DataSafe - Security Assessment

Security Assessment는 사용자 계정, 권한 및 역할 부여, 권한 제어, 감사, 암호화 및 구성 매개 변수와 같은 영역을 검사하여 데이터베이스 구성을 종합적으로 판단하여 보안위험을 평가한다.

 

1. Dashboard

> Risk Level

위험 수준과 조직에 미치는 영향을 기준으로 위험수준을 표시합니다.

이 기준에 따라 우선순위를 정하고 변경작업을 수행합니다.

- High: 즉각적인 주의필요
- Medium: 단기간내에 해결필요
- Low: 예약된 다운타임 동안 수정되거나 다른 유지 보수 작업과 함께 해결
- Advisory: 더 많은 보안 기능 및 기술을 사용하여 보안 상태를 개선
- Evaluate: 추가적인 분석이 필요
- Pass: 위험요소 없음

 

> Category

Security Assessment에서 Risk를 측정하는 기준은 다음과 같습니다.

- User Accounts: 사용자게정
- Privileges and Roles: 권한 및 역할
- Authorization Control: 권한부여제어
- Fine-Grained Access Control: 세밀한 접근제어
- Auditing: 감사
- Encryption: 암호화
- Database Configuration: 설정

 

2. Risk Summary

Category+Risk Level별 Risk를 요약하여 보여준다.

Risk Level을 Click하면 Risk에 대한 세부설명을 아래처럼 확인할 수 있다.

3. Target Summary

각 Target Database에 대한 요약정보를 보여준다.

- Risk Level별 갯수, 최근평가 Report Link, 최신평가와 기준평가간에 변화있는지 여부에 대한 정보

평가가 실패하면 노란색 느낌표가 표시된다.

> Deviation From Baseline

- 가장최근평가가 기준평가에서 벗어났는지 여부
- 안전한 상태에서 변경된 것이 있는지 빠르게 인지할 수 있다.

 

> Last Assessed On

- 가장 최근 평가시기 및 Report Link

 

> High Risk ~ Evaluate

- 각 Risk Level별 발견된 Risk수

 

4. Report

View Report링크를 Click하면 평가Report를 조회할 수 있다.

Filter선택후 Apply를 누르면 Filter가 반영된다.

 

> Refresh Now

- 평가즉시수행한다.
- Target Database의 Risk Level을 완화하기 위해 적절한 조치를 취했다고 생각되면 평가를 재수행하고 결과를 다시 확인하여 Risk Level이 예상대로 낮아졌는지 확인한다.

 

> Set As Baseline

- 현재 평가결과를 Baseline으로 설정

 

> View History

- 평가를 수행한 History를 조회한다.
- 각 History에서 해당결과를 Baseline으로 설정할 수 있다.

 

> Update Schedule

> More actions

- Report를 Download하기 위해선 먼저 Generate Report수행해야 한다.

> Assessment Details

- Risk에 대한 설명 및 해결Guide를 얻을 수 있다.

- 그리고 어떤 Compliance위반(규정준수 요구사항)에 해당하는지 표시한다.

  (EU GDPR, DIS STIG 및 CIS 벤치마크)

 

 

참고

- https://docs.oracle.com/en-us/iaas/data-safe/doc/security-assessment1.html

 

---

작성자: 손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA

개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.