1. 소규모 클라우드 이용 시 보안 거버넌스
- 중소기업, 스타트업
| 1) 보안 기본 정책관리 | -------> | 2) 클라우드 기능활용 | -------> | 3) 보안 기능 강화 |
| 계정관리 | 기능 학습 | CASB | ||
| 접근제어 | 서비스 활용 | 보안관제 | ||
| 로그범위분석 | 활성화 정책 | Managed 서비스 |
1) 보안 기본 정책관리
(1) 계정관리
| 유형 | 설명 | 정책 |
| Root | 최고관리자 | 사용최소화, 패스워드 관리 강화, MFA 적용 |
| 서비스용 계정 | 서비스나 프로세스 실행 | 서비스 용도로만 사용, 접속용으로 사용하지 않도록 통제, 패스워드 관리 강화 |
| 운영자용 계정 | 운영이나 관리용 | 주기적 패스워드 관리, 미사용 계정관, 사용자별 발급, MFA 적용 |
(2) 접근제어
- 클라우드에 접속할 수 있는 IP를 일정 IP로 접근 제한
- 기업(업체)의 IP 만 접근하도록 제어
(3) 수집 가능한 로그 범위 분석
- CMP에서 보통 90일 정도만 분석
- 기본 제공하는 로그에 대한 설정, 유형 항목에 대한 분석이 필요함.
2. 대규모 클라우드 이용 시 보안 거버넌스
1) 클라우드 사용과 해지 프로세스
- 생성과 해지는 자산관리, 현황 관리의 시작
(1) 신청 프로세스
| 사용부서 | 서비스 이용 신청 --------> | 클라우드 전담부서 | 서비스 신청-------------> | CSP |
| 클라우드 이용 | 기술 검토 | |||
| 보안 아키텍처 수립 | 아키텍처 가이드 | |||
| <-------서비스 계정 전달 | Audit 계정 생성 | <-------서비스 신청 정보 |
(2) 해지 프로세스
| 사용부서 | 해지 신청 --------> | 클라우드 전담부서 | 서비스 해지------------> | CSP |
| 클라우드 이용 종료 | 서비스 사용 기간 관리 | |||
| 리소스 삭제 | 사용 현황 모니터링 | |||
| <-------해지 통보 | Audit 수행 | <-------서비스 해지완료 |
2) 보안 관제 프로세스
| 클라우드 서비스 | ----------------------> 쿼리, 검색 수행, 결과 전송, 로그 이벤트 전달 |
전담부서 | <-----------------> 서비스 확인 요청 |
클라우드 사용부서 |
| 보안관제 | 클라우드 서비스 확인 | |||
| 보안 설정 적용 | ||||
| 이상행위 탐지 | <----------------->이상탐지 확인 요청 | 보안부서 | ||
| 보안 시나리오 개발 | ||||
| 보안 시나리오 개발 | 사고조사, 정기적인 보안 점검 |
3) 클라우드 보안설정과 보안점검 프로세스
- 경영층의 참여, CISO의 의지가 필요함
- 보안 담당자는 클라우드에 생성되는 자원의 버전과 원본 이미지에 대한 통제 권한, 스크립트를 통해 현황 정보를 모니터링하고 통제할 수 있는 권한이 필요함.
- 틀라우드 서비스별로 제공하는 자동화 기능과 신규 서비스에 대한 특성을 학습하고 자동화 개발을 수행할 수 있도록 역량 개발이 필요함.
- 보안설정 및 자동화 개발 프로세스의 예시
- 보안점검 자동화 프로세스
| CSP AtoZ | -------> | 전담부서 | -------------> 점검결과 전달 |
보안부서 | --------------> 취약점 결과 전달 및 조치요청 |
사용부서 |
| 보안설정점검 (자동화) |
보안점검 결과검증 부서별 취약점 조치 요청 이행 점검 |
보안설정 적용 서비스 상태 확인 |
- 보안점검 자동화 영역
 |
 |
3. 클라우드 보안 이슈 사례와 해결
- 보안 거버넌스 개선 프로세스
1) 개발자가 자주 변경되는 프로젝트 사례
(1) 보안 문제
- 보안관리 복잡도 증가 : 계정관리, 접근제어 관리, 방화벽 정책관리
- 보안관리 업무 부하(시간) : 개발자 변경 인력수 X 방화벽 정책 설정 시간 X 서비스 수
(2) 해결방안
기술적 통제방안
- 계정관리 솔루션 활용 : 방화벽 오픈, 서비스 계정 생성, 접근 등록을 위한 시간 절약
- 여러 클라우드 서비스 통합 계정 관리
- API를 활용한 스크립트 활용
자동화를 이용하여 작업 시간 최소화
계정, 삭제, 불필요한 접근 IP 삭제 등 작업 시 사전 영향도 검토 필요
관리적 통제방안
- 개발자별로 접근이 필요한 서버 목록만 접근하도록 통제
- 계정관리 시스템에서 개발자 복합 인증 및 IP 접근 통제 적용
2) 취약점 자동 점검 툴을 클라우드에 적용한 사례
(1) 보안 문제
클라우드 서비스별로 보안점검 결과 개별관리
- 서비스 보안점검 시 점검용 계정 생성 및 액세스 키 발급
- 개발서버, 테스트용 서비스 점검 누락 위험
- 보안점검에 많은 시간 필요
CASB, SECaaS 서비스 활용 시 기업의 필요 점검 항목 불일치
- 서비스에 대한 비용 추가 부담
- 특화된 보안점검 항목 적용을 위한 별도 요청 및 시간 필요
(2) 해결 방안
기술적 통제방안
- 보안점검 클라우드 구성
- 여러 클라우드 서비스를 상시 점검할 수 있도록 환경 구성
- 전체 클라우드 현황 대시보드 개발
- 보안 설루션 추가를 통해 보안 수준 향상
관리적 통제방안
- 클라우드 서비스 신규 구성시 보안점검용 클라우드 연계
- 클라우드 리소스 생성 시 네이밍 룰에 따라 네트워크와 서버 등의 자원 구성
3) 클라우드 신청, 해지 프로세스 개선 사례
(1) 보안 문제
- 미사용 클라우드 관리 누락
- 로그 설정 및 모니터링 대상 누락
- 해킹 공격에 대한 탐지 지연
- 클라우드 서비스 보안점검 활동에 장시간 소요
(2) 해결 방안
기술적 통제방안
- 계정 현황 API를 활용하여 6개월 이상의 비접속 계정에 대한 이력 검토
- 자원 사용현황 모니터링
관리적 통제방안
- 클라우드 서비스 운영 유형병 사용기간 제한
- 클라우드 전문 운영부서를 통해 관리되는 경우 1년 이상 허용
- 클라우드 사용 부서 자체적으로 운영하는 경우 사용목적에 따라 1년 미만으로 사용 허용
- 클라우드 전담부서에서 자체 운영 중이 클라우드 서비스의 경우 1년 경과 시 해지 요청
- 클라우드 사용부서에서 연장 사용 시 보안점검과 담당자 정보를 업데이트하여 재신청
클라우드X 보안 실무 가이드
COUPANG
www.coupang.com
"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."
728x90
'IT > 밥벌이 보안' 카테고리의 다른 글
| [MAC OS] MAC OS 보안 자동 설치 툴 (0) | 2021.08.21 |
|---|---|
| Github 소스 코드 취약점 점검 사이트_LGTM (0) | 2021.08.21 |
| [클라우드 보안] 클라우드 보안 서비스 (0) | 2021.08.21 |
| [클라우드 보안] 클라우드 환경에서의 보안 설정시 유의 사항 (0) | 2021.08.21 |
| [클라우드 보안] 클라우드 환경에서의 로그 종류 (0) | 2021.08.21 |
댓글