CVE
- 알려진 공통 취약점
ex) 로그인 페이지에 문자열 필터링 기능이 없어 SQL Query 문을 이용하여 데이터베이스를 탈취
CWE
- 소프트웨어 취약점 목록
ex) 로그인 페이지에 문자열 필터링
CCE
- 소프트웨어 취약한 설정, 구성에 대한 점검
- 소프트웨어 보안 강화 구성 (하드닝)
ex) apache2 index of /
클라우드 주요 보안 위협
1. 데이터 유출/손실
- 데이터에 대한 삭제, 수정, 손실
- 암호화키에 대한 분실 또는 도난
- 인증 및 엑세스 제어의 부적절한 인증으로 클라우드 데이터에 대한 불법적 접근
2. 클라우드 서비스의 공격
- 공격자는 클라우드 서비스에 대한 익명 엑세스 후 다양한 연속적 공격 수행
① 암호 및 암호화 키에 대한 크랙
② CAPTCHA 우회 시도
③ 클라우드 호스팅 플랫폼 공격
3. 안전하지 않은 인터페이스 및 APIs
① 사용자 정의 정책 우회
② 로깅 및 모니터링 장비 우회
③ 알 수 없는 API의 종속성
④ 재사용 가능한 패스워드 및 토큰 방식
⑤ 입력 데이터에 대한 검증이 충분하지 않은 경우
최근 이 취약점을 이용한 공격이 많아지고 있지만, 국내에는 API에 관한 실질적인 보안 기준이 없는 상황이다. 이에 실무에서는 해외의 API 보안 기준을 참고하고 있다.
4. VM-Level Attacks
광범위한 가상화 기술 사용으로 하이퍼 바이저의 취약점이 발생한다.
5. Lock-in
클라이언트 능력 부족으로 표준 데이터 및 응용 프로그램 서비스 이동, 클라우드 마이그레이션 이동
6. License Risks
클라우드에 배포된 소프트웨어는 당 기준으로 부과 시 조직에 많은 라이센스 요금을 부과
클라우드 서비스를 사용하는 업체의 보안 요구사항 검증
클라우드 환경에서 서비스를 구현하면 이미 CSP 업체 자체에서 ISMS-P 인증을 받았기 때문에, 실제로 검증 받을 ISMS-P 보안 요구 사항이 많이 줄어든다. 하지만 계정 관리(IAM 등)에 관한 보안 사항 등에 대한 검증은 별도로 수행해야한다.
'보안 > 인프라 보안' 카테고리의 다른 글
| MITRE ATT&CK Cloud Matrix (0) | 2023.05.08 |
|---|---|
| [pfSense] 포트 포워딩 실습 (0) | 2023.04.15 |
| [pfSense] 네트워크 방화벽 구성 실습 (0) | 2023.04.15 |
