클라우드 컴퓨팅 보안 1
Index 1. 클라우드 컴퓨팅 보안 이슈 1-1. 클라우드 컴퓨팅의 고려대상 2-2. 보안문제에 관한 우려 2. 클라우드 컴퓨팅 보안 기술 2-1. 플랫폼 2-2. 스토리지 2-3. 네트워크 2-4. 단말 3. 클라우드 컴퓨팅 보안 사례 2
클라우드 컴퓨팅 보안 이슈 3 □ 첫 번째 고려 대상 : 보안
클라우드 컴퓨팅 보안 이슈 4 □ 보안 문제에 관한 우려 ○ 개인 사용자 관점 개인정보 노출 개인에 대한 감시 개인 데이터에 대한 상업적 목적의 가공 ○ 기업 사용자 관점 서비스 중단 기업 정보 훼손 기업 정보 유출 고객 정보 유출 법 / 규제 준수 E-discovery( 전자증거개시 ) 대응
클라우드 컴퓨팅 보안 기술 ( 플랫폼 ) 5 □ 플랫폼 ○ 접근제어 운영체제상의 한 프로세스가 다른 프로세스의 영역에 접근 하는 것을 통제하는 기술 DAC, MAC, RBAC ○ 사용자 인증 Id, password : 대표적 인증수단 PKI : 공개키 암호기법 Multi-factor 인증 : 보안강도를 높이기 위해 몇 가지 인증 수단을 조합한 기법 SSO : 한 곳에서 인증 후 인증확인 정보의 전달을 통해 다른 곳을 인증하는 기법 i-PIN : 인터넷 이용시 본인 확인을 위한 기술
클라우드 컴퓨팅 보안 기술 ( 플랫폼 ) ○Enter-Prise IAM 기업 환경의 사용자 인증 및 접근제어 기술 6
클라우드 컴퓨팅 보안 기술 ( 스토리지 ) □ 스토리지 ○ 검색 가능 암호 시스템 기존의 암호 기술과 같이 암호화된 정보에 대한 기밀성을 보장과 동시에 특정 키 워드를 포함하는 정보를 검색할 수 있도록 고안된 암호 기술 암호화된 자료외에 Index( 인덱스 ) 를 추가로 생성, 서버에 저장 7
클라우드 컴퓨팅 보안 기술 ( 스토리지 ) ○PPDM 일반 PPDM – 원래의 데이터에 노이즈를 더해주거나 나른 종류의 랜덤화를 적용 PPDM + SMC – 모든 개체는 자신의 입력과 계산 결과 이외에는 어떠한 결과도 얻을 수 없음 8
클라우드 컴퓨팅 보안 기술 ( 네트워크 ) □ 네트워크 ○ 통신상의 기밀성 보장 기술 SSL –Internet Protocol 위에서 인증서에 의한 상대방 인증 – 기밀성과 무결성을 제공 – 표준화된 명칭 : TLS Ipsec –Internet Protocol 에서 보안성을 제공해주는 표준화된 기술 – 상대방 인증, 기밀성, 무결성 등을 제공 ○ 네트워크를 통한 공격 차단 기술 Application Firewall – 응용계층의 메시지까지 분석하여 공격을 차단하는 기술 – 웹 서버 보호를 위한 web firewall, DBMS 보호를 위한 DB firewall 이 있음 DDoS 방지 –Scanning 방지, 흔하지 않은 option 사용, 정상범위를 벗어난 폭주 패킷의 차 단 기술이 사용 – 고속 처리가 필요하여 전용장비로 개발되어 사용되고 있음 9
클라우드 컴퓨팅 보안 기술 ( 단말 ) □ 단말 ○TPM TCG 의 신뢰 플랫폼을 구현하기 위한 핵심 기술 디바이스에 대한 식별, 신용정보를 별도의 하드웨어 모듈로 관리 물리적인 보호장치를 통해 외부로부터의 조작방지 10
클라우드 컴퓨팅 보안 기술 ( 단말 ) ○CryptoCell Discretix 사의 모바일 단말 보안용 칩셋기술 모바일 단말 환경을 고려해서 성능, 전력, 소비, 칩 공간 등 개선 부채널 공격 방지를 위한 Attack-Resistant Cryptographic Core 기술 탑재 11
클라우드 컴퓨팅 보안 기술 ( 단말 ) ○CryptoCell Discretix 사의 모바일 단말 보안용 칩셋기술 모바일 단말 환경을 고려해서 성능, 전력, 소비, 칩 공간 등 개선 부채널 공격 방지를 위한 Attack-Resistant Cryptographic Core 기술 탑재 12
클라우드 컴퓨팅 보안 사례 □Certifications and Accreditations ○ 법률이나 규정 또는 규격에 부합함을 인정받는 것 □Physical Security ○ 시설물 보호를 위해 경비원, CCTV 등 침입감지 시스템을 설치 □Backups ○S3, SimpleDB 등 모든 데이터는 복수 개의 원격지에 중복 저장하고 있으며, 따로 backup 을 수행하지 않음 □EC2 Security ○Innstance 로의 접근을 SSH 에 의해 보호, 네트워크 접속은 firewall 로 통제, Instance 들은 Xen hypervisor 를 이용하여 격리, 네트워크 보안 기능으로 syn cookie, connection limiting, bandwidth limitation 등에 의한 DDoS 공격 방지, SSL 사용에 의한 MITM 공격 방지, firewall 에 의한 IP spoofing 방지와 port scanning 방지 등이 있음 □S3 Security ○ 모든 데이터는 bucket 또는 object 별로 access control list 에 의해 접근이 통제, 외부로의 데이터 이동 시 SSL 을 사용, 저장 시 자동으로 암호화해서 저장하지 않음, 삭제 시 해당 영역은 다시 덮어쓸 때까지 write operation 으로만 접근 가능 □Simple DB Security ○ 계정 ID 별로 통제되는 access control list 를 가짐, 나머지는 S3 와 같음. 사용자가 암호화해서 저장할 수는 있 지만, 이 경우 query 의 조건으로는 사용할 수 없음 13