www.cloudsec.com | #cloudsec

사례로 살펴보는 클라우드성숙도 평가 Cloud SE

신덕문 | 싸이버원

01 필요성

#cloudsec

필요성

클라우드 구축은 했는데

보안은 어떻게 하지?

온프레미스처럼 똑같이 해야 하나?

구축한 클라우드는

보안 위협이 없나?

어떻게보안위협을확인할수있지?

마케팅 팀에서 운영하는 클라우드

서비스에 대한 취약점 진단 요청이

들어왔는데, 이건 어떻게 하지?

#cloudsec

클라우드 사용률 증가와 보안관리 수준 진단 요구 증가

전문 인력 부족과보안 통제의 어려움

필요성

클라우드 보안 수준에 대한평가가 어려움

클라우드 보안 수준에 대한평가가 어려움

02 개념

#cloudsec

ISMS-P 클라우드 보안

개념

Cloud SE : 클라우드 보안 진단 및 평가를 통한 성숙도 측정

퍼블릭 클라우드보안 평가

성숙도 측정

#cloudsec

ISMS-P 클라우드 보안

개념

Cloud SE : 클라우드 보안 진단 및 평가를 통한 성숙도 측정

성숙도 측정AWS보안 평가

03 특징

#cloudsec

특징 – AWS 보안 평가

AWS 보안 권고와 자체 개발한 보안 체크리스트 기반으로 진단

EC2 RDS S3 Log

AWS 보안 평가

#cloudsec

특징 – AWS 보안 평가

AWS 보안 평가 – EC2

▪ AWS 접근 패스워드 설정

▪ KMS 관리

▪ Multi Factor 인증

▪ 액세스 키

▪ 키 페어

▪ IAM 계정 보안

▪ IAM 보안 정책

공동영역 - 계정보안

▪ Security Group

▪ VPC 설정

▪ Elastic IP

▪ Routing Tables

▪ ACL

▪ NAT Gateway

▪ Internet Gateway

공동영역 – 네트워크 보안

EC2

#cloudsec

특징 – AWS 보안 평가

AWS 보안 평가 – RDS

▪ IAM 보안 정책 설정 (RDS)

▪ RDS 리소스 액세스 권한 관리

▪ RDS API 설정

▪ 서브넷 가용 영역

공동영역

▪ RDS 파라미터 관리

▪ MariaDB/MySQL 감사 플러그인 설정

▪ Oracle 기본 네트워크 암호화 (NNE) 설정

▪ Oracle SSL 설정

▪ Oracle APEX Listener 설정

옵션정책

RDS

#cloudsec

특징 – AWS 보안 평가

AWS 보안 평가 – S3

S3

공동영역

#cloudsec

특징 – AWS 보안 평가

AWS 보안 평가 – Log

▪ 계정 권한

▪ 암호화

▪ S3 MFA

▪ 페이로드

▪ 로그 집계

CloudTrail

▪ 모니터링 보안 로그

▪ S3 연동 보안 로그

▪ 액세스 권한

▪ 파일 스토리지

CloudWatch

▪ Oracle 보안 로그 설정

▪ MSSQL 보안 로그 설정

▪ MariaDB/MySQL 보안로그 설정

▪ PostgreSQL 보안 로그 설정

RDS 로깅

Log

#cloudsec

특징 – ISMS-P 클라우드 보안

클라우드 서비스의 관리자 권한과 보안 설정의 적정성 여부 검토

관리적 컨설팅 영역의 정책, 구성, 인증 등을 검토한 권고안

보안운영

검토

관리자

권한부여와책임

보안통제

정책수립이행

책임과

역할

04 작업 흐름도

#cloudsec

작업 흐름도

Cloud SE에 대한 작업 흐름도

취약점 점검 원인분석 및 보고사전준비

05 사례

#cloudsec

사례

요청사항

① 클라우드에서 관리상

취약할 수 있는 부분을

확인

② ISMS-P 심사에서

문제가 되는 부분을 확인

4

AWS 사용 기간

1년 6개월

2

사례 기업

인터넷 서비스 A 업체

1

AWS 사용 서비스

EC2, RDS, S3, ELB,

Route53, Gateway API

3

#cloudsec

사례

수행단계

① 관리자 계정 ID를

개수가 증가

② Security Group 설정

미비 및 관리자 계정

관리 소홀

5

공통 사항

① 보안 설정이 미비한

경우가 많음(평균 점수가

50점 미만이 경우)

② 불필요한 서비스

이용으로 요금 증가

6

#cloudsec

사례 - 보고서

#cloudsec

사례 – C Level 보고서

Ⅰ. 총평

보안 수준: 취약

클라우드에 대한 기술적 보안 진단 결과 전체적인 수준은 47.5%로

‘취약’ 수준으로 평가

A사의 클라우드 취약점 분석 체크리스트 기준 중 ‘EC2 공통영역 –

계정보안’ 의 보안수준 50%, ‘취약’, ‘EC2 공통영역 – 네트워크 보안’ 의

보안수준 65%, ‘취약’, ‘RDS 공통영역’ 의 보안 수준 60%로 ‘취약’, ‘RDS

옵션정책’ 의 보안 수준 0% ‘해당사항 없음’(N/A), ‘데이터 보안’ 의 보안

수준 20% ‘취약’, ‘Log 보안 정책’ 의 보안 수준 30% ‘취약’, ‘ISMS-P’의

보안 수준 50% ‘취약’ 수준으로 평가되었다.

100

90

80

70

60

50

40

30

20

10

AWS 보안 권고사항

‘IT 산업’의 업계 평균값으로

취약점 조치 시 참고

70%

47.5%

#cloudsec

사례 – C Level 보고서

Ⅱ. 진단 영역

EC2 공통영역 -계정보안

10 20 30 40 50 60 70 80 90 100

EC2 공통영역 -네트워크 보안

RDS 공통영역

RDS 옵션정책

50.0%EC2 공통영역 –계정보안

취약

‘KMS 관리’, ‘액세스 키’, ‘IAM 보안 정책’, ‘IAM 계정 보안

‘ 항목이 50% ‘취약’ 수준으로 확인

65.0%EC2 공통영역 –네트워크 보안

취약

‘Security Group’, ‘Internet Gateway’, ‘Routing Tables’ 항목이 65% ‘취약’

수준으로 확인

60.0%RDS 공통영역

취약

‘RDS API 설정’ 항목이 0.0% ‘취약’ 수준으로 확인

0%RDS 옵션정책

취약

0.0% ‘해당사항 없음’ 수준으로 확인

#cloudsec

사례 – C Level 보고서

Ⅱ. 진단 영역

데이터 보안

10 20 30 40 50 60 70 80 90 100

Log 보안

ISMS-P 보안통제

20.0%데이터 보안

취약

‘버킷 보안 설정’, ‘암호화 설정’, ‘IAM 보안 정책 설정 (S3)’ 항목이 20%

‘취약’ 수준으로 확인

30.0%Log 보안

취약

‘CloudTrail 로그 수집 설정’, ‘CloudWatch 로그 수집 설정’, ‘CloudWatch

수집 로그 권한 설정’ 항목이 30% ‘취약’ 수준으로 확인

50.0%ISMS-P 보안통제

취약

‘관리자 권한 부여와 책임’ 항목이 0.0% ‘취약’ 수준으로 확인

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역EC2 공통영역 – 계정보안

50%EC2 공통영역 –

계정보안

EC2 공통영역 –

계정보안

‘KMS 관리’, ‘액세스 키’, ‘IAM

보안 정책’, ‘IAM 계정 보안

‘ 항목이 50% ‘취약’

수준으로 확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

EC2-001 100%HAWS 접근 패스워드 설정

EC2-002 0.0%HKMS 관리

EC2-003 100%MMulti Factor 인증

EC2-004 0.0%H액세스 키

EC2-005 100%L키 페어

EC2-006 50%HIAM 계정 보안

EC2-007 0.0%HIAM 보안 정책

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역EC2 공통영역 – 네트워크 보안

65%EC2 공통영역 –

네트워크 보안

EC2 공통영역 –

네트워크 보안

‘Security Group’, ‘Internet

Gateway’, ‘Routing Tables’

항목이 65% ‘취약’

수준으로 확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

VPC-001 50%HSecurity Group

VPC-002 100%MVPC 설정

VPC-003 100%LElastic IP

VPC-004 0.0%LRouting Tables

VPC-005 100%HACL

VPC-006 100%LNAT Gateway

VPC-007 0.0%MInternet Gateway

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역RDS 공동영역

60%RDS 공통영역

RDS 공통영역

‘RDS API 설정’ 항목이 0.0%

‘취약’ 수준으로 확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

RDS-001 100%HIAM 보안 정책 설정 (RDS)

RDS-002 100%MRDS 리소스 액세스 권한 관리

RDS-003 0.0%LRDS API 설정

RDS-004 N/AM서브넷 가용 영역

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역RDS 옵션정책

0.0%RDS 옵션정책

RDS 옵션정책

0.0% ‘해당사항 없음’(N/A)

수준으로 확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

RDS-O-001 N/ALRDS 파라미터 관리

RDS-O-002 N/ALMariaDB/MySQL 감사 플러그인 설정

RDS-O-003 N/AMOracle 기본 네트워크 암호화 (NNE) 설정

RDS-O-004 N/ALOracle SSL 설정

RDS-O-005 N/ALOracle APEX Listener 설정

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역데이터보안

데이터보안

‘버킷 보안 설정’, ‘암호화

설정’, ‘IAM 보안 정책 설정

(S3)’ 항목이 20% ‘취약’

수준으로 확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

S3-001 0.0%M버킷 보안 설정

S3-002 0.0%H암호화 설정

S3-003 100%M로그 파일의 수집 및 권한 설정

S3-004 0.0%HIAM 보안 정책 설정 (S3)

20%데이터 보안

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역Log 보안정책

Log 보안정책

‘CloudTrail 로그 수집 설정’,

‘CloudWatch 로그 수집 설정’,

‘CloudWatch 수집 로그 권한

설정’ 항목이 30% ‘취약’

수준으로 확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

LOG-101 0.0%MCloudTrail 로그 수집 설정

LOG-102 100%HCloudTrail 각 계정 권한 설정

LOG-103 0.0%MCloudWatch 로그 수집 설정

LOG-104 0.0%HCloudWatch 수집 로그 권한 설정

LOG-105 N/AMOracle 보안 로그 설정

LOG-106 N/AMMSSQL 보안 로그 설정

LOG-107 N/AMMariaDB/MySQL 보안 로그 설정

30%Log 보안 정책

#cloudsec

사례 – C Level 보고서

Ⅲ. 상세 영역ISMS-P 클라우드 보안

ISMS-P

클라우드 보안

‘관리자 권한 부여와 책임’

항목이 0.0% ‘취약’ 수준으로

확인

취약점 진단 항목별 통계

분류 보안수준중요도진단항목

ISMSP-001 100%M책임과 역할

ISMSP-002 100%M보안통제 정책 수립/이행

ISMSP-003 0.0%H관리자 권한 부여와 책임

ISMSP-004 N/AM보안운영 검토

50%ISMS-P 클라우드 보안

06 도입 효과

#cloudsec

도입 효과

Cloud SE 도입 효과

보안관제추가

보안관제와 연계된 지속적인 보안관리 및 모니터링

보안관제와 연계된 지속적인 보안관리 및 모니터링

성숙도가 높은클라우드 보안관리 유지

지속적인 보안관리 및모니터링이 가능

체계화된 클라우드 보안 정책 및 운영 가능효과 Ⅰ

개선 가이드에 따른 클라우드 보안 강화효과 Ⅱ

#cloudsec

도입 효과

클라우드성숙도진단이필요한분

체계화된클라우드보안정책및운영이필요한분

부스, 영업대표에게문의주세요

www.cloudsec.com | #cloudsec

THANK YOU

신덕문| 싸이버원

Tel 02-3475-4900

mss_sales@cyberone.kr