반응형

보안 공부/클라우드 보안 38

클라우드 취약점 진단을 위한 기본 배경지식 (AWS기준)

AWS 주요 서비스 1. 스토리지 서비스  - Amazon simple Storage Service (Amazon S3)    >> 여러가지 용도로 사용 가능한 범용 스토리지 서비스   >> 키-값이 연결된 객체 형태로 구성   >> 보통 보안적 점검에서는 공개설정에서 발생하는 취약점 점검이 있음    2. 데이터베이스 서비스  - Amazon Relational Database Service(Amazon RDS)   >> 관계형 데이터 베이스   >> 사용자가 직접관리하지 않고 이용할수 있음 - Amazon DynamoDB   >> NoSQL용 서비스로 대량의 데이터를 저장, 추가 분석 서비스와 연계 가능하도록 서비스 제공    3. 서버리스 서비스  - Lambda   >> 코드를 소유하지 않아도 실..

[클라우드 취약점 진단-XenServer] 33. 보안 패치 적용

4. 하이퍼바이저 정책 설정 33. 보안 패치 적용 가. 상세 설명 XenServer 및 XenCenter Patch는 Xen 시스템을 Citrix에서 출시하고 난 뒤 Xen과 관련된 응용프로그램, 서비스, 실행파일 등의 오류나 보안취약점 등을 수정하여 적용한 Update 파일이다. Update Patch 발표 후 취약성을 이용한 공격도구가 먼저 출현할 수 있으므로, Update Patch는 발표 후 가능한 빨리 설치할 것을 권장한다. 나. 진단기준 양호 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있는 경우 취약 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있지 않은 경우 다. 진단방법 ■ 인터뷰를 통해 주기적으로 보안 패치 적용 여부 확인 라. 조치방안 ■ 설정 기준 권고 (..

[클라우드 취약점 진단-XenServer] 32. 로그 파일 권한 설정

4. 하이퍼바이저 정책 설정 32. 로그 파일 권한 설정 가. 상세 설명 시스템의 기본 로깅 기록은 관리자 이외에 다른 일반 사용자에게 열람할 수 있는 권한을 부여할 필요가 없기 때문에 로깅 기록을 저장하는 파일의 소유자 및 읽기권한을 제한함으로써 보안을 강화하는 것이 필요하다. 아래의 로그 파일 권한은 시스템 사용자(root, adm, bin 등) 소유자의 타사용자 쓰기권한 제거를 설정한다. 나. 진단기준 양호 : 로그파일의 소유자가 root이고, 타사용자의 쓰기권한이 존재하지 않는 경우 취약 : 로그파일의 소유자가 root가 아니거나, 타사용자의 쓰기권한이 존재하는 경우 다. 진단방법 ■ 로그 파일 확인 1) # ls –alL [로그파일명] 보안강화적용 대상 로그파일 목록 로그파일 XenServer ..

[클라우드 취약점 진단-XenServer] 31. 로깅 수준 설정

4. 하이퍼바이저 정책 설정 31. 로깅 수준 설정 가. 상세 설명 기본적으로 시스템 운영 중 발생하는 Information 등에 대한 기록을 남기기 위한 로그 설정이 되었는지 점검한다. 시스템에 적절한 로그파일이 없을 경우, 침입자의 흔적이나 시스템 오류사항에 대해 분석할 수 없다. 나. 진단기준 양호 : "/etc/syslog.conf" 파일에 "info" 설정이 되어 있거나 XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 "Information" 로그가 설정되어 있는 경우 취약 : "/etc/syslog.conf" 파일에 "info" 설정이 되어 있지 않거나 XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 "Information" 로그가 설정..

[클라우드 취약점 진단-XenServer] 30. syslog 전송 포트 차단

4. 하이퍼바이저 정책 설정 30. syslog 전송 포트 차단 가. 상세 설명 UDP 514 Port는 Remote로 Syslog를 전송하는 Port로 사용되며, 사용 시 보안상 취약하며, 서비스 포트가 열려있으면 침해사고의 위험성이 있다. Remote Log 서버를 사용하지 않을 경우 Syslog 전송 Port 차단을 권고한다. 나. 진단기준 양호 : Remote Log 서버를 사용하지 않을 경우 Syslog 전송 Port 차단한 경우 취약 : Remote Log 서버를 사용하지 않고 UDP 514 Port를 사용 중인 경우 다. 진단방법 ■ syslog 전송 포트 차단 설정 확인 1) 인터뷰를 통해 Remote Log 서버 사용 유무 확인 2) udp514 포트 확인 # netstat -an | g..

[클라우드 취약점 진단-XenServer] 29. syslog 설정

5. 패치 및 로그관리 29. syslog 설정 가. 상세 설명 기본적으로 시스템 운영 중 발생하는 Info 및 alert등에 대한 기록을 남기기 위한 "syslog.co" 파일의 보안 설정이 되었는지 점검한다. syslog 데몬은 시스템의 로그를 기록하는 전용 데몬으로 원격 또는 로컬 시스템의 커널메시지 및 시스템 로그를 감시하는 역할을 한다. 이 설정이 제대로 되어 있지 않을 경우 적절한 로그가 시스템 로그파일에서 남지 않아 침입자의 흔적이나 시스템 오류사항에 대해 분석을 할 수 없다. 나. 진단기준 양호 : syslog에 중요 로그 정보에 대한 설정이 되어 있을 경우 취약 : syslog에 중요 로그 정보에 대한 설정이 되어 있지 않은 경우 다. 진단방법 ■ /etc/syslog.conf 파일을 점..

[클라우드 취약점 진단-XenServer] 28. SU 로그 설정

5. 패치 및 로그관리 28. SU 로그 설정 가. 상세 설명 기본적으로 일반 사용자에서 Super User로 사용되는 기록을 남기기 위해서 Su 사용로그를 남기도록 하는 보안 설정이 필요하다. 시스템의 가용성 및 무결성 등을 침해하는 사건이 발생할 경우, 일반적으로 Super User 권한으로 사건이 진행되기 때문에 Su의 로깅이 필요하다. Su 사용 로그를 기록하도록 syslog 설정 파일을 수정해야한다. Authpriv에 관련된 로그를 파일로 남기지 않고 있다면 아래와 같이 설정한다. 나. 진단기준 양호 : /var/log/secure 파일을 확인하여 su 기록이 남고 있는 경우 취약 : /var/log/secure 파일을 확인하여 su 기록이 남고 있지 않은 경우 다. 진단방법 ■ /etc/sys..

[클라우드 취약점 진단-XenServer] 27. Guest VM 네트워크 분리

4. 하이퍼바이저 정책 설정 27. Guest VM 네트워크 분리 가. 상세 설명 Guest 네트워크는 VLAN을 이용하여 트래픽 분리가 가능하다. Guest OS(Virtual Machine) Group 간 네트워크가 연동될 경우 민감한 트래픽에 접근할 가능성이 있다. 반드시 분리되어야 하는 Guest OS(Virtual Machine) Group은 VLAN을 이용하여 트래픽을 분리하여 사용해야 한다. 나. 진단기준 양호 : Guest OS (Virtual Machine) Group이 VLAN을 이용하여 트래픽이 분리되어 있는 경우 취약 : Guest OS (Virtual Machine) Group이 VLAN을 이용하여 트래픽이 분리되어 있지 않은 경우 다. 진단방법 ■ Guest VM 네트워크 설정 ..

[클라우드 취약점 진단-XenServer] 26. Remote Shell 접근 제어

4. 하이퍼바이저 정책 설정 26. Remote Shell 접근 제어 가. 상세 설명 XenServer에 Remote Shell을 이용하여 원격에서의 접근이 가능하다. XenServer에 오직 XenCenter만을 이용하여 접근을 허용하고, Remote Shell을 이용하여 접근이 불필요한 경우에는 관리자 원격 접근을 제한함으로써 비 인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다. 나. 진단기준 양호 : xsconsole의 [Remote Service Configuration] 메뉴에서 [Enable/Disable Remote Shell]이 Disable로 설정되어 있는 경우 취약 : xsconsole의 [Remote Service Configuration] 메뉴에서 [Enable/Dis..

[클라우드 취약점 진단-XenServer] 25. 관리용 원격 접근 제어

4. 하이퍼바이저 정책 설정 25. 관리용 원격 접근 제어 가. 상세 설명 관리용으로 SSH나 XenCenter를 이용하여 원격에서 XenServer에 접근이 가능하다. 관리자가 XenServer에 원격으로 접근이 불필요한 경우에는 관리자 원격 접근을 제한함으로써 비 인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다. 나. 진단기준 양호 : xsconsole의 [Network and Management Interface] 메뉴에서 "interface"가 설정되어 있지 않은 경우 취약 : xsconsole의 [Network and Management Interface] 메뉴에서 "interface"가 설정되어 있는 경우 다. 진단방법 ■ 관리용 원격 접속 접근 제어 설정 확인 1) # xsco..