목록분류 전체보기 (15)
Hack3rSoltion의 클라우드 보안 이야기
AWS에서는 보안 체크리스트를 제공하고 있습니다.크게 General, EC2/VPC/EBS, S3의 세가지 챕터로 나뉘어져 있는데 오늘은 General에 대해 알아보겠습니다. 1. Root Account를 보호하세요. a. 개인 키 뱅킹 액세스를 보호하는 것과 동일한 방법으로 액세스 키를 보호하세요. b. AWS는 물론 모든 클라우드 서비스에서 가장 기본이자 중요한 항목입니다. c. AWS 계정에 대한 액세스 키는 결제 정보를 포함하여 모든 AWS 서비스의 전체 리소스에 대해 완벽한 액세스 권한을 부여합니다. AWS 계정 액세스 키에 연결된 권한은 제한할 수 없습니다. d. 따라서 매우 강력한 장치들로 AWS 계정 액세스 키를 보호해야 합니다. i. AWS 계정에 대한 액세스 키가 아직 없다면 필요할 때..
예전에 클라우드 보안을 주제로 보안을 전공하는 학생들에게 강의를 한 적이 있습니다.사실 강의라고하지만 저는 주제만 정하고 자료는 따로 만들지 않는 편입니다.토크콘서트처럼 개괄적으로 이야기하고 참석자들이 궁금한 것을 질문하면 제가 답변하는 형식으로 진행하거든요.인상깊었던 점은 비즈니스를 위해 클라우드에 관심을 갖는 현업 담당자들과 달리 학생들은 조금 더 열린 마인드를 갖고 있었다는 점입니다.아무래도 기업의 보안 담당자는 본인의 의지와 상관없이 클라우드를 사용해야 하는 입장이지만,학생들은 배우는 입장이면서 활용에 제약이 없는 마인드셋을 가지고 있기 때문이 아닐까 생각합니다.이 글을 읽는 학생들을 위해 기억나는 몇 가지 질문에 대한 답변을 정리해보겠습니다.주제는 클라우드 보안이었지만 부제가 선배와의 대화였습니..
대답에 앞서 다른 질문을 던져보겠습니다.클라우드에서 모니터링은 얼마나 중요할까요?클라우드를 잘 구축해서 운영하는 게 중요한만큼 모니터링도 중요합니다.사실 클라우드를 잘 구축해서 운영한다는 말과 모니터링을 잘 한다는 말은 같은 의미라고 해도 무방하겠죠.이제 첫 질문으로 돌아가보겠습니다.클라우드에서도 보안관제가 필요할까요?앞서 모니터링이 중요하다는 대답을 기억한다면 이런 말도 맞는 말이라는 걸 어렵지 않게 알 수 있습니다.'보안' 모니터링도 중요하죠.보안 모니터링에 대응 프로세스가 더해지면 이게 곧 클라우드 보안관제가 됩니다.그렇습니다.클라우드에서도 보안관제는 필요하며 매우 중요한 모니터링 요소입니다. 그렇다면 정말 궁금한 질문에 대한 답을 찾아봅시다.1. 기존 IDC 보안관제처럼 클라우드 보안관제를 할 수..
제목을 CLOUD SECURITY라고 하였지만 사실 정확한 표현이라고 할 수는 없습니다.CLOUD SECURITY는 AWS, MS Azure, Goolge Cloud Flatform과 같은 cloud service provider의 역할이기 때문입니다.그렇다면 우리의 역할은 무엇이라고 불러야 할까요?CLOUD SERVICE SECURITY라고 하는 게 옳다고 봅니다.모든 CSP(Cloud Service Provider)는 책임공유모델(Shared Responsibility Model)을 제시하고 있습니다.정확히는 클라우드 보안을 세부 요소로 나누고 이에 대한 책임을 서로 나누어 가진다는 의미로 받아들이는 게 맞겠네요. 아래는 AWS의 책임공유모델입니다. CSP인 AWS는 물리적 서버와 네트워크, 제공하는..
저는 보안 업계에서 10 년 이상 종사해 왔습니다.보안 엔지니어로 시작해 솔루션 영업과 Project Manager를 거쳐 IT기업에서 보안사업기획을 담당하다 최근 몇 년간 클라우드 보안 주된 업무로 하게 되었습니다. 많은 기업에서 클라우드를 도입하고자 하지만 경험도 없고 자료도 뜬구름 잡는 것들만 잔뜩 있어 매우 혼란스러워 하십니다.특히, 보안담당자들이 더욱 그렇습니다.클라우드는 기존과 다른 접근방식을 요구하기 때문에 보안 관점에서도 어려움이 많다고 합니다. 저도 정리가 안 되는 저의 경험을 이 곳에 하나씩 풀어보며 클라우드 보안에 관심을 갖고 계신 많은 분들과 정보를 공유하고자 합니다.부디 많은 도움이 되기를 바랍니다. 질문이나 의견이 있다면 언제든지 hack3rsolution@gmail.com으로 ..