www.cloudsec.com | #cloudsec
사례로 살펴보는 클라우드성숙도 평가 Cloud SE
신덕문 | 싸이버원
01 필요성
#cloudsec
필요성
클라우드 구축은 했는데
보안은 어떻게 하지?
온프레미스처럼 똑같이 해야 하나?
구축한 클라우드는
보안 위협이 없나?
어떻게보안위협을확인할수있지?
마케팅 팀에서 운영하는 클라우드
서비스에 대한 취약점 진단 요청이
들어왔는데, 이건 어떻게 하지?
#cloudsec
클라우드 사용률 증가와 보안관리 수준 진단 요구 증가
전문 인력 부족과보안 통제의 어려움
필요성
클라우드 보안 수준에 대한평가가 어려움
클라우드 보안 수준에 대한평가가 어려움
02 개념
#cloudsec
ISMS-P 클라우드 보안
개념
Cloud SE : 클라우드 보안 진단 및 평가를 통한 성숙도 측정
퍼블릭 클라우드보안 평가
성숙도 측정
#cloudsec
ISMS-P 클라우드 보안
개념
Cloud SE : 클라우드 보안 진단 및 평가를 통한 성숙도 측정
성숙도 측정AWS보안 평가
03 특징
#cloudsec
특징 – AWS 보안 평가
AWS 보안 권고와 자체 개발한 보안 체크리스트 기반으로 진단
EC2 RDS S3 Log
AWS 보안 평가
#cloudsec
특징 – AWS 보안 평가
AWS 보안 평가 – EC2
▪ AWS 접근 패스워드 설정
▪ KMS 관리
▪ Multi Factor 인증
▪ 액세스 키
▪ 키 페어
▪ IAM 계정 보안
▪ IAM 보안 정책
공동영역 - 계정보안
▪ Security Group
▪ VPC 설정
▪ Elastic IP
▪ Routing Tables
▪ ACL
▪ NAT Gateway
▪ Internet Gateway
공동영역 – 네트워크 보안
EC2
#cloudsec
특징 – AWS 보안 평가
AWS 보안 평가 – RDS
▪ IAM 보안 정책 설정 (RDS)
▪ RDS 리소스 액세스 권한 관리
▪ RDS API 설정
▪ 서브넷 가용 영역
공동영역
▪ RDS 파라미터 관리
▪ MariaDB/MySQL 감사 플러그인 설정
▪ Oracle 기본 네트워크 암호화 (NNE) 설정
▪ Oracle SSL 설정
▪ Oracle APEX Listener 설정
옵션정책
RDS
#cloudsec
특징 – AWS 보안 평가
AWS 보안 평가 – S3
S3
공동영역
#cloudsec
특징 – AWS 보안 평가
AWS 보안 평가 – Log
▪ 계정 권한
▪ 암호화
▪ S3 MFA
▪ 페이로드
▪ 로그 집계
CloudTrail
▪ 모니터링 보안 로그
▪ S3 연동 보안 로그
▪ 액세스 권한
▪ 파일 스토리지
CloudWatch
▪ Oracle 보안 로그 설정
▪ MSSQL 보안 로그 설정
▪ MariaDB/MySQL 보안로그 설정
▪ PostgreSQL 보안 로그 설정
RDS 로깅
Log
#cloudsec
특징 – ISMS-P 클라우드 보안
클라우드 서비스의 관리자 권한과 보안 설정의 적정성 여부 검토
관리적 컨설팅 영역의 정책, 구성, 인증 등을 검토한 권고안
보안운영
검토
관리자
권한부여와책임
보안통제
정책수립이행
책임과
역할
04 작업 흐름도
#cloudsec
작업 흐름도
Cloud SE에 대한 작업 흐름도
취약점 점검 원인분석 및 보고사전준비
05 사례
#cloudsec
사례
요청사항
① 클라우드에서 관리상
취약할 수 있는 부분을
확인
② ISMS-P 심사에서
문제가 되는 부분을 확인
4
AWS 사용 기간
1년 6개월
2
사례 기업
인터넷 서비스 A 업체
1
AWS 사용 서비스
EC2, RDS, S3, ELB,
Route53, Gateway API
3
#cloudsec
사례
수행단계
① 관리자 계정 ID를
개수가 증가
② Security Group 설정
미비 및 관리자 계정
관리 소홀
5
공통 사항
① 보안 설정이 미비한
경우가 많음(평균 점수가
50점 미만이 경우)
② 불필요한 서비스
이용으로 요금 증가
6
#cloudsec
사례 - 보고서
#cloudsec
사례 – C Level 보고서
Ⅰ. 총평
보안 수준: 취약
클라우드에 대한 기술적 보안 진단 결과 전체적인 수준은 47.5%로
‘취약’ 수준으로 평가
A사의 클라우드 취약점 분석 체크리스트 기준 중 ‘EC2 공통영역 –
계정보안’ 의 보안수준 50%, ‘취약’, ‘EC2 공통영역 – 네트워크 보안’ 의
보안수준 65%, ‘취약’, ‘RDS 공통영역’ 의 보안 수준 60%로 ‘취약’, ‘RDS
옵션정책’ 의 보안 수준 0% ‘해당사항 없음’(N/A), ‘데이터 보안’ 의 보안
수준 20% ‘취약’, ‘Log 보안 정책’ 의 보안 수준 30% ‘취약’, ‘ISMS-P’의
보안 수준 50% ‘취약’ 수준으로 평가되었다.
100
90
80
70
60
50
40
30
20
10
AWS 보안 권고사항
‘IT 산업’의 업계 평균값으로
취약점 조치 시 참고
70%
47.5%
#cloudsec
사례 – C Level 보고서
Ⅱ. 진단 영역
EC2 공통영역 -계정보안
10 20 30 40 50 60 70 80 90 100
EC2 공통영역 -네트워크 보안
RDS 공통영역
RDS 옵션정책
50.0%EC2 공통영역 –계정보안
취약
‘KMS 관리’, ‘액세스 키’, ‘IAM 보안 정책’, ‘IAM 계정 보안
‘ 항목이 50% ‘취약’ 수준으로 확인
65.0%EC2 공통영역 –네트워크 보안
취약
‘Security Group’, ‘Internet Gateway’, ‘Routing Tables’ 항목이 65% ‘취약’
수준으로 확인
60.0%RDS 공통영역
취약
‘RDS API 설정’ 항목이 0.0% ‘취약’ 수준으로 확인
0%RDS 옵션정책
취약
0.0% ‘해당사항 없음’ 수준으로 확인
#cloudsec
사례 – C Level 보고서
Ⅱ. 진단 영역
데이터 보안
10 20 30 40 50 60 70 80 90 100
Log 보안
ISMS-P 보안통제
20.0%데이터 보안
취약
‘버킷 보안 설정’, ‘암호화 설정’, ‘IAM 보안 정책 설정 (S3)’ 항목이 20%
‘취약’ 수준으로 확인
30.0%Log 보안
취약
‘CloudTrail 로그 수집 설정’, ‘CloudWatch 로그 수집 설정’, ‘CloudWatch
수집 로그 권한 설정’ 항목이 30% ‘취약’ 수준으로 확인
50.0%ISMS-P 보안통제
취약
‘관리자 권한 부여와 책임’ 항목이 0.0% ‘취약’ 수준으로 확인
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역EC2 공통영역 – 계정보안
50%EC2 공통영역 –
계정보안
EC2 공통영역 –
계정보안
‘KMS 관리’, ‘액세스 키’, ‘IAM
보안 정책’, ‘IAM 계정 보안
‘ 항목이 50% ‘취약’
수준으로 확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
EC2-001 100%HAWS 접근 패스워드 설정
EC2-002 0.0%HKMS 관리
EC2-003 100%MMulti Factor 인증
EC2-004 0.0%H액세스 키
EC2-005 100%L키 페어
EC2-006 50%HIAM 계정 보안
EC2-007 0.0%HIAM 보안 정책
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역EC2 공통영역 – 네트워크 보안
65%EC2 공통영역 –
네트워크 보안
EC2 공통영역 –
네트워크 보안
‘Security Group’, ‘Internet
Gateway’, ‘Routing Tables’
항목이 65% ‘취약’
수준으로 확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
VPC-001 50%HSecurity Group
VPC-002 100%MVPC 설정
VPC-003 100%LElastic IP
VPC-004 0.0%LRouting Tables
VPC-005 100%HACL
VPC-006 100%LNAT Gateway
VPC-007 0.0%MInternet Gateway
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역RDS 공동영역
60%RDS 공통영역
RDS 공통영역
‘RDS API 설정’ 항목이 0.0%
‘취약’ 수준으로 확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
RDS-001 100%HIAM 보안 정책 설정 (RDS)
RDS-002 100%MRDS 리소스 액세스 권한 관리
RDS-003 0.0%LRDS API 설정
RDS-004 N/AM서브넷 가용 영역
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역RDS 옵션정책
0.0%RDS 옵션정책
RDS 옵션정책
0.0% ‘해당사항 없음’(N/A)
수준으로 확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
RDS-O-001 N/ALRDS 파라미터 관리
RDS-O-002 N/ALMariaDB/MySQL 감사 플러그인 설정
RDS-O-003 N/AMOracle 기본 네트워크 암호화 (NNE) 설정
RDS-O-004 N/ALOracle SSL 설정
RDS-O-005 N/ALOracle APEX Listener 설정
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역데이터보안
데이터보안
‘버킷 보안 설정’, ‘암호화
설정’, ‘IAM 보안 정책 설정
(S3)’ 항목이 20% ‘취약’
수준으로 확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
S3-001 0.0%M버킷 보안 설정
S3-002 0.0%H암호화 설정
S3-003 100%M로그 파일의 수집 및 권한 설정
S3-004 0.0%HIAM 보안 정책 설정 (S3)
20%데이터 보안
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역Log 보안정책
Log 보안정책
‘CloudTrail 로그 수집 설정’,
‘CloudWatch 로그 수집 설정’,
‘CloudWatch 수집 로그 권한
설정’ 항목이 30% ‘취약’
수준으로 확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
LOG-101 0.0%MCloudTrail 로그 수집 설정
LOG-102 100%HCloudTrail 각 계정 권한 설정
LOG-103 0.0%MCloudWatch 로그 수집 설정
LOG-104 0.0%HCloudWatch 수집 로그 권한 설정
LOG-105 N/AMOracle 보안 로그 설정
LOG-106 N/AMMSSQL 보안 로그 설정
LOG-107 N/AMMariaDB/MySQL 보안 로그 설정
30%Log 보안 정책
#cloudsec
사례 – C Level 보고서
Ⅲ. 상세 영역ISMS-P 클라우드 보안
ISMS-P
클라우드 보안
‘관리자 권한 부여와 책임’
항목이 0.0% ‘취약’ 수준으로
확인
취약점 진단 항목별 통계
분류 보안수준중요도진단항목
ISMSP-001 100%M책임과 역할
ISMSP-002 100%M보안통제 정책 수립/이행
ISMSP-003 0.0%H관리자 권한 부여와 책임
ISMSP-004 N/AM보안운영 검토
50%ISMS-P 클라우드 보안
06 도입 효과
#cloudsec
도입 효과
Cloud SE 도입 효과
보안관제추가
보안관제와 연계된 지속적인 보안관리 및 모니터링
보안관제와 연계된 지속적인 보안관리 및 모니터링
성숙도가 높은클라우드 보안관리 유지
지속적인 보안관리 및모니터링이 가능
체계화된 클라우드 보안 정책 및 운영 가능효과 Ⅰ
개선 가이드에 따른 클라우드 보안 강화효과 Ⅱ
#cloudsec
도입 효과
클라우드성숙도진단이필요한분
체계화된클라우드보안정책및운영이필요한분
부스, 영업대표에게문의주세요