SharedIT | 묻고 답하기(AMP)

ISMS 인증 심사 2.6.1 항목 서버구성문의

안녕하세요 


최근 ISMS 인증심사 항목중 10.4.1.5 항목 서버 구성에 관한 심사기준에 의견차이가 있어 아래와 같은 구성이 가능한지 전문가분들께 문의드립니다.


ISMS 심사 항목 (2.6.1 네트워크 접근)



위와 같은 심사 항목 중 여러 업무 서비스기준을 만족하기 위해 DMZ Zone에 Proxy서버를 구성하여 내부 서버팜 IP를 노출시키지 않게 구성하고 WEB서버를 서버팜에 구성하여 WEB,WAS 서버를 같은망 내에 구성하였습니다.

### 네트워크 구성도 


질의 1

  • DMZ 망에 Proxy서버를 구축할 경우 WEB서버를 내부서버팜에 구성하여 운영하여도 ISMS기준에 만족할수 있나요?

질의 2

  • 2.6.1 심사 기준 하단 세부설명에 서버의 망은 분리 되도록 되어 있지만 하단 기타 예외사항

       ※ 다만 기업의 규모등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운 경우 추가적인 보완대책을 마련하여야 한다. (호스트 기반 접근통제 등)

기준을 근거로 접근통제를 

Client : 사용자 방화벽에서 운영자 직접접근은 원천차단하고, 서버접근제어솔루션(휴네시온), DB접근제어(샤크라맥스 G/W방식)를 구성하여 통제.

서버팜 내부 서버간 접근 통제 :  DB서버 Linux OS에서 제공되는 방화벽을 활용하여 SSH 접근을 허용된 서버보안에 한하여 접근 허용하여 통제

위와 같은 보안대책을 구성할 경우 서버팜내 DB서버를 운영하여도 ISMS 심사 기준에 만족할 수 있나요?

 

인프라 취약점 분석도 완료되어 있습니다.

위 구성으로 에 문제가 없을 경우 심사위원에게 제시할수 있는 근거, 사례, 인증 등이 있는지도 같이 문의 드립니다.

Tags : 태그가 없습니다.

2개의 답변이 있습니다.

wansoo
  0 추천 | 약 일 년 전

Proxy 서버를 통해서 Web 및 WAS 서버의 서비스를 대리 하도록 한다는 내용인걸로 보이는데요.


웹 및 WAS의 접근을 Proxy를 통해서 접근하도록 접근 경로를 제한한다는 건 보안을 강화하는 방법이 될 수 있겠는데...

단순히 Proxy를 뒀다고 보안이 강화되었다고 할 수 있는 것은 아니라 생각되고, Proxy를 통하지 않고 접근 가능한 통로가 있지 않은지 그리고, 모든 접근에 대한 로그 기록과 인가되지 않은 접근에 대한 차단 정책을 적용하고 있는 지 등에 대한 내용들을 검토해 봐야 하지 않을까 싶어 보이네요.


단순히 겉으로 보여지는 내용들만 가지고, 기준에 맞는지 여부를 논하기 보다는

전문 업체에 제대로된 자문을 받아 보는 게 맞을 걸로 보여 지네요.

haggon.kim | 약 일 년 전

답변 감사드립니다 

 1차 방화벽에서 공인 IP를 가지고 있으며 모든 서비스를 프록시를 통해서만 서비스를 허용하도록 되어 있습니다 

모든 시스템의 접속 , 감사기록, 운영 로그등은 로그수집서버로 수집되어 2년 , 5년 보관을 구축하였습니다.  대부분의 보안 요구조건은 충족되어 있습니다 

자세한 구성설명이 없었던것 같습니다 

감사합니다 

topkslee
  0 추천 | 약 일 년 전

질의 1

  • DMZ 망에 Proxy서버를 구축할 경우 WEB서버를 내부서버팜에 구성하여 운영하여도 ISMS기준에 만족할수 있나요?

=> 사실 인증심사원의 성향에 따라 다른데요. 일반적인 기준으로 말씀드리겠습니다.

보통은 WEB서버를 DMZ에 두고 서버팜에 WAS/DB 형태로 많이 사용하는데요.

이것보다 더 보안 강화된 방법이 말씀하신 Proxy서버를 DMZ에 두고 WEB/WAS/DB 서버를

내부 서버팜에 위치하게 하여 외부 노출이 최소화하고 Proxy서버에서 WEB서버로 연결되는 구조입니다.


질의 2

  • 2.6.1 심사 기준 하단 세부설명에 서버의 망은 분리 되도록 되어 있지만 하단 기타 예외사항

       ※ 다만 기업의 규모등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운 경우 추가적인 보완대책을 마련하여야 한다. (호스트 기반 접근통제 등)

기준을 근거로 접근통제를 

Client : 사용자 방화벽에서 운영자 직접접근은 원천차단하고, 서버접근제어솔루션(휴네시온), DB접근제어(샤크라맥스 G/W방식)를 구성하여 통제.

서버팜 내부 서버간 접근 통제 :  DB서버 Linux OS에서 제공되는 방화벽을 활용하여 SSH 접근을 허용된 서버보안에 한하여 접근 허용하여 통제

위와 같은 보안대책을 구성할 경우 서버팜내 DB서버를 운영하여도 ISMS 심사 기준에 만족할 수 있나요?

=> 기타 예외사항에서 언급되었듯이 구분하기 어려운 경우에 risk assessment를 실시하고 기반으로 보완대책을 적용해야 되는데요.

인프라취약점 분석을 하셨다고 했는데요. 결과 후의 미진한 항목에 대해 조치결과 관리가 되어야 합니다.

그리고 서버접근제어, DB접근제어의 운영 증빙자료가 준비되어야 하는데요.

구성도, 방화벽 룰정책, IP 관리 대장, 자산 대장, 

접근기록, 접근차단 기록, 실제 임의 ip로 접근시 차단 화면 캡쳐 등

이 또한 심사원의 성향에 따라 요청 자료 차이가 있습니다.

만약 인증심사 지원 업체가 있다면 가이드를 받으시면 많이 도움됩니다.

참고가 되시기 바라며, 좋은 결과 있기 바랍니다.

haggon.kim | 약 일 년 전

답변 감사합니다 

말씀하신 구성도 정책 관리대장 등은 시연 또는 중빙자료로도 제출되어 특이사항은 없었습니다