💻 개발/클라우드39 웹 방화벽 (WAF) 웹 방화벽(WAF : Web Application Firewall) 애플리케이션으로 전송되는 사용자 요청이 정상인지 판단하여 애플리케이션의 취약점 공격을 차단함 7계층(응용 계층)의 트래픽 필터링을 담당 요약 : 웹 방화벽은 외부로부터 전달된 사용자 요청 정보를 분석하여 악의적인 의도가 포함되었는지 판단하게 됨 Q. 방화벽과의 차이점 A. 방화벽은 3계층(네트워크 계층)과 4계층(전송 계층)에서 네트워크 패킷을 검사하여 접근 제어를 수행. 즉**, 출발지와 목적지의 IP와 포트만을 검사하는 방화벽은 정상적인 웹 서비스를 통해서 애플리케이션를 공격하는 경우 방어가 불가능** 따라서, 웹 방화벽을 적용해야 함 웹 방화벽을 통과한 정상 트래픽만 클라우드 내부로 인바운드 됨 방화벽을 통해 일차적으로 접근 제어한.. 2023. 9. 3. 클라우드 보안 - 지능형 클라우드 보안 기술 : CSBAuditor 멀티 클라우드 기반의 아키텍처와 보안 고려 사항 단일 클라우드 서비스 제공자를 이용한 서비스 사용 시 발생할 수 있는 가용성 문제는 특정 클라우드 서비스 제공자에 대한 의존도가 높아질수록 시스템 종속성이 발생하는 것이다. 갑작스러운 서비스 비용 증가나 클라우드 서비스 제공자의 인프라 환경에 중대한 취약점 발생 시 시스템 전체가 위험해질 수 있기 때문에, 여러 클라우드 서비스 제공자를 활용하는 멀티 클라우드 기반을 이용하면 하나의 클라우드에 종속되는 위험을 줄일 수 있음 예시) 멀티 클라우드 환경에서 지역적인 엣지 포인트(AWS에는 CloudFront) 또는 CSB(Cloud Service Broker)를 통해 원격지 서비스 간의 통신을 구성 (그림으로 나와있음) 요약 : 개별 클라우드를 퍼블릿 서브넷과 .. 2023. 8. 6. 클라우드 보안 - 지능형 클라우드 보안 기술 : CROWDSTRIKE(2) CROWDSTRIKE CrowdStrike는 오프라인 또는 온라인으로 작업하면서 엔드포인트에서 실행하려는 파일을 분석한다. 이 작업은 다음을 사용하여 수행한다. 사전 정의된 예방 해시 사전 정의된 예방 해시는 양호 또는 불량으로 알려진 SHA256 해시의 목록 정의된 해시를 차단 안 함 또는 항상 차단으로 표시 가능 차단 안 함으로 정의되는 SHA256 해시는 내부 LOB(Line of Business) 애플리케이션을 위해 이전 안티바이러스 솔루션에서 가져온 항목의 목록일 수 있음. 내부 애플리케이션에 대해 사전 정의된 예방 해시의 목록을 가져오는 것이 사용자 환경에서 알려진 양호한 파일을 허용 목록에 추가하는 가장 빠른 방법 항상 차단으로 정의된 SHA256 해시는 사용자 환경에서 이전에 확인했거나 신.. 2023. 8. 6. 클라우드 보안 - 지능형 클라우드 보안 기술 : CROWDSTRIKE CROWDSTRIKE 클라우드 기반 엔드포인트 보호 인공지능 기반의 Falcon 플랫폼을 통해 기술, 인텔리전스, 전문 지식을 통합하여 간편한 단일 솔루션으로 제공 CrowdStrike는 SaaS(Software as a Service) 솔루션 고급 EDR(Endpoint Detection and Response) 애플리케이션 및 기술을 활용해 머신 러닝으로 구동되는 업계 선도의 NGAV(Next Generation Anti-Virus)를 제공하여 침해를 사전에 차단 CrowdStrike는 데스크탑 또는 서버 플랫폼용 Windows, Mac 또는 Linux 운영 체제에 설치할 수 있는 에이전트 기반 센서 이러한 플랫폼은 클라우드 호스팅된 SaaS 솔루션을 통해 정책을 관리하고, 보고 데이터를 제어하며, .. 2023. 7. 31. 클라우드 보안 - Advanced 클라우드 보안 보안 감사 (Security Inspector) 웹 방화벽 (WAF)과 API 보호 서비스가 클라우드 환경의 애플리케이션을 보호하기 위한 서비스라면 보안 감사는 애플리케이션 자체의 보안 취약점을 제거하기 위한 서비스와 솔루션 구성도 웹 스케너 서비스 애플리케이션이 사용자에게 제공하는 웹 사이트에서 발생 가능한 취약점을 자동 점검해주는 솔루션 OWASP에서 확인했던 취약점 (SQL injection, Command injection … )의 다양한 취약점과 경로 탐색과 같은 취약한 서버 설정 등을 탐지하는데 효과적 클라우드 자원의 정보를 수집하고 공격 가능한 취약점을 발견하는 과정을 거침 시큐어 코딩 점검 서비스 개발 단계 또는 완료 후에 소스 코드상의 보안 취약점을 점검하는 것 사전에 코딩 표준화 기준을.. 2023. 7. 31. 클라우드 보안 - 대표적 기술 : 접근제어/권한제어 ACL (Access Level List) 접근 제어 목록은 외부 네트워크에서 사용자의 네트워크를 통과하는 경우, IP와 포트번호, 프로토콜 등을 확인해서 네트워크 패킷 통과를 허가하거나 거부하는 목록 일종의 방화벽 역할을 한다. 대신 방화벽처럼 세세한 영역이 아닌, 사용자 네트워크의 서브넷에 관여하는 커다란 방화벽이다. 요청한 트래픽에 대한 정보를 따로 저장하지 않는 Stateless 속성이므로 인바운드와 아웃바운드 규칙을 각각 설정함 접근 제어 목록의 2가지 규칙 인바운드 규칙 : 외부 인터넷 환경에서 클라우드 내부로 전달되는 규칙 아웃바운드 규칙 : 클라우드 내부에서 외부 인터넷 환경으로 나가는 규칙 접근 제어 목록의 유형 거부 목록 : 패킷이 출발하는 Source IP를 기준으로 거부 대상이 되는.. 2023. 7. 31. 클라우드 보안 - 대표적 기술 : VPN VPN (Virtual Private Network) 가상 사설 네트워크 클라우드 환경의 자원과 외부 인터넷 환경의 자원 간에 데이터가 전송되거나 API 호출이 발생하는 등의 인터페이스 발생 이런 경우 양쪽 네트워크 구간에 가상의 논리적 네트워크 사설망을 구축하여 구간 암호화 통신과 외부의 임의적 침입을 방지하는 가상의 전용 네트워크망 구성 가능 위의 상황처럼 보안성 향상에 초점이 맞춰진 네트워크 보안 서비스가 가상 사설 네트워크 주로 인터넷 원격 보안 접속이 필요한 기업이나 공공기관에 고품질의 안전한 전용 네트워크를 제공한다. 구축 방법 개별 네트워크 통신 초입 지점에 가상 사설 네트워크 게이트웨이를 두고 상대방의 네트워크 설정을 추가하여 고정된 네트워크 구간에 안전한 사설망 구축 가능 VPN 서비스로.. 2023. 7. 31. 클라우드 보안 - 대표적 보안 기술 : DMZ/이상행위 탐지 이상행위 탐지 (책에서는 외부 침입탐지/차단(IDS/IPS)으로 명시된 것 같음) 외부 인터넷 환경에서 우리가 구축한 클라우드 환경으로 악의적인 목적의 침입시도가 발생한다면, 그에 대응하기 위한 실시간 모니터링이 필요 기존의 온프레미스 환경에서는 IDS/IPS 장비를 구매해서 침입탐지를 수행했으나, 클라우드 환경에서는 마켓 플레이스를 활용하여 소프트웨어로 룰 기반, 이상패턴, 지능형 학습모델을 적용할 수 있는 서비스를 제공 예시) 정상적인 트래픽 감지 - 백엔드 전달 비정상적인 트래픽 감지 - 보안 관리자에게 경보 알람을 전달 DMZ 네부 네트워크 외부 위협에 대한 조직의 본질적으로 회사의 내부 네트워크와 인터넷 사이에 위치하여 둘 사이의 버퍼 역할을 하는 작은 하위 네트워크 DMZ의 주요 용도는 외부 .. 2023. 7. 27. 클라우드 보안 - 대표적 보안 기술 : 망분리 기술 망분리 중요 정보를 취급하는 업무망과 외부 인터넷으로 연결된 인터넷망을 분리한 망환경, 크게 물리적 망분리와 논리적 망분리로 구분된다. 물리적 망분리 : PC 2대를 물리적으로 분리해 인터넷망과 업무망으로 구분하는 방식, 1대의 PC의 경우도 있음 물리적 망분리는 회선을 근본적으로 분리하고 망 간 접근경로를 차단해 악성코드 감염, 해킹, 개인정보 유출 등의 데이터 이동 경로가 없는 높은 보안성을 가지고 있음 2대의 컴퓨터를 이용하는 망분리는 업무망과 인터넷망 간의 접근 경로가 물리적으로 차단 보안성은 굉장히 높으나 별도 네트워크를 구축해야 하고, 컴퓨터를 추가로 구매 1대의 컴퓨터를 이용하는 망분리는 하드디스크, IP주소 등의 정보처리 자원과 네트워크 연결자원을 분할한 컴퓨터를 사용 전환 장치를 이용해 .. 2023. 7. 27. 클라우드 보안 - 대표적 보안 기술 : VLAN 기술 VLAN (Virtual Local Area Network) VLAN은 IEEE 표준 네트워킹 체계의 일종으로, VLAN에 속하는 포트로의 패킷 라우팅만 허용하는 특수한 태깅 방법을 포함한다. 적절히 구성된 VLAN은 실수나 악의에 의한 침임으로부터 가상 시스템 집합을 보호할 수 있는 신뢰할 수 있는 수단을 제공 VLAN을 사용하면 물리적 네트워크를 세그먼트로 나누어서 네트워크 내의 두 시스템이 동일한 VLAN에 속하지 않는 한 서로 패킷을 전송하지 못하게 만들 수 있음 예시) 회계 부서의 모든 직원은 VLAN A의 가상 시스템 사용 영업 부서의 직원은 VLAN B의 가상 시스템을 사용 라우터는 회계 데이터가 포함된 패킷을 스위치로 전달 (특정 VLAN으로만 배포하도록 제한하는 태그가 붙음) 이는 라우터.. 2023. 7. 27. NAVER Cloud Console로 서버 생성하기 1) 우선 vpc를 먼저 만들어줘야 한다. VPC의 이름과 IP 주소 범위를 입력 생성이 되었고, 고유의 VPC ID가 부여되었다. (새로 고침하면 [생성중]에서 [운영중]으로 변경됨) 2) 이번에는 public subnet을 생성해보자. 3) 이번에는 Network ACL을 설정해보자. 원래 VPC를 생성하면 default로 Network ACL이 생성된다. 처음 만들게 되면, Inbound, Outbound 규칙이 모두 비어있기 때문에, [Rule 설정] 버튼을 클릭해서 Inbound, Outbound 규칙을 추가해주면 된다. 4) route table도 있지만, 이것도 default 값이 있기 때문에 따로 설정해주지는 않겠다. 다음의 튜토리얼을 따라했습니다. [링크] : https://docmoa... 2023. 7. 25. 클라우드 보안 - 대표적 보안 기술 : end-to-end 보안 End-to-End 보안 기술 클라우드 보안 설계시, 가장 중요하게 다루는 분야는 사용자 응용에서, 클라우드 플랫폼의 해당 자원(resource)까지의 end-to-end 보안 기술 예시) TLS 수준의 VPN 기술이 end-to-end 보안성 제공 TLS (Transport Layer Security) 외부 인터넷망에 존재하는 사용자와 클라우드 자원 간에 통신을 하기 위해서 네트워크 구간에 전송되는 패킷 단위 데이터를 암호화 하는 통신 방법 이를 통해, 네트워크 구간에서는 암호문이 전송되는 것 만약, 일반적인 TCP 프로토콜을 통해 암호화 되지 않은 평문이 전송된다면, 악의적인 공격으로 데이터의 내용이 유출되는 사고가 발생 (데이터의 민감성 수준에 따라 2차 보안 위협 가능) ex. 도메인과 TLS 인.. 2023. 7. 24. 이전 1 2 3 4 다음
