클라우드 보안 인증 심사에서 CVE는 어떻게 점검하나요?

nexpose나 openvas 같은 취약점 점검도구는 네트워크 연결이 가능해야 할텐데 클라우드 내부망은 점검이 힘들 것 같고 잘 모르겠습니다.


클라우드 보안 인증과 관련하여 실제 보안 컨설팅 실무나 CSAP 심사에서 CVE 점검은 어떻게 이루어지는 궁금합니다.


실제 실무가 어떻게 이루어지는 답변주시면 감사하겠습니다.

태그가 없습니다.

4개의 답변이 있습니다.

0 추천 | 약 2달 전

| 약 2달 전

위 링크 잘못된 것 같아 제가 대신 링크 남깁니다.

  • https://isms.kisa.or.kr/main/csap/notice/?boardId=bbs_0000000000000004&mode=view&cntId=87


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

1st 5stars

0 추천 | 약 2달 전

클라우드는 SaaS, PaaS, IaaS가 있습니다.

SaaS 클라우드는 클라우드 서비스 제공자가 모든 것을 관리하기 때문에 사용자는 그냥 사용하기만 하면 된다고 보면 되겠습니다. 일반 사용자가 취약점을 직접 점검하기도 어려운 서비스라고 보며 될 것 같고요.


PaaS는 인프라와 OS까지를 클라우드 서비스 제공자가 제공해 주는 것이기 때문에 OS와 OS 하단의 인프라에 대한 취약점은 서비스 제공자에게 맡겨야 하는 방식이라 할 수 있겠고요. 사용자의 관리 영역인 사용자 서비스, 라이브러리, DataBase 등에 대한 취약점을 구축형 시스템의 취약점을 점검하는 것과 유사하게 클라우드 시스템에 접속해서 관리를 하면 되겠고요.


IaaS 클라우드는 하부 인프라까지는 클라우드 서비스 제공자에게 관리를 하기 때문에 클라우드 서비스 공급자에게 맡겨야 하겠고요. OS 상단에 올라가는 각종 소프트웨어들에 대한 취약점들을 내부 구축된 서버를 점검하듯이 취약점을 점검하면 될 걸로 보이네요.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

참고하실만한 영상을 공유합니다. 실제 실무에 관련된 내용이 많이 나오니 꼼꼼히 한번 봐보셔요.



점검 항목은 CIS Benchmark를 참고하시는 것이 좋은데, 점검해야 할 항목들이 너무 많아 수동으로 일일이 하기 어렵다는 것이 문제입니다. 그래서 전용 도구나 자동화 툴을 사용해야 한다고 알고 있어요. 전문 솔루션의 도움을 받으셔야 할겁니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

답변 달기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

IT 솔루션 또는 하드웨어 도입을 검토 중 이신가요?

쉐어드IT 솔루션 상담실에서 믿을 수 있는 제품과 업체를 추천 받으실 수 있습니다.

솔루션 상담실 IT 컨시어지 서비스

보안 카테고리의 다른 질문들...

  • 하루 전
  • 댓글 : 하루 전
  • 29일 전
  • 댓글 : 29일 전
  • 약 한 달 전
  • 댓글 : 30일 전
  • 약 한 달 전
  • 댓글 : 약 한 달 전
  • 약 한 달 전
  • 댓글 : 28일 전
  • 약 한 달 전
  • 댓글 : 약 한 달 전