본문 바로가기

6. 보안 Security39

OCI 계정 탈취 (ATO : Account Take-over)를 보호하기 위한 방법 최근, OCI 뿐만 아니라 각종 클라우드 계정에 대한 해킹/탈취 사례가 빈번하게 일어나고 있습니다. 각 CSP 뿐만 아니라, 저희 OCI에서도 날이 갈수록 진화하는 공격 수법에 대응하기 위해 여러가지 방법을 고민하고 있고,이에 대한 대응책을 마련하고 있습니다. 최근 뉴스 기사에 따르면, 아래와 같은 문구를 쉽게 확인하실 수 있습니다. "A씨는 자신이 사용하는 클라우드 서비스 사업자로부터 약 3억원에 이르는 비용을 청구 받았다. 청구서에는 자신이 사용이 사용하지 않은 서비스 내용이 가득차 있었다. A씨는 자신의 계정이 탈취된 것을 파악했다.클라우드 서비스 계정을 탈취당한 뒤 자신이 사용하지 않은 서비스 비용을 청구받는 피해 사례가 급증하고 있다. 짧은 시간, 세계 각지에서 탈취 계정을 집중 이용하는 수법으.. 2024. 5. 23.
OCI Vault 의 Software 보호 모드 Master Encryption Key 추출하기 2편 - RSA 알고리즘 OCI 의 키관리 서비스인 Vault 에서 Software 보호 모드의 Master Encryption Key : RSA 알고리즘 를 추출하는 방법을 가이드합니다. HSM 모듈을 사용하는 Master Encryption Key와 달리, Software 보호 모드를 사용하는 Master Encryption Key의 경우 OCI CLI를 통해 추출하여 로컬 환경에서도 동일하게 사용하실 수 있습니다. OAEP(Optimal Asymmetric Encryption Padding)라는 메커니즘을 통해 Software 보호 모드의 Master Encryption Key를 변환하고, 이를 공개 RSA 래핑 키를 사용하여 Software 보호 모드 Mater Encryption Key를 래핑한 다음, 개인 RSA 래.. 2024. 4. 17.
OCI Vault 의 Software 보호 모드 Master Encryption Key 추출하기 1편 - AES 알고리즘 OCI 의 키관리 서비스인 Vault 에서 Software 보호 모드의 Master Encryption Key : AES 알고리즘 를 추출하는 방법을 가이드합니다. HSM 모듈을 사용하는 Master Encryption Key와 달리, Software 보호 모드를 사용하는 Master Encryption Key의 경우 OCI CLI를 통해 추출하여 로컬 환경에서도 동일하게 사용하실 수 있습니다. OAEP(Optimal Asymmetric Encryption Padding)라는 메커니즘을 통해 Software 보호 모드의 Master Encryption Key를 변환하고, 이를 공개 RSA 래핑 키를 사용하여 Software 보호 모드 Mater Encryption Key를 래핑한 다음, 개인 RSA 래.. 2024. 4. 6.
Admin Account 변경하기 - new IAM 아래의 과정을 통해 고객은 Admin Account를 관리할 수 있다. OCI Admin Acount의 2가지 유형 1. Cloud Admin Account는 IAM에서 고객이 직접 추가/관리가 가능 - 여러개의 Cloud Admin Account가 있을 수 있으며 IAM에서 User에게 Cloud Account Administrator role을 부여 2. Tenancy Admin은 Tenancy를 대표하는 하나의 Account로 Tenancy에 발송되는 메일을 대표로 받게된다. - Tenancy당 하나만 설정할 수 있고 SR을 통해 변경할 수 있다. - Cloud Admin Account와 Tenancy Admin에 대한 설명은 맨아래 이미지를 참조 아래는 Tenancy Admin을 변경하는 절차이다.. 2023. 10. 19.
Security Zone 설정하기 Security Zone으로 강력한 정책으로 보호된 Compartment를 구성할 수 있다. Security Zone에 대한 자세한 설명은 아래Link를 통해 확인할 수 있다. https://docs.oracle.com/en-us/iaas/security-zone/home.htm 아래처럼 2개의 Security Zone을 구성해 보자 1. Security Zone-1: Parent Compartment에 구성하며 Oracle Managed Zone Recipe를 적용한다. 2. Security Zone-2: PublicZone Child Compartment에 구성하며 아래의 조건을 가지는 Custom Zone Recipe를 적용한다. - bucket는 public이 가능하고 custom key없이(Va.. 2023. 9. 18.
Email을 MFA Factor로 추가하기 'Security Policy for OCI Console'정책이 추가된 경우 아래처럼 Email을 MFA Factor로 추가할 수 있다. >> new IAM적용 Tenancy 1. MFA Factor로 Email추가 2. Policy에 Email사용Check 두가지 Sign-on rules에 대해 동일하게 적용한다.(MFA for administrators, MFA for all users) 3. Email 설정 메일로 일회성 비밀번호가 발송되고 그 번호를 입력한다. 4. Login 로그인 화면에서 ID/PW를 입력하면 2Factor를 입력하는 화면이 나오고 Email을 사용하기 위해 '대체 로그인 방법 표시'를 누른다. 전자메일을 선택하여 Email을 통해 로그인한다. >> legacy IAM적용 T.. 2023. 7. 20.
MFA - Without Identity Domains (IDCS) 클라우드 신규 가입자분들은 아래 방법으로 진행하면 됩니다. 2023.03.30 - [5. 보안 Security] - MFA - IAM with Identity Domain 이하 설명은 MFA - Without Identity Domains (IDCS)로 이 방법은 오래전에 가입하고 IDCS (Identity Cloud Service) 방식으로 로그인해야 했던 그리고 아직 IAM with Identity Domain 방식으로 이관이 안 되어 있는 분들이 참고하면 됩니다. 사전 확인 사항 라이선스 종류에 따라서 서비스 범위가 다르므로 아래 링크를 통해 확인 필요 무료 라이선스(Foundation) 로도 MFA 설정이 가능하지만 유료로 업그레이드되지 않은 트라이얼 상태에서는 일정 기간이 지나면 작동하지 않음 .. 2023. 5. 31.
IAM with Identity Domain Guide https://docs.oracle.com/en-us/iaas/Content/Identity/home.htmIAM은 OCI의 서비스로 OCI를 관리할 수 있는 사용자를 관리하고 클라우드 리소스에 접근할 수 있는 사용자의 권한을 제어할 수 있다.그리고  Oracle IdP(identity provider) Service를 통해 다양한 서비스와 SSO연동이 가능하다 .(Domain Type선택 필요)Policy설정으로 User나 Resource에 특정 Resource를 사용/관리할 수 있는 권한을 부여할 수 있다.Policy설정시 Identities는 Group단위로 설정이 가능하다.- User는 User Group단위로 설정- Resource는 Dynamic Group단위로 설정 new IAM서비스인 IA.. 2023. 3. 31.
MFA - IAM with Identity Domain 현재 신규 OCI사용자는 계정관리를 위해 new IAM (with Identity Domain) Service가 사용한다.new IAM Service는 기존의 OCI Native로 제공하던 IAM 서비스와 Oracle에서 PaaS 형태로 제공하던 IDCS 서비스의 기능을 통합한 OCI Native한 새로운 IDaaS 서비스이다. 1. 사전 준비사항AppStore에서 핸드폰에 Oracle Mobile Authenticator app을 설치한다.2. MFA방식설정아래 메뉴에서 MFA방식을 설정한다.여러 MFA Factor을 선택할 수 있다.- Mobile app passcode: 로그인 시 Mobile app이 OTP값을 추가로 입력해야 한다.- Mobile app notification: 로그인 하면 Mo.. 2023. 3. 30.

티스토리툴바