Offcanvas

������������ ������������

‘심각하지만 흔하다’··· 클라우드 보안 실수 10가지

클라우드 환경은 보안 측면에서 유리한 측면을 가진다. 소규모 기업이라면 특히 그렇다. 그러나 클라우드를 제대로 구성하지 않는다면, 또 모니터링과 패칭 작업을 제대로 하지 않는다면 이러한 강점은 빛이 바랜다.  사실 완벽하게 클라우드를 구성하기란 현실적으로 불가능하다. 누구나 자격 증명을 느슨하게(또는 아예 없이) 클라우드 서버를 구성하고 서버를 느슨하게 배치할 수 있다. 또는 취약점이 발견되었을 때마다 소프트웨어를 최신 상태로 유지하기도 어렵다. 이런 상황이 너무 흔하다. 실제로 어큐릭스(Accurics) 및 오르카 시큐리티(Orca Security)의 조사에서는 다양한 구멍이 발견됐다. 이를테면 응답자 중 93%에게서 스토리지 서비스 구성이 잘못됐음이 드러나기도 했다. 보편적인 10가지 실수를 관해 알아본다.   방치된 스토리지 컨테이너 개방된 클라우드 서버에서 데이터 캐시를 발견한다. 거기에는 고객에 관한 온갖 기밀 정보가 포함되어 있을 수 있다. 보안 연구원들에게는 흔한 사례다. 예를 들어, 에이본(Avon)과 ‘Ancestry.com’의  컨테이너가 공개된 채 발견했다. 심지어는 보안 재판매업체인 SSL247마저도 자사의 파일을 공개된 AWS S3 컨테이너에 방치하고 있었다. 업가드(UpGuard)의 크리스 비커리는 이런 것들을 발견하면서 유명해졌다. 업가드의 블로그에 보면 모두 확인할 수 있다. 공개되어 있는 스토리지 컨테이너는 개발자들이 대충 생성하고 가끔 잊어버리기 때문에 발생한다. 클라우드 스토리지가 너무 저렴한데다 생성하기 쉽기 때문에 나타나는 부작용이다. 해결책 : ‘Shodan.io’ 또는 ‘BinaryEdge.io’ 같은 인기 디스커버리 도구를 사용하여 도메인을 정기적으로 확인한다. 또 CSO가 이전에 밝혔던 컨테이너 보안 개선에 관하여 했던 조언을 살펴본다. 여기에는 네이티브 도커 도구 사용과 Inspector, GuardDuty 및 CloudWatch 같은 아마존의 클라우드 네이티브 솔루션이 포함되...

클라우드 보안 데이터 보안 스토리지 컨테이너 SMS MFA 보안 패치

2020.09.14

클라우드 환경은 보안 측면에서 유리한 측면을 가진다. 소규모 기업이라면 특히 그렇다. 그러나 클라우드를 제대로 구성하지 않는다면, 또 모니터링과 패칭 작업을 제대로 하지 않는다면 이러한 강점은 빛이 바랜다.  사실 완벽하게 클라우드를 구성하기란 현실적으로 불가능하다. 누구나 자격 증명을 느슨하게(또는 아예 없이) 클라우드 서버를 구성하고 서버를 느슨하게 배치할 수 있다. 또는 취약점이 발견되었을 때마다 소프트웨어를 최신 상태로 유지하기도 어렵다. 이런 상황이 너무 흔하다. 실제로 어큐릭스(Accurics) 및 오르카 시큐리티(Orca Security)의 조사에서는 다양한 구멍이 발견됐다. 이를테면 응답자 중 93%에게서 스토리지 서비스 구성이 잘못됐음이 드러나기도 했다. 보편적인 10가지 실수를 관해 알아본다.   방치된 스토리지 컨테이너 개방된 클라우드 서버에서 데이터 캐시를 발견한다. 거기에는 고객에 관한 온갖 기밀 정보가 포함되어 있을 수 있다. 보안 연구원들에게는 흔한 사례다. 예를 들어, 에이본(Avon)과 ‘Ancestry.com’의  컨테이너가 공개된 채 발견했다. 심지어는 보안 재판매업체인 SSL247마저도 자사의 파일을 공개된 AWS S3 컨테이너에 방치하고 있었다. 업가드(UpGuard)의 크리스 비커리는 이런 것들을 발견하면서 유명해졌다. 업가드의 블로그에 보면 모두 확인할 수 있다. 공개되어 있는 스토리지 컨테이너는 개발자들이 대충 생성하고 가끔 잊어버리기 때문에 발생한다. 클라우드 스토리지가 너무 저렴한데다 생성하기 쉽기 때문에 나타나는 부작용이다. 해결책 : ‘Shodan.io’ 또는 ‘BinaryEdge.io’ 같은 인기 디스커버리 도구를 사용하여 도메인을 정기적으로 확인한다. 또 CSO가 이전에 밝혔던 컨테이너 보안 개선에 관하여 했던 조언을 살펴본다. 여기에는 네이티브 도커 도구 사용과 Inspector, GuardDuty 및 CloudWatch 같은 아마존의 클라우드 네이티브 솔루션이 포함되...

2020.09.14

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8