처음 만나는 클라우드 보안

NIST Zero Trust 800-207 (2020) 제로트러스트= 보안 관점의 전환 ZT (Zero Trust)는 리소스를 보호하는데 초점을 맞춘다. 네트워크 요소나 위치는 보안에 있어 더 이상 유일한 중요요소가 아니게 되었다. 네트워크의 경계에 머물던 보안이 이제는 개별 리소스에 관점을 두기 시작했다. 네트워크 인증을 거친 트래픽은 끝까지 신뢰하지 않고 내부 검증을 이어나간다. 이전 정적인 보안의 예시( Implicit trust zone)=> 비행기 탑승 수속, 티켓만 검사하면 끝 Zero Trus의 원칙 1. 모든 데이터와 서비스는 자원이다. 2. 네트워크의 어떤 위치이던 모든 통신은 보호되야 한다. 3. 하나의 자원에 대한 접근 하나의 세션으로 관리되어야 한다. 4. 자원에 대한 접근은 동적인..

1. 서비스 구분 FTP SFTP SSH 명칭 File Transfer Protocol Secure File Transer Protocol Secure Shell 기본 포트 21 (제어), 20 (데이터 전송) 22번 22번 설명 일반 파일 전송 프로토콜 (취약) ssh방식을 이용한 안전한 ftp기능 구현 암호화 전송으로 안전한 통신 구현 2. 무료 SSH 프로그램 : MobaXterm(SFTP 포함) https://mobaxterm.mobatek.net/ MobaXterm free Xserver and tabbed SSH client for Windows The ultimate toolbox for remote computing - includes X server, enhanced SSH client ..

CentOS7에는 기본적으로 openssh가 설치되어 있다. 1. openssh 확인 1) 상태 확인 service sshd status systemctl status sshd 2. ssh config 파일 설정 vi /etc/ssh/sshd_config #Port 22 (주석 제거) #PermitRootLogin yes (root 로그인 허용) 3. 방화벽 정책 허용 firewall-cmd --zone=public --add-port=22/tcp --permanet 4. openssh 재시작 service sshd restart systemctl restart sshd active (running) 확인되면 ip 확인 후 root 권한 접속

리눅스가 제공하는 다양한 기본 서비스들이 취약한 경우가 많다. 오늘은 취약하기로 알려진 기능들을 살펴보고, 보안적인 측면에서 권고되는 조치 방법에 대해 알아보자. 1. Finger 서비스 Finger 서비스는 리눅스에서 기본적으로 제공되는 사용자 정보 제공 프로토콜이다. 사용자 이름 입력 시 해당 사용자의 정보를 출력해 주는 기능을 제공합니다. 예시로, 터미널에서 "finger [username]"을 입력하면, 해당 사용자의 로그인 정보, 메일함, 마지막으로 로그인 시간 등이 출력된다. 하지만, Finger 서비스 정보는 암호화 없이 평문으로 전달되므로 악의적인 의도를 가진 사용자에게 정보가 노출될 위험이 따른다. 따라서, Finger 서비스 기능은 미사용 시 비활성화시키거나, 방화벽과 같은 추가적인 보..

위험관리란? 위험관리(Risk Management)란 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 관리하기 위하여 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 효과적인 보호대책을 마련하는 일련의 과정을 말한다. 위험관리 전략 수립 => 위험분석 => 위험평가 => 대책수립 => 계획수립 위험대책 및 예시 1) 위험감소 (완화) : 기술적, 관리적, 물리적 통제를 통해 위험 수준을 감소시킨다. 2) 위험전가 (전가) : 위험에 대한 책임을 제3자와 공유한다. (ex. 보험 가입) 3) 위험회피 : 위험이 존재하는 프로세스나 사업을 포기한다. (ex. 자산 매각, 설계 변경) 4) 위험수용 : 비즈니스 목적상 위험을 그대로 수용한다. 관리부서는 위험의 결과에 따른 책임을 받아들여야 한다...

[IoT보안이란?] 2022.12.12 - [정보보안] - [IoT 보안] IoT 보안 및 점검대상 알아보기 [IoT 보안] IoT보안 및 점검대상 알아보기 IoT란? : Internet of Things의 약어로 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술을 의미한다. - wikipedia 일상속의 IoT IoT 해킹 취약성 · 디바이스에 관리 목적으로 내장된 수단이 악 cloudinfosec.tistory.com OS 커멘드 인젝션 (Command Injection) 공격자가 구문을 삽입하여 악의된 명령이 실행되는 공격기법을 말한다. IoT 기기 특성상 온전한 운영체제로 사용자에게 제공되기 때문에, 커멘드 인젝션은 필수 점검 항목으로 꼽힌다. 명령구분자 : 방어법으로 사용되는 필터링을 ..

사물 인터넷 (IoT, Internet of Things) 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술 및 네트워크를 의미한다. IoT 취약성 · 디바이스마다 관리 목적으로 내장된 수단(ex. 디버거)이 존재한다. · 디바이스가 사용자에게 직접 제공되기 때문에 피해는 일상생활과 직결된다. · 한 단말기의 취약점은 동일한 단말기의 취약점으로 통용되어 악용될 수 있다. IoT 디바이스 점검 대상 1. JTAG (Join Test Action Group) 주로 디지털회로에서 특정 Note의 디지털 I/O을 위해 직렬 통신 방식으로 출력 데이터를 전송하거나 입력데이터를 수신하며 쉘(콘솔)기능은 없으나 디바이스의 메모리에 대한 변조 및 삭제가 가능하다. 2. UART (Universal Asynch..

취약점 종류를 다뤄보기에 앞서, 취약점과 함께 언급되는 '위협', '위험'에 대한 개념을 정리해보자. ■ 취약점 관련 용어 취약점(Vulunerability) : 위협에 의해 손실이 발생하게 되는 약점, 위협과 달리 조치가 가능함 위협(Threat) : 손실의 원인을 제공할 수 있는 환경, 또는 요소를 말함 위험(Risk) : 위협이나 취약점에 따라 발생 가능한 손실의 크기, 정보보호의 관리 타겟 자산(Asset) : 조직에서 보유한 가치 있는 모든 것 (정보, 기술, 물리 자산, 서비스 인력 등) ■ 3가지 취약점 유형 1) CCE (Common Configuration Enumeration) 시스템 설정상의 취약점으로, 이를 통해 허용된 권한 이상의 동작이 허용되거나, 필요 이상으로 정보 노출이 발생..

보안 컨설턴트는 보안 아키텍트의 관점으로 이야기할 수 있어야 한다. 최종 프로젝트의 일환으로 '보안 아키텍처'에 관한 내용을 정리한 포스팅입니다. 아키텍처 설계 중 개인정보 처리에 관한 컨설팅을 바탕으로 작성되었습니다. 보안 아키텍처의 수립 ▷미국 아키텍트들이 수립한 ITU-T X.805로 기술 모델을 만들고 ▷아키텍처와 연결시켜 만든 것이 sTRM ▷이것으로 표준화 모델링(Standard Profile)을 만든다. [관련 포스팅] 2022.08.26 - [정보보안/정보보호] - [정보보호] ITU-T X.805: 보안 아키텍처 표준 [정보보호] ITU-T X.805: 보안 아키텍처 표준 ITU-T X.805 (10/2003) This Recommendation defines the general sec..

1. VPN(Virtual Private Network) 서로 떨어져 있는 네트워크 환경을 하나의 안전한 네트워크로 만드는 가상의 사설망을 뜻한다. VPN의 작동 원리 터널링 프로토콜(Tunneling Protocol) 암호화 (IPsec) VPN은 기본적으로 다른 VPN 서버 사이의 터널링 프로토콜을 통해 데이터를 전송하며, 사용자의 위치 정보 및 IP주소가 숨겨져 익명성이 보장되고, 데이터의 암호화가 이루어진다. 최근 빈번해진 재택근무를 예시로, 집에서 회사 내부 네트워크 접속을 위해 이러한 VPN이 사용되는데, 이때 접속이 마치 회사 내부 네트워크에서 이루어지는 것처럼 만들어짐과 동시에 익명성과 보안성을 보장해 주는 역할을 한다. 2. SSL(Secure Sockets Layer) SSL/TLS를 ..