IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
IBM의 퍼블릭 IaaS 클라우드 서비스, SoftLayer 사용 팁 & 가이드
SoftLayer에 대해 더 알고 싶으세요? 아래 웹사이트를 방문해 주세요!
한글 - http://ibm.co/1w43NvN
영문 - http://www.softlayer.com/
한국 IBM SoftLayer의 페이스북 페이지를 통해서 SoftLayer의 뉴스들을 전달받으세요!
https://www.facebook.com/IBMSoftlayerkorea
SoftLayer에 대해 더 배우고 싶으세요? 아래 튜토리얼 링크를 방문해 주세요!
http://www.youtube.com/channel/UCdpXbWYiWtS6iGp1lGx1RAA
http://www.infiniflux.com/download
- InfiniFlux : 시계열 데이터를 저장, 처리하는 초고속 데이터베이스
- 이를 지원하기 위해서는 오라클 혹은 DB2와 같은 전통적인 데이터베이스(Conventional DBMS)와 매우 다른 성격을 가짐
- 로그성 시계열 지원 제품 아키텍처 및 특성을 이해하는 것이 중요
- 초당 수십만 건의 레코드를 저장하면서 동시에 SQL을 통해 해당 데이터를 분석하는 핵심 기능을 제공하기 위한 기술적 특성 기술
전통 기술과의 차이점에 대해 기술하고, 각 항목에 대한 세부적인 내용을 설명
[ http://infiniflux.com/download ]
The world's fastest time series DBMS.
What is InfiniFlux?
1) InfiniFlux is a time-series database which performs real-time data processing, i.e., data are inserted at high speed, retrieved and analyzed without elapsed time.
2) InfiniFlux also compresses and stores data in real-time. Its query language and syntax complies with the SQL standard. The extended SQL syntax provides additional features such as the text search tool.
링크드인의 Big Data Recommendation Products - 어제의 데이터를 통해 내일을 예측한다Evion Kim
DEVIEW 2013 발표 내용입니다 - http://deview.kr/2013/detail.nhn?topicSeq=36
링크드인 플랫폼 상의 다양한 Recommendation Product들, 이 제품들의 키워드는 바로 'Relevance(연관성)' 입니다. 가장 관련있는 데이터들을 제공함으로써 사용자의 삶을 더 쉽고 편하게 만들어 주는것이 링크드인 데이터 팀의 목표라 할 수 있겠습니다. 그렇다면 어떻게 해야 사용자에게 가장 연관성 높은 데이터를 제공 할 수 있을까요? 이에 대한 답을 한문장으로 요약하자면 '어제의 데이터를 분석하여 내일의 사용자의 행동을 예측한다' 가 될 것 같습니다.
본 발표에서는 이 한 문장을 좀 더 길게 풀어보려 합니다. 링크드인에서는 Hadoop, Key-Value Storage, Machine Learning등의 기술을 어떤 식으로 활용하여 연관성 높은 Recommendation Product를 만들고 있는지에 대해 소개해보겠습니다.
802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)MinChoul Lee
2015년 9월 7일 ISEC에서 발표한 802.1X 사례 발표자료입니다.
802.1X 적용을 고려하고 있는 분들은 참고하세요~
발표자료에 대한 구체적인 구현 방법은 "네트워크 접근통제 시스템 구축"과 "무선 네트워크 리모델링"을 참고해주세요.
- 네트워크 접근통제 시스템 구축: http://www.yes24.com/24/goods/15899949?scode=032&OzSrank=1
- 무선 네트워크 리모델링: http://www.yes24.com/24/Goods/38467332?Acode=101
ePrismX: Next Generation Cybersecurity Appliance PlatformChul-Woong Yang
We introduce ePrismX, which is a platform for integrated cyber-security CNFs. We see the cybersecurity market is moving to an integrated appliance or SaaS. This is our answer to next-generation cybersecurity appliances. Stay tuned!
presented at Security@KAIST, 23 Nov 2020.
[ CB-Larva - 멀티클라우드 인프라 및 응용을 위한 네트워킹 (Networking for multicloud infrastructure and applications) ]
- 글로벌 스케일 네트워킹
- Cloud Adaptive Network 구조 및 주요 기능
- CLADNet 기술 시연: 글로벌 스케일 MCIS에 CLADNet 입혀 보기
- Cloud Adaptive Network 활용 예시
- CB-Larva의 현재, 비전, 그리고 공개SW
# 발표영상(YouTube) : https://youtu.be/6ylyEoQvNN8?t=7741
----------------------------------------------------------------------------------------------------------
# Cloud-Barista Community Homepage : https://cloud-barista.github.io
# Cloud-Barista Community GitHub : https://github.com/cloud-barista
# Cloud-Barista YouTube channel : https://cloud-barista.github.io/youtube
# Cloud-Barista SlideShare : https://cloud-barista.github.io/slideshare
No trade-offs: 안전하고, 빠르고, 안정적인 네트워크 구축하기 / Building secure, fast, and reliabl...Jean Ryu
Cloudflare Magic Transit 제품에 관한 웨비나였습니다. Magic Transit은 온프레미스 데이터센터의 보안 강화를 위해 도입하실 수 있는 디도스 스크러빙 제품입니다. 거꾸로 가는 남자(?)도 아니고 2020년이 다 됐는데 이 회사는 클라우드 솔루션부터 시작했으면서 이 시점에 온프레미스용 제품을 신규 출시하십니까...라는 의문이 드셨다면 정상입니다. 웨비나에서 대답해 드립니다.
Cloud-Native Architecture
MSA(Micro Service Architecture)
MDA(Micro Data Architecture)
MIA(MIcro Inference Architecture)
MSA-Service Mesh
MDA-Data Mesh
MIA-AI Inference Mesh
Kubernetes
Container
Kubeflow
Volcano
Apache Ynikorn
ChatGPT
AGI(Artificial General Intelligence)
ASI(Artificial Specialized Intelligence)
초-전환시대
초-연결시대
SQream GPU DBMS
Cloud와 Cloud Native의 목표는.. 왜? 어떻게? 뭐가 좋아지나...
1. (왜) 가속화된 초-전환, 초-연결 IT 환경변화에 대비하기 위해서
2. (어떻게-H/W) IT H/W 부분은 IaaS 서비스화하여
점유된, Over Subscription된 H/W(Server, Network, Storage)들 모아서 Pool화하고, 가상화기술을 통해 Tenant로 자원들을 분리해 서비스화해 제공하고
필요시 적시에 Pool의 가상H/W를 제공하고, 상황에 따라 확장・축소(Scale in/out, up/down)하면서, 축소된 자원을 다른 요청들을 위해 빠르게 재-할당하는 유연성을 제공하고
3. (어떻게-S/W) S/W 부문도
PaaS, SaaS 적극 활용으로 App.개발 시간을 단축하고
App.분야인 기존 MACRO Service Architecture형 Monolith Architecture(Web-WAS-DB)를 작게 쪼개서 변화에 빠르게 적응할 수 있는 MSA(Micro Service Architecture)로 변경하여 Service Mesh형으로 관리하고
Data분야도 Data Warehouse, DataLake(Bigdata), LakeHouse등 기존 MACRO Data Architecture를 MSA형식으로 MDA(Micro Data Architecture)로 전환 후 Data Mesh형태로 관리하고,
AI로 동적프로그램 생성하여 App.개발시간 단축하고, AI분야도 초-거대 AI구현(MACRO)보다는 작은|특화된 Deep Learning Network(Model)들로 작게 쪼개서 MIA(Micro Inference Architecture)로 비지니스 환경에 적용하고 Inference Mesh형태로 관리하는 시스템으로 전환하고
4. (어떻게-조직) 조직구조도 CI/CD형 DevOps환경, 데이타,트랜잭션중심업무중심, 기술중심 문제해결중심, 직능중심조직직무중심조직으로 전환하면
5. (좋아지는 것) 초-전환, 초-연결 환경에 빠르고, 지속적으로 적응할 수 IT as a Product 환경을 구현하는 것
1. 1-5. VPN(Virtual Private Network)
Preview
항목 상세내역
터널링 및 암호화 기술을 이용, 공중망을 전용 사설망처럼 사용할 수 있게 하
개요
는 기술
기출여부 71, 77, 80
관련KeyWord 터널링, 사설망
추천사이트
기술발전
VPNUTM/MPLS
RoadMap
기타 각종 인프라의 기본 스펙으로 정착화
-0- ㈜ 인포레버컨설팅 교육사업본부
2. VPN (Virtual Private Network)
개요
– 터널링 및 암호화 기술을 이용, 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술
– 사설망 구축비용 절감, 회선이용료 절감, 데이터 신뢰성 증대
VPN의 구성 개념도
Socks(5)
SSL/TLS(4)
Site A VPN GW VPN GW Site B
IPSEC(3)
PPTP, L2TP, MPLS(2)
원격PC •상기 구성 중 PPTP, L2TP는 GW방식 지원 안 함
(SW) •MPLS는 SW방식 지원 안 함
요소기술
– 터널링: 양방향 가상터널의 설정내부망 효과 구현, 인터넷을 의식하지 않고 사용 가능
– 암호화, 무결성, 인증, 키관리
VPN간 비교
PPTP L2TP IPSEC Socks5 •최근 일반 VPN은 IPSEC/SSL
구현 계층 2 2 3 5 VPN, 대규모 네트워크나 ISP는
MPLS로 통일된 상태임
형식 P2P 좌동 다양 다양
암호화 X (PPP이용) 좌동 지원(ESP) 지원(별도구현)
지원규약 IP, NetBEUI 좌동 IP IP
용례 원격접속 좌동 Extranet App. VPN
-1- ㈜ 인포레버컨설팅 교육사업본부
3. VPN (Virtual Private Network)
VPN 구현방식
– 연결방식: Remote Access, G-G, P2P
– 서비스 방식: 자체구축, 임대(CPE, ISP Network)
– 구현방식: FW+VPN, VPN전용장비, UTM 등 다양
mVPN (2G/3G feature phone 전용,Smart phone은 PC환경과 동일)
Handset AP WAP GW VPN GW Server
무선구간 - WTLS 유선구간 - SSL 평문
– WAP GW의 Proxy기능 수행 때문에 모든 암호화된 문장이 풀려야 하는 단점이 있음
– 최근 스마트폰 환경에서는 거의 사용되지 않고 있음.
SSL VPN
브라우저, SSL VPN
Server
App Proxy
SSL/HTTPS HTTP, FTP, TELNET…
Source주소: 브라우저 Source주소: Proxy
– 별도의 SW설치 필요 없음, 간편하고 쉬운 조작
– G-G지원 안 함, 일반사원의 Remote Access에 특화
-2- ㈜ 인포레버컨설팅 교육사업본부
4. VPN (Virtual Private Network)
IPSEC VPN
– 네트워크 계층에서 인증/암호화를 하기 위한 VPN기술
– TCP/IP 프로토콜상의 문제점 보강, Application을 구분하지 않는 편리함
– 구현방식: GW, P2P, G-P
– 주요 프로토콜
• AH (Authentication Header): 무결성, 인증지원, 재전송방지(옵션)
• ESP (Encrypted Security Payload): AH + “암호화”
– 키 교환방식
• Manual: Pre-Shared key를 양측에서 입력
• PKI: 공인/사설인증서 사용, 상대의 공개키로 암호화
• IKE: 자동 Key Negotiation
– ESP Tunnel Mode Header
– AH Tunnel Mode Header
-3- ㈜ 인포레버컨설팅 교육사업본부
5. 1-6. Wireless LAN Security
Preview
항목 상세내역
개요 암호화와 인증을 기본으로한 전반적인 무선랜 보안체계
기출여부 80
관련KeyWord WEP, WPA, EAP, 802.11i
추천사이트
기술발전
WEPWPA802.11i
RoadMap
기타 각종 인프라의 기본 스펙으로 정착화
-4- ㈜ 인포레버컨설팅 교육사업본부
8. 1-7. WiBro Security
Preview
항목 상세내역
개요 WiBro에 특화된 보안체계
기출여부
관련KeyWord Security Sub layer, 802.11e
추천사이트
기술발전
802.11eLTE
RoadMap
기타 타 통신, 타 IT솔루션과의 컨버전스, 망 전체를 바라보는 보안관점
-7- ㈜ 인포레버컨설팅 교육사업본부
9. WiBro (Wireless MAN) Security
WiBro보안 표준 체계
CS SAP 제어국
단말
Service Specific /AAA
Convergence
Sublayer
MAC SAP 인증 EAP/RSA 기반인증
MAC MAC Command
Part
Sublayer 키교환 인증키, 데이터 암호화키 교환
Security Sublayer
PHY SAP 기밀성 암호화된 데이터 송수신
PHY
Physical Layer 무결성 메시지 무결성 검사
• 자료출처: KISA, 와이브로 보안기술 해설서
• SAP: Service Access Point
-8- ㈜ 인포레버컨설팅 교육사업본부
10. WiBro (Wireless MAN) Security
802.16e의 보안표준 적용 내역
구분 제시 표준 내용 적용
PKM v1 • RSA기반, 단말인증
인증, • RSA기반, 단말/사용자 인증 EAP-AKA,
키 교환/관리 PKM v2 +Pseudonym
• EAP기반: EAP-MD5, EAP-TLS, EAP-AKA…
• 단말/사용자 인증
PKM v1 • 3DES
TEK
암호화 • 3DES-EDE RSA
PKM v2
• AES-EBC/KEY-WRAP TEK
기밀성 TEK
PKM v1 • DES (PKM v2)
데이터
암호화 • DES-CBC, 3DES, RSA
PKM v2
• AES-CCM/CBC/CTR
HMAC • PKM v1에서 사용 HMAC/CMAC
무결성
HMAC/CMAC • PKM v2에서 사용 (PKM v2)
키 유효시간 • 키의 유효시간 지정
• 전송 패킷수를 카운팅하여 송신자 측에서 관리하고
Reply Attack 수신자 측은 마지막 패킷 수보다 큰 수의 패킷 수만 키 유효시간,
(재전송공격) 패킷 카운트 유효한 패킷으로 인식 패킷 카운트
• 패킷 카운터가 만료에 이르면 재인증을 통한 메시지
Digest 키 갱신
Management MAC • MAC을 이용한 변조 방지
MAC,
Message 의
패킷 카운트 • 패킷을 카운팅 하여 Replay Attack 방지 패킷 카운트
평문 전송
-9- ㈜ 인포레버컨설팅 교육사업본부
11. WiBro (Wireless MAN) Security
WiBro 보안대응 아키텍처
구분 WiBro Network Plane
액세
가입자 중계기 전달망 제어국 코어망 서버팜
스망
망
구성항목
Core
• 단말의 복제 • 불법 •비 인가 • 비 인가된 제어국 •유해코드 유입에 •운영서버에 대한 비
• 바이러스/웜 감염 주파수 된 중계 접근 가능 따른 이상 트래픽 인가된 접근 가능
기 접근 • DoS 증가 •운영권한의 오용 또
예상 • ID 노출 (IMSI)
가능 는 악용
위협 • 기업정보 유출
• 단말 DoS •중요정보의 유출
• 802.16e의 Security Sub Layer, EAP-AKA, 시설별 ACL •기간망 보호체 •ISO27000기반 보
주요 계 Overriding 안대책 수립/시행
• UICC도입 •간섭신고 •ACL, Rate Limit
대책
• 기업의 정보유출방지를 위한 대응 서비스
- 10 - ㈜ 인포레버컨설팅 교육사업본부
12. 1-8. Honey Pot/Net/Active Honey Pot
Preview
항목 상세내역
개요 해커의 행동, 대응양식을 기록하고 분석하는 네트워크 구조
기출여부 84
관련KeyWord 행동분석, 기능
추천사이트
기술발전
Honey PotHoney Net
RoadMap
기타 단독문제보다는 해킹에 대한 이슈연계 필요
- 11 - ㈜ 인포레버컨설팅 교육사업본부
13. Honey Pot/Net/Active Honey Pot
개념
– 해커의 행동, 대응양식을 기록하고 분석하는 서버 혹은 네트워크 구조
– 목적: 위협연구를 통한 대응기술연구/대응방안 도출
Honeynet 구조 외부유출방지
X
Hacker FW 일반시스템 Honeypot
구성요소
– Honey Pot: 유인/기록
– 보안시스템: 해커 행동범위 설정
– 일반시스템: 해커에 대한 신뢰도 유지
Honeynet 기능
– Data Control: 외부전파 금지
– Data Capture: 정보 수집 INBOUND
– Data Collection: 여러 Pot, net수집 정보의 체계적 관리
활용방안
– 기업용: 해커 고립화, 대응시간 확보, 체계적 보안 대응
– Research용: 보안위협 분석, 대응책 연구
고려사항
– 엄격한 통제, Data Mining
- 12 - ㈜ 인포레버컨설팅 교육사업본부
14. Honey Pot/Net/Active Honey Pot
Active Honey Pot의 부각배경
– 최근 해킹타입은 취약서버를 찾아 다니기 보다 사
용자 접근을 전제로 함. (Downloader)
– 따라서 기존 Honey Pot을 통해서는 최신해킹 트랜
드 수집이 어려움.
Active Honey Pot: 능동적 악성코드 샘플 수집
– 취약성을 가진 서버가 여러 URL을 능동적으로 방
문, 악성코드를 다운로드/수집
OUTBOUND
Active Honey pot 개념도 (출처: 안랩)
- 13 - ㈜ 인포레버컨설팅 교육사업본부
20. 2-2. DB 보안
Preview
항목 상세내역
개요 웹에 DB가 연결되면서 대두되는 데이터 유출문제에 대한 대책
기출여부 92
관련KeyWord 접근제어, 암호화, Compliance
추천사이트
기술발전
Crypto Card기반 암호화접근제어솔루션/암호화 솔루션
RoadMap
기타 성능성 문제 심각
- 19 - ㈜ 인포레버컨설팅 교육사업본부
21. DB보안
개요
– 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술
– 최근 기업데이터, 개인정보의 중요성 및 Compliance증가로 이슈화
– DB보안 요구사항: 인증/접근통제/감사
DB보안의 문제점
– 보안관리자는 DB를 모르고… DB관리자는 보안을 모른다.
– DB Vender마다 보안수준이 제 각각임
– 연관인, 내부자에 의한 범죄발생 비율이 높음
– 보안강화에 따른 Performance저하/비용소요가 많음
DB보안 관련공격
Domain 관련내용
네트워크 관련 공격 • DDOS: String투입을 통한 NW Daemon down
(BOF, 우회) • NW Daemon우회 및 직접공격: 암호설정의 취약성, 내부패키지 변형
을 통한 해킹코드 삽입
인증 프로세스 공격 • 사용자 정보 변형: 확인절차 차단을 통한 직접 엑세스
• 백도어: 메모리상주 패키지를 악용한 백도어 설치
SQL, Procedure Injection • SQL Injection: SQL변형, 코드투입, 함수투입, BOF
• Procedure Injection: Embeded SQL, Cursors, DBMS특화된 패키지
- 20 - ㈜ 인포레버컨설팅 교육사업본부
22. DB보안
DB보안의 기술 Domain
Domain 관련내용
Authentication • 패스워드 관리
• 가용한 인증수단 동원: 생체인식, 인증서, ID/password 등
• NW Daemon설정관리, 기본포트 변경
Authorization •Public계정의 제한, 사용 어플리케이션 변경 검토
•시스템 권한 Revoke, Any계열 권한 Revoke
Access Control • DB Schema Design: Authorization고려하여 설계
• 접근제어모델:MAC, DAC, RBAC
Confidentiality • 데이터 암호화(DBMS 옵션사용 혹은 전용 솔루션)
• 전송데이터 암호화(SSL/TLS)
Backup/Recovery •Incremental/Full, 백업정책
Audit • Trigger 등 임시조치
• DBMS제공 Audit Tool 이용(성능저하 감소 고려)
전망/고려사항
– 웹 일색의 App.웹을 통한 침해가능성 상존(웹 보안과 DB보안의 동시진행 필요)
– IT Compliance 주의(개인정보보호법 등)
– 각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주
– 감사기능은 DBMS Vender에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요
- 21 - ㈜ 인포레버컨설팅 교육사업본부
23. DB보안 솔루션의 종류
접근제어 제품
구분 암호화 제품
Sniffing 방식 Server Agent 방식 Gateway 방식
보안통제가 완벽하지
보안기능 강력한 보안 기능 제공 강력한 보안 기능 제공 강력한 보안 기능 제공
않음
DB서버에 영향 없이
DB 서버 성능에
Agent 가 설치되지 않는 Agent 설치로 인한 DB 서버 안정적 운영 가능
영향 영향을 줌
방식 성능에 영향을 줄 수 있음 Gateway 구성에 따른
장단점 (5-10% 부하 생성)
DB서버에 영향 없이 Agent 장애로 인한 장애 대응 방안 필요
안정적 운영 가능 암호화 및 인증 키
대책 미비 (이중화 or Bypass)
관리 필요
암화화 대체 기능제공
확장 시 각각의 세그먼트 별도의 H/W 추가 없이 별도의 H/W 추가 없이
확장성 서버마다 Agent 설치 필요
마다 H/W 연결 필요 확장 가능 확장 가능
비정형데이터 제어 시
정형데이터 모니터링 시 우회 접속에 대한 제어 시 구성하는 방식이며, 암복호화 및 DB 성능
제품특징
구성 방식 구성하는 방식 보안성 및 확장성이 튜닝 등 고려 사항 많음
뛰어남
출처: DB Safer
- 22 - ㈜ 인포레버컨설팅 교육사업본부
24. DB접근제어 솔루션의 일반기능
• 인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능
접속 및
• 오브젝트에 대한 권한 설정 및 차단 기능
권한 제어
• 사용자별 사용 가능 명령어를 제한
• SQL 문 감시
모니터링 및
• 실행된 SQL문/실행시간/사용자/시간대 별 검색 및 추적
이력관리
• 접속 세션 및 실행 명령어 별 이력 관리
보안정책 관리 용이한 정책설정 및 반영
결재관리 중요 SQL 명령에 대한 사전/사후 승인(결재) 기능
• 데이터베이스 내부 통제
기타 • 여러 유형의 DBMS 통합 모니터링
• 특정 Data, Field에 대한 Masking 기능
- 23 - ㈜ 인포레버컨설팅 교육사업본부