(후기)2020 뉴노멀 시대의 클라우드 전방위 보안 전략 온라인 컨퍼런스

Ronie🌊·2021년 1월 7일
Conference클라우드
0

Conference📋

목록 보기
1/4
post-thumbnail

2020 뉴노멀 시대의 클라우드 전방위 보안 전략 온라인 컨퍼런스를 청강하여 발표하신 내용들을 정리한 포스팅입니다.👨‍💻

추가적인 발표자료 등이 있습니다.

Keynote Toward Secure and Trusted Computing in Cloud
1. Session1_DevSecOps를 통한 비즈니스 혁신 가속화
2. Session2_코로나19 이후 가속화된 클라우드 전환과 보안 전략은?
3. Session4_Digital Identity Fraud Trends
4. Session5_파이어아이가 말하는 해커들의 클라우드 공격 방식

Keynote Toward Secure and Trusted Computing in Cloud

서울대학교 백윤흥 교수

  • 클라우드 컴퓨팅의 운영의 증가
    데이터 소비와 생산이 분리되는 현대의 비지니스 모델이 추세이다.
    4차 산업혁명으로 인한 복잡해지는 데이터 처리를 클라우드 컴퓨팅으로 아웃소싱
    그러나 결국엔 데이터를 넘기는것이기 때문에 제 3자에게 보안권을 넘겨주는 꼴이된다.
  • On-premise
    전통적인 방법으로, 기업이 자사의 시설 혹은 IDC에 자체적으로 컴퓨터 서버나 기기자체를 두고 운용하는 방식
    보안성이 높다. 비용과 유지비가 비싸다.
  • Remote Computing
    대기업의 데이터 센터안에 서로 인터넷으로 연결된 수많은 컴퓨터들을 사용자들이 필요한 순간에 필요한 만큼 사용하고 비용을 지불하는 방식
    원격계산 데이터있는곳(클라우드)에 코드를 보내 원하는 데이터 처리를 한뒤, 처리된 데이터를 수신받는다
    이터를 스스로 관리, 처리, 저장하는 것이다.
    보안인력도 전문적으로 상주하기때문에 기업입장에서는 비용과 유지비를 상당부분 감축시킬 수 있다.
  • Remote Computing의 위험요소와 대안방법들
    • 유저가 올린 악성코드
      유저가 악성코드를 클라우드에 업로드하여 클라우드 시스템을 이용 악용할 수 있다.
      클라우드 측에서 데이터수신권한, 접근제어 등 을 이용해 충분히 방어할 수 있지만, 약자인 앱은 자신을 지키는것이 어렵다.
    • 클라우드 내부공격에 취약
      클라우드 관리자가 직접 수신받은 데이터를 악용하는 것이다.
      내부에서 받는 공격이기 때문에 클라우드에서는 대응하기 어렵다.
    • Two-way sandboxing
      적국 서로가 견제하는 형식의 방어 시스템
      앱과 클라우드가 서로 견제하면서 상대방이나 자신의 허점을 파악하여 방어하는 양방향 견제 시스템시스템
      단점 속도가 느리다, 100만, 1000만배 이상 느리다. 최근에는 지속적인 속도 개선을 통해 10만배이상 느리다.(그래도 여전히 느리다.)
    • Homomorphic Encryption(신뢰실행환경)
      Blackbox - 보안 중요 코드/데이터 처리, 소프트웨어로만 구현 가능
      Isolation - 암호와 일반 세계 사이
    • TEE (Trusted Execution Environment)
      블랙박스의 기술로 메모리 상에서 메모리공간을 분리하여 보안컨테이너를 구축하여 그 안(secure worlds)에서 데이터 처리하는 것을 의미한다.
      유저입장에서는 클라우드서버의 소프트웨어를 완전히 믿을 수 없기때문에 내부의 공격를 가드한다.
      'Intel SGX for cloud computing'가 대표적이다.(삼성의 nox등)
      생체인증등으로는 속도를 개선하는 중
      TEE에서 연산을 하고 연산한 결과를 내보낼때도 암호화 한다. 중요한것은 무결성으로
      유저가 데이터를 보내고 보안컨테이너에서 연산하고 다시 보낼때, 해시값을 떠서 같이 보내주기 때문에 해당 데이터가 변조가 된지를 확인할 수 있다. 이 보안으로 내부자가 함부로 데이터를 열어보거나 수정할 수 없다.
      근데, 이러한 보안에도 스니핑이 가능한 요소가 있다.
      하드웨어적으로 컨테이너박스는 안전할지몰라도 공격자는 그 겉에서 몰래 엿듣거나 모양을보고 스니핑이 가능하다.
      현재 많은 연구로 안전하지않다는 것이 입증 된 상태이다.
      예로 데이터를 요청할때, 무엇을 요청하는지 보고 대략적인 정보를 파악 할 수있다는 것이다.
    • oram
      이를 대비하는 oram이 있다. 데이터를 가져올때, 일단 항상 다 가져오게한다. 그뒤에 분리해서 원하는 데이터를 사용한다.
      진짜와 가짜 데이터 섞거나 데이터를 옮겨놓거나 하는 교란기술을 사용한다.
      문제는 oram도 매우 느리다 만배정도...성능문제로 실사용하기 힘들다.
      속도개선기술을 연구중이다.
test(int data){
if(data = x)
result xx
else if(data = y)
result yy
}
# 송신한 data와 결과인 xx나 yy를 파악해서 data를 알 수 있다.
이를 막기 위한 방법으로
test(int data){
if(data = x)
result xx, yy but use xx only
else if(data = y)
result xx, yy but use yy only
}
# 하드웨어적으로 cpu/fpga 둘다 blackbox를 설치하여 막고 병렬연산으로 연산속도를 업시키는 연구중이다.

1. Session1_DevSecOps를 통한 비즈니스 혁신 가속화

AWS 김기완 시니어 솔루션즈 아키텍트 매니저

“시스템을 설계하는 조직들은 조직들 간의 커뮤니케이션 구조를 닮은 시스템을 설계하게 된다.” Melvin E. Conway

기업안의 IT팀은 크게 개발팀, 보안팀, 운영팀으로 이루어진다.
조직별 각 팀은 각자의 목표와 우선순위를 가진다.
이러한 구조별 차이때문에 비지니스의 각 단계마다 새롭게 발생할 수 있는 문제가 생기게 되면, 이 문제(언노운팩터)들이 하향되어 프로젝트의 막바지에 맡게되는 어려움이 생기게 되거나 이로인해 오버헤딩이 생겨나 일정이 밀리게 된다.
예) 기획과정에서 보안적측면을 확인하지않고 기획팀에서 기획을 통과, 개발팀에서 개발한 뒤에 다시 보안팀이 확인할 경우, 언노운팩터가 발생하게 되면 설계서를 다시 수정하고 개발을 수정해야하기때문에 일정에 차질이 생기게 된다.

  • DevSecOps

    • DevSecOps운영모델 확립을 위한 청사진
      조직이 겪는 어려움의 70%는 기술 외적인 부분
      기술의 문제가 아닌 비지니스 모델이 빠르게 변화하기때문에 이로 인한 스케줄, 수정 문제가 대부분이다.
      보안팀이 미리 예측하고 가이드라인, 메뉴얼을 준비해야 되는 일이 중요할 것이다.

  • DevSecOps의 운영
    지속적인 비지니스 개선과정 필요
    과거의 개발팀과 운영팀이 따로 하는게 아니라 개발팀이 서비스를 수정, 추가하기 위한 운영팀, 보안팀과의 파이프라인이 필요
    보안에 대한 관점을 전체적으로 확장시키는 것
    이러한 구조의 변화는 기업의 입장에서는 기존의 조직을 변화시켜야한다는 부담이 있을 수 있다.
    그러나 이는 궁극적으로 빠른 비지니스 변화에 따른 빠른 제품 업데이트를 가능 하게 할 수 있게 하는 구조이다.
    워터폴 개발이 아닌 액자일 개발 방식으로 끊임없이 고객과 피드백을 받으며 개발이 가능해짐

  • DevSecOps의 원칙

    • 1.피드백 사이클을 가속화하기 위해 최대한 빠르게 보안 테스트를 실시
    • 2.문제가 발생하는 것을 막기 위하여 예방적 보안 통제에 대한 우선순위 설정
    • 3.보안 위협을 감지하기 위한 통제를 적용할 때, 이를 보완할 수 있는 대응적 보안, 통제를 확인
    • 4.자동화, 자동화, 자동화

  • DevSecOps의 이점
    빠른 시장 접근
    낭비 요소 제거(필요하지 않은 기능)
    낭비 요소 제거(목표를 달성할 수없는 기능)
    낭비 요소 제거(프로세스)
    위험 감소
    혁신 가속화
    자동화를 통한개선된 운영 통제

  • DevSecOps의 도입
    전통적인 IT팀 vs 풀스택엔지니어링팀
    팀별로 커뮤니케이션이 단절, 리소스부족, 우선순위 충돌, 결과를 받기전까지 일을 못하는 대기시간 존재한다.
    이를 해결하기위한 DevSecOps의 개발 문화 변화를 유도한다.
    성공적인 클라우드 도입을위하여 모든 활동의방향성을 확인/제시
    외부 인력 영입, 재교육,인센티브의 정책이 필요
    각 팀별의 소통이 아닌, 모든 IT팀들이 하나의 방향성을 갖고 가야한다. 구성원 전체의 공통적인 소통창구가 필요

  • CCoE팀(Cloud Center of Excellence)
    클라우드 컴퓨팅의 도입을 하고자하는 기업에서 클라우드 시스템에 대해 잘 알고있고, 기술적 선택을 할때 의사결정을 가지고 그에 책임을 지고있는 클라우드 전문 팀
    이러한 팀은 기업의 혁신 요구 사항 vs. 보안 조직의 관점에서 중간점을 찾는 것이 중요하다.
    ex) 보안은 이러한 정책을 갖고있으니깐 안됩니다 가 아닌 개발진에게 대안을 제시해주는 전문인력팀
    게이트보단 가이드레인을 만드는게 중요

  • AWS는 DevSecOps를 위해
    보안에 대해 팀의 구조, 이를 도와주는 aws의 여러가지 파이프라인 앱 제공

  • 느낀점
    클라우드 컴퓨팅 개발환경의 전환을 위한 IT팀의 구조변화의 필요성을 느꼈고, 이러한 변화에서 자신이 할 수 있는 클라우드 아키텍처 운영자의 모습을 찾을 수 있었다. 또한 구IT팀의 각 부서별 우선순위 차등의 문제점을 직무에서 직접 느꼈던 경험이 있었던터라 더욱 DevSecOps에 동의 할 수 있었다.

2. Session2_코로나19 이후 가속화된 클라우드 전환과 보안 전략은?

팔로알토네트웍스 김수영 이사

  • 기업의 클라우드 전환 가속화 현상
    covid19이후 클라우드에 대한 기업의 투자 대두
    앱 개발방식또한 애자일 방식으로 변화, 컨테이너 기반의 애플리케이션 증가, 데브옵스 체계로 변화
    But, 클라우드 전환의 혁신에도 보안의 문제가 발생

  • 컨테이너 기반의 애플리케이션 현대화 플랫폼의 과제와 시사점
    오픈 소스 패키지
    각 컨테이너에 대한 구성 검토(권한, 설정 등)
    개발자의 보안 인식의 제고(인지하지못하는상황)

  • 데브옵스 환경이 복잡하기 때문에 통합적이고 보안에 대한 포괄적인 접근법이 필요
    개발 사이클에 걸친 보안제어, 데브옵스 및 보안팀간의 협업, 지속되는 변화에 대비가 필요

  • Cloud Native Security Platform 2.0
    팔로알토네트웍스가 제시하는 클라우드 보안 플랫폼
    클라우드 환경의 모든자원 보호 모든 리소스를 보호
    라이프사이클 보호
    모든 퍼블릭 및 프라이빗 클라우드도 보호
    한 관리화면에서 전체적인 클라우드 사이클의 보안적 자동감시가 가능하다는게 가장 매력적

  • 느낀점
    클라우드 전환 가속화의 실제적 모델과, 클라우드화에도 보안의 문제가 생기고있다는 실제적 사례를 제시함
    클라우드 전문가가 되기 위해서는 보안적인식이 필수
    이를 위한 클라우드 보안 관리 시스템이 필요하다. 자사개발도 할 수 있겠지만 Cloud Native Security Platform 2.0같은 플랫폼을 이용하는것도 현명할지도

아카마이 유인선 이사

  • ATO(Account Takeover Detection 계정탈취방지)
    디지털 ID사기, ID도용, 위조ID, 인증정보 도용 등 Akamai에서 관측한 공격건수가 증가됨을 볼 수 있다.
    IT업계나 게임업계같은 기존외의 모든 업계가 그 공격대상이 될 수 있다.
    현재 이미 너무 많은 인증정보가 유출되어있다.

  • ATO과정

    • 1.인증정보 탈취(사이트 유출 및 스키밍, 웹사이트 사용자 피싱, 인증정보목록을 다크웹에서 구매)
      특히나, 피싱 이메일에 주의가 필요, 보안 인식수준이 낮은 게이머 플레이어가 그 표적
      ex) 스팀 게임 친구추가 버튼 등(URL이동)
    • 2.봇넷 사용(대규모 크리덴셜 스터핑 공격을 위해 봇넷을 활용하여 자동으로 인증정보를 검증)
    • 3.인간(유출된 계정 인증정보를 바탕으로 대상을 공격)

  • 공격루틴
    SQL Injection을 사용하여 로그인 인증정보, 개인정보, 서버데이터베이스의 모든 데이터를 탈취가능
    Local File Inclusion 공격은 서버에서 실행되는 스크립트를 탈취해서 저장된 데이터를 공격하여 탈취, 악용할 수 있는 사용자 세부정보가 담겨져있기때문에 주의요망

  • 디지털 ID사기의 원인 3가지
    계정탈취, ID도용, 위조ID
    탈취한 ID를 재사용한다. 비밀번호 공유 및 재사용의 문제

  • Akamai Identity Cloud
    고객의 ID, 접속관리 솔루션, 선제적 방어를 위한 첫번째 단계

    • 1.웹 어플리케이션 방화벽 Kona Site Defender를 활용하여 선제적 방어
    • 2.봇매니저로 자동화
    • 3.사용자에게 적절한 권한을 준다. 엔드포인트, 행동제어로

  • Akamai Identity Cloud 리스크 기반 인증 (RBA)
    스마트 인증 솔루션
    그러나 사용자 편의 사용에 대해 절충해야한다. 인증절차가 복잡해지기때문
    상황별 및 리스크 시그널을 관찰함으로써 의심스러운 행위를 탐지하여 계정보호
    상황을 기반으로 추가 인증요인, 인증단계를 결정한다

  • Akami의 특별한점
    글로벌 위협 인텔리전스를 활용(공격방법을 관찰 및 연구)
    새로운 공격데이터 등을 관찰, 모니터링하여 탐지 및 관측을 꾸준히 관리하고 분석평가한다.
    가시성제공, 로그인페이지 보호

  • ATO의 흐름에 따라 Akami의 보안 솔루션
    Kona Site Defender(Web App Firewall) - 인증정보탈취는 저지
    Bot Manager Premier - 봇넷의 인증정보 검증을 저지
    Identity Protector - 유출된 계정의 접속을 감시, 차단

  • 느낀점
    비등 클라우드 운영자 뿐만 아니라 인증정보를 사용하고 관리하는 사람의 인식의 제고 및 지속적인 교육이 필요할 듯 하다.
    유저의 계정을 자동으로 감시, 차단한다는 점에서 확실히 보안성이 있어보인다. 하지만 그것을 위해서 유저의 편의성이 저하된다는 점은 인지하고 있었다. 이 두 문제의 균형점은 어느정도일까 궁금하다.

4. Session5_파이어아이가 말하는 해커들의 클라우드 공격 방식

파이어아이 강량호 수석

클라우드 인프라 보안에 대한 실시간 가시성이 없다면 중요한 위협 탐지가 지연된다.

  • 클라우드 위협 시나리오
  1. 클라우드 접근권한 탈취
  2. 암시장에서 접근권한 판매 및 동업 광고
  3. 클라우드 장악
  4. 클라우드에서 데이터 다운시에 2차 악성코드 페이로드를 다운하게됨 그럼 악성코드에 감염하게 되어 해당 컴퓨터도 장악하게됨
  5. 클라우드 C&C에서 랜섬웨어나 DDos 봇넷으로 악용하기 위해 악의적인 명령을 함

예)인증정보를 하드코딩된 리포지토리를 공개하는것은 매우 부적절
TruffleHog는 GitHub의 콘텐츠에서 20 자보다 큰text blob을 찾은 다음 Shannon entropy를 평가해 Private key 획득

예)MODILOADER 악성코드_루어파일은 클라우드에서 악성파일(2단계 악성 코드 페이로드) 다운받게 하거나 하는 식으로 피시장악
스피어피싱메일(루어파일 포함)
유저가 관심가질만한 키워드, 코로나 등
최근은 각 언어별로 메일을 전달, 한순간의 실수로 피싱되어버릴 수 있다.

파이어아이에서 확인한바로는 가장 많이 남용되는 클라우드 서비스는Google Drive와 Discord

  • 클라우드 서비스를 악용
    클라우드 스토리지에서 악성코드를 다운받기때문에 합법적인 네트워크 트래픽을 이용한다고 할 수 있다.
    시그니처를 감지하는 기존의 탐지방법으로는 자동적으로 우회되기때문에 문제가 생긴다.

예) 테스트코드에 AWS API키가 남아있었어서 유출됫거나 등
업데이트 서버가 장악되어 정상적인 파일 Update.exe파일과 함께 악성파일이 같이 다운받아지는 경우
이렇게 탈취된 컴퓨터는 DDos공격
최근 2020년 8월 클라우드 인프라의 DDos공격이 2019년 전체보다 높을정도
공격자는 허위신원과 도난된 신용카드를 사용하여 클라우드 계정을 생성해서 사용하기때문에 범죄자 추적이 매우 어렵다.

  • 솔루션 도입의 필요성
    필수 능력은?

    • 1.가시성을 제공하는 단일 콘솔
    • 2.지능적으로 감지 및 수정
    • 3.규정준수보장
    • 4.광범위한 에코시스템과 통합

  • 보안팀의 시선으로 확인해봐야할것
    클라우드 정책의 문제점을 자동으로 수정하려면 어떻게 해야 하나요?
    잘못된 구성을 방지하는 정책 수립은 어떻게 하나요?
    클라우드 워크로드가 외부에 노출되어 있는지 확인 가능 한가요?
    필수 프레임워크가 규정을 준수하는지 확인할 수 있나요?
    규정 준수에 대한 알림을 받을 수 있나요?
    내 클라우드에 워크로드는 무엇인가요?
    내 클라우드에 네트워크 흐름은 어떻게 되나요?

  • Cloudvisory Security Solution
    멀티 클라우드(여러클라우드에 흩어져있는 워크로드) 인프라에 대한 지속적인 Compliance 검사
    Compliance 미준수 대상 예외 처리 지원(추가 예외에 대해서 간단한 설정)

    • Visibility
      흩어져있는 여러 워크로드를 한눈에 알아볼 수 있도록 잘 정리해서 하나의 콘솔로 통합
    • Compliance
      감시, 탐지를 하여 워크로드의 취약성을 빠르게 경고
    • Governance
      탐지한 위협을 자동으로 조치, 워크로드에 대한 보안을 지속관리해 나가는 것

  • 느낀점
    우선, 클라우드를 악용한다는 시각의 공격이 흥미로웠다. 확실히 데이터 수신 툴이 있는 서버같은 경우, 상대 서버의 아이디를 지정해놓아서 체크하는게 기본이였다. 특히나 클라우드 서버는 안전하다는 인식을 갖고 클라우드 서버 자체를 안전한 서버아이디로 인식시켜놓은것은 아주 위험한 일
    여러 클라우드에 흩어져있는 워크로드를 한번에 볼 수 있다는 점에서 가시성면이 이 제품의 특성일 듯 하다.

profile
Ronie🌊
hi
다음 포스트

(후기)마이크로서비스 아키텍처(MSA)강연_AWS

0개의 댓글