제 4 장 시스템 보안
4.1 운영 시스템 개요
컴퓨터 하드웨어, 운영 시스템 소프트웨어, 애플리케이션 소프트웨어는 복잡한 시스템 구성 인
컴퓨터 프로그램을 편리 컴퓨팅 서비스 세트들을 사용자들에게 제공하기위한 운영 체제 (OS) 관리 및 컴퓨터 소프트웨어 및 하드웨어 리소스의 제어의 집합이다.
컴퓨터 운영 시스템의 주요 기능은있다
- 프로세스 관리 : 또한, 프로세서 관리로 알려진, 합리적인 유통, 효과적인 관리를위한 프로세서의 작업의 중앙 처리 시간에 대한 책임
- 메모리 관리 : 컴퓨터 메모리 공간, 보호 및 확장의 합리적 배분 주로 담당
- 장치 관리
- 문서 관리
사용자 인터페이스 : 명령 줄 인터페이스는 그래픽 인터페이스와 인터페이스 프로그램 호출 인터페이스로 나누어 져 있습니다
4.2 운영 체제 보안
4.2.1 운영 체제 보안 위협 및 취약점
1. 운영 시스템의 보안 위협
- 위조 또는 불법 침입 사용자 시스템의 사용자
- 데이터는 불법적 인 파괴 또는 데이터의 손실입니다
- 알 수없는 바이러스 및 해킹 피해
운영 체제가 제대로 작동하지 않습니다
2. 운영 체제의 취약점
- 운영 체제 및 원격 호출 시스템 취약점
문제 프로세스 관리 시스템
운영 체제의 일반적인 취약점은 다음과 같습니다
- 빈 약한 암호 또는 암호
- 기본 공유 키
- 시스템 구성 요소의 취약점
응용 프로그램 취약점
일반적인 보안 보호 메커니즘 4.2.2 운영 체제
1. 프로세스 격리 및 메모리 보호
메모리 관리 유닛 (MMU)에 의한 할당 처리에 대해 책임이 메모리 공간이 부족해야
2. 실행 모드
- 현대 CPU 작동 모드는 일반적으로 커널 모드와 사용자 모드로 나누어 져 있습니다
- 또한 특권 모드 코어 층이라고도 1. 커널 모드
2. 사용자 모드는 또한 비 특권 모드 사용자 층이라고
3. 사용자 액세스 제어
- 현대 운영 체제는 멀티 태스킹과 다중 사용자를 지원하는 기능을 가지고
- 시스템 관리자의 사용자가 관리 할 수있는 운영 체제에 대한 모든 권한을 가지고
- 만 일반 사용자는 실행, 자신의 응용 프로그램 및 파일의 사용 권한을 수정
게스트 사용자는 파일과 응용 프로그램에서 조금 공유하는 시스템 관리자의 사용자와 일반 사용자가 액세스 할 수 있습니다
4. 파일 시스템 액세스 제어
데이터 및 프로그램 운영 시스템은 일반적으로 컴퓨터의 디스크 공간에 파일에 저장됩니다
4.2.3 운영 시스템 보안 평가 기준
- 신뢰할 수있는 컴퓨터 보안 평가 기준
- 그리고 상기 응답을 측정함으로써 평가 프로세스 정보 (A) 내로 컴퓨터 보안 하강, B, C, D 네 개의 보안 레벨 7로 표기
- 클래스 D (보호 레벨)
- 클래스 C는, 자기 보호의 수준입니다 몇 가지 보호 기능을 제공, 안전 대책은 임의 액세스 제어 및 감사 추적을 채택
- C1 : 독립 보안 수준 C2 : 제어 액세스 보호 레벨
- 클래스 B : 보호의 필수 수준
B1 : 레벨 보안 마크 B2 : 수단 보호 수준 B3 : 보호 수준의 보안 영역
B3 레벨 시스템은 다음과 같은 측면을 지원합니다 :
- 보안 관리자 기능
- 확장 된 감사 메커니즘
- 보안 관련 이벤트가 발생했을 때, 신호
- 시스템 복구 메커니즘을 제공
시스템 침투에 대해 높은 저항을 갖는다
- 엄격한 설계, 제어 및 확인 과정을 포함하는 인증 보안 레벨의 레벨
설계 검증 수준 (A1 등급), 슈퍼 등급
4.2.4 일반적으로 사용되는 운영 체제 및 보안
현대적 운영체제는 일반적으로 통상의 컴퓨터 오퍼레이팅 시스템, 이동 단말기의 운영 시스템, 임베디드 운영 체제들로 분할 될 수있다
1.Windows 시스템 보안
Windows 보안 서브 시스템에 Windows 시스템의 보안 및 NTFS 파일 시스템, 윈도우 서비스 팩 및 패치 메커니즘, 시스템 로그 등이 지원되고, 완벽한 보안 시스템을 형성한다
(1) Windows 보안 서브 시스템
- 코어 층은 윈도우 운영 체제에 위치하고 있으며, Windows 시스템 보안의 기초
- 1) 시스템 로그인 프로세스 제어 :이 모듈은 네트워크 원격 로그인 요청 로컬 또는 원격 사용자의 로그인 요청을받은 사용자가 주로 담당하고, 따라서 Windows 시스템 사이의 접촉을 확립
- 2) 보안 계정 관리자 (SAM) 데이터베이스가 모든 사용자 및 그룹에 대한 계정 정보를 포함 내에서 SAM은 계정 보안 데이터베이스 관리를 유지
- 3) LSA (로컬 보안 기관) : LSA을 적용하고 로그인 한 사용자의 보안 액세스를 결정하기 위해 데이터 보안 계정 관리자 로그인을 확인하여 사용자의 로그온 요청에 대한 책임이 Windows 보안 서브 시스템의 핵심 구성 요소입니다
4) 보안 참조 모니터 (SRM) : 커널 모드에서 실행은 인증되지 않은 액세스 및 수정으로부터 보호 자원에 대한 Windows 시스템에 대한 액세스의 적법성을 확인하기위한 책임이있다
(2) NTFS 파일 시스템
- 액세스 권한 관리 시스템 및 파일 액세스 로그 메커니즘을 도입함으로써 크게 파일 시스템의 보안을 향상
- (사용하여 동적 디스크 볼륨을 호출하는 경우) 2TB로 크기를 파티션을 지원할 수
- 이 복구 가능한 파일 시스템입니다
- 파티션, 폴더 및 파일을 압축 및 암호화 지원
- 작은 클러스터를보다 효율적으로 디스크 공간을 관리 할 수 있습니다 사용
- NTFS 파티션에, 당신은 자원, 폴더 및 파일 액세스 권한 설정을 공유 할 수 있습니다
- 을 NTFS 파일 시스템 디스크 할당량 관리
- NTFS 파일 시스템 액세스 권한은 누적됩니다
- 폴더에 대한 사용 권한을 넘어 NTFS 파일 권한
- 다른 권리 이상의 권한 거부 NTFS 파일 시스템
NTFS 권한을 상속
(3) Windows 서비스 팩 및 패치
- Windows Update는 Windows 운영 체제는 자동 업데이트 도구와 함께 제공됩니다
- 마이크로 소프트 SUS는 빠른 배포와 자유 소프트웨어에 대한 최신 중요 업데이트 및 보안 업데이트를 고객에게 제공하는 것입니다
- 서버 구성 요소 및 클라이언트 구성 요소에 의해 SUS. 소프트웨어 업데이트 서비스 서버 구성 요소가 책임이있다,라는 SUS 서버
- 서버 관리 기능의 업데이트를 관리하고 배포 할 수있는 웹 기반 도구를 제공합니다
- WSUS는 마이크로 소프트의 새로운 패치 분산 서버 시스템입니다. 네트워크 대역폭을 감소, 향상된 관리자 제어 처리를 추가 및 사용에 영향을, 증가 최종 사용자, 관리자의 관리 기능을 최적화하기 위해 나머지 정보보고 기능을 해제
즉 시스템 관리 서버는 SMS
(4) Windows 시스템 로그
1) 정확하게 설정하고,를 포함하여 시스템 사용자 계정을 관리 :
- Guest 계정 사용을 중지
- 적은 가능한 한 사용자 계정을 추가
- 각 계정 (예를 들어, 등 문자, 숫자, 특수 문자의 경우) 복잡한 암호를 제공
- 각 계정에 대해 올바르게 권한을 설정
- 시스템 기본 관리자 계정 이름
시스템 관리자 계정 로그인 시스템의 사용을 최소화
외부 네트워크 서비스의 2) 안전 관리 시스템
3) Windows 시스템의 로깅을 사용하도록 설정
2.Linux 시스템 보안
보안 체제 (1) 리눅스 시스템
- PAM 메커니즘
- 파일 시스템 암호화
방화벽
(2) 리눅스 시스템 및 보안 설정
- 리눅스 부트 로더 보안 설정
- 시스템을 다시 부팅 키 조합을 방지
- 보안 로그인, 로그 아웃
- 사용자 계정 보안 관리
- 보안 문서
- 자원의 사용을 제한
- 지우기
- 액세스 제어 시스템 서비스
- 시스템 로그 보안
- 불필요한 서비스를 해제
- 바이러스 보호
- 방화벽
- 사용 보안 도구
- 중요한 파일을 백업
- 업그레이드
루트킷 보안
4.3 휴대 단말 보안
4.3.1 이동 통신 단말기의 개념과 주요 보안 문제
이동 단말기 (1)의 개념
- (이동 통신 단말기의 호출 또는) 상기 이동 단말기는 이동에 사용될 수있는 컴퓨터 장치
- 우리는 대략 다음과 같은 두 가지 범주로 나눌 수 있습니다 :
- 1. 케이블 이동 단말이 다음 U 디스크를 지칭 컴퓨터에 연결된 하드 디스크 이동 필요한 데이터 선과
- 2. 무선 이동 단말기 수단, 무선 접속을 제공하는 무선 통신 프로토콜의 모듈을 사용
두 가지 방법으로 모바일 단말기면 보안 문제. 한편, 모든 시스템 또는 플랫폼 자체 취약점을 가지고, 다른 한편으로는, 이동 통신 단말기의 응용 프로그램의 많은 수의 엄격한 안전 테스트의 대상이되지 않습니다있다
모바일 단말에 직면 2. 보안 문제
- 중요한 정보는 로컬에 저장
- 데이터 전송 네트워크
- 응용 프로그램 보안 문제
- 악성 소프트웨어
시스템 보안 문제
4.3.2 안드로이드 플랫폼 및 보안
이 플랫폼은 2.Android 기능
- 안드로이드 시스템은 리눅스 오픈 소스 운영 시스템을 기반으로
- 시스템 아키텍처에서 여러 단계로 나누어
- 응용 계층 : 직접 서비스를 사용자에게 제공하는 응용 프로그램 소프트웨어.
- 프레임 층 : 시스템 서비스는 복수의 구성 안드로이드 시스템의 코어.
- 런타임
시스템의 하단 : 핵심 계층
3. 보안 문제
악성 소프트웨어 및 ROOT에서 주요 보안 위협
4.ROOT 위험
- 리눅스 시스템에서, 루트 사용자는 가장 높은 권위를 가지고있다
- 에서 Andriod 전화 ROOT 후 하나 개의 큰 영향은 공식 시스템 업그레이드를 통해 아니라 타사 시스템 펌웨어의 많은 다운로드 할 수 있습니다, 휴대 전화는 더 나은 확장 성 본문이
- 몇 가지 중요한 시스템 파일을 삭제 무료
장치에 바이러스, 트로이 목마는 장치를 파괴하거나 불법적 인 목적을 달성하기 위해 시스템을 사용하여 더 많은 기회가 있습니다.
악성 소프트웨어 5. 위협
악성 코드 자신의 모바일 장치를 방지하기 위해 사용자가 알 수없는 출처에서 응용 프로그램을 설치하기를 거부한다, 공식 채널 또는 제 3 자 신뢰할 수를 통해 응용 프로그램을 다운로드하기 위해 시장을 사용하려고합니다. 동시에, 당신은 이동 단말의 보안을 강화하기 위해 안티 바이러스 소프트웨어를 설치하도록 선택할 수 있습니다
4.4.3 아이폰 OS 플랫폼 및 보안
1. 아이폰 OS 플랫폼을 인식
아이폰 OS 플랫폼은 특히 원래 아이폰 2007 년에 애플에 의해 출시는 모바일 단말 운영 체제를 사용
플랫폼 보안 메커니즘 2.iOS
- 권한의 분리 : 아이폰 OS에서 대부분의 응용 프로그램을 실행하는 사용자는 ID가 낮은 특권 모바일 사용자로 유지되며, 시스템이 더 중요 프로세스가 UNIX 루트 사용자 권한 가장 높은에 의해 수행된다
- 필수 코드 서명 : 실행 파일 및 라이브러리가 신뢰할 수있는 기관의 서명이 있어야 모든 응용 프로그램은 커널에서 실행되도록 허용됩니다
- 공간 레이아웃 임의 주소 : 공격을 방지하기 위해 임의 레이아웃 조치를 메모리에있는 오브젝트 코드의 위치를 허용하여
- 샌드 박스 : 런타임에 iOS에서 응용 프로그램, 모든 작업은 엄격에서 다른 응용 프로그램에서 격리 된 공간에서 실행 제한된 격리 메커니즘이 될 것입니다
- 다음과 같은 기능 샌드 박스 메커니즘은 제한된다 :
- 1) 시스템에 설치된 다른 응용 프로그램을 알 수없는 응용 프로그램 디렉토리의 위치 외부를 분리 할 수 없습니다, 당신은 파일 시스템을 액세스 할 수 없습니다
- 2) 공정이 동일한 UID가 있더라도,이 시스템의 다른 프로세스에 액세스 할 수없는
- 3) 직접 하드웨어 장치를 사용할 수 없습니다 만 애플이 제약을받은 API를 통해 액세스 할 수 있습니다
동적 태그를 생성 할 4) 할 수 없습니다. 기본 시스템을 달성하는 시도 실행으로 쓰기 가능한 메모리 페이지를 방지하기 위해 수정
3.XcodeGhost 이벤트 분석
- 다음과 같은 범주로 인한 피해 :
- 1) 사용자 정보를 업로드
- 팝의 2) 신청
3) 전송 SMS, 전화, 웹 페이지 등 URLScheme하여 다른 작업을 수행 또는 오픈에 다른 응용 프로그램을 엽니 다
4.3.4 모바일 시스템 리버스 엔지니어링 시운전
리버스 엔지니어링 휴대 단말기 (1) 개요
- 리버스 엔지니어링은, 정의에 의해 분해에 의해 감소하고, 컴파일 및 응용 프로그램의 실행 파일 (바이너리)에서 다른 수단은 프로세스의 프로그램 소스 코드 파일.
- 리버스 엔지니어링은 두 시스템 분석 및 코드 분석 단계로 나눌 수 있습니다
- 분석 단계에서, 상기 프로그램의 정상적인 작동을 관찰하는 프로세스, 프로그램은 프로그램 로직 구조의 초기 프레임 워크를 확립하는 행동 특성의 구성 요소를 분석하여
- 코드 분석 단계에서는, 주로, 이진 파일의 다음 포인트로 분석 한 것이다.
- 1) 보안 취약점을 발견 : 알 수없는 소스 코드의 경우, 역 설계 응용 프로그램에서 잠재적 인 보안 위반 및 데이터 유출 위험에서 발견 응용 프로그램을 분석 할 수 있습니다
- 2) 악성 코드를 검출
- 트로이 목마 바이러스의 3) 분석
- 리버스 엔지니어링은 두 가지 주요 기능이 있습니다 :
- 중요한 정보를 얻기 위해, 대상 프로그램을 브레이크, 리버스 엔지니어링 보안 관련으로 분류 할 수있다
- 자신의 소프트웨어를 개발하기 위해 다른 사람의 프로그램 기능에서 알아, 리버스 엔지니어링의 개발과 관련하여 분류 할 수있다
- 그 주, 아이폰 OS에서 응용 프로그램의 실행 파일 형식은 마하-O입니다
안드로이드 시스템에서,이 파일은 파일 형식 덱스입니다
엔지니어링 플랫폼 역 2.Andriod
- 개발자가 작성한 APK 설치 기반의 안드로이드 플랫폼의 응용 소프트웨어 후의 세대, 공정 압축, 컴파일
- 어떤에는 다음 파일이 포함되어 있습니다 :
- AndroidMainifest.xml 파일 : 응용 프로그램 전역 구성 파일 설정의 정의와 응용 프로그램에 대한 사용 권한을 포함
- 입술 폴더 : 자원이 리소스 파일 폴더를 저장하는 데 사용
- classes.dex 파일 : 응용 프로그램 안드로이드 시스템 실행 파일
- Resources.arsc : 컴파일 된 바이너리 리소스 파일
- META-INF 폴더 : 서명 관련 정보 저장
- 방식 classes.dex의 간략한 분석 :
- 1) 실행 파일, 생성 된 바이트 코드 분석 Darvik를 분해합니다
- 2) 사용 Apktool 또는 Baksmail는 코드 DEX 파일 분해를 읽는 smali smali 언어 파일을 생성
- 같은 DDMS 안드로이드 운영 상태가 동적 안드로이드를위한 프로그램을 디버깅, 모니터링 프로그램 등 3) 사용 도구
- 리버스 엔지니어링 응용 프로그램 소프트웨어를 방지하기 위해 안드로이드는 다음과 같은 보호 조치를 취할 수 있습니다
- 1) 코드 난독 화 : 당신은 코드를 더 읽기 어려울 디 컴파일, 자바 코드를 당황하게하는 ProGuard를 사용할 수 있습니다
- 2) 셸 APK가 보호 하우징의 방법에있어서, 상기 보호 코드가 증가되고, 디 컴파일 불법 변경의 어려움이 증가된다
3) 디버거 검출 : 동적 코드 디버거 모듈 검출기를 추가, 프로그램은 디버거가 부착되면 바로 프로그램을 종료 검출
3.iOS 리버스 엔지니어링 플랫폼
- 아이폰 OS 플랫폼에서 또한 해당 IPA 파일이
- 의 Info.plist 입구를 분석하는 것입니다 아이폰 OS 응용 프로그램 실행 파일 APP의 이름입니다 APP, 더 중요한 요소 실행 파일 중 하나의 기록 기본 정보
- 아이폰 OS, 매시-O 형식의 실행 파일에
- CodeSignature (코드 서명) 및 역 분석에 큰 도움의 다른 문서 - IPA 파일 디렉토리에서, 또한 스토리지 자원 (리소스 폴더), Iproj (국제 언어 폴더),가
- 일반적으로 사용되는 IOS 역 분석 도구는 다음과 같다 :
- Dumpcrypt는 : 응용 프로그램 포격 작업은 앱 스토어에서 다운로드
- 클래스 덤프 : 클래스 정보는 응용 프로그램 파일 매시-O로부터 획득하고, 해당 .H 파일을 생성 할 수 있습니다. 이 정보를 획득함으로써 신속 보조 프레임 실질적 APP 소스 설정할 수
- IDAPro 및 HopperDisassembler : 소스 코드에 대한 의사 코드 가까이에 정확한 실행 파일과 자세한 정적 분석, 유명 분해 도구
- GDB와 LLDB : 더 깊이 동적 디버깅 방법에 의해 프로그램의 철저한 분석이 두 도구 정적 분석 대응
- Cycript : iOS 및 자바 스크립트 구문을 실행 사출 공정에 의존 프로그램의 방법으로 시험 절차에 사용할 수 있습니다
응용 프로그램 개발 THEOS 탈출도 사용할 수있는 데이터 전송 네트워크 찰스 차단 차단을 사용하여 그래픽 인터페이스를 사용하여 분석 응용 프로그램은, 공개
4.4 가상화 보안
가상화는 클라우드, 전체 가상 환경의 스토리지의 중요한 기술 지원 요구 사항을 계산 컴퓨팅 및 네트워크 보안 및 기타 지원 자원이다
4.4.1 가상화 개요
- 컴퓨터 가상화 기술은 자원 관리 기술, 같은 CPU, 메모리, 스토리지, 네트워킹 및 사용자에게 등등, 추상을 통해, 변환 등의 물리적 자원이 컴퓨터의 모든 종류.
지원할 수있는 가상화 기술은 동일한 물리적 장치에서 실행중인 여러 가상 컴퓨터를 할 수 있습니다
분류 4.4.2 가상화 기술
신청에 의하여 1
- 운영 체제 가상화
- 응용 프로그램 가상화
- 데스크톱 가상화
스토리지 가상화, 네트워크 가상화
패턴 분류 2. 응용 프로그램
- 많은 : 일반적인 서버 통합 모드 인 방법으로 여러 가상 서버에 물리적 서버,
- 많은 대 : 여러 가상 서버를 통합하고 자원 풀로 사용하는. 이것은 전형적인 격자 패턴이다
많은 - : 두 가지 모드 방식을 결합한
3. 통화 모드 하드웨어 자원 분류
- 전체 가상화 : 가상 운영 체제 및 기본 하드웨어가 완전히 격리됩니다. 클라이언트 운영 시스템을 변경, 좋은 호환성 없음
- 반 가상화는 : 가상 게스트 운영 체제에서 특정 가상 명령 추가
하드웨어 지원 가상화 : 새로운 명령어 세트 프로세서를 추가하고 가상 운영 시스템 하드웨어 리소스에 직접 호출을 완료하기 위해 CPU 모드에서 작동
4. 운영 플랫폼 분류
- X86 플랫폼 :
비 X86 플랫폼
가상 환경에서 4.4.3 보안 위협
- VM 탈출 : 공유 물리적 하드웨어 VM의 복수의 일부의 경우 동일한 물리적 서버 (예 : CPU, 메모리, I / O 장치로), 아래를 우회 가상 기계 운영 체제에서 실행되는 프로그램을 이용하여 싱크 일부 호스트는 공격이나 파괴를 할
- 가상화 된 네트워크 환경 위험
- 가상 거울 및 스냅 샷 파일을 리스크
가상화 환경 위험
4.4.4 가상화 보안 시스템
1.Hypervisor 보안
- 제조 업체의 모든 업데이트 1) 설치는 하이퍼 바이저를 해제
- 2) 제한 액세스 바이저 관리 인터페이스
- 3) 모든 사용되지 않는 서비스 하이퍼 바이저를 닫습니다
- 4)를 사용하여 모든 게스트 OS의 안전을 모니터링하는 기능을 모니터링
5) 조심스럽게 하이퍼 바이저 자체 취약점의 표시를 모니터링
2.Guest OS 보안
- 권장되는 물리적 OS 관리 관행을 준수
- 모든 업데이트의 게스트 OS의 적절한 설치
- 각 게스트 OS에서 연결 해제하지 않는 가상 하드웨어
- 각 게스트 OS에 대한 독립적 인 인증 방식
게스트 OS 가상 장치가 제대로 호스트 시스템에 물리적 장치에 연결되어 있는지 확인합니다
3. 가상화 인프라 보안
가상화, 네트워킹 등의 스토리지로, 하드웨어 시뮬레이션을 제공합니다
4. 계획 및 보안 구축
(1) 계획
- 이 단계는 현재와 미래의 요구 사항을 결정하는 기능과 안전성을 결정하는 단계의 필요성을 계획, 프로그램 설계를 시작하기 전에 수행 할 작업을 구성하는 것입니다.
주요 업무 계획 단계는 가상화 보안 정책, 보안 정책은 조직의 절차 및 데이터 가상화의 형성을 정의하고 허용해야 개발하는 각 사용할 수있는 가상화
(2) 디자인
- 이 단계는 분명 가상화 기술 솔루션이 될 및 보호 데이터에 대한 암호화 및 인증 메커니즘을 포함하여 관련 구성 요소를 제공합니다
- 다음과 같이 고려해야 할 가상화 솔루션, 보안 기술의 설계에 있습니다 :
- 1) 인증 문제 : 레이어가 이러한 메커니즘의 별도의 인증 메커니즘 및 선택, 구현 및 유지 보수가 필요 가상화 솔루션을 포함하는 인증 결정을
2) 비밀번호 문제 : 암호 관련 결정이 가상 통신 암호화 및 무결성 보호 알고리즘의 선택을 포함, 키 강도는 여러 알고리즘 키 길이를 지원하기 위해 설정
(3) 실시
- 실제 시스템으로 전환 솔루션
- 1) 물리 - 가상 변환 : 기존 서버 및 데스크톱 요구 게스트 OS로 마이그레이션하기
- 2) 모니터링 : 인증을, 각 층에 인증이 필요한 것을 확인하고, 인증 우회 할 수 없습니다 연결성, 사용자가 모든 연결할 수있는 자원이 허용되지만 다른 자원에 연결되지는 조직의 전략에 따라 설립 된 각각의 데이터 스트림에 대한 보호
- 본 실시 예의 안전 3)
4) 동작과 유지
고급 대형 데이터 배경의 제 7 장에 따라 문제를 계산
7.2 클라우드 보안
관련 개념의 7.2.1 구름
1. 클라우드
- 완벽한 하드웨어 시스템의 기능을 갖는 가상 머신, 완전히 격리 된 환경에서 소프트웨어 시뮬레이션을 실행하는 완전한 컴퓨터 시스템, 패키지, 독립, 차단 성, 호환성, 하드웨어의 독립을 의미
- 클라우드, 은유 보통 대형 서버 클러스터의 번호, 각 그룹이 수십만 또는 서버의 수백만, 서비스의 공급 및 전체 가상 환경의 개발을 포함, 컴퓨팅 자원의 풀입니다.
- 다른 치수는 다른 클라우드 분류를 할 수 있습니다.
기술 아키텍처는 세 개의 층, 서비스와 같은 서비스 및 인프라와 같은 서비스, 플랫폼, 즉 서비스 소프트웨어로 나눌 수 있습니다에서, 클라우드 객체 지향에서 퍼블릭 클라우드, 프라이빗 클라우드 및 하이브리드 클라우드로 나눌 수 있습니다
2. 클라우드 컴퓨팅
- 그것은 계산 방법, 사용자에게 서비스로 제공 (네트워크, 서버, 스토리지, 애플리케이션, 서비스 등) 자원을 효율적으로 풀을 수렴 곧 온 디맨드 서비스를 제공합니다. ,
- 클라우드 동적, 확장 가능하고 종종 가상화 된 자원을 제공하기 위해 인터넷을 통해 컴퓨팅
클라우드 컴퓨팅은 유틸리티, 네트워크 스토리지, 가상화,로드 밸런싱, 뜨거운 대기 중복 기존의 컴퓨터 네트워크 기술과 제품의 통합 컴퓨팅, 컴퓨팅 병렬 컴퓨팅 배포
3. 클라우드 서비스
- 클라우드 서비스는 클라우드 컴퓨팅 환경을 제공 모델의 서비스입니다. 클라우드 서비스 공급자 자원은 종종 자원을 가상화하는
서비스와 같은 서비스, 소프트웨어와 같은 서비스 플랫폼으로 인프라 : 현재 세 가지 다른 클라우드 서비스 모델의 수준을 제공합니다.
4. 클라우드 호스팅
- 클라우드 호스팅은 클라우드 컴퓨팅 인프라 애플리케이션의 중요한 부분입니다.
클라우드 호스팅은 다른 호스트에 의해 완전히 영향을받지 클라우드 클러스터 중 몇 가지 준 독립적 인 가상 호스트 클러스터 호스트의 집합입니다 자체 운영 체제로, 각 호스트에 미러링 된 호스트를 가지고
5. 클라우드 보안
그것은 안전하고 효율적으로 운영 할 수있는 클라우드 및 호스팅 서비스를 의미합니다.
구름에 직면 7.2.2 보안 문제
- 새로운 기술로 인한 새로운 위험을 해결하는 방법
- 자원, 데이터 등의 위험을 계획하는 방법
- 정책, 규제 문제의 위험 지표의 요구 사항을 구현하는 방법
클라우드 작업의 위험과 자원의 유지 보수를 관리하는 방법
1. 새로운 기술
- 1) 제어
- 2) 동적
3) 가상 머신 탈출 : 가상 머신의 호스트 운영 시스템의 제어를 달성하기 위해 가상 머신 또는 소프트웨어 공격, 공격의 취약성 또는 순서대로 실행되는 가상 머신 소프트웨어 객체의 사용을 의미
2. 중앙 집중화
- 시스템, 중앙 권한 및 클라우드 데이터 센터의 보안 측면의 다른 문제를 식별하고 마이그레이션, 네트워크 구조가 계획
- 클라우드 플랫폼 관리자 권한 남용의 위험이 존재
- 사용자 보안 격리
날치기 사용자와 악의적 인 공격에 자원 풀 리소스
3. 규정 준수
4. 운영 관리
클라우드 환경 7.2.3의 보안
1. 클라우드 보안 표준
- CSA (국제)
- ENISA (유럽 연합)
- NIST (미국)
- OWASP (국제)
- CPNI (영국
- SANS (미국)
PCI-DSS (국제)
2. 클라우드 보안 구축
1) 물리 계층
물리적 보안 측면은 액세스 제어, 화재 방지, 온도 및 습도 조절, 전자파 차폐, 낙뢰 보호, 환경 모니터링 시스템 등의 정보 보안 보호 측면을 고려
2) 네트워크 층
- FW, IDS /를 통해 보안을 구축하는 네트워크 보안, DDoS 공격, VPN 및 달성하기 위해 다른 방법을 IPS
- FW는 : 방화벽을 통해 보안 격리를 달성하기 위해
- IDS / IPS : 수단이 사망하고 다른 침입 방지 대책 WEBSHELL, 로그 파일 분석을 모니터링, 침입 방지 시스템을 구축 스캔 및 기타 기능 계정 짐승의 힘을 제공
- DDoS 공격은 : DDoS 공격 방지 성분이 들어있는 세제 시스템은 네트워크 계층, 모든 종류의 전송 계층과 애플리케이션 계층 DDoS 공격, 실시간 SMS 알림 방어 웹 사이트의 모든 유형을 견딜 수
VPN : 보안 채널을 설정하는 것은 보장하기 위해 그 정보 데이터의 기밀성, 무결성 및 가용성에 대한 사용자 액세스
3) 호스트 층
호스트 보안은 엔드 포인트 보안, 호스트 보안, 시스템 무결성 보호, OS 강화, 보안 패치, 바이러스 방지 등 정보 보안 보호 측면을 고려
4) 가상화 층
계정 가상화 플랫폼을 보강, 강화 및 격리 된 가상 머신, 가상 네트워크 모니터링, 악성 VM의 예방을 고려하여 구축 가상화 보안, 가상 보안 게이트웨이 VFM / VIPS 및 다른 측면은 기술을 수행하는
5) 응용 계층
- 응용 프로그램 보안은 다중 요소 인증 액세스, 웹 애플리케이션 방화벽, 보안 감사 기술의 건설로 간주 될 수 있습니다
- WAF : 웹 애플리케이션 방화벽 보안
보안 감사 : 개발 및 최적화 정보 보안 감사 규칙에 계속
6) 데이터 영역