클라우드 시대의 보안 관행 개선 (04.18.24)
클라우드 컴퓨팅이 번창하고 있으며 최근 몇 년 동안 클라우드 기반 서비스 활용이 크게 증가했습니다. 거의 모든 중소기업 및 대기업 조직은 디지털 전환 이니셔티브 또는 클라우드 컴퓨팅 전략을 진행하고 있습니다. 보안은 업계의 주요 구성 요소이며 민감한 데이터 및 권한있는 정보의 보호가 최우선 과제입니다.
클라우드 서비스 제공 업체는 처음부터 비즈니스 자산 및 제어를 보호하도록 설계된 본질적으로 안전한 플랫폼을 운영합니다. 논리적이지만 안전한 방법으로 액세스합니다. 다행스럽게도 전용 클라우드 파트너를 선택할 때 기업은 이미 업계 모범 사례를 능가하도록 설계된 기존의 서비스 형 보안 플랫폼에 직접 연결하도록 선택할 수 있으며, 이는 기술 복잡성과 막대한 비용을 완화 할 수 있습니다. 사내 DIY 접근 방식
클라우드 보안은 제공 업체, 소비자 및 모든 관련 제 3 자 간의 공동 책임입니다. 클라우드 시대에 보안 의사 결정이 필수적이라는 것은 의심의 여지가 없으며 모든 클라우드 기반 플랫폼은 클라우드 인프라 서비스를 부지런히 사용해야합니다. 의심하지 않는 시스템 관리자가 클라우드 서버를 잘못 구성하여 잠재적으로 전체 시스템에 대한 문을 활짝 열어 놓을 가능성이 매우 높습니다.
클라우드 분석클라우드와 같은 모든 컴퓨터 시스템이 중요합니다. 클라우드 제공 업체로 전환되는 기본 또는 시스템, 실사 검토로 인한 완전한 보안. 이 프로세스는 민감한 데이터가 공유되고 액세스되는 방식을 이해하도록 설계되었습니다. 보유한 데이터, 데이터를 처리 및 변환하는 방법, 데이터가 저장 또는 전송되는 위치를 정확히 아는 것은 필수 보안 검토 구성 요소입니다.
분석은 어렵고 시간이 많이 걸리는 작업이지만 민감하거나 규제 된 데이터를 식별하고이를 보호하기위한 적절한 조치를 취하는 것이 중요합니다. 많은 제공 업체에는 검토 할 시스템 구성 및 설정 데이터를 직접 보낼 수있는 에이전트 기반 도구가 있습니다. 이 자동화 된 프로세스를 구성하는 데 몇 분이 걸리지 만 기존 환경의 회로도를 만드는 데 도움이 될 수 있습니다.
수집 된 정보는 기존 또는 제안 된 클라우드 플랫폼을 감사하는 데 도움이되며 서버를 식별하고 방지하는 데 유용한 도구입니다. 잘못된 구성. 또한 네트워크에서 발생하는 악의적이거나 예상치 못한 동작을 발견 할 수도 있습니다. 예를 들어 자격 증명을 공유하는 사용자, Active Directory 사용자 계정에서 실행되는 시스템 서비스, 취약한 암호 정책 또는 취약한 파일 및 폴더 권한이 있습니다.
목표는 클라우드로 마이그레이션하기 전에 문제를 해결하는 것입니다. 직원 교육이 이미 진행 중이어야하는 초기 단계입니다. 클라우드 전략의 향후 목표에 대한 정보를 공유하고 교육을 제공하는 것은 좋은 시작입니다. 선택한 파트너, 사용자 및 컴퓨터 에티켓에 대해 교육하고 맬웨어, 바이러스 및 랜섬웨어를 방지하는 데 도움이되는 보안 모범 사례에 대한 세부 정보를 제공하십시오.
클라우드 서비스 보호조직의 클라우드 플랫폼. 프로덕션 워크로드 및 시스템이 클라우드에서 실행되기 시작하면 보안 아키텍처를 다시 검토하여 목적에 적합한 지 확인해야합니다. 암호화, 네트워크 세분화 및 방화벽과 같은 하드웨어 계층 보호의 대부분은 이미 설치되어 있으며 공급자는 프로세스를 미세 조정합니다.
몇 가지 보안 정책을 만들고 검토해야합니다. 여기에는 데이터 제어와 관련된 중요한 측면이 포함됩니다. 클라우드의 거의 무한한 저장 용량은 비즈니스에 큰 매력입니다. 그러나 저장 유형과 제어 기능은 매우 중요합니다. 어떤 데이터가 어떤 위치에 저장되는지에 관한 정책? 민감한 데이터는 해외에서 허용됩니까, 아니면 규정 준수를 위해 육지에 있어야합니까?
저장소 버킷에는 데이터 생성 및 삭제와 관련된 감사 제어 기능이 있어야합니다. 권한이있는 사용자가 파일을 조작 할 수있는 올바른 권한이 있는지 확인하려면 액세스 제어를 확인해야합니다. 데이터의 보존 및 삭제 기간을 모니터링하기위한 통제가 마련되어 있으며, 일부 기업은 데이터를 최대 7 년 동안 보존하기로 선택합니다.이 기간이 지나면 조직은 데이터를 삭제할 의무가 있습니다. 클라우드 스토리지는 이러한 골칫거리의 대부분을 자동화 할 수 있습니다.
데이터 무결성은 클라우드 시대에 매우 중요합니다. 클라우드의 모든 데이터를 암호화하는 것이 좋습니다. 가급적 자체 암호화 키를 사용하는 것이 좋습니다. USB 펜 드라이브로의 데이터 덤프와 같이 데이터가 외부 장치로 이동되지 않도록 조치를 취해야합니다. 많은 보안 제품군이이 기능을 즉시 제공합니다.
또 다른 중요한 보안 관행은 전체 환경에서 보안 취약성을 지속적으로 모니터링하는 것입니다. 이는 보안 전문가 팀이 완료해야하는 중요한 작업입니다. 보안 플랫폼은 공용 인터넷에서 외부 공용 IP 주소를 검색하는 데 사용되며 SecOp 전문가는 내부 네트워크 및 시스템의 취약점을 검색합니다.
이 활동은 취약성을 수정하는 데 필요한 많은 조치를 생성합니다. 일반적인 예로는 운영 체제 및 응용 프로그램에서 발견되는 약점, 웹 사이트에서 사용되는 약한 보안 암호, 사용중인 약하거나 기본 암호가 있습니다. 또한 알려진 취약성의 광범위한 데이터베이스에 대한 스캔도 완료됩니다. 각 취약성이보고되고 여기에는 악용의 심각성과 가능성이있는 위험이 포함됩니다.
다단계 인증 (MFA)은 클라우드 서비스에 대한 액세스 보안을위한 예상 표준입니다. 액세스 권한을 얻는 가장 일반적인 방법은 장치 (일반적으로 휴대폰)에서 사용자 이름, 개인 핀 및 보안 코드를 제공하는 것입니다. 이러한 보호는 일반적으로 대상 클라우드 VPS에 대한 VPN 터널 시작과 같은 네트워크 계층에서 찾을 수 있지만 웹 사이트 및 민감한 프로덕션 서버에 대한 추가 보안 계층으로 사용할 수 있습니다.
많은 조직이 한 단계 더 나아가 패킷이 네트워크에 들어 오거나 나갈 때 패킷을 검사하는 스크리닝 서비스를 통해 모든 네트워크 트래픽을 프록시합니다. 이 접근 방식은 로깅 및 추적 기능을 개선하지만 승인되지 않은 주소를 블랙리스트에 추가하는 것도 매우 간단합니다.
SecOps조직의 컴퓨터 시스템이 클라우드에 내장 된 후 일상적인 운영 활동 요구 사항이 많이 있습니다. . 이러한 프로세스는 클라우드 시대의 보안 모범 사례를 개선하도록 설계되었습니다. 클라우드 액세스 정책을 지속적으로 업데이트하고 수정하면 기업이 액세스 권한을 강화하여 승인 된 사용자 만 시스템 액세스 권한을 갖도록 보장 할 수 있습니다.
보안 정보 관리를 위해서는 기술 절차가 최신 상태 여야하며 클라우드 플랫폼에 대해 문서화 된 운영 절차를 사용할 수 있어야합니다. 이것은 여러 가지 목적으로 사용됩니다. 직원의 지식 이전 및 교육을 돕고 조직에 비즈니스 연속성 기능을 제공합니다. 보안 모범 사례에 따르면 시스템 오류 발생시 시스템 재시작 및 데이터 복구 절차를 사용할 수 있습니다.
문서는 조직이 정보를 처리하고 처리하는 방법을 명시 적으로 정의하고 백업 정책을 정의하며 예약 요구 사항 (시작 / 작업 종료 시간) 오류 또는 기타 예외적 인 조건을 처리하기위한 지침과 기밀 정보를 처리하고 안전하게 폐기하는 방법을 포함합니다.
SecOps 보안 관행은 변경 관리 프로세스를 다룹니다. 여기에는 영향 평가를 포함하여 중요한 변경 사항 기록, 변경 계획 및 변경 테스트가 포함됩니다. 모든 변경 사항은 보안 담당자가 포함 된 패널의 승인을 받아야하며 모든 관련 담당자에게 계속 정보가 전달됩니다.
기타 주목할만한 보안 관행에는 용량 관리 계획, 개발, 테스트 및 생산 시설 분리가 포함됩니다. 맬웨어에 대한 제어를 구현하고 바이러스 백신 제어가 제대로되어 있는지 확인합니다. 시스템 백업 및 데이터 백업이 완료되고 정보는 현지 법률 (GDPR 또는 CCPA)에 따라 유지됩니다.
서비스에 대한 자세한 로깅 및 감사는 매우 바람직합니다. 기록은 SIEM 플랫폼 내에서 수집 및 유지 될 수 있습니다. 여기에는 웹 서버, 응용 프로그램 서버 및 데이터베이스 제품에서 활성화되는 적절한 수준의 로깅이 포함됩니다. 다른 영역에는 권한있는 액세스 모니터링, 무단 액세스 시도, 시스템 경고 및 시스템 보안 설정 변경 사항이 포함됩니다.
YouTube 비디오: 클라우드 시대의 보안 관행 개선
04, 2024