[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(54일차)
오늘 학습 주제
1. 클라우드 컴퓨팅 서비스 아키텍처
2. 클라우드 컴퓨팅 서비스 프레임워크 및 기술
클라우드 컴퓨팅 서비스 아키텍처
- SaaS의 주요 특징 -
클라우드 컴퓨팅의 완성형
테넌트:
사용자 별로 격리된 환경으로 다음의 5가지를 포함
Application & Data - 사용자가 독점적으로 이용하는 응용SW와 데이터
보안 - 테넌트는 작은 단위의 컴퓨터이기 때문에 보안을 적용
가용성 - 구성요소에 대한 요건
확장성 - 스케일 아웃 등에 대한 대비로 사용자 증가에 따른 확장성 고려
과금 - 사용량 측정 및 과금
- 클라우드 컴퓨팅 참조 아키텍처 -
CSC, CSP, CSC 모두가 지켜야 할 역할 | |
감사 가능성 | 클라우드 컴퓨팅 서비스의 서비스, 보안적인 측면을 지원 |
클라우드 가용성 | 연속성을 보장 |
거버넌스 | |
상호운용성 | 가상머신과의 호환성 |
유지보수 및 버너닝 | 유지보수 계약 필요, 문제 발생시 버전 롤백 |
클라우드 성능 | 서비스 수준 협약과 관련 |
이식성 | 다른 클라우드 컴퓨팅 시스템에 대한 데이터 이식이 가능해야 함 |
개인식별정보 보호 | • 관련 법령이나 규정 확인 - 개인정보보호법 - 개인정보의 안전성 확보조치 기준 • 클라우드 기반의 개인정보 처리 시스템 확인 - 개인정보처리시스템 내 개인식별정보(PII) 조사 - 관련 법률/규정 등에 의거하여, 개인식별정보의 암호화 대상, 접근통제, 접근권한 등 적용여부 검토 - 클라우드 기반 개인정보처리시스템 아키텍처 검토 (개인식별정보가 처리되는 흐름 과정에 대한 분석 • 개인정보의 기술/관리적 보호 조치 적용) - 개인식별정보 처리에 관련한 통신구간 - 개인정보취급자에 대한 IAM 사용자 계정의 접근권한의 적절성, 접근권한의 기록(3년 보관) - 개인식별정보의 법적 암호화 대상 여부 파악 및 적용 - 클라우드 기반 개인정보처리시스템의 정보보호시스템 구성 여부 (침입차단시스템, WAF, 개인정보의 이상탐지 부문 등) - 개인정보취급자에 대한 IAM 계정 생성, 권한부여ㅡ 권한변경, 삭제에 관련한 승인 프로세스 - 클라우드 기반 개인정보처리시스템에 대한 접속기록 여부 확인 (클라우드 컴퓨팅 시스템에서 각종 로그 저장설정 확인) > 최소 1년 이상 보관 |
회복력 | 장애 복구에 대한 솔루션 Failover 장애처리 Failback 장애복구 |
가역성 | 클라우드 컴퓨팅 서비스가 이용종료 되었을 때 가상 자원을 회수 또는 완전 삭제 |
규제 준수 | • 클라우드 컴퓨팅 법 - 제22조(상호 운용성), 제23조(신뢰성 향상) • 클라우드컴퓨팅서비스 보안인증에 관한 고시: [별표 1] ~ [별표 4] < 공공기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치 • 정보통신망법 및 동법 시행령 • 개인정보보호법, • 개인정보의 안전성 확보조치 기준 - 정보통신사업자에 대한 개인정보의 기술적/관리적 보호조치 기준 = 삭제, 개인정보의 안전성 확보조치 기준에 통합 • 국가 정보보안 기본 지침(공공기관 대상) • 전자금융감독규정 및 동 규정 전자금융감독규정시행세칙(금융회사, 전자 금융업자 대상) |
클라우드 보안 | 국제기준과 국내기준 |
서비스 수준 협약 | SLA |
CSC가 지여야 할 역할:
클라우드 서비스 사용자(CSU)
클라우드 서비스 관리자(Administrator)
클라우드 서비스 비즈니스 관리자
- 자신이 사용한 만큼 금액 청구
- 별도의 서비스 지원 관리
클라우드 서비스 통합자
-
CSP가 지켜야 할 제공자 역할:
클라우드 서비스 운영 관리자
클라우드 서비스 배포 관리자
클라우스 서비스 관리자
클라우드 서비스 비즈니스 관리자
- 비용, 영업 관리
고객지원 및 관리 담당자
- 컨텍 포인트
클라우드 간 제공자(Inter-Cloud)
클라우드 서비스 보안 및 위험 관리자
- 규제 준수, 취약점 분석, 보안 요건 등 지원
- 정기적으로 취약점 분석평가, 보안 감사를 통해 위험 관리
네트워크 제공자(VPC)
CSN이 지켜야 할 역할:
클라우드 서비스 개발자(CSD)
클라우드 서비스 브로커(CSB)
클라우드 서비스 감사자
- 클라우드 컴퓨팅 참조 아키텍처: 계층 -
자원: 리소스
서비스 계층: 이용자가 이용하는 클라우딩 서비스(계정 관리, DB관리 등)
접근 계층: 사용자에 대한 계정과 정책, 권한, 네트워크에 대한 접근 통제 등
사용자 계층: 사용자가 실제 이용하는 데이터, 애플리케이션 등
클라우드 컴퓨팅 서비스 프레임워크 및 기술
-Cloud Well-Architected Framework:Security 모범 사례 -
운영 우수성: 활용가치, 설계
보안 | |
보안 개념 및 모범사례 참조링크 |
워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용해야 함 조직 및 워크로드 수준에서 운영 우수성에 정의된 요구 사항과 프로세스를 가져와 모든 영역에 적용 |
워크로드를 안전하게 운영 |
• 워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용해야 함 • 조직 및 워크로드 수준에서 운영 우수성에 정의된 요구 사항과 프로세스를 가져와 모든 영역에 적용 • AWS의 권장 사항, 업계 리소스 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 되며, 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장할 수 있음 |
자격 증명 및 액세스 관리 |
• 자격 증명 및 액세스 관리는 정보 보안 프로그램의 핵심 요소로, 허가되고 인증된 사용자 및 구성 요소에 한해 허용되는 방식으로만 리소스에 액세스할 수 있도록 하는 것을 말함 • 예를 들어 보안 주체(계정에서 작업을 수행할 수 있는 계정, 사용자, 역할 및 서비스)를 정의하고, 이러한 보안 주체에 맞게 정의된 정책을 구축하고, 강력한 자격 증명 관리를 구현하며, 이러한 권한 관리 요소가 인증 및 권한 부여의 핵심 개념을 가짐 • AWS에서는 기본적으로 AWS 서비스 및 리소스에 대한 사용자 및 프로그램 액세스를 고객이 직접 제어할 수 있도록 하는 AWS Identity and Access Management(IAM) 서비스로 권한 관리를 지원 • 사용자, 그룹, 역할 또는 리소스에 대한 권한을 세부 정책으로 지정할 수 있음. 또한 복잡성, 재사용, 멀티 팩터 인증(MFA) 등 강력한 암호를 요구할 수 있는 기능도 있음 • 기존의 디렉터리 서비스와 연동되도록 할 수도 있으며, 시스템이 AWS에 액세스해야 하는 워크로드의 경우 IAM이 역할, 인스턴스 프로파일, 아이덴티티 페더레이션, 임시 보안 인증 정보를 통해 보안 액세스를 보장함 |
사람과 시스템에 대한 자격 증명 관리방법 | • 안전한 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있음. 액세스 권한을 관리하고 부여하는 데 필요한 자격 증명의 유형을 이해하면 적절한 자격 증명이 적절한 조건에서 적절한 리소스에 액세스할 수 있도록 보장할 수 있음 • 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경과 애플리케이션에 액세스하려면 자격 증명이 필요함. 이들은 조직의 구성원이거나 협업하는 외부 사용자로, 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구를 통해 AWS 리소스와 상호작용함 |
자격 증명 및 액세스 관리 | |
사람과 시스템에 대한 자격 증명 관리방법 | • 시스템 자격 증명: 서비스 애플리케이션, 운영 도구 및 워크로드에서 AWS 서비스에 요청하려면 (예: 데이터 읽기) 자격 증명이 필요함 • 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같이 AWS 환경에서 실행되는 시스템이 포함됨 • 액세스가 필요한 외부 당사자의 시스템 자격 증명을 관리할 수도 있고 또한 AWS 환경에 액세스해야 하는 시스템이 AWS 외부에 있을 수도 있음 |
사람과 시스템에 대한 권한 관리방법 | • AWS 및 워크로드에 액세스해야 하는 사람 및 시스템 자격 증명에 대한 액세스를 제어하는 권한을 관리함 • 권한은 누가 어떤 조건에서 무엇에 액세스할 수 있는지를 제어함 |
자격 증명 | • 자격 증명은 어떠한 사용자 또는 시스템과도 공유할 수 없음 • 사용자 액세스 권한은 암호 요구 사항 및 MFA 적용을 포함하는 모범 사례와 함께 최소한의 권한 접근 방식을 사용하여 부여해야 함 • AWS 서비스에 대한 API 호출을 포함한 프로그래밍 방식의 액세스는 AWS Security Token Service에서 발 |
탐지 | |
탐지 개념 | • 유형 식별을 통해 대응 체계를 마련 • 탐지에 대하여 로그를 기록하고 모니터링(탐지와 관련된 시스템이 구현되어야 한다) ex) SIEM 등 • 로그 관리를 통해 추적이 가능해야 한다 |
보안 관련 이벤트 감지 방법 |
이벤트는 로그와 지표에서 캡처하고 분석하는 방식으로 파악할 수 있으며, 보안 이벤트 및 잠재적 위협에 대한 조치를 취하면 워크로드를 보호할 수 있음 |
탐지 관련 로그 관리 | • Well-Architected 워크로드에서 로그 관리가 중요한 이유는 보안 또는 포렌식부터 규제 또는 법적 요구 사항에 이르기까지 다양함 • 잠재적 보안 인시던트를 식별하려면 로그를 분석하고 이에 대응해야 함 • AWS에서는 데이터 보존 기간을 지정하거나 데이터를 보존, 아카이빙 또는 최종적으로 삭제할 위치를 정의할 수 있어 로그 관리를 보다 쉽게 구현하는 기능을 제공함 • 이렇게 하면 더 단순하고 경제적인 방식으로, 예측 가능하고 안정적으로 데이터를 처리할 수 있음 |
인프라 보호 | |
인프라 보호 개념 | • 모범 사례와 업계 규정 또는 규제 의무를 준수하기 위해서는 인프라 보호가 필요하며, 여기에는 심층 방어 및 MFA(멀티 팩터 인증) 등의 제어 방법이 포함됨 • 지속적으로 클라우드 또는 온프레미스에서 작업을 성공적으로 수행하려면 반드시 이러한 방법을 사용해야 함 • AWS에서는 AWS 기본 지원 기술을 사용하거나 AWS Marketplace에서 제공되는 파트너 제품및 서비스를 사용하여 상태 저장 및 상태 비저장 방식의 패킷 검사를 구현할 수 있음 • Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 안전하고 확장 가능한 프라이빗 환경을 만들고, 여기에서 게이트웨이, 라우팅 테이블, 퍼블릭 및 프라이빗 서브넷 같은 토폴로지를 정의해야 함 |
네트워크 리소스 보호 방법 |
인터넷이든 프라이빗 네트워크이든 상관없이 어떤 형태든 네트워크 연결이 있는 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하기 위한 다중 방어 계층이 필요 |
컴퓨팅 리소스 보호 방법 |
• 워크로드의 컴퓨팅 리소스는 다계층 방어를 통해 내/외부 위협으로부터 보호해야 함 • 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함 |
다단계 보안 방어 계층 적용 |
• 어떤 환경이든 여러 단계의 방어 계층을 두는 것이 좋음 • 인프라 보호의 경우 클라우드 및 온프레미스 모델을 망라하여 효과를 발휘하는 다양한 인프라 보호 개념과 방법이 있음 • 경계 보호를 적용하고, 수신 및 송신 지점을 모니터링하고, 종합적인 로깅과 모니터링, 알림을 이용하는 것은 모두 효과적인 정보 보안 계획의 핵심 요소임 |
가상 서버 (인스턴스) 보안 강화 |
• AWS 고객은 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Container Service (Amazon ECS) 컨테이너 또는 AWS Elastic Beanstalk 인스턴스의 구성을 맞춤 조정하거나 강화할 수 있고, 변경 불가능한 Amazon Machine Image(AMI)를 통해 이러한 구성을 유지할 수 있음 • 이렇게 하면 Auto Scaling에 의한 트리거 또는 수동 방식을 통해 이 AMI로 실행되는 모든 새 가상 서버 (인스턴스)가 이 강화된 구성을 얻게 됨 |
데이터 보호 | |
데이터 보호 구현방안 |
• 시스템을 설계하려면 먼저 보안과 관련된 기본적인 관례부터 마련해야 함. 예를 들어 데이터 분류는 민감도에 따라 조직의 데이터를 구분하는 하나의 방법이고 암호화는 무단 액세스 사용자가 데이터를 해석하지 못하게 만들어 데이터를 보호하는 방법임 • 이는 금전적 손해 방지 또는 규제 의무 준수 등 목표 달성을 뒷받침하는 중요한 도구이자 기법임 • 데이터 거버넌스, 데이터 분류체계 마련 |
데이터 분류 |
인터넷이든 프라이빗 네트워크이든 상관없이 어떤 형태든 네트워크 연결이 있는 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하기 위한 다중 방어 계층이 필요 |
저장된 데이터 보호 |
• 워크로드의 컴퓨팅 리소스는 다계층 방어를 통해 내/외부 위협으로부터 보호해야 함 • 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함 |
전송중인 데이터 보호 |
• 어떤 환경이든 여러 단계의 방어 계층을 두는 것이 좋음 • 인프라 보호의 경우 클라우드 및 온프레미스 모델을 망라하여 효과를 발휘하는 다양한 인프라 보호 개념과 방법이 있음 • 경계 보호를 적용하고, 수신 및 송신 지점을 모니터링하고, 종합적인 로깅과 모니터링, 알림을 이용하는 것은 모두 효과적인 정보 보안 계획의 핵심 요소임 |
데이터 및 전송 데이터에 대한 암호화 방법 |
• AWS 고객은 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Container Service (Amazon ECS) 컨테이너 또는 AWS Elastic Beanstalk 인스턴스의 구성을 맞춤 조정하거나 강화할 수 있고, 변경 불가능한 Amazon Machine Image(AMI)를 통해 이러한 구성을 유지할 수 있음 • 이렇게 하면 Auto Scaling에 의한 트리거 또는 수동 방식을 통해 이 AMI로 실행되는 모든 새 가상 서버(인스턴스)가 이 강화된 구성을 얻게 됨 |
사고 대응 | |
사고대응 개념 |
• 고도의 예방 및 탐지 제어를 사용하더라도 조직은 잠재적 보안 인시던트에 대응하고 그 영향을 완화하기 위한 프로세스를 마련해야 함 • 워크로드의 아키텍처가 인시던트 발생 시 보안 팀이 효과적으로 시스템을 격리 또는 억제하고 운영을 알려진 정상 상태로 복구하는 능력에 지대한 영향을 미침 • 보안 인시던트 보다 앞서 도구 및 액세스를 마련하고 실전 연습을 통해 인시던트 대응을 정기적으로 연습한다면 아키텍처가 적기에 조사 및 복구를 수용할 수 있게 할 수 있음 |
인시던트 예상 및 대응 사후 복구 |
• 무단 액세스 또는 취급 부주의의 위험을 줄이기 위해 여러 제어 기능을 구현하여 저장된 데이터를 보호함 • 보안 팀에게 신속하게 액세스를 부여할 수 있는 절차를 마련하고 인스턴스 격리와 포렌식을 위해 데이터 및 상태 캡처를 자동화함 |
-Cloud Well-Architected Framework: AWS 기반 -
구상 → 조정 → 시작 → 확장 → 구상
클라우드 혁신 여정 4개 영역 | |
구상 | 구상 단계에서는 클라우드가 비즈니스 성과 달성을 가속화하는 데 어떤 도움이 되는지 입증하는 데 중점을 둡니다. 전략적 비즈니스 목표에 맞춰 네 가지 혁신 영역에서 각각 혁신 기회를 포착하고 혁신 기회의 우선순위를 지정합니다. 혁신 이니셔티브에 주요 이해관계자(변화에 영향력을 행사하고 변화를 추진할 수 있는 고위직)를 참여시키고 혁신 이니셔티브의 비즈니스 이익을 수치화 하여 혁신 여정을 진행하는 동안 가치를 입증할 수 있습니다. |
조정 | 조정 단계에서는 AWS CAF 의 여섯 관점에서 봤을 때 부족한 역량을 찾아내고, 조직 간 종속성을 파악하고, 이해관계자의 우려점과 도전 과제를 표면화 하는 데 중점을 둡니다. 이를 통해 클라우드 준비 상태를 개선할 전략을 구상하고, 이해관계자 사이를 조율하고, 관련 조직 변화 관리 활동을 촉진할 수 있습니다. |
시작 | 시작 단계에서는 프로덕션 과정 중 파일럿 이니셔티브를 전달하고, 증분적 비즈니스 가치를 입증하는 데 중점을 둡니다. 파일럿 이니셔티브는 매우 유의미해야 합니다. 파일럿 이니셔티브가 성공할 경우 향후 향방에 영향을 미칠 수 있습니다. 파일럿 이니셔티브를 통해 습득한 경험을 바탕으로 정식 프로덕션으로 넘어가기 전에 접근 방식을 조정할 수 있습니다 |
확장 | 확장 단계에서는 프로덕션 파일럿 이니셔티브와 비즈니스 가치를 원하는 규모로 확장하고, 클라우드 투자 관련 비즈니스 이익을 실현하고 유지하는 데 중점을 둡니다. 스케일 아웃등의 확장 단계 |
- Cloud Native 구성요소 -
현대적 클라우드 기반 응용프로그램의 환경을 의미
Container DevOpsCI/CD(Continous Integration and Continus Development, 지속적 통합 개발)MSA(Micro Service Architecture)