> CSPM(Cloud Security Posture Management)
"클라우드 내에서 공격이 발생할 가능성을 낮추기 위해 지속적으로 개선하고 적응하는 프로세스"
즉, Cloud내부에 보안위협을 지속적으로 모니터링 해서 문제를 추적하는 시스템
클라우드 보안에 대한 중요성이 강조되면서 CSPM에 대한 관심도 높아지고 있다.
CSPM은 가시성, 경계및 지속적인 평가를 통해 강력한 클라우드 보안을 유지하려는 목표와 함께 위험, 평가, 사고시각화, 규정준수관리등의 목적으로 사용된다.
CSPM의 핵심은 지속적인 모니터링에 있다. 이러한 도구는 기업이 보안정책과 실제 보안상태사이의 거리를 지속적으로 식별하는데 도움을 준다.
Gartner에 따르면 클라우드 환경의 잘못된 구성은 데이터 유출로 이어질 수 있는데, CSPM도구를 사용하면 잘못된 구성으로 인한 클라우드 보안사고를 80% 까지 줄일 수 있다.
> Cloud Guard: OCI CSPM Service
Oracle Cloud Guard는 테넌트 전반에서 잘못 구성된 리소스와 안전하지 않은 활동을 감지하고 보안 관리자에게 클라우드 보안 문제를 분류하고 해결할 수 있는 가시성을 제공한다.
1. Target: 어느 대상을 감시할 것인가? Cloud Guard가 모니터링해야하는 범위를 정함
2. Detectors: 대상의 어느 부분을 탐지할 것인가? 탐지하기 위한 Rule존재
3. Problems: Detectors에 의해 실제로 탐지된 문제(해결해야 할 대상)
4. Responders: 문제에 대한 대처방안수행. Detector가 Problem을 식별했을 때 Cloud Guard가 취할 수 있는 수정 조치
Cloud Guard를 사용하기 위해 아래처럼 기능을 활성화할 수 있다.
참고) https://www.linkedin.com/pulse/eli5-oci-cloudguard-tom-walker
> Cloud Guard Enable
Reporting Region이 무엇이든 Cloud Guard를 통해 모든 Region을 모니터링할 수 있다.
Reporting Region에서 이벤트 및 알림을 설정해야 한다.
> Security Score
Cloud Guard가 검사한 Resource 중 잠재적인 Problem이 발견되지 않은 Resource 비율.
(100이면 Problem이 발견된 Resource가 없다는 뜻)
Security Score는 지난 30일 동안의 모니터링을 반영한다.
> Risk Score
Cloud Guard가 감지하는 Problem들로 인해 발생하는 환경에 대한 위험 수준을 대략적인 추정치로 표시한 것.
Risk Score는 Problem의 수와 심각도와 관련이 있어 더 많은 Resoource을 가진 조직은 더 많은 Problem를 가질 수 있고, 따라서 더 높은 Risk Score를 가질 수 있다. 그리고 15분마다 점수가 Update되며 낮을수록 좋다.
Problem이 있는 Resource가 적더라도 심각도가 높은 Problem이 많으면 Risk Score는 높아질 수 있다.
(OCI 리소스가 많은 경우 Security Score(전체 평가)가 우수하고 Risk Score가 더 높을 수 있다.)
> Security Recommendations
보안 및 위험 점수를 개선(Problem을 해결)하기 위한 제안정보
> Problems snapshot
현재 발생된 전체 Problems 수와 심각도별 수를 표시(2개는 Critical, 3개는 High 등)
아래처럼 Target 메뉴를 통해 Cloud Guard가 모니터링하는 리소스 범위를 확장하거나 변경할 수 있습니다.
> Target
Compartment단위로 모니터링하는 리소스 범위를 설정한다.
> Detector recipes
Detector는 3가지 Detector Type으로 탐지대상을 결정할 수 있다.
1. Threat: 잠재적 위협
- Threat Intelligence Service(위협정보서비스)의 위협지표, Audit Log를 분석하여 이상행위 User
(침해당한 계정 또는 내부자 위협) 탐지
2. Configuration: 보안에 취약한 설정
- public IP사용, DB패치 미적용, LB 취약한 SSL허용등
3. Activity: Critical Action or 보안을 변화시키는 Action
- Compute Import/Export/terminated, Database terminated, IAM API key/VCN/DRG 생성 등
4. Instance Security: VM및 BM 호스트의 워크로드에 대한 런타임 보안을 강화
- Enterprise, Standard 두가지 종류가 있고 Enterprise는 유료
Oracle managed Detector recipes는 세부 Detector rules 설정을 변경할 수 없다.
Detector rules변경을 위해서는 Clone을 통해서 Detector recipes를 새로 생성해야 한다.
Detector Rule을 자세히 확인해 보자
https://docs.oracle.com/en-us/iaas/cloud-guard/using/detect-recipes.htm#detect-recipes-ref-config
> Detector Type: Threat, Configuration, Activity
1. Threat Detector Recipe:
Threat Detector는 아래 2가지방법으로 잠재적 위협을 탐지한다.
- Threat Intelligence Service(위협정보서비스)의 위협지표 정보를 활용해 위협을 탐지
- Audit Log를 분석해서 이상행위 User(침해당한 계정 또는 내부자 위협 - Rogue User)를 탐지
- Elevated Access: 일상적 패턴을 벗어난 과도한 권한상승
- Elevated PARs: 사전인증요청의 비정상적 생성
- Impair Defenses: 보안설정 비활성화 처리
- Impossible Travel: 물리적으로 떨어진 장소에서 동일한 계정으로 접근시도
- Password Guessing: 하나의 사용자에 대해 여러 비밀번호 시도(정상적이지 않은 간격)
- Password Spraying: 하나의 Password로 여러사용자 접속시도(계정잠금을 회피하기 위한 기법)
Threat Intelligence Service메뉴에서 수집된 다양한 위협지표(Indicator)를 확인할 수 있다.
2. Configuration Detector Recipe
Resource에 대한 취약한 설정
3. Activity Detector Recipe
Resource에 대한 Critical Action or 보안에 변화가 생길 수 있는 Action
4. Instance Security Recipe
VM및 BM 호스트의 워크로드에 대한 런타임 보안을 강화위해 활용가능
(Conditional Group이 없다)
※ Conditional group
일방적인 Problem trigger대상에서 제외할 조건은 conditional group을 통해 설정이 가능하다.(Fix the base line)
compute중에 2개는 public IP를 사용해야 한다면 해당 Instance를 Problem trigger대상에서 not in으로 제외할 수 있다.
※ Problem에 대한 예외처리 하는 방법
- Dismiss the problems associated with those resources
- Fix the base line by configuring Conditional Groups for the detector
> Responder recipes
Responder는 Detector rule에 의해 Problem이 식별되었했을 때 Cloud Guard가 수행할 수 있는 Action
(Responder recipes로 제공되지 않는 Problem의 해결Guide는 Recommendations로 제공)
> Problems
보안문제가 발생할 수 있는 Resource의 Problems를 보여준다
- Remediate: Cloud Guard responder rule을 선택하여 처리
- Mark as resolved: 문제 해결, 어떻게 해결했는지 comment입력
- Dismiss: 무시해도 되므로 Problem을 close
※ Problem Life Cycle
> Cloud Guard Notification
Cloud Guard reporting region에서 Cloud Guard Event에 대한 Notification을 설정할 수 있다.
(1) Cloud Guard관련 event type중 Notification을 설정할 event type을 선택한다.
- 아래 예에서는 Problem의 발견될때(Detected-Problem)와 Problem이 해결되었을 때(Remediated-Problem)를 설정했다.
(2) Notification을 어떻게 받을지 선택한다.
- 아래 예에서는 사전에 정의한 Topic인 Demo-CG-TEST-01을 선택했다. 이 Topic에는 Noti를 받을 메일이 설정되어 있다.
- Topic을 설정하는 방법은 아래 Link를 참고한다.
https://oracle-cloud.tistory.com/entry/Notification-Event-Alarm-%ED%99%9C%EC%9A%A9%ED%95%98%EA%B8%B0
> Problem Reconciliation Process: 문제해결프로세스
> Hands-on
Object Storage에 Public Bucket을 만들면 아래처럼 Problems로 검출된다.
Problem을 교정한다.
아래메뉴에서 Responder activity 처리내역을 조회할 수 있다.
> Vulnerability Scanning with Cloud Guard
Vulnerability Scanning을 사용하려면 추가설정이 필요하다. Vulnerability Scanning설정에 대한 내용은 아래Link를 참고
https://oracle-cloud.tistory.com/entry/Vulnerability-Scanning
> Price
Free (Oracle Cloud Guard Instance Security Enterprise는 유료)
> 더 세부적인 내용은 아래 Link를 통해 확인하세요
https://docs.oracle.com/en-us/iaas/cloud-guard/home.htm
참고
- https://docs.oracle.com/en-us/iaas/cloud-guard/using/targets.htm#targets-modify-rules-detect
작성자: 손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA
개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.
'6. 보안 Security' 카테고리의 다른 글
OS Management (0) | 2023.01.03 |
---|---|
Vulnerability Scanning (0) | 2022.12.28 |
Traffic Management - failover (0) | 2022.12.19 |
Data Safe - Data Masking (0) | 2022.12.14 |
Data보안을 위한 DBMS_RLS활용 (0) | 2022.12.14 |
댓글