Red Hat Summit2장. 위협 및 취약점 관리
Red Hat Ceph Storage는 일반적으로 클라우드 컴퓨팅 솔루션과 함께 배포되므로 Red Hat Ceph Storage 배포를 대규모 배포에서 여러 구성 요소 중 하나로 요약하는 것이 유용할 수 있습니다. 이러한 배포에는 일반적으로 보안 영역이라는 공유 보안 문제가 있습니다. 위협 행위자 및 벡터는 동기 부여 및 리소스에 대한 액세스를 기반으로 분류됩니다. 목적은 목표에 따라 각 영역에 대한 보안 문제에 대한 이해를 제공하는 것입니다.
2.1. 위협 행위
위협 행위자는 방어를 시도할 수 있는 일련의 적자를 나타내는 추상적인 방법입니다. 액터를 사용할 수 있을수록 공격 완화 및 예방에 필요한 보안 제어가 더 엄격하게 수행됩니다. 보안은 요구 사항에 따라 조정 편의성, 방어 및 비용의 문제입니다. 경우에 따라 여기에 설명된 모든 위협 행위자에 대해 Red Hat Ceph Storage 배포를 보호할 수 없습니다. Red Hat Ceph Storage를 배포할 때 배포 및 사용량에 대한 균형을 조정해야 합니다.
위험 평가의 일환으로 사용자가 저장하는 데이터 유형 및 액세스 가능한 리소스도 고려해야 합니다. 이는 특정 행위자에도 영향을 미치기 때문입니다. 그러나 귀하의 데이터가 위협 행위자에 대해 당해하지 않더라도 단순히 컴퓨팅 리소스에 끌릴 수 있습니다.
- 국가 - 주 액터: 이것이 가장 가능성 있는 적시입니다. 국가 주 행위자는 목표에 대해 상당한 리소스를 가져올 수 있습니다. 이들은 다른 행위자 이외의 기능을 가지고 있습니다. 인간과 기술 모두 엄격한 통제없이 이러한 행위자를 방어하기가 어렵습니다.
- 심각한 조직화 범주: 이 클래스는 매우 능력 있고 경제적으로 주도하는 공격자 그룹을 설명합니다. 이들은 사내 악용 개발 및 목표 연구를 지원할 수 있습니다. 최근 몇 년 동안 대규모의 기업인 러시아 비즈니스 네트워크 (Radomy Business Network)와 같은 조직의 증가는 데이터 공격이 어떻게 상품화되었는지를 입증했습니다. 산업 급증은 심각한 조직된 보안 그룹에 속하게 됩니다.
- 높은 기능 그룹: 일반적으로 상업적으로 사용할 수 없는 'Hacktivist' 유형 조직을 나타냅니다. 그러나 서비스 공급자와 클라우드 운영자에 심각한 위협을 초래할 수 있습니다.
- 알론을 담당하는 개인: 이러한 공격자는 악성 또는 악의적인 직원, 소독된 고객 또는 소규모 산업장과 같은 많은 위장에서 발생합니다.
- 스크립트 Kiddies: 이 공격자는 특정 조직을 대상으로 하지 않지만 자동화된 취약점 검사 및 악용을 실행합니다. 그러나 이러한 행위자 중 하나에 의해 손상시키는 것은 조직의 자질에 큰 위험이 있습니다.
다음 사례는 위에서 확인한 몇 가지 위험을 완화하는 데 도움이 될 수 있습니다.
- 보안 업데이트: 네트워킹, 스토리지 및 서버 하드웨어를 포함하여 기본 물리적 인프라에 대한 엔드 투 엔드 보안 상태를 고려해야 합니다. 이러한 시스템에는 자체 보안 강화 방법이 필요합니다. Red Hat Ceph Storage 배포를 위해 보안 업데이트를 정기적으로 테스트하고 배포할 계획이 있어야 합니다.
- 제품 업데이트: Red Hat은 제품 업데이트를 사용할 수 있을 때 실행할 것을 권장합니다. 업데이트는 일반적으로 6주마다 릴리스됩니다(및 경우에 따라 더 자주 업데이트됨). Red Hat은 추가 통합 테스트가 필요하지 않기 위해 주요 릴리스에서 포인트 릴리스와 z-stream 릴리스를 완전히 호환하기 위해 노력합니다.
- 액세스 관리: 액세스 관리에는 인증, 권한 부여 및 계정이 포함됩니다. 인증은 사용자 ID를 확인하는 프로세스입니다. 권한 부여는 인증된 사용자에게 권한을 부여하는 프로세스입니다. 계정은 사용자가 작업을 수행한 추적 프로세스입니다. 사용자에게 시스템 액세스 권한을 부여하는 경우 최소 권한 원칙을 적용하고 사용자에게 실제로 필요한 세분화된 시스템 권한만 부여합니다. 이 접근 방식은 시스템 관리자의 악의적인 행위자 및 오타 오류의 위험을 줄이는 데 도움이 될 수 있습니다.
- 관리: 역할 기반 액세스 제어(최소한 액세스), 내부 인터페이스에서 암호화를 사용하고 인증/승인 보안(예: 중앙 집중식 ID 관리)을 사용하여 악의적인 내부자의 위협을 완화할 수 있습니다. 또한 직무 분리 및 불규칙한 작업 역할 교체와 같은 추가 비기술적 옵션을 고려할 수도 있습니다.
