클라우드시스템보안기능요구사항 2012. 11. 30 황선명대전대학교
목차 1. 소프트웨어공학기능요구사항 2. 정보보증기능요구사항 3. SP, PP/ST, SPP/SST 비교 4. 클라우드시스템모델 5. 클라우드시스템보안이슈 6. 1
소프트웨어공학기능요구사항 IEEE 830 NASA DID P200 DoD 498 IEEE 830 NASA DID P200 DoD 498 품질요구사항의정량화강조. 요구사항의계층별연결 / 추적은지원되나단일요구사항이여러섹션으로분산되는경우연결 / 추적이결여. 문서작성에대한적용지침이부족. 유스케이스명세수단이없어기본설계에대한정보를제공하지못함. 품질요구사항의정량화강조. 다양한가이드라인제공. 요구사항의계층적분해및연결 / 추적관리어려움. 유스케이스명세수단이없어기본설계에대한정보를제공하지못함. 작성가이드라인및다양한예제제공. 프로젝트 / 조직환경별 SRS 구성요소의커스터마이징용이. 요구사항의계층적분해및추적관리가어려워폭포수모델에적합. 품질요구사항에대한정량화를지원하지못함. 2
정보보증기능요구사항 암호모듈시험의기능요구사항 표준 : FIPS 140-2 요구사항명세서 : 보안정책문서 (Security Policy, SP) 정보보호제품평가의기능요구사항 표준 : ISO/IEC 15408 요구사항명세서 : 보호프로파일 (Protection Profile, PP), 보안목표명세서 (Security Target, ST) 정보보호시스템평가의기능요구사항 표준 : ISO/IEC 19791 요구사항명세서 : 시스템보호프로파일 (System Protection Profile, SPP), 시스템보안목표명세서 (System Security Target, ST) 3
목차비교 SP, PP/ST, SPP/SST 비교 SP 목차 PP 목차 ST 목차 SPP 목차 SST 목차 1. 서론 1. 보호프로파일소개 1. 보안목표명세서소개 1. 보호프로파일소개 1. 보안목표명세서소개 2. 암호모듈사양 2. 준수선언 2. 준수선언 2. 준수선언 2. 준수선언 3. 암호모듈포트와인터페이스 4. 역할, 서비스및인증 3. 보안문제정의 3. 보안문제정의 3. 보안문제정의 3. 보안문제정의 4. 보안목적 4. 보안목적 4. 보안목적 4. 보안목적 5. 유한상태모델 5. 확장컴포넌트정의 5. 확장컴포넌트정의 5. 확장컴포넌트정의 5. 보안요구사항 6. 물리적보안 6. 보안요구사항 7. 운영환경 8. 암호키관리 9. 자가시험 10. 설계보증 6. 보안요구사항 7. TOE 요약명세 6. 보안요구사항 6. STOE 요약명세 11. 기타공격에대한완화 4
특징비교 차이기준 표준 방법론 평가대상 평가흐름 SP, PP/ST, SPP/SST 비교 유형 SP PP/ST SPP/SST FIPS 140-2, ISO/IEC 19790 FIPS DTR 140-2, ISO/IEC 24759 암호모듈 알고리즘시험 -> 모듈시험 ISO/IEC 15446 ISO/IEC 19791 CEM ISO/IEC 19791 정보보호제품 ( 소프트웨어, 하드웨어, 펌웨어 ) ST 평가 -> TOE 평가 운영시스템 (FMC, 클라우드시스템등 ) SST 평가 -> STOE 평가 평가수준 EAL 1~4 EAL 1~7 EAL 2( 통과, 실패 ) 활동시험 (Testing) 평가 (Evaluation) 평가 (Evaluation) 보안요구사항 11 개의보안성 11 개의보안기능클래스, 8 개의보안보증클래스 7 개의보안기능클래스, 9 개의보안보증클래스 5
서비스모델 클라우드시스템모델 개인 IPTV 방송 e- 비즈니스 인터넷통신, 미디어 SaaS (Software as a Service) : 응용 SW 를서비스로제공 ( 기업용 / 개인용 SW, 예, Salesforce.com CRM) PasS (Platform as a Service) : SW 개발환경을서비스로제공 ( 언어등, 예, Google App Engine) IaaS (Infrastructure as a Service) : 컴퓨터시스템 HW 지원 (CPU, disk 등, 예, Amazon Simple Storage Service) e- 커머스 Ipv 6 유선통신망 BCN 지상파 위성 방송망 Cellular WLAN 무선 / 이동통신망 인터넷포털 6
클라우드시스템모델 시장별서비스유형과주요사업자 소비자시장 IT 구매자시장 ( 클라우드인프라 ) 시장유형제공서비스사례주요사업자서비스 웹기반서비스 SW 서비스 (SaaS) 애플리케이션컴포넌트서비스 SW 플랫폼서비스 (PaaS) 가상인프라서비스 인터넷기반서비스 (Blog, Wiki, Social Service) Office 생산성애플리케이션 협업솔루션 기타클라이언트애플리케이션 서비스나애플리케이션개발을위한 API 와웹기반 SW 모듈 신규애플리케이션개발을위한개발플랫폼 가상서버, 가상스토리지, 가상네트워크 시스템관리 구글 Mysapce.com 구글 Apps for Your Domain MS Office Live IBM Bluehouse 아마존 Flexible Payment API 구글 Calendar API 세일즈포스닷컴 AppExchange API 아마존 SimpleDB, Simple Storage Service(S3), Simple Queue Service 구글 App Engine MS SQL Server Data Service 세일즈포스닷컴 Force.com 아마존 Elastic Compute Cloud(EC2) 7
클라우드시스템모델 요소 User Local Cloud Public Cloud Overflow Load Server/VM/OS Storage/DBM/Map Apps/API/Platform 8
클라우드시스템보안이슈 개인사용자관점 개인정보노출 개인에대한감시 개인데이터에대한상업적목적의가공 기업사용자관점 서비스중단 기업정보훼손 기업정보유출 고객정보유출 법 / 규제준수 9
클라우드시스템보안이슈 Cloud Security Alliance Cloud Computing Architectural Framework Governance and Enterprise Risk Management Legal and Electronic Discovery Compliance and Auit Information Lifecycle Management Portability and Interoperability Traditional Security, Business Continuity and Disaster Recovery Data Center Operations Incident Response, Notification and Remediation Application Security Encryption and Key Management Identity and Access Management Virtualization 10
클라우드시스템보안기술 플랫폼 - DAC - MAC - RBAC 스토리지 - 검색가능암호시스템 - PPDM 11
클라우드시스템보안기술 네트워크 - SSL 단말 - IPsec - Application Firewall - DDoS - TPM - CryptoCell - SafeXcel IP-Trusted Module 12
클라우드시스템보안기능요구사항표준지침 NIST SP 800-53A(FedRAMP) - 미연방정보시스템내의보안기능요구사항을개발하여정보시스템을평가하기위한지침 ISO/IEC 27001 - 정보보호시스템의정보자산의기밀성, 무결성, 가용성을보장하기위한절차와프로세스를체계적으로수립ㆍ문서화하고지속적으로관리ㆍ운영에대한지침 Cobit 4.1 - 국제정보시스템감사통제협회 (Information Systems Audit and Control Association, ISACA) 산하의 ITFI(IT Governance Institute) 에서개발된비즈니스에초점을맞추고프로세스지향적이고통제를기반으로하는프레임워크 13
OSA 의보안아키텍처패턴 Number SP-001 SP-002 SP-003 SP-004 SP-005 SP-006 SP-007 SP-008 SP-009 SP-010 SP-011 SP-012 SP-013 SP-014 SP-015 SP-016 SP-017 SP-018 SP-019 SP-020 SP-021 SP-022 SP-998 SP-999 Article Title Client Module Server Module Privacy Mobile Device Pattern SOA Publication and Location Pattern SOA Internal Service Usage Pattern Wireless- Private Network Pattern Wireless- Public Hotspot Pattern Public Web Server Pattern Generic Pattern Identity Management Pattern Cloud Computing Pattern Secure SDLC Pattern Data Security Pattern Awareness and Training Pattern Using Consumer Devices for Enterprise Environments Pattern DMZ Module Secure Network Zone Module Information Security Management System (ISMS) Module Awareness and Training Pattern Email Transport Layer Security (TLS) Pattern Realtime Collaboration Pattern Board of Director Room SVG Test PDF and Print Test 14
OSA 의보안아키텍처패턴 15
사용자 Actor : 사용자 AT-02 PS-06 보안의식 접근동의 16
평가신청인 Actor : 평가신청인 AC-04 SA-04 SA-05 정보흐름강화 획득 정보시스템문서 17
사업관리자 Actor : 사업관리자 RA-03 RA-04 SA-02 위험평가 위험평가갱신 자원할당 18
개발자 Actor : 개발자 AT-03 보안훈련 SA-03 생명주기지원 SA-10 개발자형상관리 SA-11 SI-02 개발자보안시험 결함치유 19
평가자 Actor : 평가자 CA-02 보안평가 CA-04 보안인증 CA-06 보안인가 20
IT 관리자 AC-01 AC-13 AT-01 CA-01 CA-03 CM- 01 CP-01 접근통제정책및절차 감독 (supervision) 및검토 접근통제 보안의식및훈련정책및절차 인증, 인가, 및보안평가정책및절차 정보시스템접속 형상관리정책및절차 비상계획정책및절차 Actor : IT 관리자 IA-01 IR-01 PL-01 PS-07 SC-01 SA-01 SA-09 식별및인증정책및절차 사건대응정책및절차 보안계획정책및절차 제삼자인사보안 시스템및통신보호정책및절차 시스템및서비스획득정책및절차 외주된정보시스템서비스 21
보안서비스 보안서비스 (PKI, 인증, 인가 ) AC-02 AC-03 IA-02 IA-03 IA-05 SC-12 계정관리접근강화사용자식별및인증장치식별및인증인증자관리암호키설정및관리 22
형상관리 프로비저닝및구성관리 CM-02 베이스라인형상 CM-03 형상변경통제 CM-05 변경에대한접근제약 23
모니터링, 로깅, 로드및성능테스트 모니터링, 로깅, 로드및성능테스트 AU-06 감사감시, 분석, 및보고 CA-07 연속감시 CM-04 감시형상변경 SI-04 정보시스템감시도구및테크닉 24
단말 단말기 SC-18 모바일코드 SI-03 악성코드보호 25
플랫폼 SC-03 보안기능분리 SC-06 자원우선순위 플랫폼 26
인프라 SC-02 응용분할 SC-04 정보잔여 인프라 27
어플리케이션 SC-05 서비스거부보호 SC-08 전송무결성 SC-09 전송기밀성 SC-07 범위보호 어플리케이션 28
네트워킹 SC-07 범위보호 어플리케이션 SC-11 신임된경로 SC-03 보안기능분리 SC-06 자원우선순위 플랫폼 29
Q&A 황선명 대전대학교 30