[클라우드 컴퓨팅] 보안 매커니즘 (16)

[1] 클라우드 보안 매커니즘

암호화
-  평문은 네트워크로 전송 시, 인가되지 않은 접근 또는 악의적인 접근에 취약함
-  평문 데이터를 보호하고 읽을 수 없는 형식으로 인코딩 하는데 사용
-  평문이 암호화 될 때, 평문 데이터는 암호화 키를 이용해서 암호화 됨
-  인가되지 않은 사용자가 암호문에 접근 하더라도, 메시지 길이나 생성 날짜와 같은 일부 메타 데이터를 제외하고는 원본 평문 데이터가 무엇인지 알 수 없음.
-  대칭 암호화
-  비대칭 암호화

대칭 암호화
-  하나의 동일한 키를 사용해서 암호화 및 복호화를 수행
-  허가 받은 사람들 간에 안전하게 암호키를 공유할 수 있는 방법이 필요함.
-  셋 이상의 사람이 동일한 암호키를 사용하는 경우, 부인 방지 기능을 제공할 수 없다.

비대칭 암호화
-  대칭 암호화에서 전달/관리의 어려움을 해결한 암호화 기법
-  하나의 키가 아닌, 한 쌍의 키를 사용하여 암호화/복호화 수행
-  개인키는 소유자 본인만 알 고 있으며, 공개키는 누구나 알 수 있음
-  복잡한 연산을 사용하므로, 암/복호화 속도가 느린편
-  보안수준의 경우, 암호화하는 데 개인키를 사용했는지 공개키를 사용했는지 여부에 따라 달라짐
-  공개키로 암호화하는 경우, 기밀성이 보장되지 않고 단독으로는 무결성이나 신뢰성을 보장하지 못함.
-  개인키로 암호화하는 경우, 신뢰성, 부인 방지, 무결성이 보장된다.

해싱
-  단방향, 비가역 형태의 데이터 보호 기술이 필요할 때 사용
-  복호화가 불가능하다
-  일반적으로, 암호를 저장할 때 사용
-  메시지의 해시 코드나 메시지 다이제스트를 도출하는데 사용한다.
-  수신자는 수신한 메시지를 해싱하고 결과와 첨부된 다이제스트를 비교해 원본 메시지가 변경되었는지 여부를 확인한다.
-  SHA-512를 통해 해싱된 결과는 prefix $6$을 갖는다.

디지털 서명
-  신뢰성 및 부인 방지를 통한 데이터 신회성 및 무결성을 제공하는 수단
-  악의적인 중개자, 불충분한 인증, 중첩 신뢰 경계 보안 위협을 완화
-  메세지는 전송 전에 서명되고, 이후 무단으로 변경될 경우에는 무효화 된다
-  디지털 서명 생성시, 해싱과 비대칭 암호화를 사용

디지털 서명 생성
-  개인키를 보유한 사람은 메시지 전송 시, HASH digest를 서명용 개인키로 암호화해서 메세지에 첨부
-  수신자는 서며용ㅇ 공개키를 사용해서 디지털 서명을 해독하고, 메세지를 HASH 돌린 후 digest를 비교
-  신뢰성 : 서명용 공개키로 해독 되었으므로, 메세지 생성자를 특정할 수 있다.
-  무결성 : 메세지에 대한 HASH 결과가 서로 같다.

공개키 인프라 매커니즘
-  비대칭 키의 발급을 관리하는 일반적인 방법으로, 대규모 시스템에서 공개 키 암호화 방식을 안전하게 사용할 수 있도록 지원
-  디지털 인증서라는 서명된 데이터 구조를 사용해서, 공개키를 인증서 사용자 ID, 유효기간등의 정보와 연결함
-  불충분한 인증 위협에 대응하기 위해 사용

ID와 접근 관리 매커니즘
-  IT 자원, 환경 및 시스템에 대한 사용자 ID 및 접근 권한을 제어하고 추적하는데 필요한 구성 요소 및 정책을 포함
-  인증 : 허가된 사용자에게 접근/사용 권한을 부여
-  허가 : 접근 통제의 세부 수준을 정의
-  사용자 관리 : 새로운 사용자 ID와 접근 그룹의 생성등을 관리
-  자격 증명 관리 : 사용자 계졍, 암호들을 관리
-  불출분한 권한, 서비스 거부, 중첩 신뢰 경계 위협에 대응하는데 사용

싱글 사인온 매커니즘
-  보안 중개자를 통해 클라우드 서비스 소비자가 여러 다른 클라우드 서비스 또는 클라우드 기반 IT 자원에 접근하는 동안 로그인/보안 정보가 유지되도록 함
-  한 번 자격 증명을 하면, 해당 증명은 특정 세션 기간 동안 유효하며, 로그인/ㅗ안 정보가 해당 기간 동안 유지됨
-  보안 수준을 높이지는 않고, 다양한 클라우드 서비스의 사용성을 향상시키는 용도
-  분산된 IT 자원 및 서비스에 접근/관리에 유용

싱글 사인온 구현 방법
-  보안 토큰 재사용 : 토큰을 발급 받으면, 다른 서비스에서도 재사용
-  보안 중개자 : 보안 중개자를 통해 인증 정보가 전달되도록 함

클라우드 기반 보안 그룹
-  클라우드 자원 세분화를 통해, 자원 그룹과 사용자 간 보안 규칙을 정의/관리
-  클라우드 자원 세분화 : 사로 다른 사용자 및 사용자 그룹에 대해 별도의 물리 IT 환경과 가상 IT 환경을 생성하는 프로세스 (신뢰 경계 중첩을 최소화)

보안 강화 가상 머신 이미지
-  가상 머신 이미지에서 불필요한 SW등을 제어개 잠재적인 취약점을 제한
-  중복 프로그램 제거
-  불필요한 네트워크 포트 닫기
-  사용하지 않는 서비스 비활성화
-  관리자 권한 최소화 등
-  보안 강화된 가상 머신 이미지를 서비스 거부, 불충분한 권한 부여 및 중첩 신뢰 경계 위협에 대응한다.