보안(Security)

AnHyunDong·2025년 4월 22일
security보안
0

Infra

목록 보기
5/5

1. 보안(Security)

  • 서버와 네트워크가 아무리 잘 구축돼 있어도 보안이 뚫리면 기업 전체가 큰 피해
  • 인프라 설계 단계부터 보안을 고려하는게 핵심
  • 현재는 백신 프로그램을 넘어 서버, 네트워크, 가상화, 클라우드, 계정 권한까지 포함됨

2. 보안 구성요소

2-1. 물리적 보안

  • IDC 접근 통제 : 서버실이나 데이터센터는 카드키, 생체인식 등을 통해 접근 제한
  • CCTV 및 경비 시스템 : 물리적인 침입 방지
  • 장비 보호 : 서버, 스토리지, 네트워크 장비의 전원 이중화, 화재 감지 및 진압 시스템 등 포함

2-2. 네트워크 보안

  • 방화벽(Firewall) : 내부/외부 네트워크 간 트래픽 제어
  • IDS/IPS : 침입 탐지/방지 시스템으로 비정상적인 트래픽 탐지
  • VPN : 안전한 원격 접속을 위한 암호화된 통신
  • Zoning/VLAN : SAN/NAS에서 Zoning을 통한 스토리지 접근 제어, VLAN으로 네트워크 분리

2-3. 서버 보안

  • OS 보안 설정 : SELinux, AppArmor, UFW, iptables 등
    • SELinux(Security-Enhanced Linux) : 강제 액세스 제어(MAC)을 포함한 액세스 보안 정책을 지원하는 매커니즘을 제공하는 Linux 커널 보안 모듈
    • AppArmor : 시스템 관리자가 프로그램 프로필 별로 프로그램의 역량을 제한할 수 있게 해주는 리눅스 커널 보안 모듈
    • UFW(Uncomplicated Firewall) : 우분투의 기본적인 방화벽
    • iptables : 리눅스 시스템에서 네트워크 방화벽을 관리하는 사용자 공간 애플리케이션
  • 최소 권한 원칙 : 불필요한 서비스 중지, 최소한의 사용자 권한만 부여
  • 패치 관리 : 보안 업데이트 및 커널 패치 자동화
  • 로그 및 모니터링 : Auditd, journald, syslog, Prometheus + Grafana 등으로 실시간 감시
    • Auditd : 리눅스 시스템에서 감사 기록(audit log)을 관리하는 데몬 프로세스
    • journald : 리눅스 시스템에서 Systemd가 로그를 관리하고 저장하는데 사용하는 서비스
    • syslog : 컴퓨터 시스템, 네트워크 장치, 보안 장치 등에서 발생하는 모든 상황과 변화를 서버에 기록하는 프로토콜

2-4. 계정 및 인증 보안

  • 계정 관리 정책 : 관리자 계정 구분, root 계정 직접 사용 금지
  • 2FA/MFA : 다중 인증 도입
  • sudo 정책 설정 : 필요 최소한의 권한만 허용
  • SSH 보안 설정
    • root 로그인 비활성화
    • 포트 변경
    • 키 기반 인증 사용

2-5. 스토리지 보안

  • LUN 마스킹 + Zoning : 특정 서버만 LUN 접근 가능하게 제한
  • 디스크 암호화 : LUKS, dm-crypt, SED(Self-Encrypting Drive)
  • RAID 감시 및 복구 : RAID 이상 감지 및 장애 복구 프로세스 마련
  • 백업 보안 : 백업 서버 격리, 전송 암호화 및 백업 파일 암호화

2-6. 가상화 & 컨테이너 보안

  • 하이퍼바이저 보안 : ESXI, KVM 등에서 패치 및 접근 제어
  • VM 격리 : VM간 네트워크 분리
  • 컨테이너 이미지 스캔 : 취약한 이미지 사용 방지(Clair, Trivy 등)
  • Pod Security Policy, SELinux 적용

2-7. 클라우드 인프라 보안

  • IAM 정책 관리 : AWS/GCP의 역할 기반 접근 제어(RBAC)
  • VPC 및 보안 그룹 설정 : 서브넷 및 트래픽 필터링 구성
  • CloudTrail / CloudWatch : 활동 로그 기록 및 알림
  • S3 Bucket 접근 제어 : 퍼블릭 차단, IAM 정책 + 버킷 정책 적용

2-8. 보안 사고 대응 체계

  • SIEM 도입 : 통합 로그 수집 및 분석(Ex. Splunk, ELK)
  • 보안 정책 수립 및 정기 점검 : ISMS, ISO27001 기준
  • 보안 훈련 : 구성원 대상 피싱 대응, 사고 대응 훈련 등

3. 예시 시나리오 : 인프라 보안 구성

시나리오 : RHEL 서버 3대(DB1, DB2, DEV) + SAN 스토리지 + Cisco SAN Switch 구성 예시

  • SSH 포트 변경, root 로그인 금지
  • 방화벽 및 SELinux 설정
  • RAID 1 + LVM + LUKS 구성
    • LUKS : 리눅스 시스템에서 디스크 암호화를 위한 표준 포맷
  • multipath 설정 + Zoning 구성
  • sudoer 설정 및 계정 분리
    • sudoers : Linux 시스템에서 sudo 명령어의 권한을 관리하는 핵심 설정 파일
  • 관리자 및 감사 로그 중앙 수집
  • cron을 이용한 logratate 구성
    • cron : 유닉스 계열 운영체제에서 주기적으로 작업을 예약하고 실행하는 스케줄러
    • logratate : 리눅스 시스템에서 로그 파일을 자동으로 관리하고 압축, 백업, 삭제, 로테이션 등을 수행하는 유틸리티
  • 보안 패치 자동화 및 정기 점검 스크립트 배포
profile
AnHyunDong
사진은 남아 추억이 메모는 남아 스펙이 된다
이전 포스트

데이터센터/클라우드(Data Center/Cloud)

0개의 댓글