향으로 가지 않을까 싶다.
Cloud 보안 방법론 적용 고려사항
거버넌스 : 기업, 법령 등의 통제 관점
SK 방패의 탄력적 클라우드 보안 방법론을 기술한다.
Elastic CloudSecurity Methodology
클라우드 보안 방법론은 Public/Private Cloud 보안 요소 및 운영 L/C 등의 보안검토 사항을 반영해야 한다.
"Letter of Credit"는 국제무역 거래에서 사용되는 결제 도구
- Cloud dnsdud L/C 기반
Public Cloud L/C : 계약·Vendor 선정 -> 이전/구현 -> 운영 -> 이용종료·운영폐쇄
Privatee Cloud : 사전통제(P2) 프로세스 Vendor 선정 프로세스로 대체 - Pub, Cloud 중점
- 법규 영역 & 실무 커버
- 고객사 & 컨설팅사 적용 가능
CSC가 사용하려는 받아야할것 같습니다.
개발 보안
보안성 심의 : 고객 니즈에 맞는 시스템을 구축 및 테스트 후 점검한다. 이때, 기준이 맞지 않으면 오픈할 수 없게 되어 컨설팅 받는다.
컨설팅이란?
컨설팅, 방법론. 기준 관점 문제 해결.
정확한 기준을 이해하고, 고객의 상황에 맞게 조언을 제시하거나 방법론(솔루션, 절차)를 제시한다.
클라우드 보안 거버넌스/관리체계 수립
클라우드 보안 거버넌스는 조직/인력, 프로세스, 기술 측면이 IT 및 정보보호 정책과 일치할 수 있도록 평가 체계를 수립하고, 개선계획 수립 등을 수행 내용으로 설정 권고한다.
클라우드 보안 거버넌스/관리체계 과정
- 클라우드 보안 프레임워크 정의
- 클라우드 프레임워크 기반 점검
- 클라우드 보안 거버넌스 개선과제 도출
클라우드 인프라 및 운영환경 분석 측면
클라우드 인프라, 운영환경에 대한 분석 측면은 CSP, CSC/CSU 측면으로 나눌 수 있다.
CSP 측면 : 공표된 공인 평가기준, 분석기준 이용이 필수
CSC 측면 : CSP 이용 시 CSC 보호 대책 측면은 별도의 기준이 마련되어야 한다
정책/지침/절차/매뉴얼 제정 및 개정
public Cloud 경우 지침 레벨의 실행 문서는 제정한다.
Private Cloud는 자사 시스템의 연장으로, 지침/절차/매뉴얼 등에서 Private Cloud 영향 인자를 조문으로 삽입해 개정
정책 실행문서 지침/매뉴얼 등은 CSP가 아닌 CSC 측면에서 작성
Cloud 보안 조직 체계 구성
클라우드 보안조직 체계 수립 기준이 존재해야 한다.
- 관련 법률·상위기관 지침 준수 사항 반영
- 정보보호 관련 요구사항 반영 (CSP 기준, 등)
- 계약사 정보시스템 및 업무 환경 특성 고려
Cloud 보안 조직 실무는 IT Cloud 관리 조직 내 위치, 전반적 보안 정책 및 보안 의결사항 등은 정보보안 부서에서 맡는다.
규모가 작은 회사인 경우 분야별 조직 경계의 허들이 낮음
권고사항 : Cloud A 서비스 보안 담당자 채용하세요
권고사항에 대한 근거는?
-> 일단 업무담당자 그대로 가는 걸로 하고......(이하생략)
Cloud 인프라 취약점 점검
클라우드는 컨테이너 등 다양한 애플리케이션 현대화 기술을 적용하므로 점검 방식도 다양할 수 있다.
컨테이너 취약점 점검의 경우, Container 수렴 전 점검을 원칙이며, DevOps 보안 목적으로 CSPM(SW)을 통한 취약점 점검도 필요.
AWS Public 점검 방안 예시
- Docker : 도커 명령어 이용 스크립트 사용
- 가상화 장비/SW : 담당자 인터뷰 & 실사 (XX항목 열람 요청)
금취분평 : 금융취약점분석평가 약자
참고자료 : SK쉴더스-2023 클라우드 보안가이드
제로트러스트
KISA 제로트러스트 가이드라인 1.0 ('23. 7 발간)
nist zero trust 기반파생 개념
기존의 관점 : 사용자 A는 인증된 사용자야. 그러므로 X라는 행위를 할 수 있어.
제로트러스트 관점 : 인증된 사용자가 안전할까? X 뿐 아니라 Y, Z, 등의 행위 시도를 막을 수 있나?
ISMS-P 규정 준수 AWS 지원 도구
- Quick starts
- Conformnace Pack
