1. 시큐어코딩
소나큐브(SonarQube) Docker로 구축하여 개발서버에 구축 개발자가 github push 할때마다 레포트 출력
2. 보안관제
F사를 통해서 클라우드 보안관제
WAF 솔루션 도입 모든 패킷이 F사의 WAF에 통해서 이벤트 탐지
결국 ALB의 포트가 하나만 열러 있기 때문에 웹 공격만 관제
향후 Trend Micro™ Deep Security 관제도 가능
기존 ALB -> WAF(EC2) -> 검사 진단 ->WAF ALB -> EC2 타겟그룹
WAF 자체에서 차단 기능 제공
관제 회사에서 선조치 가능
WIX, github 처럼 순수 html만 되어 있는 홈페이지 경우
위변조 탐지 및 악성코드 배포 관제로 해결 가능
요즘 보안관제 트렌드는 AWS account까지 관제 업체에 read 권한만 위탁
3. 접근제어
Dbsafer OS, DB 구매
4. 취약점 점검 방법
- 웹 : OWASP ZAP 활용하여 주요정보통신 기반시설 가이드로 수동 점검
- ECR : AWS 도커 이미지 진단 기능이 있슴
- 서버 : 서버 스크립트 점검
-보안 장비 , AWS : 체크리스트 점검
5. PC
한꺼번에 유지보수 해주는 회사가 찾아 보면 많습니다.
UTM 장비 포티넷 : 유해 사이트 차단, 악성코드 관제, NAC , 방화벽, VPN 제공
DLP 지란지교 : 유해 사이트 차단 , PC 보안 점검 가능
AV(Anti-Virus) : 비트디펜더 윈도우, 맥, 리눅스용 제공
6. AWS 보안기능
DDos : AWS Standard Shield
IPS : AWS Network Firewall
WAF : payload는 제공되지 않음
GuardDuty
7. 모니터링 방법
프로메테우스
Datadog
Cloudwatch Agent
8. 로그 통합 시스템
Elasticsearch, Logstash, Kibana
9. 형상관리시스템
ip주소 allow 정책으로 , github Enterprises, gitlab 자체구축, 아틀란스 구매 필요
10. 서버 백신
무료 백신도 많음 다만 이벤트를 어떻게 떠러뜨릴 것인가에 대해서 고민이 필요.
https://www.fin-ncloud.com/product/management/cloudLogAnalytics
네이버 클라우드 플랫폼 금융기관용 NAVER CLOUD PLATFORM for Financial Cloud
네이버 금융 클라우드, 금융보안원 안정성 평가 100% 충족, 글로벌 리전 및 보안기술 인증 보유
www.fin-ncloud.com
11. 망분리
PC는 물리적 망분리
AWS는 public subnet, private subnet 별도 구축
회선 : 내무망, 외부망, 게스트망 별도로 구축
돈주고 보안회사에 매출도 올려주고 유지보수 받는게 좋습니다.
오픈소스가 그냥 가져다 쓴다고 잘 붙지도 않네요.
이렇게 구축하다 정보보안 담당자 및 팀장은 머리 다 빠질듯 ,,,
이게 정답은 아닙니다.
업무 하실떄 도움이 되길 바랍니다.
iesay
