Contenu connexe Similaire à 클라우드 보안 이슈 및 원격 관제 기반 대응 방안 - AWS Summit Seoul 2017 (20) Plus de Amazon Web Services Korea (20) 클라우드 보안 이슈 및 원격 관제 기반 대응 방안 - AWS Summit Seoul 20171. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
안랩 서비스기획자 김준호 과장
클라우드 보안 위협 및
대응 방안
2. 본 강연에서 다룰 내용
클라우드 도입
이슈 및 보안 위협
클라우드 보안
위협 대응 방안
AWS 고객을 위한
원격관제서비스
4. © AhnLab, Inc. All rights reserved.
클라우드 도입 부진 이유
4
국내 수요자 입장에서는 ‘법 및 규제 준수‘ 그리고 ‘데이터 보관 및 개인정보’ 를 가장 어려운 점으로 꼽고 있습니다.
5. © AhnLab, Inc. All rights reserved.
클라우드 도입 장애 요소 (기업 규모별)
• 2015년 클라우드발전법 시행, 2018년까지 국내 클라우드 도입률 30% 목표(미래부) (cf. 미국 67% 예상(IDC))
• 클라우드 도입 주저 이유로 응답 기업의 33%, 1000명이상 대기업의 50%가 “보안에 대한 우려” 제기
2.8%
13.9%
8.3%
50.0%
16.7%
7.8%
12.5%
3.1%
34.4%
37.5%
3.6%
7.1%
32.1%
19.6%
33.9%
0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0%
클라우드 서비스 제공 업체에 대한 신뢰가 낮아서
회사 기밀정보는 사내 시스템에 저장해야 해 IT운영에 대한
2중 부담 때문
비용을 크게 절감할 수 있을 것 같지 않아서
기밀데이터를 회사 밖에 저장하는 것에 대한 우려 때문
아직 클라우드 관련 회사 방침이 정해지지 않아서
99명이하 100~999 1,000 이상
(IDG Custom Resarch, 2015)
6. © AhnLab, Inc. All rights reserved.
법 규제의 강화
제목 입력란
금융 부문
제목 입력란
공공 부문
제목 입력란
기업 부문
7. © AhnLab, Inc. All rights reserved.
클라우드 보안 사고 사례
년도 사고유형 업체 주요 내용
2011 서비스장애 후지쯔 DoS 공격으로 장애 발생
2012 스팸메일 Dropbox Dropbox 사용자 계정을 해킹하여 직원 계정에 있는 이메일 명단이 유출되고, 해당 사용자에게 스팸메일 발송
데이터 유출 Dream Host DB를 해킹하여 개인정보 유출
데이터 손실 애플 해커가 나의 맥북찾기 취약점을 악용하여 개인정보 삭제
2013 데이터 유출 Evernote 메모/정보 정리 툴을 제공하는 클라우드 서비스에서 사용자명, 메일주소, 암호화된 패스워드 유출
Adobe Adobe 서버가 해킹되어 290만명의 개인정보와 Acrobat 등 SW의 소스코드 일부 유출
ZenDesk ZenDesk 시스템을 해킹하여 개인정보 유출
2014 데이터 유출 애플 아이클라우드의 개인계정을 해킹하여 할리우드 배우 사진을 유출 및 무단배포
2008 2009 2011 2012 2013 2014 20152010
시스템오류 관리실수 천재지변 해킹
(출처: 정부 3.0 추진위원
회)
횟수
8. © AhnLab, Inc. All rights reserved.
클라우드 서비스 보안 위협
클라우드 보안 위협은 데이터, 시스템/네트워크, 관리적 위협으로 분류하여 세부 위협 항목을 식별할 수 있습니다.
클라우드 보안 위협
데이터
• 데이터 손실 및 유출 위협 (데이터 백업관리, 외부저장장치 관리)
시스템/
네트워크
관리적
위협
• 데이터 변조 위협 (암호화, 키관리, 기밀성, 무결성)
• 인증 및 권한관련 위협 (사용자 계정 유출, 관리자 권한 분리)
• 시스템 및 네트워크 보안 위협 (Malware, OS 보안취약점, 가상 네트워크)
• 시스템 악용 위협 (피싱, 봇넷의 악용파악, 추적조사기능 보장)
• 가상머신 보안 위협 (하이퍼바이저 취약점)
• 보안수준 보장 및 사고대응의 어려움
• 서비스 장애 위협 (재난관리, 폐업, 합병에 대한 기업의 지속성)
• 법령 및 규정 준수 (데이터 해외 이전, 망분리, SLA)
• 통합 정책 관리의 어려움
위협 항목 Gartner RSA
CSA
Threat
분류
Japan
ASP,SaaS
ENISA
CSA
CCM
√ RSA √ √ √CS√M
√ √ eat √ √√
√ √ √ √ √CS√M
√ √ √
ENIS
A
√
√ R√A √ √
ENIS
A
√
R √A √
ENIS
A
√
√ RSA √ √M
√ √ √ √√
√ √ r √ √√
√ √ P
ENIS
A
√
10. © AhnLab, Inc. All rights reserved.
AWS 기본 보안 – 제어
10
• AWS Key Management Service
- 암호화 키의 생성, 제어 및 사용할 수 있도록 지원
- EC2, EBS 등 서비스를 사용할 때 키를 생성해 다른 서비스에 사용 가능
• 사용자 제어
- 사용자의 접근 및 종료 등의 권한을 등급별로 제어
• 네트워크 제어
- Cloud 내에 격리된 가상 사설 네트워크를 생성
- 각 서브넷 단위로 방화벽 룰을 설정 가능
- 각 EC2 인스턴스 단위(웹서버, 애플리케이션)로 Security Group 설정 가능
11. © AhnLab, Inc. All rights reserved.
AWS 보안 서비스- 가시성
• Trust Advisor : 비용, 보안, 인프라 성능에 현재 상황과 권고 사항을 볼 수 있는 데시보드
• Cloud Trail : AWS 자원 변경 사항 추적, 접근 로그 기록
• AWS Config : 변경사항에 대한 모든 History를 남김, 영향 받는 자원에 대한 내용을 History로 남김
• Cloud Watch logs : Agent를 통해 OS 및 애플리케이션 로그를 수집, 필터를 및 Alert 기능
12. © AhnLab, Inc. All rights reserved.
안랩 클라우드 정보보호 컨설팅 서비스
안랩 클라우드 정보보호 컨설팅 서비스(AhnLab Cloud Security Consulting Service)는 클라우드에 대한 Risk를 식별하여
평가하고 보안대책을 수립하여 안전한 클라우드의 이용·제공에 기여합니다.
안랩 클라우드 정보보호 컨설팅 서비스 개요
목적 • 안랩 클라우드 정보보호 컨설팅 서비스는 클라우드에 대한 RISK를 식별 및 평가하고 보안대책 수립을 통해 안전한 클
라우드의 이용·제공에 기여함
• 클라우드 모델·유형
- IaaS / PaaS / SaaS / SeCaaS
- Private Cloud / Community Cloud / Public Cloud / Hybrid Cloud
내용구분
서비스
대상
• 안랩의 정보보호컨설팅 방법론인 ASEM(Ahnlab Security Engineering Method) 방법론을 이용하여
클라우드 모델·유형별 IT현황분석, 보안 취약점, 위협, 위험분석을 수행하고 보안대책을 수립
서비스
특징
수행 절차 관리적•기술적
취약점 진단
위험분석
클라우드 유형/모델 및
IT환경 분석
보호대책 수립
주
요
서
비
스
Compliance
정보보호
인증
모의해킹 및
시스템 진단
• 클라우드 컴퓨팅 구축/제공/이용 등에 따른 법적 준거성 검토 및 분석
- 클라우드발전법, 전자금융거래법, 정보통신망법, 개인정보보호법, 의료법 등
• 클라우드 정보보호 인증 컨설팅 서비스
- 공공기관 클라우드 보안인증, ISO27017, ISO27018, CSA STAR PROGRMAS, ISMS, ISO27001 등
• 하이퍼바이저(ESXi, KVM), 가상 OS/NW/DBMS 시스템 취약점 진단
• 모의해킹(Pen Test)
13. © AhnLab, Inc. All rights reserved.
AWS 보안관리 영역
(출처: AWS Managed Security)
고객
AWS
Client Side Data
Encryption & Data
Integrity Authentication
Server Side Encryption
(File System And / Or Data)
Network Traffic Projection
(Encryption/Integrity/Identity)
Operating System, Network & Firewall Configuration
Platform, Applications, Identity & Access Management
Customer Data
Responsible For
Security
“IN” The Cloud
Compute Storage Database Networking
Regions Edge
LocationsAvailability Zones
AWS Global
Infrastructure
Responsible For
Security
“OF” The Cloud
14. © AhnLab, Inc. All rights reserved.
AWS 고객사
클라우드 분야별 보안 관리 영역
AWS안랩
플랫폼/어플리케이션 관리
네트워크 보안 정책 설정
(IDS/IPS, WAF, Web shell)
서버-사이드 데이터 암호화
고객 사 데이터
네트워크 보안 솔루션 설치 및
유지보수
클라이언트-사이드 데이터 암호화
네트워크 –트래픽 Prevention
기본서비스
(컴퓨팅, 스토리지, 데이터 베이스 등)
네트워크, CDN 인프라
데이터 센터
네트워크 보안 솔루션 모니터링
고객사 네트워크 침입 시도 탐지 ㆍ
대응
시그니처 최적화
17. © AhnLab, Inc. All rights reserved.
보안관제 필요성
17
정보보호업무수행애로사항은
정보보호전문인력부족(51.0%)
비전문가에의한보안업무수행
시
사고에대한적절한판단불가,
대형사고유발
대 고객 서비스
연속성 확보• 최신보안기술 및 동향정보 수집의한계
• 보안시스템밴더사의존적정보
• 단순시그니쳐업데이트관리
• 최신해킹정보 및 보안기술동향 습득
• 동종업계동향 정보파악 용이
•고도화된보안 구성및 역량으로선제적대응을
통한사고 방지
• 주간운영/야간비 전문모니터링요원대응
• 보안솔루션밴더엔지니어의존
• 비정기적인정책 고도화관리 부재
• 과도한초기 투자어려움
• 침해사고대응전문인력(CERT)다수보유
• 전문네트워크보안시스템엔지니어운영지원
• 엔지니어로컬지원을통한신속한장애 대응
• 보안모니터링인프라투자비용절감
• 보안임계치기반의탐지대응
• 관리미흡에따른비용 증가및 효율성저하
• 침해및 장애 실시간(24*365)대응 미흡
• 야간·휴일대비 체제미흡
• 24*365 실시간전문인력모니터링및 분석대응
• 네트워크/시스템관점의다방면사고 분석
• 전문업체의시스템상관분석(시나리오)관제
• 해킹사고의체게적인분석 프로세스수행
• 내부인력의효율적인운영
고도화 되고 있는 보안 위협에 대해 기업 자체 대응으로는 한계점이 있으며, 이를 극복하기 위해 전문업체를 통한 위험관리
효율적인 대응(예방)이 필요 합니다. 보안 관제 운영의 전문성을 고객사에 제공함으로써 사전예방 및 신속한 침해 위협 탐지 및
대응을 통한 사고 확산 방지를 통해 사이버공격에 대한 효율적인 대응 체계를 수립 해야 합니다
18. © AhnLab, Inc. All rights reserved. 18
보안관제서비스 범위
실시간 발생 하는 로그를 모니터링/탐지 하여 침해위협에 대해 분석/대응합니다.
AhnLab Sefinity ESM 이용한 수집 / 분석
AhnLab Sefinity SOC 티켓 처리
AhnLab Sefinity Portal 보고서 제공
FW I(D)PS Anti
DDoS
WAF Anti
APT
Web
Shell
구분 수행 내역
침입
시도 탐지
- 24X365 보안 관제 지원
- 보안 장비에 대한 이벤트 모니터링
- 침입시도 분석 및 대응 서비스
- 업무 이력에 대한 관리
침해
사고 대응
- 24X365 발생시 즉시 지원인력투입
- 원인파악 및 침해경로 분석
- 체계적인 대응
정보 제공 활동
- 정기보안 동향 및 침해사례 정보 제공
- Zero Day 취약점 등 고급 보안 콘텐츠 정보 제공
시그니처 최적화
- 고객 시스템 환경에 맞는 침입방지
시스템 시그니처 최적화
침입 예방
- 다양한 위협 정보 분석
- 외부자 관점 Open Port 점검
19. © AhnLab, Inc. All rights reserved.
on-premise vs AWS 클라우드 원격관제 서비스 보안 비교
기존 원격관제 VS 클라우드 컴퓨팅 원격관제 서비스 비교
19
on-premise원격관제 클라우드원격관제
임대형ㆍ관제형(순수관제)
필요
로컬설치ㆍ유지보수필요
관제형 (순수관제)
필요없음 (S/W형태)
로컬설치및유지보수가필요없음
관제 형태
보안장비(애플리케이션)
설치 및 유지보수
• 클라우드 원격관제서비스는 순수관제 형태
• 로컬에 장비 설치 및 유지보수가 필요 없음 (AWS 가상환경에 보안 솔루션 S/W 설치)
20. © AhnLab, Inc. All rights reserved.
안랩 AWS 클라우드 고객을 위한 원격보안관제서비스 특징 및 장점
20
• 클라우드 보안관제 ‘First-Mover’로써 다양한 공격 탐지 시나리오 대응 체계 수립
• AWS 글로벌 데이터 센터 보안 관제 서비스 제공을 위한 자체 노하우 보유
• 클라우드 환경에서 Third-Party 솔루션을 이용한 블랙 IP 차단, 다수의 안랩 시나리오 및 룰 적용 가능 등 자체 방법론 보유
• ’16년 1월 국내 최초 AWS 고객을 위한 원격관제서비스 제공
• 국내 최대 AWS 고객사 원격관제 서비스 레퍼런스 보유 (미디어사, 게임사, 콘텐츠, 제조업체 등 20개 이상의 다양한 산업군의 레퍼런스 보유)
• 국내 최대 AWS 서버 300대 이상의 글로벌 기업에 원격관제서비스 제공중
• 관제 R&D 및 분석 조직 A-CERT팀 17년 신설
• 인텔리전스 기반 프리미엄 보안 서비스 제공 (취약점 점검, 침해사고 대응 서비스, 악성코드 분석서비스 등)
• 머신 러닝/AI 관제 방법론 개발 침입대응 지능적 자동 대응 체계 (Human Error 최소화)
안랩은 ’16년 1월 국내 최초로 AWS 고객을 위한 원격관제서비스 출시하여, 현재 국내 최대 (大) ㆍ최다 (多) 고객사를 보유하고
있습니다. 이러한 경험을 바탕으로 클라우드 원격관제서비스 자체 노하우를 보유하고 있으며, R&D 및 분석 전문조직을 통해
VIP 고객사에게 프리미엄 서비스를 제공하고 있습니다.
21. © AhnLab, Inc. All rights reserved.
안랩 AWS 고객을 위한 원격보안관제서비스 내역
21
웹쉘 탐지
가상 IDS/ IPS
원격보안관제서비스 솔루션 및 제공 서비스
클라우드 보안 관리 업무에 최적화된 서비스 제공
보안 업주 지원에 최적화된 포털
• 고객 보안 현황 정보
• 티켓 등록 조회
관제 보고서
• 평판 정보 활용한 위협 차단 근거 제시
• 위험도, 전문가 의견 등 제시
유용한 정기/비정기 보고서 제공.
• 최신보안 아슈 및 동향 분석
• 침해사고 및 사회적 이슈 동향
AWS 환경상에 설치된 보안 솔루션과 안랩의 로그 수집기를 통하여, 수집된 로그 데이타를 안랩의 보안관제 플랫폼인 Sefinity
ESM에서 상관 분석합니다. AWS 실시간으로 내부 보안 현황을 시각화 대시보드를 통해 제공해 드리며, 안랩 전문보안 관제
전문가들이 실시간보안 위협에 대해 분석 및 대응하는 서비스를 제공 합니다.
가상 WAF
* VPN 연결을 통해 전송구간 암호화가 가능합니다.
아마존웹서비스
가상IPS
가상FW
가상 WAF웹쉘탐지
Internet
AWS 원격보안관제서비스 구성도
안랩 MSS
Sefinity ESM 안랩 티켓처리
시스템
*VPN
VPN
* VPN 통신을 통해 전송구간 암호화가 가능합니다.
안랩 Log CollectorAWS 서버 및 스토리지
22. © AhnLab, Inc. All rights reserved.
AWS 글로벌 리전 원격보안관제서비스
22
안랩은 한국 서울 리전 외에도 미국, 유럽, 아시아 AWS 글로벌 리전에 관제 인프라를 설치하여, 글로벌 리전을 사용하는
고객사를 대상으로 원격관제서비스를 제공하고 있습니다.
Global Region
AWS
Seoul Region
AhnLab SOC AWS
AhnLab Datacenter
Log, Event
Log, Event 암호화 전송(VPN 전송)
Global RegionAWS
AhnLab
CERT
Manage 및 침해위협대응
23. © AhnLab, Inc. All rights reserved.
Reference- 미디어社
23
해외 고객에게 자사 콘텐츠 서비스를 제공하는 100개 AWS 서버에 대해 IPS 관제
한류붐으로 해외 고객에게 자사 콘텐츠 서비스를 제공하기 위해 EC2 (AWS 서버명) 약 100여개 사용중
100개 EC2 서버에 관한 IPS 보안 관제 요청, E2C 서버 마다 100개 Agent와 매니지 서버를 설치하여 관제 운영중임
주말에 이벤트 발생 빈도가 높아짐, 위협 탐지 보고서가 매주 제공되고 있음
EC2DB
Host
IPS Agent
IPS Agent
Manager
안랩보안관제센터
Internet gateway
Management & Log 전송
Policy & Log 적재 Policy & Log 전송
Management & Log 전송
24. © AhnLab, Inc. All rights reserved.
Reference-Online to offline社
24
자사 O2O 서비스 IT 인프라를 AWS로 마이그레이션하는 고객사 니즈에 최적화된 보안을 위해, WAF 2대 설치
자사 O2O 서비스를 AWS로 마이그레이션을 하면서 웹방화벽 보안 요청
고객사 최적화된 웹방화벽 보안 서비스를 제공하기 위해, 네트워크 아키텍칭을 AWS 리셀러와 협업 작업 진행
AWS DNS 서비스인 ‘Route 53’을 이용한 Cloud WAF 2대 설치
Zone 1
Zone 2
Internet gateway
Internal ELB
Web
DB-ELB
Web
Route 53
DB
DB
안랩보안관제센터
WAF
WAF
Management & Log 전송
25. © AhnLab, Inc. All rights reserved.
Reference- 콘텐츠社
25
글로벌 고객사에게 자사 콘텐츠 홍보 서비스를 제공하는 AWS 서버에 대해 IPS와 WAF 관제
미국 동부 버지니아 데이터 센터의 EC2 (AWS 서버명)으로 글로벌 고객사 대상으로 교육 콘텐츠 제공중
20개 EC2 에 관한 IPS와 WAF 보안 관제 요청, E2C 서버 마다 20개 Agent와 매니지 서버를 설치 및 WAF 이중화 구성으로 서비스 제공 중
AWS 글로벌 데이터 센터 보안 관제 서비스 제공 가능
Zone 1
Zone 2
Internet gateway
Domain 1. Domain 2
Ext -ELB 1
Host IPS
Manager
WAF
WAF
안랩보안관제센터
Web
Web
Web
Ext -ELB 2
Int -ELB 1
Int -ELB 2
26. © AhnLab, Inc. All rights reserved.
Reference- 제조사社
26
기존 보유하고 있는 AWS 보안 솔루션에 대해 순수 관제
고객사는 클라우드 IPS 제품 설치 및 라이선스 보유
기설치된 고객사 IPS 솔루션 제품에 수집된 syslog를 안랩 관제 플랫폼인 EMS에 연동 완료
수집된 고객사 syslog를 상관 분석하여 제공 (순수관제 형태)
EC2
Internet
고객사에 기설치된
Host IPS
Agent
고객사에 기설치된
Host IPS
Manager
고객사 보안 담당자
Policy & Log 전송
고객사 보안 담당자가 설치
Management & Log 전송
Management & Log 전송
고객사 보안 담당자가
Policy & Log 관리
안랩보안관제센터
27. © AhnLab, Inc. All rights reserved.
관제 Portal Sample
관제 서비스 현황 및 업무처리 시스템 제공(다국어 지원, 영문제공 가능)
Sefinity SOC Sefinity Portal
다양한 관제 경험과 노하우가 적용되어 있는
자체 관제 업무 시스템
고객사 보안업무 지원에 최적화된 포털 시스템
(Dashboard, 티켓관리, 보고서)
28. © AhnLab, Inc. All rights reserved.
침입대응보고서 Sample
탐지 이벤트에 대한 상세 분석 정보
공격 구문에 대한
테스트 결과 첨부
고객의 확인 사항 및 조치 사항
권고
공격 대응 수준 결정을 위한
공격자 IP의 타사 공격 유무
정보 제공
29. © AhnLab, Inc. All rights reserved. 29
보안관제서비스 운영 보고
실시간/월간 보안위협 대응 및 운영현황 데이터에 대한 체계적인 보고와 더불어 최신 보안 이슈 및 권고 사항에 대한 권고문
제공합니다.
전달정보
수집정보
정보
분석
정보
전달
구분 제목 내용
정기
제공
CERT Report
침해 사고 동향 (통계, 사례), 최신 보안기술
동향
월간 ‘安’
월간 악성코드 통계, 월간 주요 보안 이슈,
침해 사고 분석
주요Patch
권고문
MS, Mac/Linux, 주요 APP 패치 권고문
주간 보안 동향 최신 보안 이슈 및 분석, 최신 보안 동향
수시
제공
Zero-Day
취약점
안랩 및 외부에 수집되는 Zero-Day 취약점
보안 일반 취약
점
수시로 나오는 OS, APP, 네트워크 관련
보안 취약점 정보
Abusing 이슈
언론 및 인터넷상에서 발생되는 Abusing
이슈
타사 침해사고
정보
타사 침해사고 발생시 침해 경로 등 정보
악성코드
분석정보
안랩에서 수집되는 악성코드 중 주요 악성
코드 분석 정보
고객사
30. 체크 포인트
체크 사항 및 결론
국내 기업들은 클라우드 도입에 ‘법 규제 준수‘와 ‘ 보안’을 가장 어려운 부분을 꼽고 있습니다.
클라우드는 on-premise와 각각 다른 환경을 이해하고 보안을 적용해야 합니다.
AWS 보안 서비스, 안랩 클라우드 컨설팅과 원격관제서비스를 통해, 이러한 고민을 해결 하실 수 있습니다.
안랩 AWS 고객을 위한 원격관제서비스는 아래 세가지와 같은 장점을 가지고 있습니다.
1. 국내 최초 AWS 고객을 위한 관제 서비스 출시로 현 국내 최대 ∙ 최다 클라우드 관제 고객사 보유
2. AWS 글로벌 데이터 센터 보안 관제 서비스 제공 및 자체 노하우 보유
3. 클라우드 환경에 특화된 다양한 공격 탐지 시나리오 대응 체계 수립
31. 본 강연이 끝난 후…
서비스 및 파트너 문의
안랩 서비스 기획자 김준호
junho.kim01@ahnlab.com
서비스 상담 및 견적 신청
안랩 서비스전략사업팀
svcevent@ahnlab.com
http://www...........