5. 네이버 클라우드 보안 모범 사례- 클라우드 감사
<1> 클라우드 환경의 보안 규제
<2> 네이버 클라우드 플랫폼 보안 감사
<3> Cloud Activity Tracer 보안 감사 시나리오
<4> Cloud Activity Tracer 보안 감사 시나리오 - 실습
<1> 클라우드 환경의 보안 규제
ISMS-P 인증 대상 기업은 ISMS-P 인증 항목중 클리우드 보안 항목에 대한 기준을 준수해야 한다.
<2> 네이버 클라우드 플랫폼 보안 감사
1
Cloud Active Tracer 를 통해 보안 감사를 수행할수 있다.
2
리소스와 관련된 계정 내 모든 활동을 기록한다.
특정 활동에 대한 접근 시간, 접근ID , 작업 내용에 대한 로그를 제공한다.
계정 활동 기록은 90일간 보관한다.
Object Storage를 연동한다면 원하는 기간 만큼 장기 보관할수 있다.
상품, 리전, 계정 작업 내역 따라 검색하여 확인이 가능하다.
3
Cloud Active Tracer 는 Activites , Tracer 로 구분한다.
4
Activites 는 계정 내 활동 기록에 대한 이력을 확인할수 있다.
작업 일시, 작업 내용, 작업 결과, 상품명 , 리소스 유형, 리전, 플랫폼, 계정 구분, 요청 구문, 장업 상세.
90일간 활동 기록만 보관.
90일 이상 보관은 Object Storage에 보관해야 한다.
5
Tracer
로그를 보관하기 위한 설정을 할수 있다.
Default타입과 Custom타입이 존재한다.
Default타입은 이름 및 상세 조건을 설정 불가, 계정당 1개 Tracer 생성, 무료
Custom타입은 상세 조건설정 가능 , 여러개 Tracer 생성 가능. 단, 내보내는 이벤트 데이터 건수를 합산하여 요금이 별도 발생한다.
전송 데이터 형식은 JSON , CSV 제공.
CSV로 내보내기는 가능범위(32767)가 넘는 데이터 포함하면 내보내기가 안된다.
이경우 JSON으로 내보내기 가능하다.
사용자 활동이력을 15일 이후 하루 단위로 버킷 전송.
단, Tracer 신규 생성시에는 90일 이전 활동 이력부터 15일전까지의 활동 이력을 Object Storage 로 일괄 보낸다.
<3> Cloud Activity Tracer 보안 감사 시나리오
0
특정 웹서버가 승인 없이 중지되어 장애 발생.
원인을 추적하기 위해 Resource Manager와 Cloud Activity Tracer를 이용하여 원인을 파악하는 보안 감사 시나리오.
서버 1대 중지 하자.
1
콘솔 서버 목록 중 중지 상태의 서버를 확인.
중지 서버 확인.
2
Resource Manager 에서 서버 이름을 검색 필터에 입력.
작업 이력 클릭
3
서버 마지막 중지 시험 확인.
x월 x일 x 분 중지 확인.
4
Cloud Activity Tracer 이동.
작업 내역과 기간 선택
서버 중지 이려 검색.
중지된 시간을 알고 있기 떄문에 Shutdown Server instance 작업 내역 검색.
Resource Manager에서 확인한 중지 시간과 일치하는 작업 내역 검색.
5
작업 상세 클릭
중지 계정, IP 정보 확인.
작업자 실수 또는 계정 정보 유출로 인한 비인가 행위 인지 확인.
6
계정 활동에 대한 추적을 위해 Tracer 에 저장된 CSV, JSON 파일을 다운로드
90일 이상인 경우 Object Storage 확인.
7
계정 소유자를 통해 작업 내역 파악하고 작업 실수, 계정 정보 유출에 대해 함께 검토한다.
8
Object Storage 저장된 오브젝트를 수집할수 있는 API를 제공한다.
Cloud Activity Tracer 의 데이터를 SIEM이나 모니터링 도구로 전송하여 감사를 자동화 하는 방안도 가능하다.
<4> Cloud Activity Tracer 보안 감사 시나리오 - 실습
전체 보기
https://brunch.co.kr/@topasvga/5136
