NCP(Naver Cloud Platform) - Security 정리

Secure Zone

• SSL-VPN(접속할 때), Secure Zone Firewall과 필수적으로 같이 사용해야함
• 2FA가 적용된 SSL-VPN 사용해야함
• Network Gateway, Server Gateway에서 한번씩 통제하는, 이중 통제되는 multi border protection 모델 적용

 

Secure Zone Firewall

방화벽 정책을 설정하여 인스턴스로의 접근을 제어하는 기능

• 방화벽 정책에 따라 기록되는 로그는 Cloud Log Analytics에서 검색, 조회 가능
• 엑셀 파일로 검색 결과 다운로드 가능하며 결과 화면 내용만 다운로드 가능

 

Basic Security

기본 제공하는 무료 보안 서비스

• IDS : 사용자의 서비스로 인입되는 공격을 실시간 탐지. 24시간 365일 모니터링 실시(VPC, Classic용)
  • IDS 탐지 규칙 적용
  • 보안 공격 시도 및 침해 감시, 분석, 대응
  • 최신 공격 위협에 대한 탐지 규칙 생성
  • 보안 사고 의심 이벤트 발생 시 분석 보고서 전달
• Anti-Virus : 운영중인 서버에 악성코드 탐지하는 서버 백신 서비스(Classic용)
• 한국, 미국, 싱가포르, 일본, 독일 리전에서만 서비스 제공중
• IP 주소 기반으로 모니터링 실시

 

App Safer

모바일 보안 솔루션

• AAB, APK 파일 업로드 시, 자동으로 App Safer가 적용됨
• 바이너리 보호 설정 단계 -
  • Native Library 보호 : 안드로이드의 Native Library 바이너리에 보안 기능 적용. 기본적으로 모든 항목이 암호화 적용
  • Unity Global Meta 정보 보호 : 기본적으로 유니티 앱은 정보 보호 대상으로 선택됨. 상품 이용시, Log를 확인할 수 있는 ELSA 프로젝트가 자동으로 생성(ELSA는 별도 요금 부과)

 

Site Safer

웹 사이트가 악성코드나 랜섬웨어 등 악성 프로그램을 배포하는지 검사하는 서비스

패턴 기반이 아닌 행위 기반으로 탐지하기 때문에 다양한 케이스의 탐지가 가능하고 보다 쉽고 편리하게 웹사이트를 검사할 수 있으며 주기적인 검사와 알람 기능을 제공

• 검사 대상 URL 설정후 검사 주기와 시간을 설정하고 결과르 받을 대상자를 설정

 

File Safer

현재 운영중인 NCP 서비스의 시스템에서 악성코드를 탐지할 수 있는 다양한 방법을 제공하는 서비스

• Hash Filter : 의심되는 파일 또는 URL의 스트링에서 추출한 Hash값을 이용하여 악성 여부를 확인
• File Filter : 확인 되지 않은 파일을 업로드하여 악성 여부를 확인
• Rest API로 이용할 수 있으며 MD5, SHA-1 알고리즘을 지원하며 특히 SHA-1 알고리즘을 사용 권장. 추후에는 SHA-3 알고리즘도 지원 예정
• File Safer API는 API Gateway를 통해 제공되므로 API Gateway 이용 및 API Key가 필요

 

Security Monitoring

외부의 보안 위협을 실시간으로 감시하고 탐지된 이벤트에 효율적으로 대응하는 서비스

• Basic은 모든 사용자들에게 제공되는 무료 보안 서비스이고 Managed는 유료 보안 서비스로 Basic에 비해 고도화됨
• IDS, Anti-DDoS, WAF, Anti-Virus(백신 패턴은 매일 새벽 1시에 업데이트), IPS, 침해 사고 기술 지원 등의 기능을 제공
• Anti-DDoS : Public IP나 공인 Load Balancer를 사용하는 서비스에만 신청 가능
  • 암호화된 패킷에 대해 L4 공격 방어만 지원. L7 공격 방어는 지원하지 않음
• WAF : ALB 서비스에 한해 제공. 서비스 도메인이 존재. CNAME 설정
• WAF, IPS의 탐지, 차단 모드
  • 탐지 모드 : 약 1개월 동안 탐지 모드로 운영한 후, 차단 정책과 차단 모드 변경 일정을 사용자에게 제안하는 방식. 콘솔에서 확인되는 로그가 없음
  • 차단 모드 : 콘솔에서 차단된 로그만 제공

 

Web Security Checker

웹 서비스를 대상으로 취약점을 진단하는 서비스. SQL Injection 등 현재 18가지 주요 웹 취약점에 대해 점검하는 기능을 제공하며 원하는 항목만 선택하여 점검 가능

• 취약점에 대한 진단 외에도 해당 문제에 대한 대응방안도 같이 제공
• 최초 진단한 후 60일 내 동일한 대상을 추가로 2회까지 무료 재진단 가능

 

System Security Checker

서버의 운영체제와 아파치 보안 설정을 점검하고 보안 관점에서 적절한 값으로 설정할 수 있도록 안내. KISA와 NAVER의 보안 설정 정책에 근거하여 편의성과 보안성 모두를 높일 수 있는 항목 위주로 검사를 진행

System Security Checker 안에 OS Security Checker와 WAS Security Checker가 존재

 

App Security Checker

모바일 앱을 대상으로 앱 취약점을 진단하여 리포팅하는 서비스

마켓 스토어 등록 결격 상, 개인 정보 유출 취약점에 대한 다양한 진단을 수행하며, 검사 결과를 SMS 및 이메일로 전달

APK 업로드로 간단하게 진단할 수 있으며 최초 진단 후 60일 이내에 동일한 대상을 다시 진단하는 경우 2회까지 무료로 재진단

 

Compliance Guide

각종 컴플라이언스, 보안 인증 대응에 도움을 주는 서비스

 

Key Management Service

암호화 키를 관리하는 기능을 제공하는 서비스

공개키와 비밀키를 KMS의 마스터키로 암호화하여 키와 데이터를 보다 안전하게 보호

마스터키는 고객이 KMS를 통해 생성하며 키 값을 직접 확인 불가

루트키는 KMS에서 마스터키와 데이터키를 암호화

최근 사용되는 전자봉투(Envelope Encryption)에 데이터 암호화에 사용되는 키를 봉인하여 관리

• 데이터 보호 : 키 보호 이외에도 기밀성 보장이 필요한 모든 데이터를 보호
• 서명 및 검증 : 인증 및 부인 방지를 위한 기능 제공
• 엄격한 접근 제어 : 역할 정책을 기반으로 키별 접근 제어 수행
• 키 생명 주기 관리 : 권고 기준에 따른 키의 갱신, 비활성화, 폐지를 통한 보안 위협 대비
• 계층적 키 관리 : 철저하게 암호화된 계층적 관리
• 키 검사 : 안전한 키 사용을 위해 전문가에 의한 주기적인 감사 및 관리, 기록 및 모니터링
• Rest API : Rest API를 통해 키를 이용한 암호화, 복호화, 서명 및 검증 기능을 사용
• 생성한 키는 내부 코어 시스템에서만 운용되기 때문에 키 추출 및 키에 직접 접근은 불가능
• 통신에서 데이터를 암/복호화 할 때, SSL/TLS 프로토콜을 이용
• 최대 100개의 버전을 생성 관리할 수 있으며, 키의 상태는 해당 키의 모든 버전에 상속됨

 

Data Encryption Key : 데이터 암, 복호화에 직접 이용되는 키. 사용자 관리 영역에서 보관

User Managed Key : 사용자가 KMS에 생성한 키. 모든 동작이 사용자의 관리 아래서 진행됨. 사용자 관리 키가 데이터 암호화 키를 보호하는데 사용되면 이를 마스터 키라고 부름

Root Key : KMS 내부 스토리지에 저장되며 사용자 관리 키와 동일한 관리 정책으로 운영됨. 1년 주기로 회전되어 갱신. 사용자 관리 키와의 차이점은 키 활성화 절차가 오프라인으로 이루어진다는 것이 유일한 차이점. 루트 키는 다수의 조각으로 분할되어 물리적 보안 매체에 각각 저장됨. 이 키 조각을 관리하는 3명의 관리자는 IDC에 설치된 내화 데이터 금고에 지역적으로 격리되어 보관

 

Certificate Manager

Load Balancer, CDN+ 등의 연계 서비스에 사용할 인증서를 등록하고 관리할 수 있는 서비스

• 인증서 등록 및 서비스 연동 : 공인 SSL 인증서를 등록하여 연계 서비스에 적용
• 인증서 정보 제공 : 등록된 인증서의 다양한 정보를 제공하여 인증서의 효율적 관리 기능
• 인증서 만료 알림 : 등록된 인증서의 만료 예정일 30일 전부터 5일 단위로 알림(SMS/Email) 전송
• 인증서 등록시 인증서의 유효성 체크를 진행
• 공인 CA에서 발급한 SSL인증서만 등록가능
• 만료, 폐기된 인증서는 등록 불가능
• 만료, 폐기된 인증서는 자동 삭제되지 않으므로 사용자가 직접 삭제. 삭제된 인증서는 복구 불가능
• 인증서에 연동된 서비스가 존재할 경우, 해당 서비스를 연동 해제한 후, 인증서 삭제 가능

 

Private CA

표준에 기반한 사설 인증 기관의 구축과 운영을 지원하며 안전하게 사설 인증서를 발급하고 관리, 폐기하는 기능을 제공

• 손쉬운 인증기관 구축 및 운영 : 권고 및 특정 기준을 충분히 만족하는 인증기관의 구축과 체인 구성
• X.509 표준에 따라 인증서 발급 후 리스트 관리 및 폐기된 인증서 목록 제공
• 안전한 비밀키 관리 : KMS를 통한 보안 유지
• 인증서 상태 조회 : CRL을 실시간 갱신하여 폐기 여부를 검사하는 부담을 절감하도록 OCSP제공
• 철저한 접근 제어 및 접근 기록 관리 : 운영 감사등의 자료로도 활용 가능하도록 Private CA의 모든 활동 이력을 기록
• 내부에서 서버간 통신에 사용할 수 있는 사설 인증서 발급 및 관리 서비스
• SSL/TLS 인증절차는 X.509 표준을 준수
• 계정당 최대 10개의 CA와 30,000개의 인증서 발급가능

 

Webshell Behavior Detector

Agent 기반으로 웹셀을 탐지하고 보호하는 시스템

실시간 탐지 및 행위 기반 탐지 기법을 통해 웹서비스 보호와 웹셀 탐지시 의심파일 격리

• 강력한 탐지 기능 : 행위 기반 탐지 기법을 이용하여 기존의 웹쉘과 새로운 유형의 웹쉘을 탐지
• 실시간 탐지 및 알림 발송 : 웹쉘 행위 발생 시 실시간으로 탐지하고 설정된 연락처로 알림을 발송하여 신속한 대응이 가능
• 간편 설정 : 사용자가 직접 예외 규칙을 설정할 수 있으며 탐지된 내역을 바탕으로 간편하게 설정가능
• 쉽고 편리한 대응 : NCP 콘솔 화면에서 빠르고 간편하게 웹쉘 의심 파일 격리 가능
• 서버 환경에 맞춰 적용 : 예외 설정을 통한 적응 기간을 거쳐 서비스를 이용하는 고객의 서버 환경에 맞춰 웹쉘 행위만을 탐지해낸다
• Docker와 같은 가상 플랫폼 환경에서는 지원하지 않음
  
  

---

참고 사이트 : 

https://guide.ncloud-docs.com/docs

Home

 

https://guide.ncloud-docs.com/docs/security-security-14-1

Secure Zone