03 클라우드 보안

1. 이론

Log(로그)
- 정의: 시스템, 애플리케이션, 네트워크 등에서 발생하는 이벤트와 상태 정보를 시간 순서대로 기록한 데이터이다.
- 역활: 문제 진단, 보안 관리, 운영 분석의 핵심 근거 자료로 활용된다.
- 핵심 키워드: 기록, 문제 진단, 보안 관리, 운영 분석
Cloud Log Analytics(CLA)
- 기능: 네이버 클라우드의 로그 통합 관리 서비스로, 대용량 로그의 실시간 수집, 저장, 검색, 분석(시각화)을 제공힌다.
- 활용: 사용자는 보관 정책 및 비용을 고려하여 로그를 관리할 수 있으며, 타 서비스와 연계하여 알림이나 자동화 기능을 구현해 운영 효율을 높일 수 있다.

제로 트러스트(Zero Trust) 관점
- 접근 활동 모니터링: 모든 사용자 작업을 기록하여 추적성 확보
- 비정상 행위 탐지: 평소와 다른 패턴이나 권한 초과 행위 식별
- 감사 및 추적성: 사고 발생 시 원인 규명 근거 제공
- 권한 검증: 권한 남용 여부 확인 보조
- 위협 대응: 이상 징후 탐지 시 알림 및 대응 시스템 연동
최소 권한 원칙(Least Privilege)
- 업무 수행에 꼭 필요한 권한만 부여하고 그 이상은 제한하는 원칙이다.
- 과도한 권한 부여를 방지하여 내/외부 위협으로부터 시스템을 보호한다.
계정 및 권한 관리
- Sub Account
  - 루트 계정 하위에 서브 계정을 생성하여 권한을 세분화하고 리소스 관리와 보안 책임을 분리한다.
  - 보안 기능: 비밀번호 만료(주기적 변경 유도), 접근 IP 대역 설정(비인가 위치 차단)
- RBAC(Role Based Access Control)
  - Role(역할): 계정뿐만 아니라 Server, Service 등 리소스 자체에 권한을 부여할 수 있는 영구 임시 자격 증명이다. (서브 계정에만 부여하는 영구 임시 증명인 Policy와 구별됨)

보안 관제(Security Monitoring)
- 네이버 클라우드 내 보안 위협을 실시간으로 감지하고 대응하는 서비스이다.
- 로그 분석을 통해 이상 행동을 탐지하고 운영자에게 알림을 제공한다.
네트워크 보안 서비스
- IDS(Intrusion Detection System)
  - 트래픽을 모니터링하여 공격 시도나 비정상 행위를 탐지하고 경고한다.
  - 사고 조기 발견 및 사후 분석 자료로 활용된다.
- IPS(Intrusion Prevention System)
  - IDS 기능에 더해, 공격을 실시간으로 적극 차단하는 장비이다.
  - 공격이 시스템에 도달하기 전에 막아 서비스 중단과 데이터 손상을 예방한다.
- Anti-DDoS
  - 대규모 트래픽(DDoS) 공격을 탐지 및 차단하여 서비스 가용성을 보장한다.
  - 정상 요청과 공격 트래픽을 구분하여 시스템 마비를 예방한다.

기능 및 특징
- 서버의 OS 및 WAS(Web Application Server)의 보안 설정 취약점을 진단하고 개선 방안을 제시한다.
- 진단 결과는 콘솔 확인 및 PDF/Excel 리포트로 다운로드 가능하다.
점검 항목 기준
- Windows OS: 37개 항목
- Linux OS: CSAP 기준 36개 항목
- WAS
  - Nginx / Apache (KISA 기준): 각 7개 항목
  - Tomcat (KISA 기준): 13개 항목

개념
- 메인 계정(Main Account) 하위에 생성하는 보조 계정으로,
- 특정 규칙 및 IP에서만 접근하거나 권한을 제어하여 보안을 강화하는 기능이다.
생성 절차
1. Console > Sub Account > 서브 계정 생성
2. 정보 입력(로그인 ID, 사용자명, 이메일, 접근 권한 등)
3. 생성된 계정 정보를 복사해 둔다.
권한(Role) 적용
- RBAC(Role-Based Access Control): 역할 기반 접근 제어
- 실습에서는 생성한 계정에 Compute View 권한과 NCP_VPC_SERVER_VIEWER 권한을 부여하여 특정 서버 정보만 볼 수 있도록 설정한다.
로그인 및 MFA
- 시크릿 창을 통해 서브 계정으로 로그인 후 패스워드 변경 및 MFA(2단계 인증) 설정을 진행한다.

개념
- 서버(VM)의 /var/log 등에서 발생하는 로그를 네이버 클라우드로 추출하여 분석하는 서비스이다.
구조
- 오픈소스인 Filebeat를 에이전트로 사용하여
- ELK Stack(Elasticsearch + Logstash + Kibana)으로 로그를 수집한다.
주요 로그 파일
- /var/log/secure: 인증 및 보안 관련 (SSH 접속, sudo 사용, 로그인 실패 등)
- /var/log/messages: 시스템 전반의 메시지 (부팅, 하드웨어 오류, 서비스 데몬 등)
설치 및 실행
1. 서비스 이용 신청 후 Log Template에서 Syslog/Security 적용
2. 서버에 SSH 접속 후 제공된 스크립트(curl ...)로 Agent 설치 (로케일 설정 LANG=C 주의)
3. 대시보드에서 로그 수집 상태 확인 (고의로 SSH 접속 실패를 유도하여 로그 생성 확인)
로그 저장
- 기본 30일 저장
- 장기 보관을 위해 Object Storage와 연동 필요

Object Storage
- 로그의 장기 보관소 역할
- WORM(Write Once, Read Many): 데이터 위변조 방지를 위해 수정/삭제가 불가능한 잠금 설정 기능 제공 (규제 준수 목적)
- 보안을 위해 공개 설정은 공개 안함으로 설정
Alarm 설정 (CLA 내 기능)
- 특정 에러나 경고 로그 발생 시 알림 발송
- Lucene Query: 검색 쿼리를 통해 조건 설정 (예: Failed password for root from)
- 통보 대상 그룹을 생성하여 알림 수신자 지정

기능
- 콘솔 및 API를 통해 수행되는 모든 계정의 활동 기록(접근 기록)을 제공한다.
활용
- 누가, 언제, 무엇을 했는지 감사(Audit) 목적으로 활용
- Tracer 기능: 모든 로그를 Object Storage로 자동 전송 가능 (데이터 비용 주의)

기능
- 서버 운영체제(OS) 및 웹 서비스(WAS)의 보안 취약점을 점검하고 리포트를 제공한다.
절차
1. 서비스 신청 및 Agent 다운로드(wget) / 실행 권한 부여(chmod)
2. 점검 대상 선택 (Linux CSAP/KISA/Finance 기준 또는 Apache/Nginx 등)
3. 점검 비용은 건당 과금 (OS 점검 등)
4. 점검 완료 후 콘솔에서 PDF 리포트 확인

개념
- 멀티 클라우드(Ncloud, AWS, Azure) 및 K8s 환경을 지원하는 CSPM (Cloud Security Posture Management) 도구이다.
- 보안 프레임워크 준수 현황, 자산 변경 감시 등을 수행한다.
구축 및 연동
- CSW 생성: 매니저 접근 IP(특정 Host IP) 및 이메일 설정
- Ncloud 연동: Sub Account(Admin 권한)의 API Key 입력
- AWS 연동: IAM 사용자/그룹 생성(AWS_CSW) → JSON 정책(Policy) 적용 → Access/Secret Key 발급 및 CSW 입력
- Azure 연동: Microsoft Entra ID에서 앱 등록 → 클라이언트 암호 생성 → API 권한(Directory.ReadWrite.All) 부여 및 관리자 동의 → 구독(Subscription)에서 기여자 역할 할당