[클라우드 보안] 클라우드 환경에서의 보안 설정시 유의 사항

다음은 클라우드 서비스 환경 구성시 유의해야 할 점에 대해서 정리해 보았습니다.

몇 가지 사항은 제가 실제 프로젝트를 수행하면서 알게 된 내용을 첨부하였습니다.

클라우드 방화벽 설정 시 주의할 점

• 소스, 목적지 IP, 포트는 실제 사용할 정보만 입력, 프로젝트 이전에 미리 사전에 서비스를 정의할 필요가 있음. 
• CIDR의 범위는 최소한으로 설정하며, 실제 입력할 수 있는 정책의 개수도 CSP 서비스별로 약간씩 다르므로 이 부분도 유의해야 함.
• 공통적으로 사용하는 서비스 또는 서비스 별로 중요도에 따라 하나의 그룹으로 설정하여 입력도 가능함.
• Any 설정은 지양하며, 정기적인 정책 검토가 필요함. 
• 처음 생성되는 Default 정책은 사용을 지양하며, 별도의 방화벽을 생성하여 적용
• 생성할 수 있는 방화벽의 개수도 제한이 있음.

Golden AMI 생성 시 주의할 점

• 서버 접속 시 알려지지 않은 포트로 변경 (22, 3389 등)
• 서비스용 포트로 알려지지 않은 포트를 사용 
• ubuntu OS 계정은 비활성화 처리
• 서비스용 OS 계정 생성 및 관리를 위한 권한 처리 설정
• 단순한 ID, Password로 접근하는 것이 아닌 인증키를 통해 접근하도록 설정
• 사전에 서버 취약점 등은 조치를 취한 이후 이미지 생성
• 기타 : 곧 CentOS 서비스가 종료될 예정임

 

네트워크 구성

• 네트워크를 사용하는 그룹(서비스) 별로 분리
• 운영, 개발, 검토, 관리 등으로 최대한 서비스에 영향을 주지 않도록 용도별로 분리
• 서비스와 DB 망간 분리
• 네트워크 간 통제(방화벽) 시 실제 사용하는 서비스만 입력하며 Any 정책 지양
• SaaS 서비스와의 연결이 필요할 경우 최대한 프라이빗 통신을 할 수 있도록 설정 (VPN Endpoint 서비스 등)
• 네트워크 구성시 LB 용도에 따라 적용이 될 수 있는 부분이 약간씩 차이가 발생할 수 있으며, 모든 통신은 기본적으로 eth0으로 통신이 됨.
• 라우팅 정책 Default 사용은 지양(모든 정책이 입력이 되어버림) 별도의 라우팅 정책을 생성하여 적용
• 서브넷을 구성할 경우 최소 /28은 사용해야 함.
• 오토스케일링 정책이 필요할 경우 서브넷에 따라 생성될 수 있는 개수가 한정되어 있으므로 IP 구분시 이 부분도 고려해야 함.
•  - LB의 경우 가상 IP를 제공하지 않으며, Endpoint 이름을 사용해야 함.(AWS의 경우)

로그 관리

• 장애 등을 파악하기 위해서는 필히 Flow Log 등을 처음 구성시 활성화시켜야 함.
• 전체적인 로그 분석은 개별에서는 불가능하므로 통합 로그 관리에 대한 별도 솔루션이 필요할 경우 통합로그관리 솔루션이 3rd 솔루션 검토 필요
• 클라우드에서 제공하는 로그가 충분하지 않을 수 있음 (예 > AWS Flow Log의 경우 소스, 목적지, 서비스, 차단 유무 등의 정보만 확인할 수 있음)
• LB 로그 확인 시 LB 서비스에 따라 확인되는 로그가 다름.
• 클라우드에서 제공하는 로그 외에 Application 로그를 수집해야 할 경우 인터넷 연결이 필요할 수 있음
• 로그 수집 이전에 실제 수집이 가능한 부분과 불가능한 부분에 대해서 명확히 해야 함.

 

위 내용은 CSP에 따라 약간씩 차이가 발생할 수는 있습니다.

https://coupa.ng/b5Gncn

클라우드X 보안 실무 가이드

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."