ISMS-P 인증 기준 2.10.2.클라우드 보안 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
25번째 줄: | 25번째 줄: | ||
*클라우드 서비스 유형에 따른 역할 및 책임(예시) | *클라우드 서비스 유형에 따른 역할 및 책임(예시) | ||
**※ 클라우드 서비스 사업자, 서비스 구성 및 특성 등에 따라 달라질 수 있음. | |||
{| class="wikitable" | {| class="wikitable" | ||
34번째 줄: | 35번째 줄: | ||
| | | | ||
* 물리적 영역의 시설 보안 및 접근통제 | * 물리적 영역의 시설 보안 및 접근통제 | ||
*호스트 OS에 대한 보안 패치 | * 호스트 OS에 대한 보안 패치 | ||
*하이퍼바이저 등 가상머신에 대한 보안 관리 등 | * 하이퍼바이저 등 가상머신에 대한 보안 관리 등 | ||
| | | | ||
*게스트 OS, 미들웨어 및 애플리케이션 보안 패치 | * 게스트 OS, 미들웨어 및 애플리케이션 보안 패치 | ||
*게스트 OS, 미들웨어, 애플리케이션, 사설 네트워크 영역에 대한 보안 구성 및 설정 | * 게스트 OS, 미들웨어, 애플리케이션, 사설 네트워크 영역에 대한 보안 구성 및 설정 | ||
*데이터 보안 | * 데이터 보안 | ||
*관리자, 사용자 권한 관리 등 | * 관리자, 사용자 권한 관리 등 | ||
|- | |- | ||
|'''PaaS''' | |'''PaaS''' | ||
46번째 줄: | 47번째 줄: | ||
* IaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임 | * IaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임 | ||
* 네트워크 영역의 보안 설정 | * 네트워크 영역의 보안 설정 | ||
*게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정 | * 게스트 OS 및 미들웨어 영역에 대한 보안패치, 보안 구성 및 설정 | ||
| | | | ||
*애플리케이션 보안 패치 및 보안 설정 | * 애플리케이션 보안 패치 및 보안 설정 | ||
*데이터 보안 | * 데이터 보안 | ||
*관리자, 사용자 권한관리 등 | * 관리자, 사용자 권한관리 등 | ||
|- | |- | ||
|'''SaaS''' | |'''SaaS''' | ||
| | | | ||
*IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임 | * IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임 | ||
*애플리케이션 보안 패치 및 보안 설정 | * 애플리케이션 보안 패치 및 보안 설정 | ||
*데이터 보안(데이터 레벨의 접근통제, 암호화 등) 등 | * 데이터 보안(데이터 레벨의 접근통제, 암호화 등) 등 | ||
| | | | ||
*애플리케이션 관리자, 사용자 권한 관리 등 | * 애플리케이션 관리자, 사용자 권한 관리 등 | ||
|} | |} | ||
==== 클라우드 보안 위험 평가 및 정책 수립·이행 ==== | |||
클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제정책을 수립·이행하여야 한다. | |||
*외부 클라우드 서비스 이용에 따른 위험 평가: 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려 | |||
*외부 클라우드 서비스 이용에 따른 위험 평가 : 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려 | |||
*클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행 | *클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행 | ||
77번째 줄: | 76번째 줄: | ||
*보안 설정 등록·변경·삭제 절차(신청, 승인 등) | *보안 설정 등록·변경·삭제 절차(신청, 승인 등) | ||
*보안 구성 및 설정에 대한 적절성 검토 | *보안 구성 및 설정에 대한 적절성 검토 | ||
*클라우드 서비스 원격접속 경로 및 방법(VPN, IP제한, 2 Factor 인증 등) | *클라우드 서비스 원격접속 경로 및 방법(VPN, IP제한, 2 Factor 인증 등) | ||
*클라우드 서비스 보안 관제 및 알람·모니터링 방안 | *클라우드 서비스 보안 관제 및 알람·모니터링 방안 | ||
84번째 줄: | 81번째 줄: | ||
</blockquote> | </blockquote> | ||
====클라우드 서비스 관리자 | ==== 클라우드 서비스 관리자 역할 관리 및 통제 ==== | ||
클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다. | 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다. | ||
*클라우드 서비스 관리자 권한 세분화 : 최고관리자, | *클라우드 서비스 관리자 권한 세분화: 최고관리자, 네트워크 관리자, 보안관리자 등 | ||
*업무 및 역할에 따라 관리자 권한 최소화 부여 | *업무 및 역할에 따라 관리자 권한 최소화 부여 | ||
*클라우드 관리자 권한 접속에 대한 강화된 인증 적용 : OTP, 보안키 등 | *클라우드 관리자 권한 접속에 대한 강화된 인증 적용: OTP, 보안키 등 | ||
*원격 접속 구간에 대한 통신 암호화 또는 VPN 적용 | *원격 접속 구간에 대한 통신 암호화 또는 VPN 적용 | ||
*클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등 | *클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등 | ||
====클라우드 보안 설정 관리==== | ==== 클라우드 보안 설정 관리 ==== | ||
클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다. | 클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다. | ||
125번째 줄: | 122번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |