1. ISMS-P 인증 소개
ISMS-P는 Information Security Management System for Public Sector(공공기관 정보보호 관리 시스템)의 준말로, 기존 ISMS(정보보호관리체계)와 PIMS(개인정보보호 관리체계) 인증 제도를 통합한 종합 정보보호 인증제도입니다. KISA(한국인터넷진흥원)에서 정보통신망법에 따라 기업•조직이 정보 보호 및 고객 개인정보 보호를 위해 수립•관리•운영하는 정보보호 관리체계가 해당 인증기준에 적합한지 면밀히 심사해 인증합니다.
[ISMS-P 인증심사 절차]
2. 클라우드 기업 ISMS-P 보안의 중요성
ISMS-P 인증 대상 기업 중 클라우드를 사용하려는 기업은 ISMS-P 인증 항목 중 클라우드 보안 항목에 대한 기준을 준수해야 하며, 클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하도록 명시하고 있습니다.
| 구분 | 내용 |
| 항목 | 2.10.2 클라우드 보안 |
| 인증기준 | 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유 · 노출되치 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립 · 이행하여야 한다. |
| 주요 확인사항 |
- 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가? - 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립 · 이행하고 있는가? - 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한, 오 · 남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가? - 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가? |
[ISMS-P 정보보호 및 개인정보보호 관리체계 인증제도 안내서: 2.10.2 클라우드 보안 항목]
3. AWS 보안 점검 항목 및 개선 방안
| 구분 | 점검 항목 | 개선 방안 |
| 콘솔 | 관리 콘솔 접근 시 MFA 적용 | root 및 IAM 계정으로 로그인 시 2차 인증(MFA) 적용 |
| 관리 콘솔 접근 가능한 소스IP 제어 | 관리 콘솔에 접근 가능한 소스IP를 통제 | |
| [EC2 인스턴스] 연결 기능 비활성화 | 인스턴스 세부 정보에서 “EC2 인스턴스 연결” 기능 비활성화 | |
| [Session Manager] 연결 기능 비활성화 | 인스턴스 세부 정보에서 “Session Manager” 기능 비활성화 | |
| IAM | root 계정의 Access key ID / Secret access key 삭제 | root 계정의 Access key ID / Secret access key 비활성화 및 삭제 |
| root 계정 사용 여부 확인 | 주기적으로 root 계정 사용 여부를 점검하여 의도하지 않은 사용을 탐지 |
|
| Access key 이용 현황 관리 | 주기적으로 Access key 이용 현황을 점검하여 일정 기간 이상 사용하지 않은 Access key를 삭제 |
|
| Access key 주기적 변경 | 주기적인 Access key 변경 주기 지정 및 수행 | |
| IAM 계정에 권한 직접 할당 여부 확인 | 권한을 부여한 그룹에 IAM 계정 연결 | |
| IAM 계정 비밀번호 복잡도 및 변경 주기 정책 설정 |
관리 콘솔에 접근 가능한 IAM 계정의 비밀번호 복잡도 및 변경 주기 정책을 설정 |
|
| IAM 계정 및 역할 관리 Life-Cycle 수립 및 이행 |
담당자 인터뷰 및 서비스 운영 현황 분석을 통해 최대한 적합한 IAM 계정 관리 Life-Cycle 수립 |
|
| 인프라 | 리소스 태그 지정 | 태깅에 관한 내부 규정을 수립하고, 이에 따라 대부분의 리소스에 태그를 지정 |
| 네트워크 서브넷 분리 구성 (Public / Private) |
퍼블릭ㆍ프라이빗 목적으로 사용할 서브넷과 라우팅 테이블 구성 | |
| Bastion Host를 이용한 내부망 (Private 서브넷) 인스턴스 접속 |
내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하여 접속하도록 설정 |
|
| 적절한 NACL 및 SG 규칙 설정 | NACL 과 SG의 특성을 고려하여 적절한 인ㆍ아웃바운드 규칙 설정 | |
| NACL 및 SG 규칙 주기적 검토 | NACL 및 SG 규칙의 검토 주기를 지정 삭제ㆍ수정 후 관련 이력을 기록 |
|
| 인스턴스 | 인스턴스 EBS 볼륨 암호화 디폴트 적용 여부 확인 |
EBS 암호화 디폴트 설정을 적용 |
| 인스턴스 EBS 볼륨 암호화 여부 확인 | 데이터 유•노출 시 데이터 보호를 위해 EBS 볼륨 암호화 적용 | |
| 담당자별 인스턴스 계정 및 Pem Key 생성 |
인스턴스 접속 시 Pem Key로 인증을 수행하고, 담당자별로 계정을 생성 |
|
| 인스턴스 root 계정 패스워드 설정 | root 계정의 패스워드를 설정 | |
| 인스턴스 디폴트 계정 삭제 | 담당자별 계정 발급 후 디폴트 계정 삭제 | |
| 인스턴스 시간 값 대한민국 표준 시간대 설정 |
인스턴스의 시간대를 대한민국 표준 시로 변경 | |
| S3 | 버킷 버전 관리 및 암호화 설정 | S3 버킷에 버전 관리 및 암호화 설정 적용 |
| CloudFront OAI 설정 | S3 버킷에 정적 웹 사이트 호스팅 기능 설정 시 CloudFront OAI를 적용 | |
| RDS | RDS 인스턴스 암호화 여부 확인 | RDS 스토리지를 암호화 |
| Prod 환경의 RDS 퍼블릭 액세스 불가 설정 | RDS는 퍼블릭에서 접속이 불가능하도록 IP를 할당하지 않고 동일 VPC에서만 접근하도록 설정 |
|
| KMS | KMS 고객 관리형 키 자동 키 교체 설정 | 고객 관리형 키(CMK)의 자동 키 교체 설정을 적용 |
| 로깅 | CloudTrail 로그 저장을 위한 추적 설정 | CloudTrail 로그의 장기간 보관ㆍ관리를 위해 추적 설정 |
| S3 오브젝트 액세스 로깅 설정 (CloudTrail 활용) |
S3 오브젝트에 대한 액세스 로그를 생성하고, 액세스 로그를 1년 이상 보관 |
|
| S3 오브젝트 액세스 로깅 설정 (S3 활용) |
S3 오브젝트에 대한 액세스 로그를 생성하고, 액세스 로그를 1년 이상 보관 |
|
| 관리 콘솔 로그인 이력 검토 | 관리 콘솔 로그인 이력을 주기적으로 검토 수행 | |
| VPC Flow Log 설정 | VPC Flow Log를 설정 | |
| VPC Flow Log 모니터링 및 주기적 검토 | VPC Flow Log에 대해 실시간 모니터링 또는 주기적으로 검토 수행 |
4. AWS 보안 자동화 서비스
AWS(Amazon Web Services)에서는 다양한 보안 자동화 서비스를 제공하여 고객이 클라우드 환경에서의 보안을 효과적으로 관리할 수 있도록 지원합니다.
AWS는 가장 처음 시작된 Public Cloud 서비스인만큼,
다양한 보안 서비스들을 제공하고 있으며 4가지 분류로 나눌 수 있습니다.
- Data protection : 비인가된 접근으로부터 데이터를 보호
- Identity, directory, and access : 리소스에 대한 접근 권한 제한
- Detective controls and management : 침해 대응 및 탐지, 지속적인 모니터링
- Networking and infrastructure : 네트워크의 모든 리소스
| 분류 | 서비스 | 특징 |
| Data protection | Key Management Service | 데이터의 암호화용 “key”를 생성 및 관리 |
| Macie | 기계 학습 및 패턴 일치를 활용하여 민감한 데이터를 검색하고 보호 | |
| Certificate Manager | AWS 리소스에서 사용할 SSL/TLX 인증서를 관리 및 배포 | |
| Identity, directory, and access |
IAM | 모든 사용자와 그룹들의 권한을 관리 |
| Single-Sign-On | AWS 계정 및 애플리케이션에 대한 접근 통제 | |
| AWS Organizations | 여러 AWS 계정을 조직에 통합하고 중앙에서 관리 | |
| Detective controls and management |
CloudTrail | AWS 인프라 전체의 계정 활동을 추적 및 기록 |
| CloudWatch | 리소스와 애플리케이션에 대한 모니터링 지원 | |
| Security Hub | 보안 모범사례를 확인하고, 자동화된 보안 검사 및 중앙 집중관리 제공 | |
| Networking and infrastructure |
AWS Shield | AWS에서 실행되는 애플리케이션을 DDos 공격으로부터 방어 |
| AWS WAF | 방화벽 정책을 이용해 웹 공격으로부터 방어 | |
| VPC | 독립적이고 격리된 클라우트 네트워크 환경 제공 |
'AWS 클라우드' 카테고리의 다른 글
| AWS 기반 통합 로그 모니터링 및 대응방안 이해 (0) | 2024.06.18 |
|---|---|
| AWS 주요 서비스 분석 (0) | 2024.06.18 |
| AWS 아키텍처 파악과 보안 이해 (0) | 2024.05.04 |
| 기존 네트워크(온프레미스)와 AWS(클라우드) 비교 (0) | 2024.05.04 |
| 클라우드 아키텍처 구조 및 AWS 개념 이해 (0) | 2024.05.04 |