CSA (Cloud Security Alliance) 대표 보안위협 데이터 유출 : 개인정보나 금융정보를 저장하는 데이터베이스나 스토리지가 외부에 직접 노출되거나 어플리케이션 취약점으로 공격받아 노출 Public Storage에 중요정보, 세션정보, 개인정보, 중요정보 저장 Private Storage에 평문으로 중요/개인/민감 정보등을 저장 인증키 등의 인증정보가 하드코딩으로 작성되어 노출 불충분한 ID, 자격증명 및 접근관리 : 중요권한을 가진 사용자, 운영자의 계정을 공유하거나 쉬운 패스워드 사용, 패스워드 노출 등으로 인해 무단 접속을 허용 어플리케이션이 사용하는 클라우드 모듈이 보안그룹으로 관리되지 않는 경우 관리자 권한의 계정/인증키 등을 어플리케이션에서 직접 사용하는 경우 특정 권한 또는 중..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
클라우드 보안 아키텍쳐
앞으로 웹/앱 진단만으로는 나만의 무기를 만들기는 어려울 것 같아 작년부터 회사에서 클라우드 진단 가이드를 작성하고 있다. 아직까지 KISA 등에서 제대로 된 클라우드 가이드라고 할 수 있는 공식 문서가 없다고 판단하여 회사 스터디 모임 등을 참여하고 개인적으로 좀 더 포괄적으로 공부하고자 시작하였다. 우선 AWS와 같은 프로바이더를 보기 전에 클라우드 자체에 대해서 이해를 목적으로 공부를 해보았다. 클라우드 컴퓨팅의 개념과 아키텍쳐 등을 확인하면서, 클라우드를 보안진단을 하게 될 경우 생각해야 하는 내용을 정리해보니 아래와 같은 5개 도메인으로 나눠서 생각해보면 좋을 것으로 정리되었다. 1. 데이터 암호화 2. 백업 및 복원 3. 인증 및 권한 4. 인프라 기본 보안설정 5. 민감정보 관련 법규/컴플라..
- Total
- Today
- Yesterday