[보안맨] 클라우드 기반 자산 관리

[보안맨] 클라우드 기반 자산 관리

  

안녕하세요보안맨 입니다.

코로나 위기로 여러 모로 힘든 요즘항상 건강하고 행복 하시기를 진심으로 기원합니다. :)

 기고글에서 다룰 주제는 바로 "클라우드 자산관리입니다.

 

필자의 경우클라우드에 대한 지식/경험이 없는 상황에서  "클라우드 자산관리프로젝트를 수립해야 했습니다. On-premise 기반의 서버, DB, 네트워크 장비 등 관리 방식에 익숙해서사실 클라우드도 본질은 비슷할 것으로 생각 했습니다자료수집 및 학습을 통해 확인해 보니기존 자산 관리 방식으로 컨셉을 구성하는 것은 무리였습니다.

 

클라우드 자산관리를 어떻게 해야 하는지 확인하기에 앞서자산관리에 대한 목적(인증 기준)에 대해 정보보호 관리체계 인증 기준에서는 다음과 같이 정의하고 있습니다.

 

"정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립/이행하고자산별 책임소재를 명확히 정의하여 관리하여야 한다."

 

최근 여러 회사에서 핵심 서비스를 On-premise 환경에서, Cloud 기반의 인프라 환경으로 전환하고 있습니다. 2021 ISMS-P 인증 심사원 필기 시험에도클라우드 관련 시험문제가 다수 출제되기도 했습니다.

 

기고글을 읽으시는 독자분들께 필자가 실무를 진행하면서 고충 / 해결 포인트 등을 공유해 드리기 위해 노력했습니다다만본 글이 100% 정답은 아니며회사 환경조직 구성,  담당자 기술 이해도 등에 따라 접근법 등이 달라질 수 있음을 유념하셔서 읽어 주셨으면 좋겠습니다.

 

본론에 들어가기에 앞서 크게, 4가지 Steps 으로 핵심 주제를 선정해 보았습니다.

1) 클라우드에 대한 이해클라우드 자산 관련 자료 수집 등

2) 자산 분류 및 중요도 체계 기준 수립

3) 클라우드 자산 관리 담당팀/담당자 협의

4) 자산 관리 절차 마련 (자산 식별/점검)

 


1) 클라우드에 대한 이해클라우드 자산 관련 자료 수집 등

 

기존 IT Infra 환경만 가지고는 클라우드 자산 관리는 어렵습니다따라서클라우드 자원 네이밍 규칙각 자원에 대한 역할에 대해 이해하는 시간을 오랜 기간 가졌습니다.

필자의 회사의 경우, AWS (아마존 클라우드서비스를 이용했습니다따라서유투브 등에서 클라우드 개념에 대한 내용을 이해하고특히 On-premise 자산(서버네트워크 장비 등대비 어떤 자원이 어떤 기능(역할)을 하는지 파악했습니다.

모든 클라우드 개념을 기고글에 다 담을 수는 없지만대표적으로 아래와 같은 클라우드 자원 개념을 파악했습니다.


쿠버네티스(Kubernetes): 애플리케이션 통합 관리 플랫폼으로서클러스터(Cluster)를 관리하기 위해 주로 사용

클러스터(Cluster): 여러대의 물리적(논리적서버네트워크스토리지 등의 자원을 연결하여 하나의 시스템 처럼 동작

- EC2(Elastic Compute Cloud): AWS 클라우드 환경에서의 가상(논리적서버

- VPC(Virtual Private Cloud): 가상의 네트워크 망을 구축하는 기능

- RDS(Relational Database Services): 클라우드에서 관계형 DBMS 를 설치운영확장할 수 있는 서비스

 

두번째로타 사의 클라우드 자산 관리 현황을 파악했습니다뉴스 또는 KISA 사이트동료 보안 컨설턴트 자문 요청을 통해 클라우드 관리현황 관련 어느정도 유 의미한 정보를 얻을 수 있었습니다. 

무엇보다도 동료 보안 컨설턴트의 답변이 도움이 되었습니다.

현재 게임사통신사 등 여러 회사에서 클라우드 서비스를 운영중이지만, ISMS 심사 또는 클라우드 보안 체계 관련 100% 획일화된 템플릿/표준은 없는 것으로 알고 있습니다. KISA 에서 발간한 ISMS-P 인증기준 안내서에도 On-premise focusing 된 내용입니다.

클라우드에 대한 레퍼런스가 미흡한 상황에서, ISMS-P의 자산관리의 본질을 잃지 않되 클라우드 서비스 자체 Flexibility를 고려해 회사 특성에 맞는 자원 관리 방안을 수립해야 하겠습니다.

 

 

2) 자산 분류 및 중요도 체계 기준 수립

 

자산 분류 / 중요도 체계 기준 초안을 수립하기 위해 다음과 같은 내용을 사전에 고려했습니다.

- ISMS-P 인증기준 안내서 하위 "1.2.1 정보자산 식별", "2.1.3 정보자산 관리의 요건을 List-up 하였는가?

본사(HQ)의 자산 관리 규정/요구사항과 Conflicts 되는 내용은 없는가?

타 사 클라우드 자산관리 방식을 참고하였나?

정보보호 관리체계의 인증 기준방향성이 부합하는가?

자산 관리 대장 고려 시책임자관리자책임 부서자산 위치중요도 평가 기준 등 필수적으로 포함되어야 할 요소들이 존재하는가?

 '자산 분류 및 중요도 기준업무를 논의할 담당 부서/담당자가 존재하는가?

 

필자의 경우자산 분류 및 중요도 기준 수립을 위해 아래 3 가지 회의 안건을 정리했습니다.

분류 기준서버, DB, 네트워크 등 가상 자원 형태별 담당자/담당부서관리 tool 존재 유무 등

중요도 평가 기준 # 기밀성무결성가용성에 따른 Score rating 방법

표준 자산관리 양식

On-premise 기반으로 회의안건/자료를 구성하되 1) task를 진행함에 따라 클라우드 자원 Life-Cycle 관리 방식, AWS 담당자와의 R&R, 자원 네이밍 방식 등 클라우드 인프라 담당부서에 질문할 사항을 미리 List-Up 했습니다.

Figure 1. 클라우드 자산관리 회의록 (일부)

 

 

 

3) 클라우드 자산 관리 담당팀/담당자 협의

 

클라우드 인프라  담당 부서와 회의를 통해 여러 궁금한 사항을 해소할 수 있었습니다.

마침클라우드 자산관리 플랫폼 (tool)을 사용하고 있다는 점을 확인할 수 있었고미팅 최소 2~3일 전 빠르게 tool 의 관리 방식자원 추출 엑셀 목록표 등을 확인했습니다.

결론적으로자산관리플랫폼을 통해 클라우드 자원을 관리하는 안을 마련 했습니다다만 플랫폼을 더 이상 사용하지 않는 Plan B 옵션도 고려하는 상황 이었으므로자체 개발에 무게를 두고 병행해서 진행했습니다.

자산 식별/분류 체계는관리 플랫폼을 통해 일정 부분 해소할 수 있었지만여전히 중요도 평가를 어떻게 할지 여러차례 논의가 이루어 졌습니다.

결론적으로대고객 서비스를 위한 클라우드 자원 그룹을 기준으로 중요도 평가를 측정하기로 했습니다. On-premise 와 같이특정 1대의 서버에 대한 평가가 이루어질 수 없으며, Auto-scale 방식에 따라 서버의 생성/중지가 여러차례 발생할 수 있기 때문입니다.

 

Figure 2. 클라우드 자산관리 플랫폼 대쉬보드 (일부)

 

4) 자산 관리 절차 마련 (자산 식별/점검)

 

자산관리 플랫폼에서 원하면 언제든지 인스턴스 일괄 추출/확인이 가능해별도 자산 식별을 진행하진 않았습니다.

 

자산 관리 절차를 마련할 때자산 관리의 목표문서 형태 등은 On-premise 와 유사하게 구성하되 클라우드 서비스 특성상 아래 사항을 고려했습니다.

자원 그룹별 관리자/관리 부서가 존재하는가?

불필요한 인스턴스 (e.g.중지 처리 등)를 삭제하는 점검 체계가 갖추어져 있는가?

그룹이 지정되지 않는 자원을 주기적으로 네이밍하여 관리하고 있는가?

클라우드 자원 Life-Cycle에 대한 절차가 명시되어 있는가?

  #e.g. 인스턴스 생성

클라우드 자원을 수동으로 생성하는 경우에 대한 예외 절차를 명시하고 있는가?

 

 

기고글이 도움이 되셨나요?


독자분들과 서로 소통하며 알찬 기고글(Opinions)을 만들어 나가는 보안맨이 되겠습니다!

감사합니다.

 

태그가 없습니다.

3개의 댓글이 있습니다.

28일 전

좋은내용 감사합니다.^^

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

30일 전

요즘 사내에서 사용되는 SaaS 앱들이 많아 고민이네요 설치 없이 웹에서 실행되다보니 기존 자산관리 툴도 무쓸모인,....좋은글 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

내용 잘 읽었습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입