안녕하세요. 클라우드 인증과 관련하여 클라우드 보안점검 CCE 취약점 점검에 대하며 문의드리고자 합니다. 옛날에 클라우드가 뜨기전에 보안점검은 많이 했었는데 클라우드 보안 점검은 처음하다보니 모르는게 많아서 문의드립니다.
1. 컨테이너를 진단할 때, 각각의 컨테이너에 대하여 운영체제, 애플리케이션 및 서비스 모두를 검사하나요? 예를 들어, httpd:2.4 이미지(리눅스 기반의 아파치 웹 서버)의 경우 클라우드 취약점 가이드에 있는 서버(리눅스), 아파치 검사 체크리스트를 전부 적용하나요?
2. 여러 동일한 이미지로부터 생성된 컨테이너들이 있다면 모든 컨테이너에 대해 진단을 수행하는지, 아니면 하나의 컨테이너만 진단하는지 어떻게 처리하나요?
3. 클라우드에서 가상 인스턴스가 오토스케일링으로 늘었다 줄었다 할때 어떻게 진단하나요?. 예를 들어, AWS EC2에서 오토 스케일링 기능을 통해 인스턴스 수가 변동되는 경우, 모든 인스턴스를 어떻게 진단할까요?
4. 만약 컨테이너 안의 내용물을 점검한다면 어떤 식으로 점검할 수 있을까요? 전통적인 방식대로 스크립트를 만들어서 점검하나요?
6개의 답변이 있습니다.
KISA 에서 작성한 "클라우드 취약점 점검 가이드"가 있습니다.
2024년 6월에 게시되었으니 최신 자료라고 볼 수 있겠네요...
아래 링크 가셔서 다운 받아서 참고 하시면 좋을 듯 해요~~~ ^^
https://www.cela.kr/4/?q=YToxOntzOjEyOiJrZXl3b3JkX3R5cGUiO3M6MzoiYWxsIjt9&bmode=view&idx=40424414&t=board
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입CCE 취약점 점검의 일반 원칙은 클라우드에서도 적용되지만, 클라우드의 특성에 맞춘 점검이 필요하다는 점에서 차이가 있습니다. 특히 클라우드 환경에서는 가상화 보안, API 취약점, 데이터 암호화, 네트워크 보안 등의 추가적인 항목을 중점적으로 점검해야 합니다.결론적으로, 클라우드 환경의 보안 점검은 일반 서버 환경에서와 기본적으로 동일한 보안 원칙을 따르지만, 클라우드 고유의 특성에 맞춘 추가적인 보안 검토와 방법론이 요구됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입클라우드 보안점검 CCE 취약점 점검 준비 및 대비하는데 참고하세요.
1. 컨테이너는 운영체제, 애플리케이션, 서비스 등이 포함된 일종의 격리된 환경이기 때문에, CCE를 수행할 때 일반적으로 다음을 검사하게 됩니다.
- 컨테이너 운영체제: 컨테이너는 호스트 커널을 공유하지만, 각각의 컨테이너 내에서는 독립적인 파일 시스템을 사용합니다. 예를 들어, httpd:2.4 이미지가 리눅스 기반이라면 해당 리눅스 파일 시스템에서의 취약점을 검사합니다.
- 애플리케이션: httpd와 같은 애플리케이션에 대한 취약점도 검사 대상입니다. 아파치 웹 서버에 대한 보안 설정이나 취약점이 체크리스트에 포함될 수 있습니다.
- 서비스: 컨테이너 내에서 동작하는 서비스도 점검 대상입니다. 이를 통해 서비스에 대한 보안 설정이나 취약점이 존재하는지 확인합니다.
결론적으로, 특정 컨테이너 이미지를 기반으로 생성된 컨테이너는 CCE 가이드에 따른 운영체제, 애플리케이션, 서비스 모두를 점검하게 됩니다. 따라서 httpd:2.4 이미지의 경우 리눅스 및 아파치 웹 서버 관련 취약점 체크리스트가 모두 적용될 수 있습니다.
2. 동일한 이미지를 기반으로 생성된 컨테이너들이 여러 개 있는 경우, 일반적으로 모든 컨테이너를 개별적으로 검사하지는 않습니다. 대신, 원본 이미지 또는 몇 개의 샘플 컨테이너를 검사하여 문제가 있는지 확인하고, 만약 원본 이미지에 문제가 없다면 동일한 이미지를 기반으로 한 다른 컨테이너도 동일한 결과를 가질 것으로 간주합니다.
- 이미지 진단: 보통 이미지 레벨에서 취약점 진단을 먼저 수행하며, 모든 컨테이너가 동일한 이미지를 사용한다면 이미지 진단을 통해서도 충분할 수 있습니다.
- 샘플링: 만약 컨테이너들이 서로 다른 설정을 가질 가능성이 있거나 실행 상태가 다를 수 있다면, 일부 컨테이너를 샘플링하여 추가적인 검사를 수행할 수도 있습니다.
3. 오토스케일링으로 인해 인스턴스 수가 늘거나 줄어드는 환경에서의 취약점 진단은 아래와 같은 방식으로 처리할 수 있습니다:
- 이미지 기반 진단: EC2 인스턴스가 동일한 AMI(Amazon Machine Image)를 기반으로 생성되는 경우, 해당 AMI에서 취약점 점검을 먼저 수행하고 이를 통해 신규로 생성되는 인스턴스에 대한 보안 상태를 확인합니다.
- 스케줄 기반 검사: 모든 인스턴스에 대해 주기적으로 취약점 검사를 설정할 수 있습니다. 예를 들어, 인스턴스가 생성되거나 특정 이벤트(스케일업 시) 발생 시 자동으로 진단이 수행되도록 스크립트를 설정할 수 있습니다.
- 에이전트 기반 진단: 클라우드 인스턴스 내부에 보안 에이전트를 설치하여 인스턴스 생성 시마다 자동으로 취약점 검사가 이루어지도록 할 수 있습니다.
4. 컨테이너의 내부를 점검하는 방법은 몇 가지 방식이 있습니다.
- 이미지 스캔 도구: 이미지 자체를 스캔하는 도구(예: Clair, Trivy, Anchore)를 사용하여 취약점과 구성 오류를 찾습니다. 이 도구들은 이미지의 파일 시스템, 패키지, 설정 등을 분석하여 취약점을 보고합니다.
- 에이전트 설치: 컨테이너 내부에 보안 에이전트를 설치하여 실시간으로 취약점을 모니터링하고 보고할 수 있습니다.
- 스크립트 기반 검사: 전통적인 방식으로 보안 스크립트를 만들어 컨테이너 내부에서 실행할 수도 있습니다. 하지만 자동화와 확장성을 고려할 때, 보안 스캐너 도구나 에이전트 기반 방법이 더 많이 사용됩니다.
이 방식들을 활용해 컨테이너의 보안 상태를 확인하고 취약점을 개선할 수 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입제대로 된 클라우드와 온프레미스 보안취약점은 전부 스크립트를 돌리고 난 뒤 나오는 텍스트파일과 스크립트로 수집되지 않는 것을 수동으로 점검하는 식으로 하게 됩니다.
하나의 동일 이미지든 뭐든 스크립트 수행 후 취합해서 하기 때문에, 다 한다고 생각하시고 준비하시면 됩니다.
어짜피 점검을 해도 취약한 부분에 대한 보완만 하면 이행으로 보기때문에 큰걱정은 안하셔도됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입컨테이너 같은 경우 보안도 비슷하다고 보시면 될거 같습니다.
어차피 컨테이너도 하나의 이미지로 생성이 된다고 보면 되므로,
하나의 컨테이너만 검사 하는게 맞다고 생각이 됩니다.
컨테이너에 접속해서 Shell로 들어가서 필요한 검사들을 수행하면 될거 같습니다.
오토스케일링 같은 경우도 Node가 늘어나거나, POD가 늘어나거나 하면서 오토스케일링 기능을 제공하므로,
하나의 POD만 검사 하면 될거로 생각이 됩니다.
즉, 복제되거나 생성되는 이미지 하나만 검사 하면 되는거죠.
검사는 항상 해왔던, 스크립트를 돌리거나 하면서 검사 하는 방법이면 될거 같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입잘은 모르겠지만...
컨테이너라면...
해당 컴퓨터의 OS를 모든 컨테이너가 공유해서 사용하는 방식이기 때문에...
운영 체제에 대한 검사는 한개 컨테이너에서만 검사해도 동일 OS에서 운영되는 다른 컨테이너에서 점검한 것과 동일한 결과가 나오지 않을까 싶고요.
즉, 굳이 모든 컨테이너에서 동일하게 운영 체제에 대한 점검을 할 필요없이 한개의 컨테이너에서만 해도 될거라 보여지고요.
어플리케이션, 서비스는 컨테이너마다 다르기 때문에 컨테이너 각각에 대해 점검을 해 봐야 할거라 생각되고요.
동일한 이미지로 생성된 컨테이너들은 동일하다고 봐야 할 것이기 때문에 생성된 한개 컨테이너에 대한 점검만 해 봐도 될 거라 생각되고요.
오토 스케일링에 의해 동일한 이미지로 인스턴스가 여러개로 늘었다 줄었다 하더라도... 앞에 내용과 동일하게... 같은 이미지로 생성된 컨테이너들이기 때문에 한개 인스턴스에 대한 점검만 해도 동일한 이미지로 부터 생성된 인스턴스들은 동일하다고 보면 되지 않을까 싶고요.
컨테이너 안의 내용물을 점검한다면...
컨테이너를 로드 시켜 인스턴스화해서 점검해 보면 되지 않을까 싶어 보이네요.
아니면, 이미지 자체를 디스크 볼륨으로 마운트 시켜서 내용물들을 점검해 보는 것도 방법이 될 수 있지 않을까 싶어 뵈고요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입