728x90
CSA(Cloud Security Alliance)에서 매년 가장 심각한 보안 위협에 대해 공유하고 있다.
2019년에 발표한 대표적인 클라우드 보안 위협과 사례를 살펴보자.
안전하지 않은 인터페이스와 API
클라우드 서비스 제공자가 관리하는 인터페이스(User Interface)나 API 프로그램 자체에 보안 취약성이 존재하는 경우
위협
애플리케이션의 인증 토큰을 발급해주는 API에서 요청자의 인증 체크 기능이 취약한 경우 다른 사람이 인증 토큰 발급 요청 가능
대책 방안
API는 정책을 우회하기 위한 우발적, 혹은 악의적인 시도를 차단하도록 설계되어야 한다.
클라우드 공급업체는 고객이 클라우드 서비스를 관리하고 상호작용하는데 사용하는 일련의 소프트웨어 UI(user Interfaces)나 API(Application Programming Interfaces)를 제공한다. 프로비저닝, 관리, 모니터링은 모두 이런 인터페이스를 사용해 수행되며 일반적인 클라우드 서비스의 보안과 가용성은 API의 보안에 따라 좌우된다.
따라서 API는 정책을 우회하기 위한 우발적, 혹은 악의적인 시도를 차단하도록 설계되야 한다.
참고 글
https://www.itworld.co.kr/news/125934
황치하, 양지언, 『클라우드X보안 실무 가이드』 (부천:프리렉, 2020)
책의 내용을 공부하고 정리한 글입니다.
728x90
'개발 > 클라우드' 카테고리의 다른 글
| 컨테이너 콘솔 (0) | 2023.07.11 |
|---|---|
| 클라우드 보안 - 취약성 : 시스템 취약성 (0) | 2023.07.09 |
| 클라우드 보안 - 취약성 : 부적절한 ID 및 접근권한 관리(Inadequate Identity and Access Management) (0) | 2023.07.09 |
| 클라우드 보안 - 취약성 : 데이터 유출(Data Breach) (0) | 2023.07.09 |
| 클라우드 보안 - Zero Trust 모델 (0) | 2023.07.09 |
