클라우드 보안 컨설팅

올빼미·2025년 1월 14일

1. 클라우드 컴퓨팅의 개요

1-1. 클라우드 컴퓨팅 서비스란

  • 클라우드 컴퓨팅 : 집적 공유된 정보통신기기, 정보통신 설비, 소프트웨어 등 정보통신 자원을 이용자의 요구나 수요변화에 따라 정보통신망을 통해 유연하게 이용할 수 있도록 하는 정보처리체계
  • 클라우드 컴퓨팅의 장점
    • 투자 위험 감소
    • 소유대비 운영 비용 절감
    • 개발환경 구성 시간 단축
    • 시스템 구축 시간 단축
    • 컴퓨팅 리소스의 확장성
    • 생산성 향상
  • 범주모델에 따른 클라우드 유형(Cloud Service
    Party Model) : On-premise,LaaS,PaaS,SaaS

1-2. 클라우드 컴퓨팅 기술요소 및 특징

  • 공동 보안 책임 모델 : CSC(클라우드 서비스 고객)와 CSP(클라우드 서비스 제공자)가 공동으로 보안책임을 가지는 특성
  • 배치모델에 따른 클라우드 유형(Cloud Service
    Deployment Model) : public, private, hybrid
  • 운영체제 : Operating System(OS). 시스템 하드웨어 자원과 소프트웨어 자원을 운영 관리 하는 프로그램
  • 메모리 관리 기법
    • 단편화 문제 : 실행될 프로세스 크기보다 유휴 메모리 공간이 작아서 활용되지 못하고 낭비되는 메모리 조각
    • 페이징 : 메모리 공간을 일정 크기로 나누어(page) 가상 메모리와 물리 메모리를 맵핑하여 실제 비연속적 메모리를 연속적 메모리 공간으로 효율적으로 사용하게 하는 기법
  • CPU Scheduling 기법
  • 가상화 기술
  • 세대별 기술
    • 1세대 : 완전 가상화=전가상화
      • § 모든 시스템 자원을 소프트웨어로 구현하여 에뮬레이터(가상환경 제공 프로그램) 안에서 실행되는 형태.
      • § 실행 속도가 매우 느림
    • 2세대 : 반가상화
      • 가상화 매니저인 하이퍼바이저와 Guest OS가 통신하여 실행속도를 향상시킨 형태
      • 전가상화 대비 빠른 실행 속도
    • 3세대 : 하드웨어 가상화
      • 호스트 하드웨어에서 직접 가상화를 지원하여 Guest OS와 직접 통신하는 형태
      • Bare-metal과 유사한 정도의 빠른 속도 구현
  • AWS 가상화 인스턴스
  • Serverless : 서버의 구축, 관리를 클라우드 사업자가 제공하여 사용자는 서버의 구축관리 없이 애플리케이션을 실행할수 있는 시스템 아키텍처
  • 컨테이너 방식 가상화
  • MEC(Multi-Access Edge Computing)
    • 중앙 네트워크로 연결하는 대신 네트워크 에지에서 직접 처리하여 고대역, 실시간 서비스를 제공하는 기술
    • Edge Computing : 사용자나 데이터 소스의 물리적 위치와 가장 가까운 곳에서 컴퓨팅을 수행하는 방식
  • SDN(Software Defined Networking)
    • 소프트웨어를 통해 네트워크 리소스를 가상화하고소프트웨어 애플리케이션과 API를 이용하여 중앙에서 전체 네트워크를 프로그래밍 및제어, 관리하는 방식
  • Multi-Tenancy : 컴퓨팅 자원을 여러 사용자가 나누어 사용하는 형태
  • On Demand : 주문형 서비스. 컴퓨팅 자원 필요시(on demand) 구축, 설치 과정 없이 즉각적 이용이 가능한 특징
  • Auto Scaling : 필요에 따라 컴퓨팅 자원의 확대, 축소하는 탄력적 사용 가능
  • 종량제과금 : 사용량 만큼 비용을 지불하는 방식
  • 클라우드 컴퓨팅 주요 용어
    • CSP : 클라우드 컴퓨팅 서비스를 제공하는 사업자
    • CSC : 클라우드 컴퓨팅 서비스를 이용하는 고객
    • CSN : CSP, CSC의 활동을 지원하거나 보조하는 주체
    • Reversibility : 가역성
    • Interoperability : 상호운용성
    • Multi-Cloud : 고객(CSC)이 둘 이상의 클라우드 서비스 제공업체의 클라우드 서비스를 동시에 사용하는 형태
    • Cloud Service Federation : 클라우드 서비스 연합
    • Federated Cloud : 연합 클라우드
    • Inter-Cloud : 상호간 클라우드

2. 보안컨설팅을 위한 보안적 사고

2-1. 보안의 대상과 기준

클라우드 서비스 보안인증 기준(CSAP:Cloud Security Assuarance Program)

  • 보안인증기준 분류

정보보호 관리체계 인증기준(ISMS)


  • 소프트웨어 아키텍쳐 : 소프트웨어의 효율성, 개발 및 유지보수 용이성을 향상하기 위해 소프트웨어를 구성하는 요소(모듈, 컴포넌트 등)들의 연결관계를 구조화한 체계
  • 결합도(Coupling) : 모듈의 독립성을 판단하는 지표
    • 결합도가 높을 수록 모듈 간의 의존도가 높음
    • 낮은 결합도를 갖도록 설계되어야 한다.
  • 응집도(Cohesion) : 모듈 내부의 기능적인 집중도를 판단하는 지표
    • 높은 응집도를 갖도록 설계되어야 한다

3. 보안의 영역과 보안 기술

3-1. 보안 대상별 보안 고려사항

  • 보안목표 : 기밀성, 무결성, 가용성

  • 물리적 보안 영역
    • ex) 보안 검색대, 떼면 티나는 스티커

3-2. On-premise와 클라우드에서의 보안

  • 기술적 보안 영역
    • 유닉스
    • 클라우드
  • msp (Managed Service Provider) : 클라우드 인프라 관리 서비스 제공자
    • 클라우드 구축을 위한 설계, 전환, 운영 전반을 지원
    • msp 역활
      • 마이그레이션 : on-premise > 클라우드 변환시, 업무 지원
      • 컨설팅
      • 클라우드 운영

4. 클라우드 이용자를 위한 보안 컨설팅

4-1. 보안 컨설팅 개요

보안 컨설팅 : 보안 분야에 전문적인 지식을 갖춘 사람이 고객을 상대로 상담하고 조언하는 일

  • 보안 컨설팅 구분
    • 정보보호 인증지원 컨설팅
    • 취약점 진단 컨설팅
    • 보안관리체계 컨설팅
    • 개인정보보호 컨설팅
  • 클라우드 보안 컨설팅 수행 프로세스
    현황분석 및 목표수립 > gap분석 > 개선과제 이행계획 수립 > 이전,운영 실행

4-2. ISMS 인증 취득 고객

4-3. 개인정보보호법 개요

4-4. 개인정보처리시스템 운영고객

  • 공동 보안책임 모델 : CSC(클라우드 서비스 고객)와 CSP(클라우드 서비스 제공자)가 공동으로 보안책임을 가지는 특성
  • SLA(Service Level Agreement; 서비스 수준 계약) : 제공하는 서비스 수준과해당 서비스를 측정하는 지표를 정의하고 합의된 서비스 수준의 충족 여부에 따라 보상 또는 패널티를 약속하는 계약서

5. 클라우드 제공자를 위한 보안 컨설팅

5-1 보안인증제도

  • 목적 및 필요성
    • 국가•공공 기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
    • 객관적이고 공정한 클라우드 서비스 보안 인증 제도를 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스의 경쟁력 확보
  • 보안인증 유형/등급 및 종류
    • 인증유형 : IaaS, SaaS, DaaS 인증 유형으로 구분되며,유효기간은 5년으로 운영
    • 인증등급 : 상·중·하 등급으로 구분되며.유효기간은 5년으로 운영
  • 보안인증제도 조직 및 역활
  • 보안인증 제도 기대효과

퀴즈

  1. 공통된 컴퓨팅 자원을 여러 사용자가 나누어 함께 사용하는 형태를 ( ) 라고 한다.
  2. 컴퓨팅 자원 필요 시 구축, 설치 과정 없이 즉각적 이용이 가능한 클라우드 서비스의 특징을
    ( ) 라고 한다.
  3. 필요에 따라 컴퓨팅 자원의 확대, 축소하여 탄력적 사용이 가능한 특징을 ( )이라고 한다.
  4. ( )란 고객( )이 둘 이상의 이상의 클라우드 서비스 제공업체의 클라우드 서비스를 동시에 사용하는 형태를 뜻한다.
  5. AIaaS 는 ( )의 일종이다.

Multi-Tenancy, on Demand, auto scaling, 멀티 클라우드, CSC, SaaS

A. ( ) 이란 클라우드 서비스 고객과 클라우드 서비스 제공자가 각자의 통제 영역에
대해 보안 책임이 따르는 특성을 뜻한다.
B. IaaS, PaaS, SaaS 는 ( )에 따른 클라우드 유형 분류이다.
C. Public Cloud, Private Cloud, Hybrid Cloud는 ( )에 따른 클라우드
유형 분류이다.
D. Amazon EC2 인스턴스에서 소프트웨어 패치 적용은 ( )의 책임영역이다.
E. Amazon EC2 인스턴스가 실행하는 물리서버의 관리는 ( )의 책임영역이다.

공동 보안책임 모델, 범주 모델(Party Model), 배치모델(Deployment Model), CSC, CSP

  1. 제공하는 서비스 수준과해당 서비스를 측정하는 지표를 정의하고 합의된 서비스 수준의 충족 여부에 따라 보상 또는 패널티를 약속하는 계약서는 ( )이다.
  2. DDoS 공격 보호 서비스를 제공하는 AWS의 솔루션은 ( )이다.
  3. 민감 데이터 검색, 자동 분류 및 보호 서비스를 제공하는 AWS의 솔루션은 ( ) 이다.

SLA, AWS Shield, AWS Macie

O / X 문제
1. AWS에서 사용자의 접속 기록은 CloudTrail에서 확인할 수 있다. ( )이다.
2. 기술적 취약점 진단 컨설팅에는 웹/모바일 어플리케이션 진단, 인프라 configuration 진단, 관리체계 진단 등이 있다.

0 , X

profile
올빼미
시들시들한 올빼미
이전 포스트

침해사고 분석

다음 포스트

컨설팅 취약점 진단 실습

0개의 댓글