처음 만나는 클라우드 보안

[정보보호] ITU-T X.805표준: 보안 아키텍처링 살펴보기 본문

정보보안/정보보호

[정보보호] ITU-T X.805표준: 보안 아키텍처링 살펴보기

영민하게 2022. 8. 27. 00:45
반응형

ITU-T에서 제시한 X.805 표준 보안 아키텍처링에 대해 알아보자.

보안 아키텍처의 3가지 구성요소: 다차원 보안, 보안 계층, 보안 평면

1. 다차원 보안(Security dimensions)

: 보안을 위해 갖추어진 8가지 수단을 말한다. 

(참고. 보안요건 정의서에서 작성시 보안 요구 항목으로 참조)

1) 접근통제(Access control)

: 오직 인가된 대상 혹은 디바이스의 접근을 허용한다. 예시로 RBAC(역할 기반 액세스 제어)과 같은 기능이 접근통제에 해당한다. (클라우드 =  IAM를 통한 역할 및 통제 부여)

 

2) 인증(Authentication)

: 통신에 참여하는 대상 ID의 유효성을 검증한다. (클라우드 = 사용자에 대한 계정 부여)

 

3) 부인방지(Non-repudiation)

: 통신에서 개체가 유발하는 행위에 대한 입증을 위해 다양한 수단의 증거를 확보할 수 있는 수단 (클라우드 = 접근기록, 작업 로그, Cloud Trail)

 

4) 데이터 기밀성(Data confidentiality)

: 데이터에 대한 인가되지 않은 노출 및 방지를 위해 갖추어진 수단, 주로 암호화가 사용된다. (클라우드 = 주요 정보 저장 및 전송 시 암호화, VPN, Private Link를 통한 암호화 통신)

 

5) 통신보안(Communication security)

: 인가된 엔드포인트 사이에서 정보의 왜곡이나 간섭 없이 통신이 이루어지는 보안 수단을 말한다. (클라우드 = VPN을 이용한 통신, 엔드포인트 생성)

 

6) 데이터 무결성(Data integrity)

: 데이터의 정확함 일치도를 보장하는 보안성을 말한다. 데이터는 비인가된 개체의 수정이나 삭제 생성, 복제 등 데이터를 변조할 수 있는 모든 행위로부터 보호되어야 한다. (클라우드 = 데이터에 대한 비인가 접근자 방지)

 

7) 가용성(Availability)

: 어떠한 상황에서라도 통신에 대한 인가된 사용자는 네트워크, 서비스, 데이터, 애플리케이션 등에 접근이 이루어져야 한다. 피해복구대첵(Disaster recovery solution)이 이에 해당한다.

 

8) 개인정보보호(Privacy security)

: 개인 사용자의 정보(접속기록, 위치정보, IP주소 등)가 통신 활동 중 보호될 수 있어야 한다.


2. 보안 계층(Security layers)

: 적합한 종단 간 보안 설루션을 위하여, 다차원 보안은 보안 계층에서 제시하는 3가지 레이어에 따라 계층화되어야 한다.

인프라 계층(Inftastructure)

서비스 계층(Services)

애플리케이션 계층(Applications)

(참고. 보안요건 정의서에서 client, network, server, app, date로 참조됨)

 

1) 인프라 계층 보안(The infrastructure security layer)

: 다차원 보안으로 보호되는 개별 네트워크부터 네트워크 전송 시설이 모두 포함된다. 라우터, 스위치 그리고 서버 등이 이에 속한다.

 

2) 서비스 계층 보안(The services security layer)

: 서비스 제공자뿐 아니라 그들의 고객층까지 보안 위협으로부터 보호하는 것을 말한다.  이 서비스는 단순한 접속 연결부터 인터넷 연결을 제공하는 동적 호스트, 도메인 네임 서비스 등을 포함하며 QoS, VPN, 메세징 서비스들이 이에 속한다.

 

3) 애플리케이션 계층 보안(The applications security layer)

: 음성 메시지, 이메일, 모바일 커머스, 영상 통화 등의 애플리케이션이 해당 계층에 속한다. 이 계층에서는 총 4개의 주체 (애플리케이션 사용자, 제공자, 미들웨어를 제공하는 제삼자 그리고 그 서비스 제공자)가 위협의 대상이 될 수 있다.

 


3. 보안 평면(Security Planes)

고차원 보안에 의해 보호되는 특정 네트워크 활동 타입을 뜻한다. 세 가지 평면은 서로 다른 보안 평면끼리 철저하게 분리된 상태로 설계되어야 한다. 만일 엔드-유저 평면에 발생된 DNS lookups flood공격이 발생하면 문제를 해결해야 할 관리적 평면에 그 영향이 발생되어선 안된다.

관리 평면(the Management Plane)

제어 평면(the Control Plane)

엔드-유저 평면(the End-User Plane)

 

1) 관리 평면(The management security plane)

: 데이터센터, 백오피스 시스템, 네트워크 전송시설 등의 OAM&P기능의 보호를 주목적으로 한다.

my. 클라우드 서비스에선 CSP가 관리하는 부분이 될 것 같다.

OAM&P: 운영, 관리, 유지보수, 프로비저닝

2) 제어 평면(The control security plane)

: 네트워크의 애플리케이션을 통한 효과적인 정보 및 서비스 전달을 가능하도록 설정된 보안 평면이다. 장비 사이의 커뮤니케이션을 가능하게 하는 라우터, 스위치 트래픽을 포함하며 그 예시로 DNS, SIP, SS7, Megaco/H.248과 같은 프로토콜이  해당된다.

 

3) 엔드유저 평면(The end-user security plane)

: 엔드유저에 의한 네트워크 사용 및 접근에 대한 보안을 의미한다. 실제 사용자의 데이터 흐름도 포함하기 때문에 엔드유저는 VPN과 같이 보안성이 강화된 연결 기능을 사용할 수 있다.


X.805에서 제시하는 다차원, 계층화, 평면화 보안 아키텍처링


참고자료

  • ITU-T X.805 based Vulnerability Analysis Method for Security Framework of End-to-End Network Services, 2003
반응형
Comments