nexpose나 openvas 같은 취약점 점검도구는 네트워크 연결이 가능해야 할텐데 클라우드 내부망은 점검이 힘들 것 같고 잘 모르겠습니다.
클라우드 보안 인증과 관련하여 실제 보안 컨설팅 실무나 CSAP 심사에서 CVE 점검은 어떻게 이루어지는 궁금합니다.
실제 실무가 어떻게 이루어지는 답변주시면 감사하겠습니다.
nexpose나 openvas 같은 취약점 점검도구는 네트워크 연결이 가능해야 할텐데 클라우드 내부망은 점검이 힘들 것 같고 잘 모르겠습니다.
클라우드 보안 인증과 관련하여 실제 보안 컨설팅 실무나 CSAP 심사에서 CVE 점검은 어떻게 이루어지는 궁금합니다.
실제 실무가 어떻게 이루어지는 답변주시면 감사하겠습니다.
4개의 답변이 있습니다.
KISA에서 관련 정보가 있네요
링크 정보입니다.
file:///C:/Users/kensi/Downloads/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%EC%84%9C%EB%B9%84%EC%8A%A4_%EB%B3%B4%EC%95%88%EC%9D%B8%EC%A6%9D%EA%B8%B0%EC%A4%80_%ED%95%B4%EC%84%A4%EC%84%9C_%EA%B0%9C%EC%A0%95(2024.07.).pdf
58 page부터 정보 확인하시면 될것 같아요
위 링크 잘못된 것 같아 제가 대신 링크 남깁니다.
●https://isms.kisa.or.kr/main/csap/notice/?boardId=bbs_0000000000000004&mode=view&cntId=87
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입클라우드는 SaaS, PaaS, IaaS가 있습니다.
SaaS 클라우드는 클라우드 서비스 제공자가 모든 것을 관리하기 때문에 사용자는 그냥 사용하기만 하면 된다고 보면 되겠습니다. 일반 사용자가 취약점을 직접 점검하기도 어려운 서비스라고 보며 될 것 같고요.
PaaS는 인프라와 OS까지를 클라우드 서비스 제공자가 제공해 주는 것이기 때문에 OS와 OS 하단의 인프라에 대한 취약점은 서비스 제공자에게 맡겨야 하는 방식이라 할 수 있겠고요. 사용자의 관리 영역인 사용자 서비스, 라이브러리, DataBase 등에 대한 취약점을 구축형 시스템의 취약점을 점검하는 것과 유사하게 클라우드 시스템에 접속해서 관리를 하면 되겠고요.
IaaS 클라우드는 하부 인프라까지는 클라우드 서비스 제공자에게 관리를 하기 때문에 클라우드 서비스 공급자에게 맡겨야 하겠고요. OS 상단에 올라가는 각종 소프트웨어들에 대한 취약점들을 내부 구축된 서버를 점검하듯이 취약점을 점검하면 될 걸로 보이네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입참고하실만한 영상을 공유합니다. 실제 실무에 관련된 내용이 많이 나오니 꼼꼼히 한번 봐보셔요.
점검 항목은 CIS Benchmark를 참고하시는 것이 좋은데, 점검해야 할 항목들이 너무 많아 수동으로 일일이 하기 어렵다는 것이 문제입니다. 그래서 전용 도구나 자동화 툴을 사용해야 한다고 알고 있어요. 전문 솔루션의 도움을 받으셔야 할겁니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입