[소개] 클라우드 취약점 점검 가이드 (KISA, 한국인터넷진흥원)
2020. 12 한국인터넷진흥원(KISA)에서 발간된 클라우드 진단 가이드입니다.
업무에 참고 바랍니다.
- 가이드명 : "클라우드 취약점 점검 가이드 보안설정 CCE"
[ 가이드 관련 내용요약 ]
1. 클라우드컴퓨팅서비스(클라우드서비스) 보안인증제도
- 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 기준의 준수여부에 대해확인을 인증기관에 요청하는 경우
- 인증기관이 이를 평가 및 인증하여, 이용자들의 안전한 클라우드서비스를 지원하기 위한 제도
- 관련 근거 : 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조 제2항
- 클라우드 보안 인증(CSAP)에서 다음과 같은 평가를 진행
1. 서면/현장평가
2. CCE
3. CVE
4. 시큐어코딩
5. 모의침투테스트
- CCE 취약점 점검의 문제는
1. 취약점 점검시간에 많은 소요
2. 시스템에 대한 영향도 파악이 필요
3. 각 시스템에 대한 조치방법 등의 숙지가 필요
위의 주요 3가지 문제로 인하여, 시스템 담당자들의 조치 어려움이 존재함
따라서, KISA에서 담당자들에게 도움이 될 수 있는 CCE 취약점 가이드를 발간
* CCE(Common Configuration Enumeration) : 취약한 설정에 대한 점검
* CVE(Common Vulnerabilities and Exposures) : OS, Application 고유의 취약점
2. 유의사항
- 해당 가이드는 클라우드 인증 심사(CCE) 평가에 있어, 전반적인 점검에 관련한 이해를 돕기위한 가이드에 해당함.
- 해당 점검방법은 클라우드 인증심사 기준이며, 클라우드 환경에서 절대적이지 않음.
- 운영 서비스, 활용되는 기능, 세부 버전 패치 등의 사유에 따라 점검방법/ 판단기준은 변경될 수 있음
- 해당 판단기준은 클라우드 인증평가 시 사용되고 있는 사항이지만,
- 양호/취약을 가르는 실제 판단기준은, 클라우드 서비스 운영/ 환경 / 정책 등을 고려하여 심사원이 최종적으로 결정해야 함.
- 판단기준에 의하여, 취약이여도 환경,정책 등 합당한 보안조치를 진행하였으며, 관련 근거를 수반하고 있따면 양호로 판단이 가능함.
3. 가이드 다운로드
상세 내역은 다운로드 및 목차 그림을 참고하세요. Openstack도 보이네요
'슈개's IT > Engineer Room' 카테고리의 다른 글
| [ERROR] 지정한 로그온 세션이 없습니다. 이미 종료되었을 수도 있습니다. (5) | 2021.01.19 |
|---|---|
| [소개] 두낫콜 스팸 전화 차단하는 방법 (Do not call) (1) | 2020.12.26 |
| [ERROR] 카카오 애드핏 심사 승인 "다시 조회하기" 문제해결 방법 (0) | 2020.12.22 |
| Cuckoo Sandbox 설치 가이드 (2/2) (0) | 2020.12.21 |
| Cuckoo Sandbox 설치 가이드 (1/2) (0) | 2020.12.21 |