2장. 위협 및 취약점 관리

Red Hat Ceph Storage는 일반적으로 클라우드 컴퓨팅 솔루션과 함께 배포되므로 Red Hat Ceph Storage를 대규모 배포의 여러 구성 요소 중 하나로 추상적으로 생각하는 것이 유용할 수 있습니다. 일반적으로 이러한 배포에는 공유 보안 문제가 있습니다. 이 가이드에서는 보안 영역입니다. 위협 행위자 및 벡터는 자원에 대한 동기 부여 및 액세스에 따라 분류됩니다. 목표는 귀하의 목표에 따라 각 영역에 대한 보안 문제에 대한 인식을 제공하는 것입니다.

2.1. 위협 행위자

위협 행위자는 보호하려는 적의 클래스를 가리키는 추상적인 방법입니다. 행위자는 성공적인 공격 완화 및 제공에 필요한 보안 제어를 보다 엄격하게 수행할 수 있습니다. 보안은 요구 사항에 따라 편의성, 경계, 비용의 균형을 유지하는 문제입니다. 경우에 따라 여기에 설명된 모든 위협 행위자에 대해 Red Hat Ceph Storage를 배포할 수 없습니다. Red Hat Ceph Storage를 배포할 때 배포 및 사용량의 균형 조정 위치를 결정해야 합니다.

위험 평가의 일환으로 사용자가 저장하는 데이터 유형과 액세스 가능한 리소스도 고려해야 합니다. 그러나 사용자의 데이터가 위협 행위자에게 바람직하지 않은 경우에도 컴퓨팅 리소스에 끌 수 있습니다.

  • State-State Actors: 가장 강력한 적자입니다. 고독자(Eran-state)는 목표에 대해 리소스를 가져올 수 있습니다. 그 밖의 다른 행위자보다 더 많은 기능이 있습니다. 사람과 기술 둘 다 정해진 통제없이 이러한 성가신을 보호하는 것은 어렵습니다.
  • 심각한 조직 형: 이 클래스는 고도로 성능과 경제적으로 구동된 공격자 그룹을 설명합니다. 이를 통해 자체 악용 개발 및 대상 연구 대상 (In-house exploit development and target research)을 지원할 수 있습니다. 최근 몇 년 동안 대규모의 위협적인 기업인 러시아 비즈니스 네트워크와 같은 조직의 수고는 해커 공격이 어떻게 상품화되었는지를 입증했습니다. 성폭력은 심각한 조직 형사고 그룹 내에 있습니다.
  • 높은 용량 그룹: 일반적으로 상업적으로 지원 되지 않는 'Hacktivist' 유형 조직을 의미 하지만 서비스 제공 업체 및 클라우드 운영자에 심각한 위협을 줄 수 있습니다.
  • 개인 정보 보호 정책: 이 공격자는 악의적인 또는 악의적인 작업자, 영향을 받지 않는 고객 또는 소규모의 산업 운영 중단과 같은 많은 경우에 발생합니다.
  • 스크립트 Kiddies: 이러한 공격자는 특정 조직을 대상으로 하지 않지만 자동화된 취약점 스캔 및 공격을 실행합니다. 그러나 이러한 행위자 중 한 명을 위협하는 것은 종종 조직의 지명에 큰 위험입니다.

다음 관행은 위에서 확인된 일부 위험을 완화하는 데 도움이 될 수 있습니다.

  • 보안 업데이트: 네트워킹, 스토리지 및 서버 하드웨어를 포함하여 기본 물리적 인프라의 엔드 투 엔드 보안 상태를 고려해야 합니다. 이러한 시스템에는 자체 보안 강화 방법이 필요합니다. Red Hat Ceph Storage 배포의 경우 보안 업데이트를 정기적으로 테스트하고 배포할 계획이 있어야 합니다.
  • 제품 업데이트: Red Hat은 제품 업데이트가 릴리스될 때 실행할 것을 권장합니다. 업데이트는 일반적으로 6 주마다 릴리스됩니다 (때로 더 자주). Red Hat은 추가 통합 테스트를 필요로 하지 않기 위해 주요 릴리스에서 포인트 릴리스 및 z-stream 릴리스를 완전하게 호환하도록 노력합니다.
  • 액세스 관리: 액세스 관리에는 인증, 권한 부여 및 계정이 포함됩니다. 인증은 사용자의 ID를 확인하는 프로세스입니다. 권한 부여는 인증된 사용자에게 권한을 부여하는 프로세스입니다. 계정은 어떤 사용자가 작업을 수행했는지 추적하는 프로세스입니다. 사용자에게 시스템 액세스 권한을 부여할 때 최소 권한 원칙을 적용하고 사용자에게 실제로 필요한 세분화된 시스템 권한만 부여합니다. 이 접근 방식은 또한 시스템 관리자의 악의적인 수행자 및 오토그래피 오류의 위험을 완화하는 데 도움이 될 수 있습니다.
  • 관리: 내부 인터페이스에 대한 암호화를 사용하고 인증/권한 보안(예: 중앙 ID 관리)을 사용하여 역할 기반 액세스 제어(최소 필요한 액세스)를 적용하여 악의적인 내부자의 위협을 완화할 수 있습니다. 또한 작업 및 비기술적 역할 교체와 같은 추가 기술 옵션을 고려할 수 있습니다.