목록2018/01 (13)
Hack3rSoltion의 클라우드 보안 이야기
오늘의 주제는 어쩌면 어려운 내용일 수 있습니다.클라우드 보안과 3rd Party 솔루션의 관계에 대해 얘기하려고 합니다.최근에 SECaaS를 제공하는 전문 보안업체를 만난 적이 있습니다.고객이 클라우드 보안에 대해 문의하면 대부분 솔루션으로 응대한다더군요.Google에서 '클라우드 보안'이라고 검색하면 무수히 많은 솔루션들이 출력됩니다.On-prem을 지원하던 보안 솔루션들이 클라우드에 최적화되어 판매되는 거죠.사용자 입장에서는 익숙한 솔루션을 사용할 수 있어서 매력적인 선택일 거라고 생각됩니다.이에 대해 저의 생각을 얘기해보겠습니다. 1. 3rd Party 솔루션은 클라우드 보안을 위한 하나의 도구일 뿐입니다.당연한 말입니다.이 말을 모르는 사람은 없을 것입니다.누구나 이렇게 생각할 것입니다.하지만 ..
AWS에는 많은 서비스들이 있습니다.보안 서비스들도 많죠.그중 가장 중요도가 높은 서비스가 무엇이냐고 저에게 묻는다면 저는 'AWS IAM'이라고 대답할 것입니다.AWS IAM은 사용자의 AWS 서비스와 리소스에 대한 액세스를 통제할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. 여기서 사용자는 사람이 될 수도 있고 EC2 등을 포함한 AWS의 서비스가 될 수도 있습니다.따라서 AWS IAM은 사람이나 AWS에 대한 모든 인증과 권한을 관리하는 막강한 서비스라고 할 수 있을 것입니다.어쩌면 AWS에서 제공하는 모든 서비스들 중에서 가장 설명하기 어려운 서비스일 것입니다.AWS IAM은 많은 사용경험을 바탕으로 노하우가 쌓여야만 ..
SECaaS 포스팅에서 언급됐던 CSA(Cloud Security Alliance)에서 '클라우드 컴퓨팅에 대한 주요 위협 : 산업계 인사이트 보고서'를 발간했습니다.솔직히 CSA가 클라우드 보안업계에 얼마나 영향력이 있는지는 모르겠으나 실제 산업계 보안 담당자들의 설문조사를 바탕으로 작성한 보고서라고 하니 살펴볼 필요는 있을 것 같습니다.사실 on-prem과 크게 다르지 않은 결과이기는 하지만 클라우드의 특성을 반영한 여러분들만의 인사이트가 더해지면 좋을 것 같습니다. 1. 데이터 유출데이터 유출은 표적 공격의 주 목표이기도 하지만 단순한 인간의 실수, 애플리케이션 취약점 또는 잘못된 보안 관행의 결과일 수도 있다. 유출되는 데이터에는 개인 건강 정보, 금융 정보, 개인 식별 정보, 영업 비밀, 지적 ..
오늘은 기본적인 보안의 틀을 제공하는 접근법에 대해 알아보겠습니다.소개해드릴 내용은 Security by Design입니다.보안 및 규정준수를 유지하기 위한 4단계 접근법을 주된 내용으로 하고 있습니다.상세 자료는 아래 링크를 클릭해주세요. http://d0.awsstatic.com/International/ko_KR/whitepapers/Compliance/Intro_to_Security_by_Design.pdf 저는 이 백서에서 안내하는 내용을 요약하고 실무에 적용될 수 있도록 저의 생각을 덧붙이겠습니다. Security by Design(이하 SbD)1. 서문 SbD는 여러 산업계, 표준 및 보안 기준 전체에서 대규모의 보안 및 규정 준수를 유지하기 위한 4단계 접근법을 포괄합니다. 보안 감사가 과..
첫 포스팅에서도 언급했지만 다시 한 번 정리해야 할 것 같습니다.처음부터 방문자가 많을 거라고 생각하지 않았지만 너무 없는 것 같아서요. 1. 보안과 클라우드에 대한 저의 경험을 정형화해서 문서로 만들어 보자.2. 그리고 내가 클라우드 보안을 처음 접했을 때 느꼈던 막막함을 똑같이 느낄 많은 보안담당자들에게 공유하자.3. 이것을 계기로 많은 사람과 소통하자. 시작은 이랬습니다.그래서 클라우드 보안, AWS 두 카테고리만 만들어서 포스팅을 하게 되었죠.물론 생각나는대로 포스팅하는 거라 순서는 뒤죽박죽입니다.하지만 너무 작은 부분에서 시작하기 보다는 큰 관점에서 접근하기로 했습니다.예를 들자면 이렇습니다. 클라우드 -> 보안 -> 계정/권한관리 -> AWS -> AWS IAM -> User/Policy/Ke..
Cloud Security에 관심있는 분이라면 SECaaS라는 단어를 들어보셨을 겁니다.'SECURITY as a Service' 즉, '서비스로써의 보안'이라는 의미입니다.On-prem과 Cloud는 비슷한듯 하면서도 참으로 많이 다릅니다.특히 보안의 경우 사상은 비슷하지만 적용방식이 달라 보안담당자들을 많이 당황스럽게 하죠.최근에 Cloud로 마이그레이션이 많이 이루어지다 보니 보안에는 크게 신경을 쓰지 못하는 경우가 생깁니다.그런데 마이그레이션 이후 안정화를 하는 과정에서 보안 요구사항들이 하나둘씩 나오기 시작하죠.하지만 막연함과 당황스러움은 여전합니다.그래서 인력이나 전문성이 없는 사용자는 전문서비스를 받기 원할 겁니다.SECaaS는 이렇게 생겨납니다. Cloud Security Alliance에..
오늘은 마지막으로 보안 체크리스트 S3에 대해 알아보겠습니다. 1. 공용 액세스 S3 버킷을 만들지 마세요. a. IAM 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 제어하세요. b. 버킷 정책을 설정할 때에는 다음과 같은 항목들을 고려해야 합니다. i. 추가 조건을 포함하여 여러 계정에 권한 부여 ii. 익명 사용자에게 읽기 전용 권한 부여 iii. 특정 IP 주소 액세스 제한 iv. 특정 HTTP 참조자에 대한 액세스 제한 v. Amazon CloudFront 오리진 자격 증명에 권한 부여 vi. MFA가 필요한 버킷 정책 추가 vii. 버킷 소유자가 완벽하게 제어할 수 있도록 보증하면서 객체에 업로드하는 교차 계정 권한 부여 viii. Amazon S3 인벤토리 및 Amazon S3 ..
어제에 이어 오늘은 보안 체크리스트 General에 대해 알아보겠습니다. 1. 암호화 된 EBS 볼륨만 사용하세요. a. 일반적인 AES-256 알고리즘을 사용하여 데이터, 스냅샷 및 디스크 I/O를 암호화하세요. b. 암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다. i. 볼륨 내부에 있는 데이터 ii. 볼륨과 인스턴스 사이에서 이동하는 모든 데이터 iii. 볼륨에서 생성된 모든 스냅샷 iv.그런 스냅샷에서 생성된 모든 볼륨 c. 암호화된 EBS 볼륨을 사용하는 건 데이터보안의 기본입니다. 2. VPC 플로우 로그를 활성화하세요. a. 추가 분석을 위해 VPC의 네트워크 인터페이스와 주고 받는 IP 트래픽을 수집합니다. b. 흐름 로그 레코드..
AWS에서는 보안 체크리스트를 제공하고 있습니다.크게 General, EC2/VPC/EBS, S3의 세가지 챕터로 나뉘어져 있는데 오늘은 General에 대해 알아보겠습니다. 1. Root Account를 보호하세요. a. 개인 키 뱅킹 액세스를 보호하는 것과 동일한 방법으로 액세스 키를 보호하세요. b. AWS는 물론 모든 클라우드 서비스에서 가장 기본이자 중요한 항목입니다. c. AWS 계정에 대한 액세스 키는 결제 정보를 포함하여 모든 AWS 서비스의 전체 리소스에 대해 완벽한 액세스 권한을 부여합니다. AWS 계정 액세스 키에 연결된 권한은 제한할 수 없습니다. d. 따라서 매우 강력한 장치들로 AWS 계정 액세스 키를 보호해야 합니다. i. AWS 계정에 대한 액세스 키가 아직 없다면 필요할 때..
예전에 클라우드 보안을 주제로 보안을 전공하는 학생들에게 강의를 한 적이 있습니다.사실 강의라고하지만 저는 주제만 정하고 자료는 따로 만들지 않는 편입니다.토크콘서트처럼 개괄적으로 이야기하고 참석자들이 궁금한 것을 질문하면 제가 답변하는 형식으로 진행하거든요.인상깊었던 점은 비즈니스를 위해 클라우드에 관심을 갖는 현업 담당자들과 달리 학생들은 조금 더 열린 마인드를 갖고 있었다는 점입니다.아무래도 기업의 보안 담당자는 본인의 의지와 상관없이 클라우드를 사용해야 하는 입장이지만,학생들은 배우는 입장이면서 활용에 제약이 없는 마인드셋을 가지고 있기 때문이 아닐까 생각합니다.이 글을 읽는 학생들을 위해 기억나는 몇 가지 질문에 대한 답변을 정리해보겠습니다.주제는 클라우드 보안이었지만 부제가 선배와의 대화였습니..