Thanks

중요 자원 접근통제 중요자원(프로그램 설정, 민감한 사용자 데이터 등)을 정의하고 정의된 중요자원에 대한 접근을 통제하는 신뢰할 수 있는 방법(권한 관리 포함) 및 접근 통제 실패 시 대응방안을 설계해야 한다. 보안대책 - 중요자원에 대한 접근통제 정책을 수립하여 적용해야 한다. - 중요기능에 대한 접근통제 정책을 수립하여 정굥해야 한다. - 관리자 페이지에 대한 접근통제 정책을 수립하여 적용해야 한다. 취약점 개요 - 관리자 페이지 노출 관리자 페이지가 인터넷으로 접근 가능할 경우 해당 페이지는 공격자의 주 공격대상으로 SQL삽입, 무차별대입 공격 등 다양한 형태의 공격의 빌미를 제공하게 되는 취약점이다. - SSI 삽입 SSI(Server-side Includes)는 HTML 문서 내 변수 값으로 입..

보안 2022. 8. 30. 00:18

쿠버네티스 컴포넌트 구버네티스를 배포하면 클러스터를 얻음 - 쿠버네티스 클러스터는 컨테이니화된 응용프로그램을 실행하하는 노드라고 불리우는 워커 머신의 집합 - 모든 클러스터는 최소 한개의 워커 노드를 가진다. * 워커노드 실제로 Pod들이 주로 적재되는 노드로써 팟들을 유지 및 런타임 환경을 제공 응용프로그램의 구성요소인 Pad를 호스트(실행) 한다. * 컨트롤 플레인 워커 노드와 클러스터 내 파드를 관리한다. 운영환경에서는 일반적으로 컨트롤 플레인이 여러 컴퓨터에 걸쳐 실행되고 클러스터는 일반적으로 여러 노드를 실행하므로 내결함성과 고가용성이 제공 쿠버네티스 클러스터 구성요소 * 컨트롤 플레인 컴포넌트 - 클러스터에 관한 전반적인 결정(예 : 스케줄링)을 수행하고 클러스터 이벤트( 예 : 디플로이먼트의..

보안/java 2022. 8. 29. 14:04

컨테이너 까지의 정리 전통적인 배포 시대 초기 조직은 애플르케이션을 물리 서버에 배포 물리서의 리소스 한계에 응용프로그램에서 의존하므로 리소스 할당의 문제가 발생 - 하나의 물리적 서버에 여러개의 인스턴스를 실행 하고자 할 때 하나의 인스턴스가 많은 리소스를 차지하면 나머지 인스턴스들은 충분하게 리소스를 할당 받지 못하므로 성능에 문제가 발생하여 서비스 반응 속도가 저하 될 수 있음 가상화된 배포 시대 전통적인 배포 시대의 문제점을 해결하기 위해서 가상화가 도입 단리 물리서버에 CPU에 여러 가상 시스템(VM)을 실행 할 수 있게 지원 가상화를 사용하여 VM간에 응용프로그램을 격리하여 실행되는 응용프로그램 드 간의 자유로운 접근을 제한하여 일정 수준의 보안성을 제공 물리서버보다 리소스를 보다 효율적으로 ..

보안/java 2022. 8. 28. 13:31

인증대상 및 방식 보안대책 - 중요기능이나 리소스에 대해서는 인증 후 사용 정책이 적용되어야 한다 - 안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야 한다. - 중요기능에 대해 2단계(2 factor)인증을 고려해야 한다 취약전 개요 중요기능이나 리소스를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우 중요 정보나 리소스가 노충될 수 있다. 설계 시 고려사항 a. 중요기능이나 리소스에 대해서는 인증 후 사용정책이 적용되어야 한다 분석 단계에 분류된 중요기능에 대해 인증 후 사용 정책이 반드시 적용될 수 있도록 한다 각각의 중요기능에서 인증을 요청하도록 구현하는 것은 쉽지 않다 시스템 설계 시 중요기능을 분류하고 식별된 중요기능에 대해 일괄적으로 인증을 요구..

보안 2022. 8. 27. 21:20

도커와 쿠버네티스는 컨테이너와 오케스트레이선의 약칭 도커 컨테이너는 개발과 테스트를 거쳐 생산 단계로의 애플리케이션 이동 과정을 단순화했다. 도커와 쿠버네티스트는 응용프로그램의 구축 과 배치 방식에 새로운 변화를 가지고 왔다 도커와 쿠버네티스틑 하나의 스택이 아닌 마이크로서비스들의 모음 방식으로 변화 컨테이너 - 리눅스,윈도우 등의 최신 운영체제에서 지원 - 운영체제와 결리되어 있으며 자체완비된 초소형 환경에서 소프트웨어가 실행되게 하는 것이 컨테이너 - VM에 비해 군살이 적고 시작과 중단 속도가 빠르고 유연성과 이동성이 VM보다 뛰어나다 - 몇 초 안에 스핀 업과 다운 그리고 확장이 가능하여 클라우드와 같은 탄력적인 환경에 적합 * 스핀 업과 다운 : 컨테이너의 인스턴스를 뛰우고 다운 시키는 것 - ..

보안/java 2022. 8. 26. 19:12

[KISA Insight 2022 Vol.04] 메타버스와 NFT, 사이버보안 위협 전망 및 분석 가상세계를 구현하는 기술에서 환경으로 발전이 전망되는 메타버스(Metaverse) - 메타버스는 현실 공간의 정보(건물,사무실 내부, 공연장, 미술관 등)를 활용하여 사회 전반의 활동과 생활을 가상세계로 구현하는 기술이며 현실설계와 가상세계를 연결하는 매개체 - 비대면, 온라인 서비스 확대와 디지털 대전환으로 성장하고 있으며, 정보는 메타버스 기술 개발 및 서비스 활성화를 위한 정책을 추진하고 해외 주요 국가에서도 관련 정책을 마련하고 있거나 추진중 - 이와 함께 현실정보를 그대로 담아내어 분석하는 디지털 트윈과 메타버스가 융합되어 큰 시너지를 발휘하여 메타버스 환경으로 발전할 것으로 전망 정체된 토큰 이코..

보안 2022. 8. 20. 10:05

보안설계 기준 정의 및 설계시 고려사항 입력데이터 검증 및 표현 DBMS 조회 및 결과 검증 보안 대책 - 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해랴 한다 - 외부 입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야한다 - 외부 입력값을 이용해 동적으로 SQL질의문을 생성해야 하는 경우 입력값에 대한 검증을 수행한 뒤 사용해야 한다 취약점 개요 데이터 베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우 공격자가 입력 폼 및 URL 입력란에 sQL 질의문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안 취약점을 말한다 설계 시 고려사항 - 애플리케이션에서 DB연결로 데이터를 처리하는 경우 최소 권한이 설정된 계..

보안 2022. 8. 11. 22:20

HTTP 프로토콜 유효성 검증 보안대책 - 외부 입력값을 쿠키 및 http헤더정보로 사용하는 경우 HTTP 응답분활 취약점을 가지지 않도록 필터일해서 사용해야 한다 - 외부 입력값이 페이지이동(리다이렉트 또는 포워드)을 위한 URL로 사용되어야 하는 경우 해당 값은 시스템에서 허용된 URL 목록의 선택자로 사용되도록 해야한다 HTTP 응답분활 - 공격자가 HTTP요청에 삽입한 인자 값이 HTTP응답헤더에 포함되어 사용자에게 다시 전달될 때 개행문자를 이용하여 첫 번째 응답을 종료시키고 두번째 응답에 악의적인 코드가 주입되어 XSS 공격이 가능해 진다 신뢰되지 않은 URL로 자동 접속 연결 - 사용자의 입력값을 외부 사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램에서는 공격자가 사용자를 피싱(Ph..

보안 2022. 8. 11. 22:10