해당 과정은 IBM Cloud 초급 과정 마스터하기 youtube영상을 보면서 정리한 내용입니다.
학습목표
IBM 클라우드 데이터 보안
IBM 클라우드 IAM의 이해
IBM 클라우드 네트워크 보안
실습 : 보안 그룹 생성 및 적용
실습 : IAM 액세스 그룹 사용
IBM은 IT security의 top leader이다.
@ 클라우드 보안과 관련된 8가지 요소(빨강색)
| IAM | 사용자 인증과 적절한 관리 다중 관리 및 권한 관리 등이 수행되어야 함 |
| NETWORK 보안 | PUBLIC인 경우 침입/DDOS 공격에 대응할 수 있도록 구성 PUBLIC이 필요 없는 경우 PRIVATE으로만 인터페이스를 구성할 수 있도록 하는 것이 좋음 |
| APPLICATION SECURITY | 사용자 APPPLICATION도 보안 취약성 체크 |
| DATA 보안 | 사용자 DATA가 보호 받고, 이것이 네트워크를 통해 전달 될 때 암호화되어서 전달되어야 함 암호화와 목호화에 사용되는 KEY를 주기적으로 변경하고, 안전한 방식으로 관리하는 것이 중요 |
| DevOps | DevOps 환경에서 안전관리, 패치 관리 등이 중요하다. |
| Monitoring & Intelligence | 끊임없는 보안 모니터링과 업데이트 클라우드 자원 내 로그 분석하여 대비 |
| Goveranace Risk & Compliance | 환경, 업종 등에 따라 governance를 수립하고, 이를 지킬 수 있도록 끊임없이 모니터링 |
| Physical Securty | 물리적인 보안 = 클라우드 사업자가 관리하고 있는 데이터 센터 등을 관리 |
1) Data 보안
누가 관리하는냐에 따라 3가지 패턴으로 구분
① HSM(Hardware Securiy Module)
하드웨어 보안 모듈은 암호화 키를 관리하는 것을 주 목적으로 하고 그 키를 사용하여 암호화 작업을 제공하는 암호화 프로세서
주요 기능 : 키의 생성 및 보관, 암호화 된 형태의 기밀 데이터의 고속 대칭 및 비대칭 암호화 및 백업
② IMB Key Protect
암호화 키를 생성, 저장, 검색 및 관리를 위한 응용 프로그램에서 독립적인 클라우드 기반의 키 관리 구조
암호화된 키는 개발자 또는 관리자의 권한을 가진 사용자만 API에서 열람 가능
③ Idera/R1Soft&Event
IBM 클라우드 백업 솔루션 ( 백업을 할 때도 암호화를 할 수 있다)
Evault라는 암호화 관리 툴에서 암호화할 수 있다.
Veeam이라는 곳에서도 사용 가능하다
④ 블록 & 파일 스토리지
스토리지 스냅 샷 및 복제도 모두 암호화
암호화를 설정하지 않아도 default로 암호화 기능을 제공한다.
⑤ ICOS
IBM 오브젝트 스토리지에서 IBM KEY PROTECT 서비스를 통합하여 BYOK 방식을 통해 지원할 수 있다
* BYOK : Bring Your Own Key : ibm 키가 아니라 고객이 가진 키로 함
==> 고객이 customizing 할 수 있다.
일반적으로 버킷을 만들 때 BYOK 설정이 가능하며, ICOS위의 데이터는 IBM Cloud 관리 데이터 암호화 키가 사용
2) IAM 규정
* 계정 소유자
계정 소유자는 마스터 관리자로 모든 것을 볼 수 있고 변경할 수 있음.
IBM Cloud 계정에 원하는 만큼 사용자를 초대할 수 있음
액세스 관리를 사용하면 어떤 사용자가 계정의 리소스를 보고, 작성하고, 사용 및 관리할 수 있는지 제어할 수 있음
① ID
ID 개념은 사용자 ID, 서비스 및 앱 ID, API 키, 리소스로 구성
| 사용자 | 자신의 IBM ID 또는 SoftLayer 계정 id로 식별 |
| 서비스와 어플리케이션 | 서비스 ID : 서비스와 어플리케이션에 대해 별도의 ID를 제공할 때 유용한 ID 서비스 ID는 계정에서 사용되는 또 다른 유형의 ID로, 서비스와 애플리케이션에 대해 별도의 ID를 제공하기 위해 사용 개별 사용자 인증 정보의 사용이 필요 없도록 IBM CLOUD 서비스에 액세스해야 하는 애플리케이션이 사용할 서비스 ID를 작성할 수 있음 |
| IBM Cloud API 키 | - API 키를 사용하여 사용자 또는 서비스 ID로 API CLI에 인증 가능 - IBM Cloud IAM 키를 사용하여 클래식 인프라 API에 액세스할 수도 있지만 IBM Cloud API 키를 사용하여 동일한 API에 액세스 할 수 있으므로 필수는 아님 |
| IBM Cloud 리소스 | 클라우드 리소스 이름(CRN)으로 식별되는 IBM Cloud 리소스 |
② 액세스 관리
액세스 관리란 사용자, 리소스, 정책, 역할, 조치 및 IBM CLOUD IAM 제어 시스템을 비롯한 몇 가지 상호 관련된 컴포넌트로 구성
이를 통해 사용자는 계정 내의 리소스에 대해 조치를 수행할 수 있음
| 액세스 그룹 | 역할, 동일한 보안 등급별로 그룹을 나누면 편하다 |
| 리소스 | 액세스 그룹처럼 리소스를 묶어서 관리할 수 있다(리소스의 특징별로 묶기) |
| 액세스 정책 | 정책 : 대상에 대한 액세스 범위를 정의하는 속성의 조합으로 하나 이상의 역할을 주체에 지정 액세스 그룹과 리소스를 연결, 즉 액세스 권한을 부여하는 방법! 주체(Subject) : 사용자, 서비스 ID 또는 액세스 그룹 대상 : 액세스가 될 리소스 IAM의 역할은 정책의 대상에 대해 허용되는 조치 또는 액세스 레벨을 정의하는 것 |
| 역할 | 역할(Role) 역할을 사용하여 사용자는 정책에 정의된 리소스에 대해 특정 태스크를 완료할 수 있음 * 플랫폼 관리 역할 플랫폼 레벨에서 리소스를 관리하기 위해 허용되는 조치를 정의 * 서비스 액세스 역할 서비스 사용 컨텍스트 내에서 허용되는 조치를 정의 |
| 조치 | 사용자가 서로 다른 역할에 지정될 때 특정 태스크만 수행할 수 있도록 IBM Cloud IAM 역할에 맵핑 |
3) 네트워크 보안
① 보안그룹
- 가상 서버 인스턴스의 Private 및 Public 인터페이스 모두에 대한 수신 및 발신 트래픽을 처리하는 방법을 정의하는 IP 필터 규칙 세트. 보안그룹에 추가한 규칙을 보안 그룹 규칙이라고 함
- 보안 그룹 규칙에서 명시적으로 허용하는 경우가 아니면 해당 네트워크 컴포넌트에 대한 모든 트래픽이 거부됨
* 인바운드 트래픽
|
|
* 아웃바운드 트래픽
|
|
출처: https://kcmschool.com/77 [web sprit]
+) IAM에서 배운 APP ID 실습을 위한 사이트 URL 정리
단계 1: 서비스 인스턴스 작성
단계 2: 샘플 앱 구성
(클라우드 내 바로 사용할 수 있는 앱이 있다면 그것으로 연결하기)
cloud.ibm.com/docs/appid?topic=appid-web-node
위 링크에서 nodejs로 간단하게 구동하는 방법이 상세히 설명되어 있음
학습한 youtube영상
https://www.youtube.com/watch?v=FwghwaZMRlc&feature=youtu.be
'개발 > IBM C:LOUDERs' 카테고리의 다른 글
| [IBM CLOUDER:S] ELK란? (0) | 2020.12.22 |
|---|---|
| [IBM CLOUDER:S] 10~ 12월 활동 정리 (0) | 2020.12.22 |
| [IBM CLOUDER:S] 대학생을 위한 Academic Initiative & CLOUDER:S 회고록 (0) | 2020.12.21 |
| [IBM CLOUDER:S]Introduction to Containers, Kubernetes, and OpenShift (0) | 2020.12.21 |
| [IBM CLOUDER:S] Building Cloud-Native and Multicloud Applications 뱃지 (0) | 2020.11.23 |