클라우드 보안설정오류의 주요문제

클라우드 설정오류가 왜 지금도 중요한 보안 이슈 일까요? 

NSA (국가 보안 에이전시) *에 따르면, 클라우드 설정오류는 지금껏 클라우드 보안에 있어서 가장 큰 위협 이였습니다. 2022년 IBM X-Force 클라우드 위협에 대한 보고서는 클라우드 취약점들이 작년대비 28% 증가하였고, 같은 기간 다크웹에서 노출된 클라우드의 계정도 200% 증가하였다고 합니다. 

 

취약점들이 증가됨에 따라서, 클라우드 침해의 재난에 가까운 결과는 적절한 클라우드 보안이 가장 중요하다는것을 분명히 알려주고 있습니다. 몇 가지 질문을 재기해 보면, 당신 회사 클라우드 리소스의 잘못된 설정이 의심스러운 해커들이 더 공격을 하도록 유도하는 것은 아닐까요 ?

 

[참고*: NSA]

https://media.defense.gov/2020/Jan/22/2002237484/-1/-1/0/CSI-MITIGATING-CLOUD-VULNERABILITIES_20200121.PDF

 

 

클라우드 보안설정오류는 데이터를 위협에 넣고 있습니다 

클라우드 보안설정오류*는 곧 일어날 취약점들 그 자체 입니다.  의심스러운 해커들은 항상 잘못 설정된 클라우드 리소스들을 찾아 다니면서, 위치정보, 패스워드, 금융정보, 휴대폰정보, 건강기록 그리고 탈취할 만한 개인정보들을 훔칩니다.  이 데이터는 이후에 침입의 입구가 될 수 있는데 정보를 훔친 공격자들은 피싱과 소셜엔지니어링 공격에 이 데이터들을 활용을 합니다. 

이러한 설정오류는 다양한 이유에 의해 일어납니다. 한 가지 오류의 원인은 너무나 노출되기 쉬운 상태로 되어 있는 기본셋팅을 바꾸지 않는 것 입니다. 다른 원인은 다양한 요소들을 임시방편으로 바꾸어서, 설정이 잘못 꼬인 것 입니다. 이 상태는 클라우드 자산들간에 일관성이 없고, 자산들 간에 발생된 차이를 줄이기 위한 분석 및 감시가 없는 상황 입니다. 

클라우드 기반의 플랫폼의 이러한 아주 복잡한 성격은 잘못된 오류를 더 많이 만듭니다. 이러한 위협은 설정오류는 점점 더 복잡해 지는데 그 이유는 오류를 찾아 고칠 수 있는 기술을 가지지 못한 상태로 팀을 단순히 물리적으로 더 많은 일을 하게 끔 만드는 데 있습니다.  

그러나 클라우드 설정오류의 가장 근본적인 원인 중에 하나는 클라우드 자산을 보호할 책임이 있는 사람이 누구인지를 이해하지 못하는 것 입니다. 그래서 당신 회사의 공동 책임 모델을 이해하는 것이 중요합니다. 

이 모델은 아마존, 마이크로소프트, 구글 클라우드 등등의 클라우드 제공자들이 오직 클라우드의 인프라에만 책임을 진다는 것 입니다. 당신과 당신의 회사와 같은 고객들은 온전히 기업안에 잇는 데이터, 워크로드, 어플리케이션, 다른 모든 자산들에 대한 책임을 가지고 있습니다. 

어떻게 클라우드 자산들이 잘못된 설정을 지니게 될까요? 그 경로를 하나씩 알아 봅시다. 

 

[참고*:Cloud Misconfiguration]

https://securityintelligence.com/articles/why-cloud-misconfigurations-major-issue/?_ga=2.225232473.2122047573.1668387830-1344644023.1665710702 

Why Are Cloud Misconfigurations Still a Major Issue?

 

 

 

 

클라우드 설정오류의 일반적인 종류 

간단하게 생각해보면, 대부분 클라우드 설정오류는 의심스러운 공격자들이 타겟으로 삼기 좋을만한 설정으로 되어 있습니다. 여기에 가장 일반적인 범주들이 있습니다.

1. 과도하게 클라우드 접근에 권한을 허용하는 것 IBM 위협 리포트에 분석에 따르면, 클라우드 계정들은 과도하게 권한을 부여
2. 인바운드와 아웃바운드 모두에 제한되지 않은 포트
3. 패스워드, 암호화 키, API키, 관리의 크리덴셜과 같이 비밀데이터를 관리하는데 있어 실패들
4. 인터넷 컨트롤 메시지 프로토콜인 ICMP을 열어둔 채로 두는 것
5. 로그를 기록하고 모니터링 하는 것을 꺼 두는 것
6. 안전하지 않은 백업들
7. 클라우드 보안 통제를 검증하지 않은 것
8. HTTPS/HTTP 포트가 아닌 것들을 막지 않은 것
9. 컨테이너와 VM, 호스스트들에 대한  잠재적인 접근이 과도한 것
10. 댕글링 DNS.  공격자들이 등록할 수 도 있을 CNAME 엔트리를 지우지 않은 채로 서브도메인 네임을 바꾸는 것에서 야기될 수 있음. 
    
    
    
    

클라우드 설정오류로 부터 위험을 최소화 하는 법

클라우드 설정오류에서 나오는 잠재적인 취약점들은 절대 줄어들지 않습니다. 클라우드 서버들은 항상 적합한 유저들과 의심스러운 해커들 모두가 접근이 가능합니다. 각각 새로운 클라우드 도입은 기업의 공격표면을 증가 시킵니다. 

아래의 과정으로 당신의 기업들은 강력한 클라우드 설정오류를 탈취하고자 하는 사이버 공격자들에 대항해서 적극적으로 보호하는 것을 도울 수 있습니다.

  

1. 하나의 팀 안에 보안과 데브옵스를 결합하여 초기단계에 보안 설정 프로그램을 실행하세요.
2. 넓은 범위의 기술을 가진 인력을 만들거나 채용을 하여서,  다이나믹한  클라우드 환경을 설정했는지를 확인해야 합니다. 클라우드 보안 기술은 데브옵스 경험, 자동화, 네트워킹, 인터넷 프로토콜 지식, 보안 엔지니어링 지식, 인증과 보안 프로토콜 기술 등을 포함합니다.
3. 모든 시스템에 접근할 수 있게 기계과 인간 모두에게 최소한의 권한 PoLP*을 적용합니다.
4. 관리자가 더 이상 필요하지 않은 경우, 특별한 업무를 수행하는데 있어 최소한의 권한을 제공합니다.
5. 현재의 권한에 대한 검증을 위해 정기적인 검사를 하세요.
6. 적절한 모니터링을 통해서 가시성을 유지하세요. 예를 들면, 데브옵스 팀은 전체 다에 접근을 할 수 있게 해야합니다. 그들은 관리자 권한이 필요 없습니다. 단순히 읽고 볼수 있는 권한은 그들이 무엇이 진행되는지를 볼 수 있습니다.
7. 클라우드 제공자들의 모니터링 솔루션에 온전히 의존하지 마세요. 너의 하이브리드와 멀티 클라우드 환경 전반에 걸쳐서 사용될 수 있도록 모니터링을 적용하세요.
8. 공동 보안 책임모델을 이해하고 적절하게 구성하세요. 당신의 클라우드 제공자들에게 당신의 데이터, 어플리케이션, 다른 자산들을 의존하지 마세요.

 

[참고*: PoLP]
https://securityintelligence.com/articles/the-principle-of-least-privilege-makes-total-sense-but-how-do-you-put-it-to-work/

The Principle of Least Privilege Makes Total Sense, But How Do You Put It to Work?

무엇보다도, 복잡하고 하이브리드 클라우드 환경에  적절한 설정을 구성하는 것은 마지막 목적지가 아니라 하나의 여정입니다. 계속 검증하고, 가시성을 유지하세요. 그리고 직원과 전문가들이 복잡하고 중요한 책임감에 시스템을 관리할 수 있도록 참여시켜야 합니다.