softlayer 서비스 설명 5차 - 보안
TRANSCRIPT
© 2014 IBM Corporation
SoftLayer 중급 세션 시리즈 : MISC
- Chapter.9 보안 October, 2014 Korea Global Technology Services
2 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
Session Objective
이번 세션에는 SoftLayer 보안현황 및 보안과 관련된 서비스들을 알아보도록 하겠습니다.
• 학습 포인트
SoftLayer의 보안 현황에 대하여 이해한다.
SoftLayer의 보안 Compliance 를 이해한다.
SoftLayer에서 제공하는 주요 보안 서비스들에 대하여 이해한다.
3 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
지난 시간에서는 …
SoftLayer 네트워크 개념 소개 및 주요 특징
- SoftLayer Datacenter, POD, VLAN 및 IP 개념
- VLAN 기반의 네트워크 설계방안
SoftLayer의 네트워크 서비스 및 사용방법
- LoadBalancer, CDN, 방화벽 등 네트워크 서비스 사용방법
4 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
목차
SoftLayer 보안 개요
보안 서비스 - Demo
보안 Compliance
보안 기능
5 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
SoftLayer 보안 개요
SoftLayer 는 SoftLayer에서 제공하는 물리적 자원부터 어플리케이션 까지 보안성을
제공하기 위하여 계층별 보호방안을 마련하고 있습니다.
개요
• Overlapping Layers of Protection SecurityLayer monitors
every facet of your infrastructure and operations.
• Exceptional Standard Security Offering Your SoftLayer
services come standard with one of the industry’s most
comprehensive sets of security features.
• Wide Selection of Upgrade Options Tailor your individual
protection profile to meet your unique needs through a variety of
• hardware and software security options.
• Latest Security Technologies Your data is protected by
industry-leading security vendors offering the most
comprehensive defenses available.
• Unique, Highly-Secure Network Design Our revolutionary
Network-Within-a-Network topology provides true out-of-band
management for full remote access with no exposure to external
threats.
6 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
SoftLayer 보안 개요 > 물리보안 및 운영보안
SoftLayer 의 데이터센터는 통일된 보안 시설과 모델을 바탕으로 물리보안과 운영보안을
지원합니다.
데이터 센터의 물리보안
• Data centers located only in facilities with
controlled access and 24-hour security
• No server room doors are public-facing
• Server rooms are staffed 24/7
• Un-marked entry and exit doors
• Digital security video surveillance
• Biometric security systems
• Server room access strictly limited to SoftLayer
employees and escorted contractors or visitors
• Barcode-only identification on hardware; no
customer markings of any type on the servers
themselves
운영 보안
• Engineers and technicians trained on internal
industry standard policies and procedures and
audited yearly
• Geographic redundancy for all core systems
for disaster recovery and business continuity
• 2-factor authentication for Customer Portal
access adds greater server security
• All data removed from re-provisioned
machines with drive wipe software approved
by the Department of Defense
• Current SSAE 16 SOC1 report, with no
exceptions noted
7 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
SoftLayer 보안 개요 > 시스템, 어플리케이션 및 데이터 보안
SoftLayer 에서 제공하는 다양한 서비스들은 SoftLayer의 Private 네트워크를 통하여
안전하게 제공되고 있으며, 업무 운영을 위한 다양한 보안서비스를 제공하고 있습니다.
시스템, 어플리케이션 및 데이터 보안
• Private Network Windows® and Red Hat® Update Servers - Servers within our Private Network
always have the latest operating system security patches and upgrades, allowing you to initiate and
install patches and updates on-demand with no-cost, unlimited bandwidth.
• McAfee® Virus Scan and Host Intrusion Servers - These systems combine anti-virus, anti-
spyware, firewall, and intrusion prevention technologies to stop and remove malicious software from
your infrastructure.
• RescueLayer® Boot failed servers into a RAM-disk recovery kernel with the failed server’s regular
IP addresses, giving it full access to private and public networks, NAS and backend service network
servers, a wide range of tools and disk recovery utilities, onboard file systems, and locally attached
storage.
• Network IDS/IPS Protection - Through partnerships with leading hardware and software vendors,
SoftLayer offers a complete array of intrusion protection and assessment options at both the network
and host level.
• Nessus® Vulnerability Assessment and Reporting - Providing the world leader in active
scanners, featuring high speed
8 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
목차
SoftLayer 보안 개요
보안 서비스 - Demo
보안 Compliance
보안 기능
9 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 Compliance > 개요
SoftLayer 는 SOC Type II, HIPAA, SAFEHARBOR 컴플라이언스를 만족합니다.
SoftLayer Compliance 현황 – 2014. 10 현재
• SoftLayer does not have access to customer data. Only the customer controls movement of their
data
• SoftLayer offers a comprehensive set of security services, overarching the IT infrastructure
• Dedicated and private clouds well suited for regulated workloads
• Strict physical and operational security controls are in place data centers
• SoftLayer is compliant with major industry and regulatory standards
Ready Regulated workload for
10 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 Compliance > SOC2
SoftLayer has a comprehensive SOC2 Type II report for all of its data centers,
evaluating controls and their effectiveness
SOC2
The SoftLayer SOC2 report is audited against SL controls covering
Security
Availability
Process Integrity
• SoftLayer has an unqualified SOC 2 Type II report for all data centers
• Each control is tested through independent examination of processes
including validation of system components, logs and records
The current report is available to customers and their auditors via electronic
NDA with SoftLayer
SOC 2 Examination and Compliance Report
• Regulated by the AICPA’s AT Section 801 attestation standards
• Reports on the controls at a service organization relevant to the Trust
Service Principles of Security, Availability, Processing Integrity,
Confidentiality and Privacy.
• Provides validation and an opinion letter on the relevancy of controls
over one or more of the Trust Service Principles.
11 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 Compliance > HIPPA
SoftLayer supports clients and their HIPAA workloads through its policies and
procedures
HIPPA
SoftLayer supports HIPAA
• There is no HIPAA compliance process available explicitly for data
centers
SoftLayer is suited to host HIPAA workloads through its bare metal and single-
tenant / dedicated private cloud offerings
• We do not recommend hosting a HIPAA workload in the SL multi-tenant
cloud offering
Clients may chose to host a multi-tenant workload on the single-
tenant SL cloud
IBM has evaluated SoftLayer against the 59 HIPAA controls
• 9 controls related to physical security are soley SoftLayer’s
responsibility
• 1 control related to Clearinghouse Function is not applicable as SL will
not support the requirements necessary and is therefore not appropriate
for clearinghouse workloads
• SoftLayer satisfies the remaining 50 controls as they apply to
SoftLayer’s scope of roles and responsibilities
12 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 Compliance > SAFEHARBOR
SoftLayer has certification indicating that they provide privacy protection as defined
by the US Department Of Commerce’s SafeHarbor directive
SAFEHARBOR
Safe Harbor
• Certification demonstrates that SoftLayer provides adequate privacy
protection as defined by the Directive
Safe Harbor is a framework to bridge the differences between the EU-US and
Swiss-US approaches to privacy
• Provides a streamlined means for U.S. organizations to comply with EU
data privacy directive and Swiss data protection laws
Self assertion covers Safe Harbor Privacy Principles:
• Notice
• Choice
• Onward Transfer (Transfers to Third Parties)
• Access
• Security
• Data integrity
• Enforcement
13 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 Compliance > PCI
SoftLayer supports clients and their PCI workloads through its policies and
procedures
PCI
SoftLayer is PCI Ready – suitable to host PCI workloads
• PCI SAQ, SOC2 Type II (and future PCI AOC) used by client’s auditor
to complete PCI assessment for customer’s hosted workload
SoftLayer is suited to host PCI workloads through its bare metal and single-
tenant private cloud offerings
• We do not recommend hosting a PCI workload in the SL multi-tenant
cloud offering
SoftLayer self-assessment indicates that SoftLayer satisfies the relevant PCI
controls
• Customer is responsible for the additional controls required to ensure
that their overall workload is PCI compliant
14 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 Compliance > FFIEC
SoftLayer supports clients and their FFIEC workloads through its policies and
procedures
FFIEC
FFIEC
• SoftLayer engaged an external auditor for an FFIEC risk assessment
• RESULT: Satisfactory rating
SoftLayer is suited to host FFIEC workloads through its bare metal and single-
tenant private cloud offerings
• We do not recommend hosting an FFIEC workload in the SL multi-
tenant cloud offering
SoftLayer self-assessment indicates that SoftLayer is managed to requirements
that support requirements of FFIEC workloads
• Customer is responsible for the additional controls required to ensure
that their overall workload is FFIEC compliant
15 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
목차
SoftLayer 보안 개요
보안 서비스 - Demo
보안 Compliance
보안 기능
16 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > 2 Factor 인증
Portal 에 로그인 방식은 ID/Password 방식 이외에 추가적인 별도 인증을 제공하는 2
Factor 인증을 지원하고 있습니다.
2 Factor 인증 개요
•Symantec OTP 연동이 가능하며 모바일 폰에 설치되거나 별도의 하드웨어 구매가 가능함
• 2 Factor 인증은 사용자 별로 설정할 수 있음
• 2 Factor 인증 사용 경우 사용자 별로 추가의 비용이 발생함
1차 로그인 – ID/Password 2차 로그인 - OTP OTP 생성기
17 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > Audit Log
포털에서는 사용자 및 자원에 접근하고 변경되는 로그가 통합적으로 기록합니다.
Account > Manage > Audit Log
•Audit Log 는 포털의 사용자 및 자원의 변경 이력을 통합으로 관리합니다.
•Audit Log 에 접근할 수 있는 권한을 제한할 수 있습니다.
•로그는 Username, Object Type, Object, Action, Date 정보로 필터링하여 조회할 수 있습니다.
컬럼 설명
1 2 3 4 5 • Username – 주체가 되는
이름으로 사용자 ID 또는
System 이 될 수
있습니다.
• User IP – 접근한 사용자
IP 입니다.
• Object Type – User, CCI,
Baremetal, CDN, Server,
Image, Facility 로
구분됩니다.
• Object – 사용자 ID, 서버
등 행위가 발생된
객체입니다.
• Action – 실제 변경된
내역을 나타냅니다.
1
2
3
4
5
18 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > Audit Log – 주요 Action 항목
Audit Log에 기록되는 주요 Action 항목들은 다음과 같습니다.
주요 Action 항목
CCI
Activate Monitoring Agent OS Reload
Boot from Image Power Off
Boot ISO Power On
Cancel Service Power State
Deploy Monitoring Agent Reboot
Disable Monitoring Agent Rename
Disable Port Rescue
Enable Port Restart Monitoring Agent
Migrate Storage Resume
Order Service Set Port Speed
Image
Image
Image Attach
Image Create
Image Create Template
Image Delete
Image Detach
Image Eject
Image Insert
User
ADD API Key
Create
Delete
Deleta API Key
Edit
Login Failed
Login Successful
19 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > SSH 키, SSL 인증서 관리
SoftLayer에서 사용하는 SSH 키 및 SSL 인증서를 관리하고 SoftLayer 의 서비스에
사용할 수 있습니다.
SSH 키 관리 SSL 인증서 관리
•Portal을 통하여 인증서를 구매하고 SoftLayer의
서비스에 사용할 수 있습니다.
•SSH 키를 사용하여 VM 또는 Baremetal 서버에 적용할
수 있습니다.
20 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > McAfee Host IPS 서비스
월 단위의 Windows 시스템을 프로비저닝 시에는 McAfee Host IPS 를 선택하여 서버를
보호할 수 있습니다.
SoftLayer Portal 에서의 IPS Protection 설정 Windows 시스템의 GUI 설정 화면
SoftLayer에서는 포털을 통하여 IPS 및 Firewall
모드를 설정할 수 있습니다.
IDS 설정
Firewall 설정
GUI 화면은 Host IDS 가 설치된 OS에 로그인 하여
접속 및 설정할 수 있습니다.
21 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > McAfee Host IPS 서비스 – IPS 모드
IPS Protection 정책은 공격 Severity 에 따른 차단 정책을 관리하고, IPS Mode 는
차단되는 Host 에 대한 정책을 관리합니다.
IPS Protection 설정 IPS Mode 설정
•차단 정책은 공격 Severity 에 따라 결정되며, Basic
모드부터 Maximum 모드 까지 선택할 수 있습니다.
IPS Mode Duration for which malicious
hosts are bloked
Adaptive_10 10 mins
Adaptive_120 120 mins
Adaptive_UR Until removed by user
On_10 10 mins
On_120 120 mins
ON_UR Until removed by user
On[McAfee Default] 10 mins
•Default 모드는 공격 Host에 대한 10분간의
차단입니다.
•Adaptive Mode 는 traffic 기반으로 rule 이 자동으로
생성되는 기능입니다. Rule 은 GUI 에서 리뷰 및
제거될 수 있습니다.
Protection
Setting
High
Severity
Medium
Severity
Low
Severity
Basic Protection Block No action No action
Prepare for
enhanced Block Log and allow No action
Enhanced Block Block No action
Prepare for
maximum Block Block
Log and
allow
Maximum Block Block Block
22 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 기능 > nessus 원격 취약성 점검
SoftLayer 에서는 nessus 취약성 점검툴을 사용한 점검 기능을 제공하고 있습니다.
Nessus 취약성 점검 개요 점검 예시
Nessus 는 취약성 점검 도구로 서버의 포트스캔 을
통한 원격 취약성 점검, 서버에 로그인 하여 로컬
패치등을 점검하는 로컬 취약성 점검을 제공합니다.
SoftLayer 는 원격 취약성 점검 서비스를 제공합니다.
취약성 DB 링크
23 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo
보안 서비스
- SSH Key 관리
- nessus 스캔
- McAfee HIPS 구성
24 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > SSH Key 관리
SSH Key 는 서버 및 VM 에서 사용할 수 있는 Key를 생성하고 관리하는 기능입니다.
SSH Key pair 생성 Public Key 등록 VM 또는 Baremetal
서버 생성
서버 생성 시
SSH Key 적용 SSH Key로 로그인
•SSH Key 생성
프로그램을 사용한 키
생성
•포털에 Public Key
등록
•Private Key는
개인만 가지고 있어야
함
•서버 신청
• 서버 프로비저닝 시
원하는 SSH 키 선택
• Linux 시스템만
가능하며 이 때는
ID/Password 방식은
반영안됨
•Putty 등 ssh 로그인
클라이언트로 해당
서버 로그인
•로그인 시 개인이
가지고 있는 private
key 사용
단계 별 주요 Task
SSH Key 관리 절차
25 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
1
보안 서비스 Demo > SSH Key 관리 – SSH Key 생성
• SSH Key 는 다양한 툴로
만들어 질 수 있음.
데모에서는 Putty Key
Generator를 사용하여
생성을 가정함
1. 정보 입력 후 Generate
선택하여 Key를 생성함
2. Save public Key, Save
private Key를 선택하여
Public Key와 Private
Key를 저장함
Note
2
26 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
1
보안 서비스 Demo > SSH Key 관리 – Public Key 등록
1. control.softlayer.com
Devices Manage
SSH Keys 선택 후 [Add]
선택 후 생성된 public key
내용을 Copy & Paste
하여 저장
Note
27 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > SSH Key 관리 – Public Key로 VM 생성
1. control.softlayer.com
Account Place Order
에서 Hourly VM 생성
선택
2. 등록한 SSH 키 입력
Note
1
2
28 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > nessus 스캔
Portal 을 통하여 서버별 nessus 스캔을 요청하고 취약성을 점검할 수 있습니다.
Nessus 스캔 요청 Report 점검 주요 취약성 점검 서버 보안 후속조치 Nessus 스탠 재요청
•서버 선택 후 scan
요청
•결과 보고서 점검
•High priority 부터
확인하며, 추가적으로
nessus 의 취약성
DB참조
• 서버별 보안
개선작업 수행
•재 scan 수행 후
조치여부 확인
단계 별 주요 Task
nessus 관리 절차
29 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > nessus 스캔 – 스캔 요청
1. Devices > Device List
선택
2. 원하는 Device Detail 을
선택 후 Security 탭에
Scan 선택
Note
1
2
* nessus 스캔은 VM/Baremetal
서버 단위로 신청 가능합니다.
30 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > nessus 스캔 – 결과 조회(1/2)
1. Security > Vulnerability
Scans을 선택
2. Scan Complete 를 선택
3. Scan 결과 조회
Note 1
2
3
31 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > nessus 스캔 – 결과 조회(2/2)
1. Type : 취약성의 심각성을
나타내며, Informational,
Low, Medium, High,
Critical 로 구분됩니다.
Informational 은
취약성은 아니며, 해당
오픈된 포트의 정보를
제공합니다.
2. 해당 취약성의 요약 및
설명을 나타냅니다.
3. 해당 취약성에 대한
nessus ID를 제공합니다.
4. nessus ID 이며 클릭을
하면, nessus에서
제공하는 취약성 정보 및
표준 취약성 ID(CVE ID)를
조회할 수 있습니다.
Note
1
2
3
4
32 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성
McAffee HIPS 는 서버 신청 시 신청되며, 그 이후에 포털 및 GUI 를 사용하여 관리될 수
있습니다.
VM/Baremetal
신청 시 HIPS 선택
Portal 에서 정책
적용 GUI 접속 세부 설정
적용
Portal 및 GUI
에서 모니터링
•월 단위 시스템을
선택해야 하며
windows 시스템만
적용 가능
•IPS, firewall 의 기본
정책 적용
•GUI 접속 후 세부
설정 적용
• 정책 관리 및
공격로그 모니터링
단계 별 주요 Task
McAfee HIPS 구성 단계
33 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성 – 신청(1/2)
1. Account > Place an
Order 선택 후 Monthly
Virtual Server 선택
Note
1
34 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성 – 신청(2/2)
1. INTRUSION DETECTION
& PROTECTION 탭에서
McAfee Host Intrusion
Protection w/Reporting
선택
Note
1
35 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성 – IPS 정책 설정
1. Security > Security
SoftWare 선택 후 원하는
Host IDS 선택
2. 원하는 정책 설정 후
Update Policies 선택
Note
2
1
36 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성 – GUI 관리
1. Host IPS 가 설치된
윈도우 서버에 원격
데스크톱으로 로그인
2. McAfee Host Intrusion
Prevention 구동
Note
1
2
37 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성 – GUI 관리
1. 사용자 인터페이스 잠금
해제 선택 후 패스워드
입력(HIPS의 패스워드는
서버의 패스워드와 다르며
포털의 Device Detail
에서 확인 가능함)
Note
1
38 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
보안 서비스 Demo > McAfee HIPS 구성 – GUI 관리
1. Firewall Rule 관리
Note
1
39 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
1
보안 서비스 Demo > McAfee HIPS 구성 – GUI 관리
1. Activity Log 선택 후 공격
로그 조회
Note
40 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안
Summary
본 세션을 통해 SoftLayer의 보안 Compliance, 보안 기능에 대해 알아보았습니다.
• SoftLayer 는 물리보안, 네트워크 보안, 운영보안등 데이터센터가 제공해야 하는 보안 환경을
제공하고 있습니다.
• SoftLayer 는 서비스 포털을 사용하여, 다양한 보안 서비스를 제공하고 있습니다.
• 2 factor 인증 및 사용자 관리
• 인증서 관리
• 취약성 점검, IPS 기능
• SoftLayer는 다양한 Compliance를 지원하며, 그 외에도 고객의 업무에 필요한 보안요건들을
지원해 주고 있습니다.
• SOC2, HIPPA, SAFEHARBOR 등
41 / 45 SoftLayer 중급과정 세션 시리즈 : 제 5회 Misc. - 보안