softlayer 서비스 설명 5차 - 보안

© 2014 IBM Corporation

SoftLayer 중급 세션 시리즈 : MISC

- Chapter.9 보안 October, 2014 Korea Global Technology Services

2 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안

Session Objective

이번 세션에는 SoftLayer 보안현황 및 보안과 관련된 서비스들을 알아보도록 하겠습니다.

• 학습 포인트

SoftLayer의 보안 현황에 대하여 이해한다.

SoftLayer의 보안 Compliance 를 이해한다.

SoftLayer에서 제공하는 주요 보안 서비스들에 대하여 이해한다.


지난 시간에서는 …

SoftLayer 네트워크 개념 소개 및 주요 특징

- SoftLayer Datacenter, POD, VLAN 및 IP 개념

- VLAN 기반의 네트워크 설계방안

SoftLayer의 네트워크 서비스 및 사용방법

- LoadBalancer, CDN, 방화벽 등 네트워크 서비스 사용방법


목차

SoftLayer 보안 개요

보안 서비스 - Demo

보안 Compliance

보안 기능



SoftLayer 는 SoftLayer에서 제공하는 물리적 자원부터 어플리케이션 까지 보안성을

제공하기 위하여 계층별 보호방안을 마련하고 있습니다.

개요

• Overlapping Layers of Protection SecurityLayer monitors

every facet of your infrastructure and operations.

• Exceptional Standard Security Offering Your SoftLayer

services come standard with one of the industry’s most

comprehensive sets of security features.

• Wide Selection of Upgrade Options Tailor your individual

protection profile to meet your unique needs through a variety of

• hardware and software security options.

• Latest Security Technologies Your data is protected by

industry-leading security vendors offering the most

comprehensive defenses available.

• Unique, Highly-Secure Network Design Our revolutionary

Network-Within-a-Network topology provides true out-of-band

management for full remote access with no exposure to external

threats.


SoftLayer 보안 개요 > 물리보안 및 운영보안

SoftLayer 의 데이터센터는 통일된 보안 시설과 모델을 바탕으로 물리보안과 운영보안을

지원합니다.

데이터 센터의 물리보안

• Data centers located only in facilities with

controlled access and 24-hour security

• No server room doors are public-facing

• Server rooms are staffed 24/7

• Un-marked entry and exit doors

• Digital security video surveillance

• Biometric security systems

• Server room access strictly limited to SoftLayer

employees and escorted contractors or visitors

• Barcode-only identification on hardware; no

customer markings of any type on the servers

themselves

운영 보안

• Engineers and technicians trained on internal

industry standard policies and procedures and

audited yearly

• Geographic redundancy for all core systems

for disaster recovery and business continuity

• 2-factor authentication for Customer Portal

access adds greater server security

• All data removed from re-provisioned

machines with drive wipe software approved

by the Department of Defense

• Current SSAE 16 SOC1 report, with no

exceptions noted


SoftLayer 보안 개요 > 시스템, 어플리케이션 및 데이터 보안

SoftLayer 에서 제공하는 다양한 서비스들은 SoftLayer의 Private 네트워크를 통하여

안전하게 제공되고 있으며, 업무 운영을 위한 다양한 보안서비스를 제공하고 있습니다.

시스템, 어플리케이션 및 데이터 보안

• Private Network Windows® and Red Hat® Update Servers - Servers within our Private Network

always have the latest operating system security patches and upgrades, allowing you to initiate and

install patches and updates on-demand with no-cost, unlimited bandwidth.

• McAfee® Virus Scan and Host Intrusion Servers - These systems combine anti-virus, anti-

spyware, firewall, and intrusion prevention technologies to stop and remove malicious software from

your infrastructure.

• RescueLayer® Boot failed servers into a RAM-disk recovery kernel with the failed server’s regular

IP addresses, giving it full access to private and public networks, NAS and backend service network

servers, a wide range of tools and disk recovery utilities, onboard file systems, and locally attached

storage.

• Network IDS/IPS Protection - Through partnerships with leading hardware and software vendors,

SoftLayer offers a complete array of intrusion protection and assessment options at both the network

and host level.

• Nessus® Vulnerability Assessment and Reporting - Providing the world leader in active

scanners, featuring high speed


목차



보안 Compliance

보안 기능


보안 Compliance > 개요

SoftLayer 는 SOC Type II, HIPAA, SAFEHARBOR 컴플라이언스를 만족합니다.

SoftLayer Compliance 현황 – 2014. 10 현재

• SoftLayer does not have access to customer data. Only the customer controls movement of their

data

• SoftLayer offers a comprehensive set of security services, overarching the IT infrastructure

• Dedicated and private clouds well suited for regulated workloads

• Strict physical and operational security controls are in place data centers

• SoftLayer is compliant with major industry and regulatory standards

Ready Regulated workload for


보안 Compliance > SOC2

SoftLayer has a comprehensive SOC2 Type II report for all of its data centers,

evaluating controls and their effectiveness

SOC2

The SoftLayer SOC2 report is audited against SL controls covering

Security

Availability

Process Integrity

• SoftLayer has an unqualified SOC 2 Type II report for all data centers

• Each control is tested through independent examination of processes

including validation of system components, logs and records

The current report is available to customers and their auditors via electronic

NDA with SoftLayer

SOC 2 Examination and Compliance Report

• Regulated by the AICPA’s AT Section 801 attestation standards

• Reports on the controls at a service organization relevant to the Trust

Service Principles of Security, Availability, Processing Integrity,

Confidentiality and Privacy.

• Provides validation and an opinion letter on the relevancy of controls

over one or more of the Trust Service Principles.


보안 Compliance > HIPPA

SoftLayer supports clients and their HIPAA workloads through its policies and

procedures

HIPPA

SoftLayer supports HIPAA

• There is no HIPAA compliance process available explicitly for data

centers

SoftLayer is suited to host HIPAA workloads through its bare metal and single-

tenant / dedicated private cloud offerings

• We do not recommend hosting a HIPAA workload in the SL multi-tenant

cloud offering

Clients may chose to host a multi-tenant workload on the single-

tenant SL cloud

IBM has evaluated SoftLayer against the 59 HIPAA controls

• 9 controls related to physical security are soley SoftLayer’s

responsibility

• 1 control related to Clearinghouse Function is not applicable as SL will

not support the requirements necessary and is therefore not appropriate

for clearinghouse workloads

• SoftLayer satisfies the remaining 50 controls as they apply to

SoftLayer’s scope of roles and responsibilities


보안 Compliance > SAFEHARBOR

SoftLayer has certification indicating that they provide privacy protection as defined

by the US Department Of Commerce’s SafeHarbor directive

SAFEHARBOR

Safe Harbor

• Certification demonstrates that SoftLayer provides adequate privacy

protection as defined by the Directive

Safe Harbor is a framework to bridge the differences between the EU-US and

Swiss-US approaches to privacy

• Provides a streamlined means for U.S. organizations to comply with EU

data privacy directive and Swiss data protection laws

Self assertion covers Safe Harbor Privacy Principles:

• Notice

• Choice

• Onward Transfer (Transfers to Third Parties)

• Access

• Security

• Data integrity

• Enforcement


보안 Compliance > PCI

SoftLayer supports clients and their PCI workloads through its policies and

procedures

PCI

SoftLayer is PCI Ready – suitable to host PCI workloads

• PCI SAQ, SOC2 Type II (and future PCI AOC) used by client’s auditor

to complete PCI assessment for customer’s hosted workload

SoftLayer is suited to host PCI workloads through its bare metal and single-

tenant private cloud offerings

• We do not recommend hosting a PCI workload in the SL multi-tenant

cloud offering

SoftLayer self-assessment indicates that SoftLayer satisfies the relevant PCI

controls

• Customer is responsible for the additional controls required to ensure

that their overall workload is PCI compliant


보안 Compliance > FFIEC

SoftLayer supports clients and their FFIEC workloads through its policies and

procedures

FFIEC

FFIEC

• SoftLayer engaged an external auditor for an FFIEC risk assessment

• RESULT: Satisfactory rating

SoftLayer is suited to host FFIEC workloads through its bare metal and single-

tenant private cloud offerings

• We do not recommend hosting an FFIEC workload in the SL multi-

tenant cloud offering

SoftLayer self-assessment indicates that SoftLayer is managed to requirements

that support requirements of FFIEC workloads

• Customer is responsible for the additional controls required to ensure

that their overall workload is FFIEC compliant


목차



보안 Compliance

보안 기능


보안 기능 > 2 Factor 인증

Portal 에 로그인 방식은 ID/Password 방식 이외에 추가적인 별도 인증을 제공하는 2

Factor 인증을 지원하고 있습니다.

2 Factor 인증 개요

•Symantec OTP 연동이 가능하며 모바일 폰에 설치되거나 별도의 하드웨어 구매가 가능함

• 2 Factor 인증은 사용자 별로 설정할 수 있음

• 2 Factor 인증 사용 경우 사용자 별로 추가의 비용이 발생함

1차 로그인 – ID/Password 2차 로그인 - OTP OTP 생성기


보안 기능 > Audit Log

포털에서는 사용자 및 자원에 접근하고 변경되는 로그가 통합적으로 기록합니다.

Account > Manage > Audit Log

•Audit Log 는 포털의 사용자 및 자원의 변경 이력을 통합으로 관리합니다.

•Audit Log 에 접근할 수 있는 권한을 제한할 수 있습니다.

•로그는 Username, Object Type, Object, Action, Date 정보로 필터링하여 조회할 수 있습니다.

컬럼 설명

1 2 3 4 5 • Username – 주체가 되는

이름으로 사용자 ID 또는

System 이 될 수

있습니다.

• User IP – 접근한 사용자

IP 입니다.

• Object Type – User, CCI,

Baremetal, CDN, Server,

Image, Facility 로

구분됩니다.

• Object – 사용자 ID, 서버

등 행위가 발생된

객체입니다.

• Action – 실제 변경된

내역을 나타냅니다.

1

2

3

4

5


보안 기능 > Audit Log – 주요 Action 항목

Audit Log에 기록되는 주요 Action 항목들은 다음과 같습니다.

주요 Action 항목

CCI

Activate Monitoring Agent OS Reload

Boot from Image Power Off

Boot ISO Power On

Cancel Service Power State

Deploy Monitoring Agent Reboot

Disable Monitoring Agent Rename

Disable Port Rescue

Enable Port Restart Monitoring Agent

Migrate Storage Resume

Order Service Set Port Speed

Image

Image

Image Attach

Image Create

Image Create Template

Image Delete

Image Detach

Image Eject

Image Insert

User

ADD API Key

Create

Delete

Deleta API Key

Edit

Login Failed

Login Successful


보안 기능 > SSH 키, SSL 인증서 관리

SoftLayer에서 사용하는 SSH 키 및 SSL 인증서를 관리하고 SoftLayer 의 서비스에

사용할 수 있습니다.

SSH 키 관리 SSL 인증서 관리

•Portal을 통하여 인증서를 구매하고 SoftLayer의

서비스에 사용할 수 있습니다.

•SSH 키를 사용하여 VM 또는 Baremetal 서버에 적용할

수 있습니다.


보안 기능 > McAfee Host IPS 서비스

월 단위의 Windows 시스템을 프로비저닝 시에는 McAfee Host IPS 를 선택하여 서버를

보호할 수 있습니다.

SoftLayer Portal 에서의 IPS Protection 설정 Windows 시스템의 GUI 설정 화면

SoftLayer에서는 포털을 통하여 IPS 및 Firewall

모드를 설정할 수 있습니다.

IDS 설정

Firewall 설정

GUI 화면은 Host IDS 가 설치된 OS에 로그인 하여

접속 및 설정할 수 있습니다.


보안 기능 > McAfee Host IPS 서비스 – IPS 모드

IPS Protection 정책은 공격 Severity 에 따른 차단 정책을 관리하고, IPS Mode 는

차단되는 Host 에 대한 정책을 관리합니다.

IPS Protection 설정 IPS Mode 설정

•차단 정책은 공격 Severity 에 따라 결정되며, Basic

모드부터 Maximum 모드 까지 선택할 수 있습니다.

IPS Mode Duration for which malicious

hosts are bloked

Adaptive_10 10 mins

Adaptive_120 120 mins

Adaptive_UR Until removed by user

On_10 10 mins

On_120 120 mins

ON_UR Until removed by user

On[McAfee Default] 10 mins

•Default 모드는 공격 Host에 대한 10분간의

차단입니다.

•Adaptive Mode 는 traffic 기반으로 rule 이 자동으로

생성되는 기능입니다. Rule 은 GUI 에서 리뷰 및

제거될 수 있습니다.

Protection

Setting

High

Severity

Medium

Severity

Low

Severity

Basic Protection Block No action No action

Prepare for

enhanced Block Log and allow No action

Enhanced Block Block No action

Prepare for

maximum Block Block

Log and

allow

Maximum Block Block Block


보안 기능 > nessus 원격 취약성 점검

SoftLayer 에서는 nessus 취약성 점검툴을 사용한 점검 기능을 제공하고 있습니다.

Nessus 취약성 점검 개요 점검 예시

Nessus 는 취약성 점검 도구로 서버의 포트스캔 을

통한 원격 취약성 점검, 서버에 로그인 하여 로컬

패치등을 점검하는 로컬 취약성 점검을 제공합니다.

SoftLayer 는 원격 취약성 점검 서비스를 제공합니다.

취약성 DB 링크


보안 서비스 Demo

보안 서비스

- SSH Key 관리

- nessus 스캔

- McAfee HIPS 구성


보안 서비스 Demo > SSH Key 관리

SSH Key 는 서버 및 VM 에서 사용할 수 있는 Key를 생성하고 관리하는 기능입니다.

SSH Key pair 생성 Public Key 등록 VM 또는 Baremetal

서버 생성

서버 생성 시

SSH Key 적용 SSH Key로 로그인

•SSH Key 생성

프로그램을 사용한 키

생성

•포털에 Public Key

등록

•Private Key는

개인만 가지고 있어야

함

•서버 신청

• 서버 프로비저닝 시

원하는 SSH 키 선택

• Linux 시스템만

가능하며 이 때는

ID/Password 방식은

반영안됨

•Putty 등 ssh 로그인

클라이언트로 해당

서버 로그인

•로그인 시 개인이

가지고 있는 private

key 사용

단계 별 주요 Task

SSH Key 관리 절차


1

보안 서비스 Demo > SSH Key 관리 – SSH Key 생성

• SSH Key 는 다양한 툴로

만들어 질 수 있음.

데모에서는 Putty Key

Generator를 사용하여

생성을 가정함

1. 정보 입력 후 Generate

선택하여 Key를 생성함

2. Save public Key, Save

private Key를 선택하여

Public Key와 Private

Key를 저장함

Note

2


1

보안 서비스 Demo > SSH Key 관리 – Public Key 등록

1. control.softlayer.com

Devices Manage

SSH Keys 선택 후 [Add]

선택 후 생성된 public key

내용을 Copy & Paste

하여 저장

Note


보안 서비스 Demo > SSH Key 관리 – Public Key로 VM 생성

1. control.softlayer.com

Account Place Order

에서 Hourly VM 생성

선택

2. 등록한 SSH 키 입력

Note

1

2


보안 서비스 Demo > nessus 스캔

Portal 을 통하여 서버별 nessus 스캔을 요청하고 취약성을 점검할 수 있습니다.

Nessus 스캔 요청 Report 점검 주요 취약성 점검 서버 보안 후속조치 Nessus 스탠 재요청

•서버 선택 후 scan

요청

•결과 보고서 점검

•High priority 부터

확인하며, 추가적으로

nessus 의 취약성

DB참조

• 서버별 보안

개선작업 수행

•재 scan 수행 후

조치여부 확인


nessus 관리 절차


보안 서비스 Demo > nessus 스캔 – 스캔 요청

1. Devices > Device List

선택

2. 원하는 Device Detail 을

선택 후 Security 탭에

Scan 선택

Note

1

2

* nessus 스캔은 VM/Baremetal

서버 단위로 신청 가능합니다.


보안 서비스 Demo > nessus 스캔 – 결과 조회(1/2)

1. Security > Vulnerability

Scans을 선택

2. Scan Complete 를 선택

3. Scan 결과 조회

Note 1

2

3


보안 서비스 Demo > nessus 스캔 – 결과 조회(2/2)

1. Type : 취약성의 심각성을

나타내며, Informational,

Low, Medium, High,

Critical 로 구분됩니다.

Informational 은

취약성은 아니며, 해당

오픈된 포트의 정보를

제공합니다.

2. 해당 취약성의 요약 및

설명을 나타냅니다.

3. 해당 취약성에 대한

nessus ID를 제공합니다.

4. nessus ID 이며 클릭을

하면, nessus에서

제공하는 취약성 정보 및

표준 취약성 ID(CVE ID)를

조회할 수 있습니다.

Note

1

2

3

4


보안 서비스 Demo > McAfee HIPS 구성

McAffee HIPS 는 서버 신청 시 신청되며, 그 이후에 포털 및 GUI 를 사용하여 관리될 수

있습니다.

VM/Baremetal

신청 시 HIPS 선택

Portal 에서 정책

적용 GUI 접속 세부 설정

적용

Portal 및 GUI

에서 모니터링

•월 단위 시스템을

선택해야 하며

windows 시스템만

적용 가능

•IPS, firewall 의 기본

정책 적용

•GUI 접속 후 세부

설정 적용

• 정책 관리 및

공격로그 모니터링


McAfee HIPS 구성 단계


보안 서비스 Demo > McAfee HIPS 구성 – 신청(1/2)

1. Account > Place an

Order 선택 후 Monthly

Virtual Server 선택

Note

1


보안 서비스 Demo > McAfee HIPS 구성 – 신청(2/2)

1. INTRUSION DETECTION

& PROTECTION 탭에서

McAfee Host Intrusion

Protection w/Reporting

선택

Note

1


보안 서비스 Demo > McAfee HIPS 구성 – IPS 정책 설정

1. Security > Security

SoftWare 선택 후 원하는

Host IDS 선택

2. 원하는 정책 설정 후

Update Policies 선택

Note

2

1


보안 서비스 Demo > McAfee HIPS 구성 – GUI 관리

1. Host IPS 가 설치된

윈도우 서버에 원격

데스크톱으로 로그인

2. McAfee Host Intrusion

Prevention 구동

Note

1

2



1. 사용자 인터페이스 잠금

해제 선택 후 패스워드

입력(HIPS의 패스워드는

서버의 패스워드와 다르며

포털의 Device Detail

에서 확인 가능함)

Note

1



1. Firewall Rule 관리

Note

1


1


1. Activity Log 선택 후 공격

로그 조회

Note


Summary

본 세션을 통해 SoftLayer의 보안 Compliance, 보안 기능에 대해 알아보았습니다.

• SoftLayer 는 물리보안, 네트워크 보안, 운영보안등 데이터센터가 제공해야 하는 보안 환경을

제공하고 있습니다.

• SoftLayer 는 서비스 포털을 사용하여, 다양한 보안 서비스를 제공하고 있습니다.

• 2 factor 인증 및 사용자 관리

• 인증서 관리

• 취약성 점검, IPS 기능

• SoftLayer는 다양한 Compliance를 지원하며, 그 외에도 고객의 업무에 필요한 보안요건들을

지원해 주고 있습니다.

• SOC2, HIPPA, SAFEHARBOR 등