안녕하세요 !
정보보안인증을 준비중인데, 내부시스템은 온프레미스라 크게 이슈가 없는데,
클라우드 서비스 쪽이 B to B 로 운영되고 있어서 문의 드립니다.
기존에 받아본적이 있었는데 온프레미스 기준으로 받아서 클라우드 쪽은 어떻게 진행되는 지
사전에 확인을 좀 해두려고요 !
클라우드 서비스는 auto scaling으로 vm이 증가되었다가 감소되었다가 하는 상황과
쿠버네티스 클러스터 설정으로 프로비저닝 되는 서버 형태 구성의 상황,
클러스터는 대부분 내부 ip로만 구성되어 통신하고 있는 상황입니다.
이런 경우 외부와 실제 통신하는 최상위 VM (Main,master,manage 등)만 인증대상에
포함시키면 되나요?
그리고, db도 auto scaling,쿠버네티스 클러스터로 운영되고 있는데
써드파티 db접근제어를 사용하면 auto scaling,과 클러스터 환경이라도 무리 없이 적용되나요??
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
2개의 답변이 있습니다.
보호해야할 내부 정보가 저장되는 서버를 모두 포함시켜야 하지 않을까요?
클라우드나 외부 서버에 내부 정보가 저장되는 것이 아니라면 제외시켜도 되겠지만, 내부 정보가 저장되고 저장되는 그 내용들이 보호해야할 정보라면 포함시키는 게 맞을 것 같은데요.
작년 isms 준비할때 운영중인 클라우드 서비스 기준으로 말씀드리면 대외 서비스 기준으로 점검 항목에 넣었습니다. 내부용 이라고 하더라도 개인정보 또는 중요정보 포함되어 있으면 점검 항목 포함했었습니다.
점검 항목 기준은 늘어나건 줄어들던 특정 시점 기준으로 작성했고, 어짜피 보안 설정들은 동일하게 적용되어 있을테니까요.
외부와 실제 통신하는게 중요한게 아니라 중요정보가 포함된 서비스에 연관된 인프라는 무조건 다 넣어야됩니다.
sshnau | 약 일 년 전
어떤 클라우드 사용 중이신지는 모르겠지만, aws 기준으로는 iam, SG, inspector, guardduty, config 등의 보안서비스 웬만한건 다 적용했었습니다.