티스토리 뷰
반응형
CSA (Cloud Security Alliance) 대표 보안위협
- 데이터 유출 : 개인정보나 금융정보를 저장하는 데이터베이스나 스토리지가 외부에 직접 노출되거나 어플리케이션 취약점으로 공격받아 노출
- Public Storage에 중요정보, 세션정보, 개인정보, 중요정보 저장
- Private Storage에 평문으로 중요/개인/민감 정보등을 저장
- 인증키 등의 인증정보가 하드코딩으로 작성되어 노출
- Public Storage에 중요정보, 세션정보, 개인정보, 중요정보 저장
- 불충분한 ID, 자격증명 및 접근관리 : 중요권한을 가진 사용자, 운영자의 계정을 공유하거나 쉬운 패스워드 사용, 패스워드 노출 등으로 인해 무단 접속을 허용
- 어플리케이션이 사용하는 클라우드 모듈이 보안그룹으로 관리되지 않는 경우
- 관리자 권한의 계정/인증키 등을 어플리케이션에서 직접 사용하는 경우
- 특정 권한 또는 중요기능 사용 시 로그기록 부재로 감사가 불가능한 경우
- 어플리케이션이 사용하는 클라우드 모듈이 보안그룹으로 관리되지 않는 경우
- 안전하지 않은 인터페이스와 API : 클라우드 서비스 제공자가 관리하는 인터페이스나 API 프로그램 자체에 보안 취약점이 존재하는 경우
- API 사용에 대한 사용자 인증 부재/미흡
- 사용자 인증값의 타임아웃 설정 부재 => 인증값 탈취될 경우 무한하게 사용하지 못하게 하기 위해
- API 사용, 중요기능 수행, 중요정보 접근 등의 경우 로깅 부재
- API 사용에 대한 사용자 인증 부재/미흡
- 시스템 취약점 : 프로그램에 존재하는 오류나 버그는 해커들의 주요 타깃이 되며, 해커들은 프로그램의 취약점을 이용하여 원격에서 시스템의 제어권한 획득과 정보의 탈취를 시도
- OS Command Injection 등을 통해 시스템 탈취 또는 악성코드 배포로 하이퍼바이저 취약점 공격으로 중요정보 탈취가 가능한 경우
- 계정도용 : 다른 서비스와 클라우드 서비스의 계정이 동일, 해커는 불법적으로 획득한 사용자 계정을 이용하여 클라우드 시스템에 접속을 시도
- 어플리케이션에서 클라우드에서 사용할 계정이 필요한 경우, 별도의 계정을 발급받아서 사용하지 않는 경우
- 인증정보에 필요이상의 권한이 부여되어 있는 경우
- 인증키에 타임아웃이 설정되어 있지 않는 경우
- 어플리케이션에서 클라우드에서 사용할 계정이 필요한 경우, 별도의 계정을 발급받아서 사용하지 않는 경우
- 악의적인 내부자 : 클라우드 시스템은 일반적으로 인터넷 환경에서 접속할 수 있기 때문에 중요한 시스템 관리자의 경우 외부에서 시스템 접속 및 중요 정보의 탈취가 가능
- 인증정보 등이 하드코딩으로 작성되어 악의적인 내부자에게 노출
- 인증정보 등이 하드코딩으로 작성되어 악의적인 내부자에게 노출
- APT : 장기간에 걸쳐 은밀하게 시스템의 취약점을 공격하는 해킹 기법으로 클라우드 서비스의 취약점 공격 후 횡으로 이동하며 공격 범위를 확산. 클라우드는 기존 시스템보다 경계에 대한 통제가 약하기 때문에 APT의 피해위험이 큼
- 데이터 손실 : 클라우드 서비스 제공자의 실수로 데이터가 삭제될 수 있으며, 물리적인 재해로 인한 데이터 센터의 정보손실도 가능
- 불충분한 실사 : 클라우드 서비스 제공자가 제공하는 기능, 서비스에 대한 실제적인 검증과 운영역량 평가를 철저히 하지 않아 클라우드 시스템의 취약점을 초래
- 클라우드 서비스 남용과 악의적인 사용 : 자원의 확장이 쉬운 클라우드의 특성을 이용하여 취약한 클라우드 서비스나 무료 클라우드 서비스를 이용하여 해킹 도구로 이용
- DoS : 시스템의 가용성을 공격하는 해킹기술로 공격자는 클라우드 서비스를 대량으로 사용하여 정상적인 사용자가 접속하지 못하게 하거나 속도를 느리게 만듬
- 공유기술 취약점 : 가상호 기술을 활용하여 다양한 사용자가 함께 사용하는 클라우드 서비스에 격리, 분리가 안전하게 설계되지 않으면 다른 사용자의 정보가 노출될 수 있음
Cloud Security Alliance 선정 SECaaS의 10가지 카테고리 유형
- Identity Access Management (계정관리)
- Data Loss Prevention (자료유출차단)
- Web Security
- Email Security
- Security Assessment (보안점검)
- Intrusion Management (침입탐지)
- Security Information and Event Manager
- Encryption
- Business Continuity and Disaster Recovery
- Network Security
반응형
'Security > Cloud' 카테고리의 다른 글
| 클라우드 컴퓨팅 #08 - 고려사항 (0) | 2020.01.25 |
|---|---|
| 클라우드 컴퓨팅 #07 - 보안 메커니즘 (0) | 2020.01.24 |
| 클라우드 컴퓨팅 #06 - 클라우드 메커니즘 (0) | 2020.01.24 |
| 클라우드 컴퓨팅 #05 - 인프라 메커니즘 (0) | 2020.01.24 |
| 클라우드 컴퓨팅 #04 - 보안기초 (0) | 2020.01.19 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday