Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

NIST

"마이크로서비스 기반의 앱을 위한 데브섹옵스 구현" NIST 새 가이드

미국 연방정부도 민간 기업과 마찬가지로 클라우드, 데브섹옵스(Devsecops), 그리고 클라우드 네이티브 애플리케이션을 위한 마이크로서비스 기반 아키텍처로 전환하는 중이다. 미국표준기술연구원(NIST)은 업계가 모범사례를 채택할 수 있도록 표준과 가이드를 제공한다.    이를 위해 NIST는 지난 9월 서비스 메시(Service Mesh)를 사용한 마이크로서비스 기반 애플리케이션을 위한 데브섹옵스 구현을 발표했다(800-204C). 이 문서는 데브섹옵스 구현, 그리고 마이크로서비스 아키텍처에 클라우드 네이티브 애플리케이션을 호스팅하기 위한 서비스 메시를 사용한 참조 플랫폼 사용에 관한 포괄적인 가이드다. 이는 현재 초안 형식이며, 전 미공군 최고 소프트웨어 책임자인 니콜라스 챌라인과 서비스 메시 분야 선두업체인 테트레이트(Tetrate)의 협업으로 작성됐다. 이 가이드는 성공적인 데브섹옵스 구현을 위한 구성 요소라고 할 수 있는 프리미티브(primitive) 개념을 사용했다. 데브섹옵스 프리미티브는 민첩한 개발을 위한 마이크로서비스 기반 애플리케이션에 가장 적합하다. 또한 데브섹옵스가 클라우드 네이티브 애플리케이션에 필요한 비즈니스 민첩성 요구사항을 촉진한다는 개념도 지원한다. 다음은 NIST 가이드의 각 세션의 내용을 분석했다.   데브섹옵스 프리미티브 구현을 위한 참조 플랫폼 이 가이드는 컨테이너 오케스트레이션과 관리 플랫폼 맥락에서 참조 플랫폼을 다룬다. 예를 들어 분류된 또는 연결이 끊긴 엄격한 환경(물리적) 또는 AWS, 애저와 같은 클라우드 서비스 제공업체(CSP) 환경과 같은 가상화된 환경 등 물리적 또는 가상 기반 인프라 위에 구축하는 방식이다. 가이드는 컨테이너 오케스트레이션 및 리소스 관리 플랫폼 사용을 권장한다. 가장 인기 있는 오픈소스 컨테이너 오케스트레이션 플랫폼인 쿠버네티스(Kubernetes)가 대표적이다. 쿠버네티스는 컨테이너화된 애플리케이션을 호스팅하는 팟(pod)을 기반으로 물리적 ...

데브섹옵스 NIST Devsecops 2021.10.29

NIST의 EO 위임 소프트웨어 보안 가이드라인, 보안 업계 지각변동 예고

큰 피해를 입힌 공급망 해킹 사건이 잇따라 발생한 이후, 미국 바이든 대통령이 5월 12일 사이버 보안에 대한 광범위한 행정 명령(Executive Order, EO)을 통해 미국 국립표준기술연구소(NIST)에 소프트웨어 보안 문제에 대한 일련의 가이드를 마련하도록 지시했다.    NIST는 첫 EO 지시인 크리티컬 소프트웨어의 정의를 확립해 6월 말 발표했고, 두 번째 지시인 크리티컬 소프트웨어 사용에 관한 보안 대책 가이드 공표는 지난 7월 초 이행했다. NIST는 소프트웨어 보안 유지라는 복잡한 문제에 대처하기 위해 유관 기관으로부터 문서를 받고 2일 동안 워크숍을 열어 업계 및 기타 전문가의 의견을 구했다. NIST는 운영(개발 및 구매 문제는 다루지 않음) 보안 대책에 대한 다음과 같은 4가지 목표를 정의했다.   무단 접근 및 사용으로부터 EO 크리티컬 소프트웨어와 EO 크리티컬 소프트웨어 플랫폼(엔드포인트, 서버, 클라우드 리소스 등 EO 크리티컬 소프트웨어가 실행되는 플랫폼)을 보호한다. 관련 대책에는 다중 요소 인증 사용, 특권 접근 관리 원칙 준수, 경계 보호 기술 사용 등이 포함된다.    EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에 사용되는 데이터의 기밀성, 무결성, 가용성을 보호한다. 관련 대책에는 데이터 인벤토리 유지, 보관 및 전송 중 데이터 보호, 테스트된 복구 계획으로 데이터 백업 등이 포함된다. EO 크리티컬 소프트웨어 플랫폼과 이런 플랫폼에 배포되는 소프트웨어를 식별, 유지해 EO 크리티컬 소프트웨어를 악용으로부터 보호한다. 관련 대책에는 소프트웨어 인벤토리 유지, 패치 관리 계획 수립, 구성 관리 관행 사용 등이 포함된다. EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응하고 복구한다. 관련 대책에는 필요한 로깅 정보 기록, 지속적인 보안 모니터링, 엔드포인트 및 네트워크 보안 보호 사용 등이...

보안가이드라인 NIST EO 2021.07.21

미국 IoT 사이버보안 개선법, 상원 통과

‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면, 기기 제조업체는 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다.    전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조업체들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 따르면, 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 1/3에 달했다.  IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(Edge Access Trojans, EAT)’를 사용해 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다.  지난 9월 미국 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이런 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다.  처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다.  이 법안은 이러한...

사물인터넷 IOT 엣지 2020.11.26

스토리지 구성과 관리의 비결 : 효과적인 사이버 복원 전략 구축 방법

IT 조직이 만연한 보안 위협으로 인한 새로운 도전과제에 대처하기 위해서는 현재 보안에 대한 체계적인 접근 방식이 필요합니다. 선도 기업은 Safeguarded Copy와 같은 혁신적인 스토리지 기술을 채택하고 있습니다. 또한 기존의 매우 효과적인 물리적 에어 갭(air gap) 방식을 활용하여 위협을 근절하고 비즈니스 기대치를 충족시킵니다. 이러한 접근 방식을 실행하는 열쇠는 성공적인 리스크 관리에 있습니다. 기업들은 포괄적인 스토리지 전략을 구축하는 데 도움이 되는 NIST 프레임워크나 리스크 관리 규정과 같은 접근 방식을 활용할 수 있습니다. 증가하는 보안 위협에 대응하기 위한 사이버 복원 솔루션을 구현하는데 스냅샷, 테이프 에어 갭 보호 및 클라우드 오브젝트 스토리지와 같은 기술을 사용할 수 있습니다. 기업이 직면한  위협을 살펴보고 스토리지 인프라가 어떤 역할을 수행해야 하는지, 이를 위한 솔루션은 무엇인지 소개합니다. <10p> 주요 내용 - 글로벌 비즈니스가 직면하고 있는 위협 - 사이버 보안 및 리스크 관리 - NIST 프레임워크: IBM 사이버 복원 라이프사이클의 기반 - 스토리지 인프라의 역할 - 최적의 보안 균형 유지

사이버복원 보안 NIST 2020.07.20

글로벌 칼럼 | "NIST 지침과는 무관한" 최고의 비밀번호 조언

미국 국립표준기술연구소(NIST)가 디지털 신원 가이드라인, 특별판 800-63-3(Digital Identity Guidelines, Special Publication 800-63-3)에서 발표한 통념을 거스르는 비밀번호 정책 권고안은 많은 논란을 불러일으켰다. 이 가이드라인에는 논란의 여지가 없는 인증 정보가 다수 포함되어 있지만, 새 권고안이 심하게 틀렸다고 생각하는 사람도 많다. 필자는 NIST의 비밀번호 정책에 대해 생각하는 바가 변한 것은 사실이다. 그러나 이를 다루기 전에 필자가 최고의 비밀번호 정책 조언이라고 믿는 것을 설명한다.    올바른 비밀번호 정책 방향  컴플라이언스 우려를 가지고 있지 않다면, 일반적인 비밀번호 정책은 다음과 같을 것이다.  - 가급적 다중 인증(Multi-Factor Authentication, MFA)을 이용할 것 - MFA가 가능하지 않은 경우, 특히 보안 도메인 별로 유일하고, 길고, 무작위 비밀번호를 생성한다면, 가급적 비밀번호 관리자(password managers)를 이용할 것  - 비밀번호 관리자가 가능하지 않을 경우, 길고 단순한 패스프레이즈(passphrases)을 사용할 것 - 어떠한 경우라도, 평범한 비밀번호를 사용하지 말 것(예. 'password', 'qwerty' 등). 그리고 다른 사이트에서 비밀번호를 재사용하지 말 것  이 조언에 있어서 문제라면 MFA와 비밀번호 관리자가 모든 사이트에서, 그리고 모든 기기에 걸쳐 사용할 수 있는 것은 아니라는 점이다. 따라서 사용자는 어쩔 수 없이 비밀번호를 사용해야 할 경우가 있다. 비밀번호 관리자가 무작위의 길고 복잡한 비밀번호를 선택한다면, 그리고 일부 기기에서만 유효하고 다른 기기에서 유효하지 않다면, 이는 길고 복잡한 비밀번호를 기억하거나 기록해둬야 한다는 의미다.   NIST가 비밀번호 정책을 바꾼 이유  어찌됐든 사용자는 스스로 ...

비밀번호 NIST 2019.03.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.