wwwcloudseccom | cloudsec

클라우드 보안아키텍처를 통한Risk 최소화 방안장성일 | 컨설팅담당 | SK Infosec

sijang7skcom

3

목차

1 Cloud 보안 개요

2 Cloud 보안 체크포인트 및 사고사례

3 Cloud 보안 아키텍처

4 Cloud 보안 방법론

5 Cloud 보안 분석기준

6 Cloud 보안 이전구현 통제

7 Cloud 보안 운영통제

8 Cloud 보안 영역

4

1 Cloud 보안 개요

Cloud 보안 특성 (난해성 측면) 영향을 미치는 요소- IT∙Cloud인프라 개발기술 정보보안솔루션+ CSP Native Service

보안아키텍처∙개발보안∙보안성검토On-premise 확보 영역

(개인)정보보호관리체계 인증

거버넌스 법규amp 컴플라이언스

일부 정보시스템

보안장비솔루션

개발보안 amp

보안 아키텍처Cloud 유관

Skill

Cloud Skill Up 필요 영역

IT∙Cloud Infra

+ 개발 지식

Cloud Service

지식

Cloud 유관보안인증 지식

보안 장비 amp

솔루션 지식

범례

클라우드

보안

기술기반

보안

5

2 Cloud 보안 체크포인트 및 사고사례(12)

위협 사고 사례 등 대응 권고안

데이터유출

백업본에 의한 유명기업 클라우드 데이터유출

- 암호화 적용- 정교한 네트워크 정책- 백업본 삭제 철저

자격 증명손상 및인증 파괴

OTP 적용 없이 쉬운PW를 사용한 CSP 웹매니저 콘솔 IDPW를도용하여 데이터 유출

- 자격증명 및 암호키 보호- 공개 키 인프라 적용- 주기적인 암호키 교체- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

해킹된인터페이스및 API

Private cloud 통신내용 위변조 (APP 취약점 점검 결과)

- 인가된 사용자만 호출가능하도록 접근제어

- plane text RESTful 지양

위협 사고 사례 등 대응 권고안

시스템취약점공격

Xen RHEV VMM VMWare MS Hyper-visor 대상의 악성코드실행 권한획득 서비스 거부 데이터유출 사례 존재

- 정기 취약성 점검 수행- 신속한 보안패치 관리- 근본적 조치 불가시

보완대책 필히 적용

계정 도용

퇴사자의 계정 도용 VM 삭제로 복구만 2개월 소요 (미주 화학계열 회사)

- 계정 PW에 대하여정기적 필요시 변경

- 계정 자격 증명 공유금지 추가인증 적용

- 가동기록 모니터링감사

악의적인내부자

악의적인 내부자의인프라 파괴 데이터위변조

- 최대한의 물리 보안 구현- 직무 분리 및 최소 권한

부여 원칙 준수- 효과적인 로깅모니터링

감사 등 관리자 활동- 실수고의 방지 위한

인식제고 교육 보안서약서 징구 등

위협 출처 CSA

6

2 Cloud 보안 체크포인트 및 사고사례(22)

위협 사고 사례 등 대응 권고안

APT 공격클라우드는 APT 공격 악성코드 말웨어 등에자유롭지 못함

- 사용자IT 직원 인식제고- 최신 고급 공격에 대한

정보(Intelligence DB) - Kill The Chain 적용- 사고 대응 계획 수립

영구적데이터손실

CSP의 실수 악의적인내부 사용자 해커 등에의해데이터가 영구적으로삭제될 수 있음

- VM 단위 snapshot 이미지 백업

- 데이터 백업 서비스 계약- DR서비스 구축- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

부당한근면

신중하지 않은 CSP 선정으로 on-premise보다 많은 보안서비스운영비 지출

- 클라우드 보안서비스구축 시 비용 효과적인방안 필요

위협 사고 사례 등 대응 권고안

클라우드서비스남용

DDoS 스팸 및 피싱 악의적인 컨텐츠호스팅 암호화 키 크랙공격과 같은 사악한활동을 위해 클라우드컴퓨팅 리소스 사용

- CSP의 정교한 비과금트래픽 차단 서비스

- CSP의 CampC 서버 사용보안 모니터링 등

DDoS Attack

기업 Cloud SaaS 서비스의 DDoS 공격사례

- CSP의 DDoS 방지 nativeservice 이용 방어 전략수립

공유 기술 공유 위협

CSP는 인프라 플랫폼및 응용 프로그램을공유하며 이러한계층에서 취약점이발생하면 모두에게영향을 미침

- 구성 요소별 최적 보안하드닝 수행

- CSP의 주기적 점검 등- 최대한의 권한 관리- 정교한 접근통제 적용

7

3 Cloud 보안 아키텍처 (12)

Public CloudSec Architecture

Private Cloud Architecture

- Private Cloud 구현 sup SDDC (Software Defined Data Center) HCI (Hyper Converged Infrastructure)

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

3

목차

1 Cloud 보안 개요

2 Cloud 보안 체크포인트 및 사고사례

3 Cloud 보안 아키텍처

4 Cloud 보안 방법론

5 Cloud 보안 분석기준

6 Cloud 보안 이전구현 통제

7 Cloud 보안 운영통제

8 Cloud 보안 영역

4

1 Cloud 보안 개요

Cloud 보안 특성 (난해성 측면) 영향을 미치는 요소- IT∙Cloud인프라 개발기술 정보보안솔루션+ CSP Native Service

보안아키텍처∙개발보안∙보안성검토On-premise 확보 영역

(개인)정보보호관리체계 인증

거버넌스 법규amp 컴플라이언스

일부 정보시스템

보안장비솔루션

개발보안 amp

보안 아키텍처Cloud 유관

Skill

Cloud Skill Up 필요 영역

IT∙Cloud Infra

+ 개발 지식

Cloud Service

지식

Cloud 유관보안인증 지식

보안 장비 amp

솔루션 지식

범례

클라우드

보안

기술기반

보안

5

2 Cloud 보안 체크포인트 및 사고사례(12)

위협 사고 사례 등 대응 권고안

데이터유출

백업본에 의한 유명기업 클라우드 데이터유출

- 암호화 적용- 정교한 네트워크 정책- 백업본 삭제 철저

자격 증명손상 및인증 파괴

OTP 적용 없이 쉬운PW를 사용한 CSP 웹매니저 콘솔 IDPW를도용하여 데이터 유출

- 자격증명 및 암호키 보호- 공개 키 인프라 적용- 주기적인 암호키 교체- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

해킹된인터페이스및 API

Private cloud 통신내용 위변조 (APP 취약점 점검 결과)

- 인가된 사용자만 호출가능하도록 접근제어

- plane text RESTful 지양

위협 사고 사례 등 대응 권고안

시스템취약점공격

Xen RHEV VMM VMWare MS Hyper-visor 대상의 악성코드실행 권한획득 서비스 거부 데이터유출 사례 존재

- 정기 취약성 점검 수행- 신속한 보안패치 관리- 근본적 조치 불가시

보완대책 필히 적용

계정 도용

퇴사자의 계정 도용 VM 삭제로 복구만 2개월 소요 (미주 화학계열 회사)

- 계정 PW에 대하여정기적 필요시 변경

- 계정 자격 증명 공유금지 추가인증 적용

- 가동기록 모니터링감사

악의적인내부자

악의적인 내부자의인프라 파괴 데이터위변조

- 최대한의 물리 보안 구현- 직무 분리 및 최소 권한

부여 원칙 준수- 효과적인 로깅모니터링

감사 등 관리자 활동- 실수고의 방지 위한

인식제고 교육 보안서약서 징구 등

위협 출처 CSA

6

2 Cloud 보안 체크포인트 및 사고사례(22)

위협 사고 사례 등 대응 권고안

APT 공격클라우드는 APT 공격 악성코드 말웨어 등에자유롭지 못함

- 사용자IT 직원 인식제고- 최신 고급 공격에 대한

정보(Intelligence DB) - Kill The Chain 적용- 사고 대응 계획 수립

영구적데이터손실

CSP의 실수 악의적인내부 사용자 해커 등에의해데이터가 영구적으로삭제될 수 있음

- VM 단위 snapshot 이미지 백업

- 데이터 백업 서비스 계약- DR서비스 구축- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

부당한근면

신중하지 않은 CSP 선정으로 on-premise보다 많은 보안서비스운영비 지출

- 클라우드 보안서비스구축 시 비용 효과적인방안 필요

위협 사고 사례 등 대응 권고안

클라우드서비스남용

DDoS 스팸 및 피싱 악의적인 컨텐츠호스팅 암호화 키 크랙공격과 같은 사악한활동을 위해 클라우드컴퓨팅 리소스 사용

- CSP의 정교한 비과금트래픽 차단 서비스

- CSP의 CampC 서버 사용보안 모니터링 등

DDoS Attack

기업 Cloud SaaS 서비스의 DDoS 공격사례

- CSP의 DDoS 방지 nativeservice 이용 방어 전략수립

공유 기술 공유 위협

CSP는 인프라 플랫폼및 응용 프로그램을공유하며 이러한계층에서 취약점이발생하면 모두에게영향을 미침

- 구성 요소별 최적 보안하드닝 수행

- CSP의 주기적 점검 등- 최대한의 권한 관리- 정교한 접근통제 적용

7

3 Cloud 보안 아키텍처 (12)

Public CloudSec Architecture

Private Cloud Architecture

- Private Cloud 구현 sup SDDC (Software Defined Data Center) HCI (Hyper Converged Infrastructure)

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

4

1 Cloud 보안 개요

Cloud 보안 특성 (난해성 측면) 영향을 미치는 요소- IT∙Cloud인프라 개발기술 정보보안솔루션+ CSP Native Service

보안아키텍처∙개발보안∙보안성검토On-premise 확보 영역

(개인)정보보호관리체계 인증

거버넌스 법규amp 컴플라이언스

일부 정보시스템

보안장비솔루션

개발보안 amp

보안 아키텍처Cloud 유관

Skill

Cloud Skill Up 필요 영역

IT∙Cloud Infra

+ 개발 지식

Cloud Service

지식

Cloud 유관보안인증 지식

보안 장비 amp

솔루션 지식

범례

클라우드

보안

기술기반

보안

5

2 Cloud 보안 체크포인트 및 사고사례(12)

위협 사고 사례 등 대응 권고안

데이터유출

백업본에 의한 유명기업 클라우드 데이터유출

- 암호화 적용- 정교한 네트워크 정책- 백업본 삭제 철저

자격 증명손상 및인증 파괴

OTP 적용 없이 쉬운PW를 사용한 CSP 웹매니저 콘솔 IDPW를도용하여 데이터 유출

- 자격증명 및 암호키 보호- 공개 키 인프라 적용- 주기적인 암호키 교체- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

해킹된인터페이스및 API

Private cloud 통신내용 위변조 (APP 취약점 점검 결과)

- 인가된 사용자만 호출가능하도록 접근제어

- plane text RESTful 지양

위협 사고 사례 등 대응 권고안

시스템취약점공격

Xen RHEV VMM VMWare MS Hyper-visor 대상의 악성코드실행 권한획득 서비스 거부 데이터유출 사례 존재

- 정기 취약성 점검 수행- 신속한 보안패치 관리- 근본적 조치 불가시

보완대책 필히 적용

계정 도용

퇴사자의 계정 도용 VM 삭제로 복구만 2개월 소요 (미주 화학계열 회사)

- 계정 PW에 대하여정기적 필요시 변경

- 계정 자격 증명 공유금지 추가인증 적용

- 가동기록 모니터링감사

악의적인내부자

악의적인 내부자의인프라 파괴 데이터위변조

- 최대한의 물리 보안 구현- 직무 분리 및 최소 권한

부여 원칙 준수- 효과적인 로깅모니터링

감사 등 관리자 활동- 실수고의 방지 위한

인식제고 교육 보안서약서 징구 등

위협 출처 CSA

6

2 Cloud 보안 체크포인트 및 사고사례(22)

위협 사고 사례 등 대응 권고안

APT 공격클라우드는 APT 공격 악성코드 말웨어 등에자유롭지 못함

- 사용자IT 직원 인식제고- 최신 고급 공격에 대한

정보(Intelligence DB) - Kill The Chain 적용- 사고 대응 계획 수립

영구적데이터손실

CSP의 실수 악의적인내부 사용자 해커 등에의해데이터가 영구적으로삭제될 수 있음

- VM 단위 snapshot 이미지 백업

- 데이터 백업 서비스 계약- DR서비스 구축- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

부당한근면

신중하지 않은 CSP 선정으로 on-premise보다 많은 보안서비스운영비 지출

- 클라우드 보안서비스구축 시 비용 효과적인방안 필요

위협 사고 사례 등 대응 권고안

클라우드서비스남용

DDoS 스팸 및 피싱 악의적인 컨텐츠호스팅 암호화 키 크랙공격과 같은 사악한활동을 위해 클라우드컴퓨팅 리소스 사용

- CSP의 정교한 비과금트래픽 차단 서비스

- CSP의 CampC 서버 사용보안 모니터링 등

DDoS Attack

기업 Cloud SaaS 서비스의 DDoS 공격사례

- CSP의 DDoS 방지 nativeservice 이용 방어 전략수립

공유 기술 공유 위협

CSP는 인프라 플랫폼및 응용 프로그램을공유하며 이러한계층에서 취약점이발생하면 모두에게영향을 미침

- 구성 요소별 최적 보안하드닝 수행

- CSP의 주기적 점검 등- 최대한의 권한 관리- 정교한 접근통제 적용

7

3 Cloud 보안 아키텍처 (12)

Public CloudSec Architecture

Private Cloud Architecture

- Private Cloud 구현 sup SDDC (Software Defined Data Center) HCI (Hyper Converged Infrastructure)

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

5

2 Cloud 보안 체크포인트 및 사고사례(12)

위협 사고 사례 등 대응 권고안

데이터유출

백업본에 의한 유명기업 클라우드 데이터유출

- 암호화 적용- 정교한 네트워크 정책- 백업본 삭제 철저

자격 증명손상 및인증 파괴

OTP 적용 없이 쉬운PW를 사용한 CSP 웹매니저 콘솔 IDPW를도용하여 데이터 유출

- 자격증명 및 암호키 보호- 공개 키 인프라 적용- 주기적인 암호키 교체- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

해킹된인터페이스및 API

Private cloud 통신내용 위변조 (APP 취약점 점검 결과)

- 인가된 사용자만 호출가능하도록 접근제어

- plane text RESTful 지양

위협 사고 사례 등 대응 권고안

시스템취약점공격

Xen RHEV VMM VMWare MS Hyper-visor 대상의 악성코드실행 권한획득 서비스 거부 데이터유출 사례 존재

- 정기 취약성 점검 수행- 신속한 보안패치 관리- 근본적 조치 불가시

보완대책 필히 적용

계정 도용

퇴사자의 계정 도용 VM 삭제로 복구만 2개월 소요 (미주 화학계열 회사)

- 계정 PW에 대하여정기적 필요시 변경

- 계정 자격 증명 공유금지 추가인증 적용

- 가동기록 모니터링감사

악의적인내부자

악의적인 내부자의인프라 파괴 데이터위변조

- 최대한의 물리 보안 구현- 직무 분리 및 최소 권한

부여 원칙 준수- 효과적인 로깅모니터링

감사 등 관리자 활동- 실수고의 방지 위한

인식제고 교육 보안서약서 징구 등

위협 출처 CSA

6

2 Cloud 보안 체크포인트 및 사고사례(22)

위협 사고 사례 등 대응 권고안

APT 공격클라우드는 APT 공격 악성코드 말웨어 등에자유롭지 못함

- 사용자IT 직원 인식제고- 최신 고급 공격에 대한

정보(Intelligence DB) - Kill The Chain 적용- 사고 대응 계획 수립

영구적데이터손실

CSP의 실수 악의적인내부 사용자 해커 등에의해데이터가 영구적으로삭제될 수 있음

- VM 단위 snapshot 이미지 백업

- 데이터 백업 서비스 계약- DR서비스 구축- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

부당한근면

신중하지 않은 CSP 선정으로 on-premise보다 많은 보안서비스운영비 지출

- 클라우드 보안서비스구축 시 비용 효과적인방안 필요

위협 사고 사례 등 대응 권고안

클라우드서비스남용

DDoS 스팸 및 피싱 악의적인 컨텐츠호스팅 암호화 키 크랙공격과 같은 사악한활동을 위해 클라우드컴퓨팅 리소스 사용

- CSP의 정교한 비과금트래픽 차단 서비스

- CSP의 CampC 서버 사용보안 모니터링 등

DDoS Attack

기업 Cloud SaaS 서비스의 DDoS 공격사례

- CSP의 DDoS 방지 nativeservice 이용 방어 전략수립

공유 기술 공유 위협

CSP는 인프라 플랫폼및 응용 프로그램을공유하며 이러한계층에서 취약점이발생하면 모두에게영향을 미침

- 구성 요소별 최적 보안하드닝 수행

- CSP의 주기적 점검 등- 최대한의 권한 관리- 정교한 접근통제 적용

7

3 Cloud 보안 아키텍처 (12)

Public CloudSec Architecture

Private Cloud Architecture

- Private Cloud 구현 sup SDDC (Software Defined Data Center) HCI (Hyper Converged Infrastructure)

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

6

2 Cloud 보안 체크포인트 및 사고사례(22)

위협 사고 사례 등 대응 권고안

APT 공격클라우드는 APT 공격 악성코드 말웨어 등에자유롭지 못함

- 사용자IT 직원 인식제고- 최신 고급 공격에 대한

정보(Intelligence DB) - Kill The Chain 적용- 사고 대응 계획 수립

영구적데이터손실

CSP의 실수 악의적인내부 사용자 해커 등에의해데이터가 영구적으로삭제될 수 있음

- VM 단위 snapshot 이미지 백업

- 데이터 백업 서비스 계약- DR서비스 구축- 다중 요소(Multi-factor)

인증 시스템 적용- 업무 변경 또는 퇴직 시

사용자 접근권한 제거 등

부당한근면

신중하지 않은 CSP 선정으로 on-premise보다 많은 보안서비스운영비 지출

- 클라우드 보안서비스구축 시 비용 효과적인방안 필요

위협 사고 사례 등 대응 권고안

클라우드서비스남용

DDoS 스팸 및 피싱 악의적인 컨텐츠호스팅 암호화 키 크랙공격과 같은 사악한활동을 위해 클라우드컴퓨팅 리소스 사용

- CSP의 정교한 비과금트래픽 차단 서비스

- CSP의 CampC 서버 사용보안 모니터링 등

DDoS Attack

기업 Cloud SaaS 서비스의 DDoS 공격사례

- CSP의 DDoS 방지 nativeservice 이용 방어 전략수립

공유 기술 공유 위협

CSP는 인프라 플랫폼및 응용 프로그램을공유하며 이러한계층에서 취약점이발생하면 모두에게영향을 미침

- 구성 요소별 최적 보안하드닝 수행

- CSP의 주기적 점검 등- 최대한의 권한 관리- 정교한 접근통제 적용

7

3 Cloud 보안 아키텍처 (12)

Public CloudSec Architecture

Private Cloud Architecture

- Private Cloud 구현 sup SDDC (Software Defined Data Center) HCI (Hyper Converged Infrastructure)

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

7

3 Cloud 보안 아키텍처 (12)

Public CloudSec Architecture

Private Cloud Architecture

- Private Cloud 구현 sup SDDC (Software Defined Data Center) HCI (Hyper Converged Infrastructure)

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

8

3 Cloud 보안 아키텍처 (22)

정보보호FW 기반의관리물리기술 보안아키텍처 수립

GRC 기반 정보보호FWrArr CloudSec 보완

기술 보안 특히 Infra와정보보호가 필요한영역에 CloudSec 적용(on-premise와 호환성고려 작성 필요)

클라우드 보안을 실질적으로 구현할 수 있는방법론 필요

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

9

4 Cloud 보안 방법론

Cloud 운영 LC 기반

Pub Cloud중점

법규 영역amp 실무

고객사 amp 컨설팅

ICSM SKInfosec CloudSecurity Methodology

1

2

3

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

10

5 Cloud 보안 분석기준 (14) ndash책임공유모델

Public Cloud 보안

위험을 최소화하기

위해서는 고객

서비스 제공자

각자가 책임져야 할

영역을 이해해야 함

Public Cloud 보안 A-to-Z 책임공유모델

AWS Infra 서비스 Container 서비스추상화 서버스별책임공유모델 강조

사람

Data

APP

OS

VN

HV

HW

NW

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

11

5 Cloud 보안 분석기준 (24) ndash 관리적 CSP평가

계약

이전구현

운영

운영폐쇠

CSP 답변 영역

AWS

Azure

NCP

GCP

1

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

12

5 Cloud 보안 분석기준 (34) ndash 기술적 보안성검토

Cloud

보안전용요건

Hypervisor 보안 Inf 등 접근통제 -계정- 최소 권한 부여

악성코드 방지 보안패치 SW설치통제 주기적 로그 분석을

통한 이상징후 모니터링 수행 등

Web Mgmt Console 접근통제

API 보안 호출 통제 취약 통신방식 지양 등

전송구간 암호화 데이터 Cloud 이전 시 VM Migration 시

중요 데이터 완전 삭제 가상 자원 회수 포함

가상자원 보호 무결성 보증 실행 이력 보관 서비스별 망

분리 테넌트 내 접근통제 적용

Snapshot 이미지 백업 기반을 고려한 가용성로깅 보안

보안설정 eg AWS 네트워크 단위 NACL VM 단위

Security Group

백신 등 표준보안SW 설치 및 운영

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

13

5 Cloud 보안 분석기준 (44) ndash 보안솔루션이전

1) 이전 대상 1차 선정

2) CSP 운용 가능 여부 조사

3) 2차 선정 기능 목록 도출

4) 대응 CSP Native 서비스

기능 매핑 조사

5) 3rd party 서비스 기능

매핑 조사

6) 구성 비용 고려한 최종 선정

보안솔루션 이전 적용성 분석

절차

2) 3)번은 4) 5)번 뒤에 수행 가능

CSP 적용성 분석 체크 항목

- Marketplace 등재 여부

- VM OS 정상 동작 여부 (eg EC2 Azure VM)

(필요시 제조사-CSP간 동작 여부 테스트)

- 운용정책 Lic 이전 여부

- 클라우드 向 기술 지원 여부

auto-scaling Measuring 멀티테넌시 등

1

단계

2

단계

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

14

6 Cloud 보안 이전구현 통제 ndash취약점 점검

설명 설명 비고[Unix] - AWS에 맞게 커스터마이징된 별도의 리눅스 운영체제 존재

기본 보안 설정 자체가 일반 리눅스보다 상대적으로 우수한 편임

기본적으로 ROOT 로그인 비활성화 상태임 (별도의 설정을 통해 ROOT 계정 활성화 가능)

그 외 우분투 RHEL 같은 일반 IT인프라와 동일한 환경의 리눅스 버전 존재함

가상머신 OS에 대한 취약점 점검 방식은 on-premise 방식과 대동소이함

bull 점검 방식 Container 형식 VM Infra 서비스 내설치 형식 등 점검할 수 있는 영역을면밀히 조사하여수행해야 함(책임공유모델)

[Windows] IaaS의 경우 on-premise IT인프라와 점검 방식에 큰 차이가 없음

[Network] ELB NAT Gateway 등 AWS native network service 점검 일부 구성 내역을 인터뷰로 점검( CISCO L2 L3 switch 같은 어플라이언스 형태의 가상화 장비가 없으며 AWS Console로subnet gateway 설정으로 네트워크 구성이 가능함 )

[보안장비] 인터뷰 통한 점검 방식 유지 AWS native security service 또는 3rd party solution 점검

[DBMS] AWS RDS Service (Container 형태) Script 점검이 아닌 SQL Query 인터뷰 등으로 점검 IaaS 내 별도의 DBMS를 설치∙운용∙ on-premise 방식과 유사하므로 Script 점검 가능함

[WEBWAS] Container 서비스 형태 또는 IaaS 내 별도의 WEBWAS를 설치∙운용∙점검 가능함 Container 서비스 경우 일부 AWS 서비스 환경 관리 콘손을 통해 점검 가능하나 확인할 수 있는 설정값이 매우 제한적임(로그 롤 설정 등)

취약점 관리 대상 정기 취약점 점검 시 활성화되어 운영되고 있는 가상화자원(VM) VMMHypervisor Container SDN Switch 등을 포함하여 취약점 점검 수행 고려

AWS 취약점 점검은 Native Service 활용 가능 (eg AWS Inspector CVE 기반)

bull 보안설정 관리 단위 Template or VMI

2

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

15

7 Cloud 보안 운영통제

- 클라우드 구성

가상 사설 클라우드

VPC간 내부 통신

- 네트워크 구성

- APP 구성

- 보안서비스 구성

- 보안관제 구성

비용 효율적 구성

Checkpoint

3

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

16

8 Cloud 보안 영역 ndash 거버넌스 관리체계

SK Infosec Offering Description Of Offering Benefits Value Proposition

정보보호관리체계

수립 인증컨설팅

(환경분석운영단계)

Cloud 보안거버넌스 체계

클라우드 보안에 있어 조직(인력) 프로세스 기술 영역의 상위 체계 수립

-비용 효율적인고 안정적인 Cloud 보안거버넌스 체계 확보

Cloud 보안관리체계

Cloud 운영 LC 단계에 맞는 보호대책 수립 및운영 (계약 이전구현 운영 폐쇠)

Cloud 운영 환경 분석 취약점 점검 보호대책수립

-Cloud 규제 컴플라이언스 준수 충족-Cloud Infra 환경의 기술적 보안 취약점제거

Cloud 보안정책지침절차

Cloud 사용으로 변화한 보안 관리 운영요소를 정책 지침 절차 매뉴얼 등에 반영

-Cloud 규제∙컴플라이언스에 대한 내규대응력 강화

정보보호인증 취득유지

Cloud 환경 하 ISMS-P ISO Family (ISO27001 27017 27018) 인증 취득유지

-국내외 정보보호 인증으로 객관적인

정보보호 수준 보증

ISMS-P KISA 정보보호 및 개인정보보호 인증IFO Family ISO27001 ISO 27017 ISO 27018

참고

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

17

8 Cloud 보안 영역 ndash 아키텍처 보안성검토

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 기반정보보호아키텍처

수립 컨설팅(이전 구현)

Cloud 보안요건수립

Cloud 운용 환경을 고려한 보안성검토혹은 개발보안 요건 수립점검 (PaaS측면)

-이전구현에 따른 준수해야 할 보안 요건수립 및 단계별 점검의 전문성 확보

Cloud 기반보안아키텍처 수립

보안요건을 모두 수용하는 Cloud 보안아키텍처 수립 (Private클라우드 측면)

-Cloud Infra 에 대한 기존 보안 아키텍처현행화 설계에 대한 전문성 확보

Cloud 기반 보안서비스 구성 설계

Cloud 기반 보안아키텍처 내 요구되는보안 솔루션 구성 설계(native vs 3rd party)

- APP 이전구현 측면 보다는 Cloud 환경측면의 보안서비스 구성설계 전문성 확보

Cloud 기반보안성 검토

컨설팅(이전 구현)

보안성검토 요건정의 및 점검

Cloud 향 보안성검토 요건 정의 및 점검(PaaS 측면)

-법규컴플라이언스 기반 보안성 확보

보안성 검토심의Cloud 이전구현 대상 APP의 보안성 확보법규 준수 위한 상급기관 보안성심의 (금융)

-법규컴플라이언스 준거성 확보

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

18

8 Cloud 보안 영역 ndash 적정성 적용성 분석

SK Infosec Offering Description Of Offering Benefits Value Proposition

Cloud 전환적정성 검토

컨설팅(이전 구현)(금융 Pub)

이용대상선정업무중요도평가

이전구현 대상 APP 선정선정된 APP의 업무중요도평가 (현업 수행)

-상용 클라우드 서비스(CSP) 이용시 금융자체 보안성 심의 절차 준수를 위한부속서류 준비에 있어서의 전문성 확보

BCP안전성확보방안 수립

클라우드 BCPDR 전략 amp 출구전략 수립CSP 안전성 평가(KISA 기준 활용 등) 수행

표준계약 방안수립

참조 금융분야 클라우드컴퓨팅서비스 이용가이드 업무위탁 관련 행정규칙 2종 등

CSP 정보보호수준평가 지원

「금융분야 클라우드컴퓨팅서비스 이용가이드」 기반 점검 CSP의 주기적 점검

보안 장비솔루션컨설팅

(환경분석)

보안 장비솔루션이전구축적용성분석

정보보안 장비솔루션의 Cloud 이전 or 신규구축에 대한 적용성 분석

1단계 Native3rdparty 대응서비스 amp 기능조사2단계 구성 및 비용이 고려된 서비스 선정

- 정보보호 대책에 대한 신뢰도 높은 검증비용 및 시간 절감

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

클라우드 환경 KEY = 인력

기술 환경의 극적인 변화SK인포섹 컨설턴트와 함께

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom

wwwcloudseccom | cloudsec

THANK YOU

장성일 | 팀장전문위원

컨설팅담당 | SK Infosecsijang7skcom