처음 만나는 클라우드 보안

취약점 종류를 다뤄보기에 앞서, 취약점과 함께 언급되는 '위협', '위험'에 대한 개념을 정리해보자. ■ 취약점 관련 용어 취약점(Vulunerability) : 위협에 의해 손실이 발생하게 되는 약점, 위협과 달리 조치가 가능함 위협(Threat) : 손실의 원인을 제공할 수 있는 환경, 또는 요소를 말함 위험(Risk) : 위협이나 취약점에 따라 발생 가능한 손실의 크기, 정보보호의 관리 타겟 자산(Asset) : 조직에서 보유한 가치 있는 모든 것 (정보, 기술, 물리 자산, 서비스 인력 등) ■ 3가지 취약점 유형 1) CCE (Common Configuration Enumeration) 시스템 설정상의 취약점으로, 이를 통해 허용된 권한 이상의 동작이 허용되거나, 필요 이상으로 정보 노출이 발생..

보안 컨설턴트는 보안 아키텍트의 관점으로 이야기할 수 있어야 한다. 최종 프로젝트의 일환으로 '보안 아키텍처'에 관한 내용을 정리한 포스팅입니다. 아키텍처 설계 중 개인정보 처리에 관한 컨설팅을 바탕으로 작성되었습니다. 보안 아키텍처의 수립 ▷미국 아키텍트들이 수립한 ITU-T X.805로 기술 모델을 만들고 ▷아키텍처와 연결시켜 만든 것이 sTRM ▷이것으로 표준화 모델링(Standard Profile)을 만든다. [관련 포스팅] 2022.08.26 - [정보보안/정보보호] - [정보보호] ITU-T X.805: 보안 아키텍처 표준 [정보보호] ITU-T X.805: 보안 아키텍처 표준 ITU-T X.805 (10/2003) This Recommendation defines the general sec..

ITU-T에서 제시한 X.805 표준 보안 아키텍처링에 대해 알아보자. 보안 아키텍처의 3가지 구성요소: 다차원 보안, 보안 계층, 보안 평면 1. 다차원 보안(Security dimensions) : 보안을 위해 갖추어진 8가지 수단을 말한다. (참고. 보안요건 정의서에서 작성시 보안 요구 항목으로 참조) 1) 접근통제(Access control) : 오직 인가된 대상 혹은 디바이스의 접근을 허용한다. 예시로 RBAC(역할 기반 액세스 제어)과 같은 기능이 접근통제에 해당한다. (클라우드 = IAM를 통한 역할 및 통제 부여) 2) 인증(Authentication) : 통신에 참여하는 대상 ID의 유효성을 검증한다. (클라우드 = 사용자에 대한 계정 부여) 3) 부인방지(Non-repudiation) ..

ITU-T X.805 (10/2003) This Recommendation defines the general security-related architectural elements that, when appropriately applied, can provide end-to-end network security. 본 표준을 통해 우리는 종단 간 네트워크에 적용될 수 있는 보편적 보안아키텍쳐에 관한 정의를 제공한다. 1. 보안아키텍쳐(Security Architecture) 정보 시스템을 운영하는 주체는 시스템의 무결성, 가용성, 기밀성을 확보하기 위하여 보안 아키텍처를 수립한다. 이를 통해 관리적, 물리적, 기술적 보안 개념의 수립 및 향상을 기대할 수 있다. 보안 아키텍처는 보안 수준의 변화가 생겨도..

ISO/IEC 27000 시리즈 ISO(국제표준화기구)와 IEC(국제전기기술위원회)에서 제정한 정보보호 관리체계의 국제 보안 표준 규격 시리즈 체계 구분 27000: 정보보호 성격 29100: 개인정보보호 성격 1) 일반 요구사항(General Requirements) 27001, 27701 2) 일반 지침(General Guidelines) 27005: 위험관리 방법 / 27002: 구체적 평가 방법(실행지침) 3) 분야별 특화 지침(Sector-specific Guidlines) 27017: 클라우드 서비스에 대한 27002 기반 보안통제 실무 지침 27018: 클라우드의 PII(개인식별 가능 정보) 보호 실무 지침 ISO/IEC 27001:2013 7개 관리과정 요구사항, 부록의 14개 분야 114..

ISO/IEC 27000 시리즈 ISO(국제표준화기구)와 IEC(국제전기기술위원회)에서 제정한 정보보호 관리체계의 국제 보안 표준 규격 시리즈 체계 구분 27000: 정보보호 성격 29100: 개인정보보호 성격 1) 일반 요구사항(General Requirements) 27001, 27701 2) 일반 지침(General Guidelines) 27005: 위험관리 방법 / 27002: 구체적 평가 방법(실행지침) 3) 분야별 특화 지침(Sector-specific Guidlines) 27017: 클라우드 서비스에 대한 27002기반 보안통제 실무 지침 27018: 클라우드의 PII(개인식별 가능정보) 보호 실무 지침 ISO/IEC 27001:2013 7개 관리과정 요구사항, 부록의 14개 분야 114개의..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 : 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수 정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. - 관련법규: 개인정보 보호법 제16조(개인정보의 수집제한) 3.1.2 개인정보의 수집 동의 : 개인정보는 정보주체(이용자)의 동의를 받거나 관계 법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다. - 관련 법규: ..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. (인증심사 통제항목 = IT시스템 전반적인 외형 = 숲) 2.5 인증 및 권한 관리 2.5.1 사용자 계정 관리 : 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록 해지 및 접근권한 분여 변경 말소 절차를 수립 이행하고, 사용자 등록 및 권한 부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 대상: 접근권한에 대한 부여 말소, 변경 절차 수립 => AWS IAM - 관련 법규: 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) 개인정보의 ..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 2.1 정책, 조직, 자산 관리 2.1.1 정책의 유지관리 : 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 재개정하고 그 내역을 이력관리하여야 한다. 대상 => 정보보호 및 개인정보보호 관련 정책과 시행문서 - 관련 법규: 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행) 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행) - 용어정리 “전기통신역무”란 전기통신설비를 이용하여 타인의 ..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 1.1 관리체계 기반 마련 1.1.1 경영진의 참여 : 최고 경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수힙하여 운영하여야 한다. 1.1.2 최고책임자의 지정 : 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 초괄하는 개인정보보호 책임자를 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. - 관련법규: 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정) 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) 개인정보의 안전..