시큐어 구성(Secure Configuration)

개요

조직 보안 태세의 취약점은 안전하지 않은 소프트웨어 구성으로 인한 경우가 많으며 반드시 사용하는 소프트웨어의 디자인 또는 코딩 오류로 인한 것은 아닙니다.’ 안전하지 않은 구성의 예로는 모든 시스템 사용자들이 접근할 수 있도록 기본 설정된 민감한 데이터 파일이나, 기본 설정된 비밀 번호를 사용하는 사전 구성된 관리 계정이 있는 소프트웨어 등을 들 수 있습니다. 오라클의 Secure Configuration 표준은 기본 설정으로 제품 및 서비스가 안전하게 구성되도록 합니다.’

시큐어 구성(Secure Configuration) 요구 사항

오라클 제품과 서비스는 기본 설정으로 안전하게 보호되어야 합니다. 제품과 서비스는 원하는 기능을 수행하기 위해 필수 구성 요소만 설치해야 합니다. 모든 기능들이 운영 환경을 위한 것은 아니며 데모 콘텐츠, 디폴트 계정, 디버그 툴 등이 기본 설정으로 설치되어서는 안됩니다. 이는 일반적으로 공격 표면을 최소화할 수 있도록 합니다. 기본 설정으로 제품 또는 서비스는 안전한 프로토콜 및 알고리즘만 사용해야 합니다.

대부분 오라클 제품들은 다른 제품 또는 구성 요소와 함께 실행됩니다. 예를 들어, 애플리케이션이 데이터베이스를 필요로 한다면, 애플리케이션 개발자들은 어떤 데이터베이스 기능이 필요한지 파악하고 필수 구성 요소만을 포함한 커스텀 설치를 추천해야 합니다. 운영 체제는 모든 애플리케이션들에 필요하지 않는 많은 기능이나 서비스를 포함합니다. 애플리케이션 개발자들은 어떤 서비스가 필요한지 결정하고 그 이외에는 비활성화해야 합니다.

클라우드 시큐어 컨피규레이션(Cloud Secure Configuration)

클라우드 서비스는 특정한 구성이나 소수의 구성으로 구축됩니다. 이 구성의 보안은 개발 팀이 설계 단계에서 계획해야 합니다. 서비스를 구현하는 개발자들은 계획된 구성을 알고 있어야 합니다. 테스트는 이 구성의 제품에서 실행되어야 하며, 운영 환경과 동일한 환경에서 사전 구축 테스트를 실행해야 합니다.

클라우드 개발 팀은 자동화되고 완벽하게 보호되는 구성으로 클라우드 운영 팀에 서비스를 제공해야 합니다. Docker와 자동화된 배포 파이프라인 등과 같은 컨테이너를 사용하는 것은 개발 팀이 이러한 요구 사항을 충족하는 데 도움이 됩니다.

개발자 조직들은 일단의 인스턴스 전반에서 시큐어 구성 기준에 따라 자동화된 방식으로, 효울적이고 일관되며 안정적으로 클라우드 서비스의 보안 구성을 평가할 수 있는 기능을 제공해야 합니다.