목록분류 전체보기 (15)
Hack3rSoltion의 클라우드 보안 이야기
개인적인 이유로 회사를 옮겼습니다.그래서 한동안 포스팅을 못했네요.포스팅을 기다려주신 많은 분들께 죄송합니다. 블록체인과 클라우드에 대한 두 번째 이야기를 이어나가겠습니다.사실 막상 포스팅을 하려고 자료를 찾고 공부를 하다보니 일반적인 금융권의 클라우드 사용패턴과 비슷하다는 것을 알게 되었습니다.블록체인의 특성을 이해한다면 클라우드를 사용했을 때 기대할 수 있는 장점은 다음과 같을 것 같습니다. 1. 암호화 a. 블록체인의 가장 대표적인 단점이 암호화로 인한 비효율성이라고 이전 포스팅에서 언급했습니다. b. 클라우드를 사용하면 성능측면에서 효율성을 기대할 수 있습니다. c. Auto Scale 기능을 생각해본다면 이해가 되실 겁니다. d. 클라우드 상에서 암호 알고리즘은 그대로 유지하되 처리하는 자원은 ..
개인적인 이유로 며칠 포스팅하지 못했습니다.그 사이 엄청난 일들이 있었네요.특히 암호화폐의 폭락은 많은 사람들을 걱정시키기에 충분했습니다.지금 현재 KORBIT에서 확인한 비트코인의 시세가 7,748,000(KRW)입니다.불과 한 달 전에 27,000,000(KRW)이 넘었던 걸 감안한다면 엄청난 하락폭을 보인 것입니다.저는 암호화폐를 거래하지 않기 때문에 금전적인 손해를 보지는 않았지만 주변에 많은 분들이 낙담하는 걸 들어야만 했죠.관심은 있었지만 주의깊게 살펴보지 않았던 암호화폐, 그 핵심 기술인 블록체인과 클라우드에 대해 얘기해볼까 합니다.참고로 아직 블록체인에 대해 공부하는 중이라 심도깊은 기술적인 내용을 다루지는 못할 것 같습니다.이 점 감안하고 이번 포스팅 봐주세요. BlockchainBloc..
오늘의 주제는 어쩌면 어려운 내용일 수 있습니다.클라우드 보안과 3rd Party 솔루션의 관계에 대해 얘기하려고 합니다.최근에 SECaaS를 제공하는 전문 보안업체를 만난 적이 있습니다.고객이 클라우드 보안에 대해 문의하면 대부분 솔루션으로 응대한다더군요.Google에서 '클라우드 보안'이라고 검색하면 무수히 많은 솔루션들이 출력됩니다.On-prem을 지원하던 보안 솔루션들이 클라우드에 최적화되어 판매되는 거죠.사용자 입장에서는 익숙한 솔루션을 사용할 수 있어서 매력적인 선택일 거라고 생각됩니다.이에 대해 저의 생각을 얘기해보겠습니다. 1. 3rd Party 솔루션은 클라우드 보안을 위한 하나의 도구일 뿐입니다.당연한 말입니다.이 말을 모르는 사람은 없을 것입니다.누구나 이렇게 생각할 것입니다.하지만 ..
AWS에는 많은 서비스들이 있습니다.보안 서비스들도 많죠.그중 가장 중요도가 높은 서비스가 무엇이냐고 저에게 묻는다면 저는 'AWS IAM'이라고 대답할 것입니다.AWS IAM은 사용자의 AWS 서비스와 리소스에 대한 액세스를 통제할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. 여기서 사용자는 사람이 될 수도 있고 EC2 등을 포함한 AWS의 서비스가 될 수도 있습니다.따라서 AWS IAM은 사람이나 AWS에 대한 모든 인증과 권한을 관리하는 막강한 서비스라고 할 수 있을 것입니다.어쩌면 AWS에서 제공하는 모든 서비스들 중에서 가장 설명하기 어려운 서비스일 것입니다.AWS IAM은 많은 사용경험을 바탕으로 노하우가 쌓여야만 ..
SECaaS 포스팅에서 언급됐던 CSA(Cloud Security Alliance)에서 '클라우드 컴퓨팅에 대한 주요 위협 : 산업계 인사이트 보고서'를 발간했습니다.솔직히 CSA가 클라우드 보안업계에 얼마나 영향력이 있는지는 모르겠으나 실제 산업계 보안 담당자들의 설문조사를 바탕으로 작성한 보고서라고 하니 살펴볼 필요는 있을 것 같습니다.사실 on-prem과 크게 다르지 않은 결과이기는 하지만 클라우드의 특성을 반영한 여러분들만의 인사이트가 더해지면 좋을 것 같습니다. 1. 데이터 유출데이터 유출은 표적 공격의 주 목표이기도 하지만 단순한 인간의 실수, 애플리케이션 취약점 또는 잘못된 보안 관행의 결과일 수도 있다. 유출되는 데이터에는 개인 건강 정보, 금융 정보, 개인 식별 정보, 영업 비밀, 지적 ..
오늘은 기본적인 보안의 틀을 제공하는 접근법에 대해 알아보겠습니다.소개해드릴 내용은 Security by Design입니다.보안 및 규정준수를 유지하기 위한 4단계 접근법을 주된 내용으로 하고 있습니다.상세 자료는 아래 링크를 클릭해주세요. http://d0.awsstatic.com/International/ko_KR/whitepapers/Compliance/Intro_to_Security_by_Design.pdf 저는 이 백서에서 안내하는 내용을 요약하고 실무에 적용될 수 있도록 저의 생각을 덧붙이겠습니다. Security by Design(이하 SbD)1. 서문 SbD는 여러 산업계, 표준 및 보안 기준 전체에서 대규모의 보안 및 규정 준수를 유지하기 위한 4단계 접근법을 포괄합니다. 보안 감사가 과..
첫 포스팅에서도 언급했지만 다시 한 번 정리해야 할 것 같습니다.처음부터 방문자가 많을 거라고 생각하지 않았지만 너무 없는 것 같아서요. 1. 보안과 클라우드에 대한 저의 경험을 정형화해서 문서로 만들어 보자.2. 그리고 내가 클라우드 보안을 처음 접했을 때 느꼈던 막막함을 똑같이 느낄 많은 보안담당자들에게 공유하자.3. 이것을 계기로 많은 사람과 소통하자. 시작은 이랬습니다.그래서 클라우드 보안, AWS 두 카테고리만 만들어서 포스팅을 하게 되었죠.물론 생각나는대로 포스팅하는 거라 순서는 뒤죽박죽입니다.하지만 너무 작은 부분에서 시작하기 보다는 큰 관점에서 접근하기로 했습니다.예를 들자면 이렇습니다. 클라우드 -> 보안 -> 계정/권한관리 -> AWS -> AWS IAM -> User/Policy/Ke..
Cloud Security에 관심있는 분이라면 SECaaS라는 단어를 들어보셨을 겁니다.'SECURITY as a Service' 즉, '서비스로써의 보안'이라는 의미입니다.On-prem과 Cloud는 비슷한듯 하면서도 참으로 많이 다릅니다.특히 보안의 경우 사상은 비슷하지만 적용방식이 달라 보안담당자들을 많이 당황스럽게 하죠.최근에 Cloud로 마이그레이션이 많이 이루어지다 보니 보안에는 크게 신경을 쓰지 못하는 경우가 생깁니다.그런데 마이그레이션 이후 안정화를 하는 과정에서 보안 요구사항들이 하나둘씩 나오기 시작하죠.하지만 막연함과 당황스러움은 여전합니다.그래서 인력이나 전문성이 없는 사용자는 전문서비스를 받기 원할 겁니다.SECaaS는 이렇게 생겨납니다. Cloud Security Alliance에..
오늘은 마지막으로 보안 체크리스트 S3에 대해 알아보겠습니다. 1. 공용 액세스 S3 버킷을 만들지 마세요. a. IAM 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 제어하세요. b. 버킷 정책을 설정할 때에는 다음과 같은 항목들을 고려해야 합니다. i. 추가 조건을 포함하여 여러 계정에 권한 부여 ii. 익명 사용자에게 읽기 전용 권한 부여 iii. 특정 IP 주소 액세스 제한 iv. 특정 HTTP 참조자에 대한 액세스 제한 v. Amazon CloudFront 오리진 자격 증명에 권한 부여 vi. MFA가 필요한 버킷 정책 추가 vii. 버킷 소유자가 완벽하게 제어할 수 있도록 보증하면서 객체에 업로드하는 교차 계정 권한 부여 viii. Amazon S3 인벤토리 및 Amazon S3 ..
어제에 이어 오늘은 보안 체크리스트 General에 대해 알아보겠습니다. 1. 암호화 된 EBS 볼륨만 사용하세요. a. 일반적인 AES-256 알고리즘을 사용하여 데이터, 스냅샷 및 디스크 I/O를 암호화하세요. b. 암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다. i. 볼륨 내부에 있는 데이터 ii. 볼륨과 인스턴스 사이에서 이동하는 모든 데이터 iii. 볼륨에서 생성된 모든 스냅샷 iv.그런 스냅샷에서 생성된 모든 볼륨 c. 암호화된 EBS 볼륨을 사용하는 건 데이터보안의 기본입니다. 2. VPC 플로우 로그를 활성화하세요. a. 추가 분석을 위해 VPC의 네트워크 인터페이스와 주고 받는 IP 트래픽을 수집합니다. b. 흐름 로그 레코드..