오픈스택 적용 시 보안 강화 위한 사례·가이드·권고안 제공
[보안뉴스 김태형] 전 세계적으로 많은 사용자가 이용하고 있는 클라우드 컴퓨팅 오픈소스인 오픈스택 버전이 업그레이드됨에 따라 보안문제도 중요한 이슈로 떠오르고 있다.

이러한 가운데 오픈스택 보안그룹에서 오픈스택 적용 시 보안을 강화하기 위한 보안 모범사례, 가이드 및 권고안을 제공하며, 다양한 환경에서 오픈스택을 안전하게 적용하도록 구성된 오픈스택 보안관련 전문서적이 출간돼 화제다.

‘오픈스택 파운데이션’의 번역 출판본인 ‘클라우드 컴퓨팅을 위한 오픈스택 보안 가이드’는 국내 보안 분야에서 권위 있는 저자가 참여했으며, 오픈스택 보안 가이드를 국내 실정에 맞도록 수정, 추가했다.

오픈스택은 IaaS 형태의 클라우드 컴퓨팅 오픈소스 프로젝트다. 2012년 창설된 비영리 단체인 OpenStack Foundation에서 유지, 보수하고 있으며 아파치 라이선스 하에 배포된다. 프로세싱, 저장공간, 네트워킹의 가용자원을 제어하는 목적의 여러 하위 프로젝트로 이루어져 있다.

대시 보드 프로젝트는 다른 하위 프로젝트의 운영 제어를 웹 인터페이스를 통해 담당한다. 오픈스택 커뮤니티는 6개월의 릴리즈 사이클로 개발을 진행하고 있다. 매 사이클의 기획단계에서는 OpenStack Design Summit을 개최해 개발자 작업을 지원하고, 로드맵을 설정하고 있다.

이 책은 클라우드 서비스 제공자나 이용자가 보안성을 점검할 때 필요한 사항을 놓치지 않고 살필 수 있도록 구성했다.
[도서정보]
저자 : 한근희, 이경환, 이정근 _ 공저/역 출판 : 인포더북스
판형 : 185×245mm
페이지 : 352쪽
가격 : 28,000원 

[저자 소개]
한근희 _ 고려대학교 융합소프트웨어전문대학원 교수
·서울과학기술대학교 컴퓨터학과 졸업
·한양대학교 공학대학원 암호키관리기술 연구 석사
·고려대학교 대학원 통합보안관리시스템의 성능 개선 및 개량 방안 연구 박사
·KIST SERI에서 근무
·데이콤에서 인터넷기술 담당
·한시큐어 통합보안시스템 사업 창출, 안철수연구소와의 합병 진행
·행정자치부에서 보안정책 기획 및 실행 등 담당
·안전행정부와 정부통합전산센터에서 CC·G-ISMS·Secure Coding·보안수준평가·정보보호 및 개인정보보호 실태조사 등의 과업 수행, 정책·제도·법규 등 마련
·2013년 고려대학교 ITRC 산학교수로 부임, SW산업 육성을 위한 소프트웨어 안전성 확보 방안 마련

이경환 _ 솔트웨어주식회사 CTO
·연세대학교 공과대학 건축공학 졸업
·연세대학교 공학대학원 컴퓨터공학 졸업
·Certified Information Systems Security Professional
·Certified Ethical Hacker

[목차]
01. 감사의 말
02. 목적과 방법 _ 목적 | 방법
03. OpenStack 개요 _ 클라우드 유형 | OpenStack 서비스 개요
04. 보안 경계와 위협 _ 보안 도메인 | 보안 도메인 브릿지 | 위협 분류, 액터 및 공격 벡터
05. 사례 연구 개요 _ 사례 연구: 앨리스, 사설 클라우드 구축자 | 사례 연구: 밥, 공공 클라우드 공급자
06. 시스템 문서 요구사항 _ 시스템 역할 및 유형 | 시스템 인벤토리 | 네트워크 토폴로지 | 서비스, 프로토콜 및 포트
07. 사례 연구: 시스템 문서 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
08. 관리 개요
09. 지속적인 시스템 관리 _ 취약성 관리 | 형상 관리 | 안전한 백업 및 복구 | 보안 감사 툴
10. 무결성 라이프사이클 _ 안전한 부트스트랩 | 런타임 검증
11. 관리 인터페이스 _ 대시보드 | OpenStack API| SSH(Secure Shell) | 관리 유틸리티 | 대역외 관리 인터페이스
12. 사례 연구: 관리 인터페이스 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
13. SSL/TLS 개요 _ 인증 기관 | SSL/TLS 라이브러리 | 암호 알고리즘, 사이퍼 모드 및 프로토콜 | 요약
14. 사례 연구: PKI 및 인증서 관리 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
15. SSL 프록시 및 HTTP 서비스 _ 예제 | HSTS (HTTP Strict Transport Security)
16. API 엔드포인트 구성 권고안 _ 내부 API 통신 | Paste 및 미들웨어 | API 엔드포인트 프로세스 분리 및 정책
17. 사례 연구: API 엔드포인트 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
18. 아이덴티티 _ 인증 | 인증 방법 | 인가 | 정책 | 토큰 | 미래
19. 대시보드 _ 기본 웹 서버 구성 | HTTPS | HSTS(HTTP Strict Transport Security) | 프론트엔드 캐싱 | 도메인 이름 | 정적 미디어 | 비밀 키 | 세션 백엔드 | 허용된 호스트 | 쿠키 | 패스워드 자동 완성 | CSRF(Cross Site Request Forgery) | XSS(Cross Site Scripting)CORS (Cross Origin Resource Sharing) | Horizon 이미지 업로드 | 업그레이드 | 디버거
20. 컴퓨트 _ 가상 콘솔 선택
21. 오브젝트 스토리지 _ 안전화할 첫번째 대상 - 네트워크 | 서비스 안전화 - 일반 | 스토리지 서비스 안전화 | 프록시 서비스 안전화 | 오브젝트 스토리지 인증 | 다른 주요 항목
22. 사례 연구: 아이덴티티 관리 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
23. 네트워킹 상태
24. 네트워킹 아키텍처 _ 물리적 서버에 OS 네트워킹 서비스 위치
25. 네트워킹 서비스 _ VLANs과 터널링을 사용하여 Layer 2 격리 | 네트워크 서비스 | 네트워크 서비스 확장 | 네트워킹 서비스 제한
26. OpenStack 네트워킹 서비스 안전화 _ OpenStack 네트워킹 서비스 구성
27. 네트워킹 서비스 보안 모범 사례 _ 테넌트 네트워크 서비스 워크플로우 | 네트워킹 자원 정책 엔진 | 보안 그룹 | 쿼터
28. 사례 연구: 네트워킹 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
29. 메시지 큐잉 아키텍처
30. 메시징 보안 _ 메시징 전송 보안 | 큐 인증 및 접근 통제 | 메시지 큐 프로세스 격리와 정책
31. 사례 연구: 메시징 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
32. 데이터베이스 백엔드 고려사항 _ 데이터베이스 백엔드의 보안 참조
33. 데이터베이스 접근 통제 _ OpenStack 데이터베이스 접근 모델 | 데이터베이스 인증 및 접근 통제 | 필요 SSL 전송에 필요 사용자 계정 | X.509 인증서로 인증 | OpenStack 서비스 데이터베이스 구성 | Nova Conductor
34. 데이터베이스 전송 보안 _ 데이터베이스 서버 IP 주소 바인딩 | 데이터베이스 전송 | MySQL SSL 구성 | PostgreSQL SSL 구성
35. 사례 연구 : 데이터베이스 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
36. 데이터 프라이버시 고려사항 _ 데이터 레지던시 | 데이터 파기
37. 데이터 암호화 _ 오브젝트 스토리지 객체 | 블록 스토리지 볼륨 및 인스턴스 단기 파일시스템 | 네트워크 데이터
38. 키 관리 : 참조
39. 사례 연구: 테넌트 데이터 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
40. 하이퍼바이저 선택 _ OpenStack에서 가상화 | 선택 기준
41. 가상화 계층 강화 _ 물리적 하드웨어(PCI Passthrough) | 가상 하드웨어(QEMU) | sVirt: SELinux + 가상화
42. 사례 연구: 인스턴스 격리 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
43. 인스턴스 보안 서비스 _  인스턴스 엔트로피 | 노드에 인스턴스 스케줄링 | 신뢰된 이미지 | 인스턴스 마이그레이션
44. 사례 연구: 인스턴스 관리 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
45. 포렌식과 사고 대응 _ 사용 사례 모니터링 | 참조
46. 사례 연구: 모니터링 및 로깅 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
47. 컴플라이언스 개요 _ 보안 원칙
48. 감사 프로세스 이해 _ 감사 범위 결정 | 내부 감사 | 외부 감사 준비 | 외부 감사 | 컴플라이언스 유지보수
49. 컴플라이언스 활동 _ ISMS (Information Security Management System) | 위험 평가 | 접근 및 로그 리뷰 | 백업 및 재해 복구| 보안 교육 | 보안 리뷰 | 취약성 관리 | 데이터 분류화 | 예외처리 프로세스
50. 인증서 및 컴플라이언스 _ 상용 표준 | SOC 3 | ISO 27001/2 | HIPAA/HITECH | PCI-DSS | 미국연방정부 표준
51. 프라이버시
52. 사례 연구 : 컴플라이언스 _ 앨리스의 사설 클라우드 | 밥의 공공 클라우드
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>