2장. 위협 및 취약점 관리

Red Hat Ceph Storage(RHCS)는 일반적으로 클라우드 컴퓨팅 솔루션과 함께 배포되므로 대규모 배포의 여러 구성 요소 중 하나로 추상화적으로 Red Hat Ceph Storage 배포를 생각하는 것이 도움이 될 수 있습니다. 이러한 배포에는 일반적으로 공유 보안 문제가 있으며, 이 안내서는 보안 영역을 나타냅니다. 위협 행위자 및 벡터는 자신의 동기 및 리소스에 대한 액세스를 기반으로 분류됩니다. 목표는 목표에 따라 각 영역에 대한 보안 문제를 감지하는 것입니다.

2.1. 위협 행위

위협 행위자는 보안을 시도할 수 있는 클래스를 나타내는 추상적인 방법입니다. 액터가 많을수록 공격 완화 및 예방에 필요한 보안 제어가 더욱 엄격합니다. 보안은 요구 사항에 따라 밸런싱 편의성, 보호 및 비용 문제입니다. 여기에 설명된 모든 위협 행위자에 대해 Red Hat Ceph Storage 배포를 보호할 수 없는 경우가 있습니다. Red Hat Ceph Storage를 배포할 때는 배포 및 사용량에 대한 균형을 결정해야 합니다.

위험 평가의 일환으로, 사용자가 저장하는 데이터 유형 및 액세스 가능한 리소스 유형도 고려해야 합니다. 이는 특정 행위자에게 영향을 미치기 때문입니다. 그러나 데이터가 위협 행위자에 반대하지 않더라도 단순히 컴퓨팅 리소스로 끌어들일 수 있습니다.

  • 국가주권 행위자: 이것은 가장 잘 할 수 있는 광고입니다. 국내 주주 행위자는 대상에 대해 막대한 리소스를 가져올 수 있습니다. 그 이상의 다른 액추에이를 가지고 있습니다. 인간과 기술 모두 엄격한 통제없이 이러한 행위자를 보호하는 것은 어렵습니다.
  • 심각한 Crime: 이 클래스는 높은 성능 및 재무적으로 구동되는 공격자 그룹을 설명합니다. 사내에서 개발 및 목표 조사를 통해 비용을 절감할 수 있습니다. 최근 몇 년 동안 대규모의 온라인 기업 기업인 러시아 비즈니스 네트워크와 같은 조직의 상승 추세가 사이버 공격이 상용이 된 것으로 입증되었습니다. I industryespionage는 심각한 조직된 범죄 그룹에 속합니다.
  • 높은 기능 그룹: 일반적으로 상업적으로 청구되지 않은 'Hacktivist' 유형의 조직은 언급하지만 서비스 제공 업체 및 클라우드 운영자에게 심각한 위협을 초래할 수 있습니다.
  • 동기가 있는 개인: 이 공격자는 악성인 또는 악의적인 직원, 불명한 고객 또는 소규모 산업 후원과 같은 많은 위장으로 나타납니다.
  • script Kiddies: 이 공격자는 특정 조직을 대상으로 하지 않지만 자동 취약점 검사 및 악용을 실행합니다. 이러한 행위자 중 하나를 공격하는 것은 종종 부정 행위자이며, 조직의 명예에 대한 주요 위험입니다.

다음 사례는 위에서 확인한 몇 가지 위험을 완화하는 데 도움이 될 수 있습니다.

  • 보안 업데이트: 네트워킹, 스토리지 및 서버 하드웨어를 포함한 기본 물리적 인프라의 엔드 투 엔드 보안 자세를 고려해야 합니다. 이러한 시스템에는 자체 보안 강화 사례가 필요합니다. Red Hat Ceph Storage 배포를 위해 보안 업데이트를 정기적으로 테스트하고 배포할 계획이 있어야 합니다.
  • 제품 업데이트: Red Hat은 제품 업데이트를 사용할 수 있게 되는 것을 권장합니다. 업데이트는 일반적으로 6주 마다 릴리스되며 간혹 더 자주 릴리스됩니다. Red Hat은 추가 통합 테스트를 필요로 하지 않기 위해 주요 릴리스 내에서 포인트 릴리스와 z-stream 릴리스를 완전히 호환하려고 노력합니다.
  • 액세스 관리: 액세스 관리에는 인증, 권한 부여 및 회계가 포함됩니다. 인증은 사용자 ID를 확인하는 프로세스입니다. 권한 부여는 인증된 사용자에게 권한을 부여하는 프로세스입니다. 회계는 어떤 사용자가 작업을 수행했는지 추적하는 프로세스입니다. 사용자에게 시스템 액세스 권한을 부여하는 경우 최소 권한 원칙 을 적용하고 사용자에게 실제로 필요한 세분화된 시스템 권한만 부여합니다. 이 방법은 시스템 관리자의 악의적인 행위자 및 오타 오류의 위험을 완화하는 데 도움이 될 수 있습니다.
  • pxe s 관리: 역할 기반 액세스 제어(최소 필요 액세스)를 신중하게 할당하고 내부 인터페이스에서 암호화를 사용하고 인증/권한화 보안(예: 중앙 집중식 ID 관리)을 사용하여 악의적인 내부자의 위협을 완화할 수 있습니다. 작업 분리 및 불규칙한 작업 역할 회전과 같은 비기술적 옵션을 추가로 고려할 수도 있습니다.