ISMS-P 인증 기준 2.10.2.클라우드 보안: Difference between revisions

From IT Wiki
(Imported from text file)
 
(정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.))
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증기준 2.10.시스템 및 서비스 보안관리|2.10.시스템 및 서비스 보안관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.10.시스템 및 서비스 보안관리|2.10.시스템 및 서비스 보안관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.10.2.클라우드 보안
!2.10.2.클라우드 보안
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다.
|클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
*클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
* 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립‧이행하고 있는가?
*클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립‧이행하고 있는가?
* 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?
*클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?
* 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
*클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
|}
==세부 설명==
 
==== 책임관계 명확화 및 SLA 반영 ====
클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고, 이를 계약서(SLA 등)에 반영하여야 한다.
 
*클라우드 서비스 유형에 따른 역할 및 책임(예시)
 
{| class="wikitable"
!클라우드 서비스 유형
!클라우드 서비스 제공자
!클라우드 서비스 이용자
|-
|'''IaaS'''
|
* 물리적 영역의 시설 보안 및 접근통제
*호스트 OS에 대한 보안 패치
*하이퍼바이저 등 가상머신에 대한 보안 관리 등
|
*게스트 OS, 미들웨어 및 애플리케이션 보안 패치
*게스트 OS, 미들웨어, 애플리케이션, 사설 네트워크 영역에 대한 보안 구성 및 설정
*데이터 보안
*관리자, 사용자 권한 관리 등
|-
|'''PaaS'''
|
* IaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임
* 네트워크 영역의 보안 설정
*게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정
|
*애플리케이션 보안 패치 및 보안 설정
*데이터 보안
*관리자, 사용자 권한관리 등
|-
|'''SaaS'''
|
*IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임
*애플리케이션 보안 패치 및 보안 설정
*데이터 보안(데이터 레벨의 접근통제, 암호화 등) 등
|
*애플리케이션 관리자, 사용자 권한 관리 등
|}
|}
== 세부 설명 ==


* 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고, 이를계약서(SLA 등)에 반영하여야 한다.
※ 클라우드 서비스 사업자, 서비스 구성 및 특성 등에 따라 달라질 수 있음.
** 클라우드 서비스 유형에 따른 역할 및 책임(예시)<table><thead><tr><th>클라우드 서비스 유형</th><th>클라우드 서비스 유형</th><th>클라우드 서비스 이용자</th></tr></thead><tbody><tr><td>IaaS</td><td>물리적 영역의 시설 보안 및 접근통제<br>호스트 OS에 대한 보안 패치<br>하이퍼바이저 등 가상머신에 대한 보안 관리 등</td><td>게스트 OS, 미들웨어 및 애플리케이션 보안 패치<br>게스트 OS, 미들웨어, 애플리케이션, 사설 네트워크 영역에 대한 보안 구성 및 설정<br>데이터 보안<br>관리자, 사용자 권한 관리 등</td></tr><tr><td>PaaS</td><td>IaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임<br>네트워크 영역의 보안 설정<br>게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정</td><td>애플리케이션 보안 패치 및 보안 설정<br>데이터 보안<br>관리자, 사용자 권한관리 등</td></tr><tr><td>SaaS</td><td>IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임<br>애플리케이션 보안 패치 및 보안 설정<br>데이터 보안(데이터 레벨의 접근통제, 암호화 등) 등</td><td>애플리케이션 관리자, 사용자 권한 관리 등</td></tr></tbody></table>
 
* ※ 클라우드 서비스 사업자, 서비스 구성 및 특성 등에 따라 달라질 수 있음.
====클라우드 보안 위험 평가 및 정책 수립·이행====
* 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제정책을 수립·이행하여야 한다.
클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립·이행하여야 한다.
** 외부 클라우드 서비스 이용에 따른 위험 평가 : 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려
 
** 클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행
*외부 클라우드 서비스 이용에 따른 위험 평가 : 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
*클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행
* ※ 클라우드 서비스 보안통제 정책(예시)(클라우드 서비스 유형에 따른 특성 반영 필요)
 
* 보안 관리 관련 역할 및 책임
<blockquote>'''※ 클라우드 서비스 보안통제 정책(예시)(클라우드 서비스 유형에 따른 특성 반영 필요)'''
* 사설 네트워크 보안 구성 및 접근통제
*보안 관리 관련 역할 및 책임
* 클라우드 서비스 관리자 계정 및 권한 관리(최고관리자 및 분야별 관리자 등)
*사설 네트워크 보안 구성 및 접근통제
* 클라우드 서비스 관리자에 대한 강화된 인증(OTP 등)
*클라우드 서비스 관리자 계정 및 권한 관리(최고관리자 및 분야별 관리자 등)
* 보안 설정 기준(인증, 암호화, 세션관리, 접근통제, 공개설정, 장기미사용 잠금, 로그기록, 백업 등)
*클라우드 서비스 관리자에 대한 강화된 인증(OTP 등)
* 보안 설정 등록·변경·삭제 절차(신청, 승인 등)
*보안 설정 기준(인증, 암호화, 세션관리, 접근통제, 공개설정, 장기미사용 잠금, 로그기록, 백업 등)
* 보안 구성 및 설정에 대한 적절성 검토
*보안 설정 등록·변경·삭제 절차(신청, 승인 등)
* 클라우드 서비스 원격접속 경로 및 방법(VPN, IP제한, 2 Factor 인증 등)
*보안 구성 및 설정에 대한 적절성 검토
* 클라우드 서비스 보안 관제 및 알람·모니터링 방안
*클라우드 관리콘솔에 대한 접근통제 및 권한 관리 절차
* 보안감사 절차 등</div>
*Access Key의 발급, 이용, 회수 등에 대한 관리 절차
* 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다.
*클라우드 서비스 원격접속 경로 및 방법(VPN, IP제한, 2 Factor 인증 등)
** 클라우드 서비스 관리자 권한 세분화 : 최고관리자, 네트워크 관리자, 보안관리자 등
*클라우드 서비스 보안 관제 및 알람·모니터링 방안
** 업무 및 역할에 따라 관리자 권한 최소화 부여
*보안감사 절차 등
** 클라우드 관리자 권한 접속에 대한 강화된 인증 적용 : OTP, 보안키 등
</blockquote>
** 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용
 
** 클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등
====클라우드 서비스 관리자 권한 최소화  및 통제====
* 클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다.
클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다.
** 클라우드 서비스에 대한 승인받지 않은 환경설정 및 보안설정 변경을 적발할 수 있도록 알람 설정 및 모니터링
 
** 클라우드 서비스 보안설정의 적정성 여부를 정기적으로 검토 및 조치
*클라우드 서비스 관리자 권한 세분화 : 최고관리자, 가상네트워크 관리자, 보안관리자, DevOps 관리자
<div clsas="box">
*업무 및 역할에 따라 관리자 권한 최소화 부여
* 주의사항
*클라우드 관리자 권한 접속에 대한 강화된 인증 적용 : OTP, 보안키 등
* 클라우드 환경에서의 네트워크 접근, 정보시스템 접근, 데이터베이스 접근, 응용프로그램 접근 등 접근통제의 적절성, 인증 및 권한관리, 암호화, 시스템 및 서비스 보안관리 등 기타 필요한 보호조치가 모두 적용되어야 함.</div>
*원격 접속 구간에 대한 통신 암호화 또는 VPN 적용
== 증거 자료 ==
*클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등
* 클라우드 서비스 관련 계약서 및 SLA
 
* 클라우드 서비스 위험분석 결과
====클라우드 보안 설정 관리====
* 클라우드 서비스 보안통제 정책
클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다.
* 클라우드 서비스 관리자 권한 부여 현황
 
* 클라우드 서비스 구성도
*클라우드 서비스에 대한 승인받지 않은 환경설정 및 보안설정 변경을 적발할 수 있도록 알람 설정 및 모니터링
* 클라우드 서비스 보안설정 현황
*클라우드 서비스 보안설정의 적정성 여부를 정기적으로 검토 및 조치
* 클라우드 서비스 보안설정 적정성 검토 이력
**'''(주의사항)''' 클라우드 환경에서의 네트워크 접근, 정보시스템 접근, 데이터베이스 접근, 응용프로그램 접근 등 접근통제의 적절성, 인증 및 권한관리, 암호화, 시스템 및 서비스 보안관리 등 기타 필요한 보호조치가 모두 적용되어야 함.
== 결함 사례 ==
 
* 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
==증거 자료==
* 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
 
* 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
*클라우드 서비스 관련 계약서 및 SLA
* 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우
*클라우드 서비스 위험분석 결과
== 같이 보기 ==
*클라우드 서비스 보안통제 정책
* [[정보보호 및 개인정보보호관리체계 인증]]
*클라우드 서비스 관리자 권한 부여 현황
* [[ISMS-P 인증 기준]]
*클라우드 서비스 구성도
* [[ISMS-P 인증 기준 세부 점검 항목]]
*클라우드 서비스 보안설정 현황
== 참고 문헌 ==
*클라우드 서비스 보안설정 적정성 검토 이력
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
 
==결함 사례==
 
*클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
*클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
*내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
*클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 23:08, 5 February 2024


개요[edit | edit source]

항목 2.10.2.클라우드 보안
인증기준 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
  • 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립‧이행하고 있는가?
  • 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?
  • 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?

세부 설명[edit | edit source]

책임관계 명확화 및 SLA 반영[edit | edit source]

클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고, 이를 계약서(SLA 등)에 반영하여야 한다.

  • 클라우드 서비스 유형에 따른 역할 및 책임(예시)
클라우드 서비스 유형 클라우드 서비스 제공자 클라우드 서비스 이용자
IaaS
  • 물리적 영역의 시설 보안 및 접근통제
  • 호스트 OS에 대한 보안 패치
  • 하이퍼바이저 등 가상머신에 대한 보안 관리 등
  • 게스트 OS, 미들웨어 및 애플리케이션 보안 패치
  • 게스트 OS, 미들웨어, 애플리케이션, 사설 네트워크 영역에 대한 보안 구성 및 설정
  • 데이터 보안
  • 관리자, 사용자 권한 관리 등
PaaS
  • IaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임
  • 네트워크 영역의 보안 설정
  • 게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정
  • 애플리케이션 보안 패치 및 보안 설정
  • 데이터 보안
  • 관리자, 사용자 권한관리 등
SaaS
  • IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임
  • 애플리케이션 보안 패치 및 보안 설정
  • 데이터 보안(데이터 레벨의 접근통제, 암호화 등) 등
  • 애플리케이션 관리자, 사용자 권한 관리 등

※ 클라우드 서비스 사업자, 서비스 구성 및 특성 등에 따라 달라질 수 있음.

클라우드 보안 위험 평가 및 정책 수립·이행[edit | edit source]

클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립·이행하여야 한다.

  • 외부 클라우드 서비스 이용에 따른 위험 평가 : 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려
  • 클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행

※ 클라우드 서비스 보안통제 정책(예시)(클라우드 서비스 유형에 따른 특성 반영 필요)

  • 보안 관리 관련 역할 및 책임
  • 사설 네트워크 보안 구성 및 접근통제
  • 클라우드 서비스 관리자 계정 및 권한 관리(최고관리자 및 분야별 관리자 등)
  • 클라우드 서비스 관리자에 대한 강화된 인증(OTP 등)
  • 보안 설정 기준(인증, 암호화, 세션관리, 접근통제, 공개설정, 장기미사용 잠금, 로그기록, 백업 등)
  • 보안 설정 등록·변경·삭제 절차(신청, 승인 등)
  • 보안 구성 및 설정에 대한 적절성 검토
  • 클라우드 관리콘솔에 대한 접근통제 및 권한 관리 절차
  • Access Key의 발급, 이용, 회수 등에 대한 관리 절차
  • 클라우드 서비스 원격접속 경로 및 방법(VPN, IP제한, 2 Factor 인증 등)
  • 클라우드 서비스 보안 관제 및 알람·모니터링 방안
  • 보안감사 절차 등

클라우드 서비스 관리자 권한 최소화 및 통제[edit | edit source]

클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다.

  • 클라우드 서비스 관리자 권한 세분화 : 최고관리자, 가상네트워크 관리자, 보안관리자, DevOps 관리자 등
  • 업무 및 역할에 따라 관리자 권한 최소화 부여
  • 클라우드 관리자 권한 접속에 대한 강화된 인증 적용 : OTP, 보안키 등
  • 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용
  • 클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등

클라우드 보안 설정 관리[edit | edit source]

클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다.

  • 클라우드 서비스에 대한 승인받지 않은 환경설정 및 보안설정 변경을 적발할 수 있도록 알람 설정 및 모니터링
  • 클라우드 서비스 보안설정의 적정성 여부를 정기적으로 검토 및 조치
    • (주의사항) 클라우드 환경에서의 네트워크 접근, 정보시스템 접근, 데이터베이스 접근, 응용프로그램 접근 등 접근통제의 적절성, 인증 및 권한관리, 암호화, 시스템 및 서비스 보안관리 등 기타 필요한 보호조치가 모두 적용되어야 함.

증거 자료[edit | edit source]

  • 클라우드 서비스 관련 계약서 및 SLA
  • 클라우드 서비스 위험분석 결과
  • 클라우드 서비스 보안통제 정책
  • 클라우드 서비스 관리자 권한 부여 현황
  • 클라우드 서비스 구성도
  • 클라우드 서비스 보안설정 현황
  • 클라우드 서비스 보안설정 적정성 검토 이력

결함 사례[edit | edit source]

  • 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
  • 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
  • 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
  • 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)