[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(56일차)
오늘 학습 주제
1. 클라우드 컴퓨팅 서비스 프레임워크 및 기술
2. 클라우드 컴퓨팅 서비스 보안
3. 클라우드 개인정보보호 아키텍처
4. CSAP 인증 클라우드 보안관리체계 컨설팅
클라우드 컴퓨팅 서비스 프레임워크 및 기술
- DevSecOps -
보안 코딩:
핵심 = CSD(Cloud Service Developer)
코딩이 시작되기 전에 개발자 교육 필요(적용 방안 등)
리포지토에 저장된 코드가 안전하게 저장되어 있는지 확인
빌드 되기 전에 코드의 오류 사항 분석(설계 요소에서 불필요한 코드 삽입, 오류 원인 분석 등)
보안과 관련된 클래스의 적용, 비밀번호 등의 암호/해쉬화 등 보안설계에 맞춰 코딩 확인
지속적 빌드, 통합 및 테스트:
빌드가 끝나면 성능에 대한 테스트 필요
개발된 프로그램을 블랙박스 형식으로 보안 취약점 확인(DAST)
지속적 전달 및 배포:
개발 환경과 운영 환경이 논리적으로 분리(환경분리)
런타임 보호 및 모니터링:
연 1회 이상 정기적인 취약점 점검
- 단일 테넌트 VS 멀티 테넌트 -
Tenant:
하나의 어플리케이션 또는 작은 단위의 워크 로드
| Single tenant | Multi Tenant | |
| 환경 | 하나의 소프트웨어와 지원 인프라가 단일 고객에게 제공되는 환경 |
소프트웨어 애플리케이션의 단일 인스턴스가 여러 고객에게 서비스를 제공하는 환경 |
| 특징 | - 고객은 자신만의 독립적인 데이터베이스와 소프트웨어 인스턴스를 보유 가능 - 공급자는 업데이트를 위해 소프트웨어의 여러 인스턴스를 접촉해야 함 |
- 사용자에게 인터페이스(UI)에 대한 일부 부분을 지정할 수 있는 기능이 주어질 수 있지만, 애플리케이션의 코드는 정의 불가 - 소프트웨어 개발과 유비보수 비용을 공유하기에 경제적 |
전세계적으로 One Shared Application and Separate Databses를 주로 사용
- 프로비저닝(Provisioning) -
사용자의 요구에 맞게 시스템 자체(인프라 자원, 서비스, 장비 등)를 제공하는 것
서버 리소스, 운영체제, 소프트웨어, 계정, 저장공간 등을 제공
- 클라우드 기반 VPC 아키텍처 -
클라우디 기반 3계층 가상 네트워크 보안 정책:
인터넷 게이트 웨이
내부망과 인터넷망의 1차적 차단
Subnet 수준의 NACL
IP 어드레스의 인바운드, TCP, 프로토콜의 통제
보안그룹(SG)
Stateful
3계층에서 가장 높은 방화벽
- VPC간 네트워크 연결 방식 -
| VPC Peering 방식 | |
| VPC간 1:1 연결 방식 제공이며 동일한 계정 또는 다른 계정에 있는 VPC 간에 비공개 연결을 설정하는 방법 |
▪ 사설 IP 사용 ▪ 동일 리전내 뿐 아니라 서로 다른 리전내 연결도 가능하다 ▪ IP가 중복이 있다면 VPC 간 피어링을 지원하지 않음 ▪ 두 VPC 간에 하나의 피어링 리소스만 설정할 수 있음 ▪ VPC간 다중 피어링 관계를 지원하지 않음 ▪ IGW(Internet Gateway) 또는 VGW(Virtual Private Gateway)가 필요하지 않음 ▪ 고가용성 연결 제공 ▪ 글로벌 AWS 백본에서 트래픽 유지 |
| AWS Direct Connect와 VGW 방식 개념 | |
| AWS Direct Connect와 VGW 방식 개념 | ▪ VGW는 VPC와 연결을 원할때 제공해 주는 엔드포인트(end point) 방식 ▪ Direct Connect와 함께 사용되어 동일한 리전의 동일한 계정에 있는 여러 VPC가 연결될 수 있는 기능이 도입됨 - VGW가 발표되기 이전에는 각 VPC에 대한 Direct Connect VIF(프라이빗 가상 인터페이스) 가 필요하여 1:1 상관 관계를 설정했는데, 이는 비용과 관리 오버헤드 면에서 모두 확장되지 않았음 ▪ VGW는 두 VPC가 동일한 지역, 동일한 계정에 있는 한 각 VPC에 대해 새로운 Direct Connect 회로를 요구하는 비용을 줄이는 솔루션이며, 이 구성은 Direct Connect 또는 Site-to-Site VPN과 함께 사용할 수 있음 |
| AWS TGW(Transit Gateway) | |
| AWS TGW (Transit Gateway) |
▪ Transit Gateway는 AWS의 이전 제품보다 향상된 라우팅 서비스를 제공 할 수 있도록 설계되었음 ▪ 초기 출시에 Transit Gateway는 Direct Connect를 지원하지 않았기 때문에 Siteto-Site VPN이 필요했으며,각 VPN 세션의 처리량은 1.25Gbps로 제한됨 - 이 이상으로 확장하려면 원하는 집계 대역폭에 도달하기 위해 여러 VPN 연결을 추가한 다음 모든 VPN 연결에서 다중 경로 트래픽에 ECMP를 활용해야 한다. ECMP를 사용하더라도 단일 흐름은 1.25Gbps로 제한된다. ▪ 장점 : Transit Gateway를 이용해 서로 다른 리전간, 서로 다른 계정간 다수의 VPC 를 연결 할 수 있음 |
- 클라우드 DMZ · Private 구조 개념 -
VRF:
하나의 라우터를 여러 개의 가상 라우팅 도메인으로 나누어
하나의 물리적 네트워크를 여러개의 프로토콜을 가진
논리적 네트워크로 구성하는 '네트워크 가상화'를 제공하는 기술
- 클라우드 네이티브 -
▪ 퍼블릭, 프라이빗, 하이브리드 클라우드 환경에서 확 장성 있는 애플리케이션을 만들고 운영할 수 있다
▪ 컨테이너, 서비스 메시, 마이크로서비스, 불변의 인프 라스트럭처, 그리고 선언적 API가 전형적인 접근 방식 에 해당한다 ▪ 회복성이 있고, 관리 편의성을 제공하며, 가시성을 갖 는 느슨하게 결합된 시스템을 사용할 수 있다
▪ 견고한 자동화와 함께 사용하면, 엔지니어는 최소한의 수고로 영향력이 크고 예측 가능한 변경을 할 수 있다
- Git vs GitHub -
| Git | Github | |
| • 로컬에서 관리되는 버전 관리 시스템 (VCS : Version Control System) • 소스코드 수정에 따른 버전을 관리해주는 시스템 |
• 클라우드 방식으로 관리되는 버전 관리 시스템(VCS) • 자체 구축이 아닌 빌려 쓰는 클라우드 개념 • 오픈소스는 일정 부분 무료로 저장 가능, 아닐 경우 유료 사용 |
.
클라우드 컴퓨팅 서비스 보안
- SSRM(Shared Security Responsibility Model, 공동 보안책임 모델) -
- 클라우드 컴퓨팅 보안 위협 요소 -
- 클라우드 컴퓨팅 보안 위협 요소 -
- Information Guvernance -
Data Security Lifecycle:
개인정보 수명주기 관리와 다르며
보안 대상의 다양한 요구 사항을 반영
높은 수준에서 데이터 보안을 평가하고 중점 사항을 찾는 데
도움을 주는 모델링 도구
생성된 데이터는 제한 없이 단계 사이를 이동 가능하며
모든 단계를 거치지 않을 수도 있음
- 클라우드 보안 문서체계 -
클라우드 개인정보보호 아키텍처
- 클라우드 개인정보보호 분야 -
클라우드 기반 개인정보보호 정책, 접근 통제, 권한관리:
클라우드 환경을 고려한 개인정보보호지침을 수립해야 함
책임추적성, 개인정보 식별, 인증:
클라우드 기반 개인정보처리시스템에 접속하는 모든 사용자에 대해
접속 로그를 기록하고, 업무 목적으로 생성한 개인정보는 모두 식별 관리
- 클라우드 접근 인프라스트럭처 -
CSAP 인증 클라우드 보안관리체계 컨설팅
- CSAP 인증제도 및 준비 프로세스-
신청기관(인증을 취득하고자 하는 기업)
평가기관(KISA)
- CSAP 인증지원 컨설팅 제출 문서 -
