1. 네트워크 분리의 개요
가. (11.1.5 네트워크 분리)의 인증 기준
-CSAP 통제항목 (11.1.5 네트워크 분리)에서 클라우드컴퓨팅서비스 제공자의 관리 영역과 이용자의 서비스 영역, 이용자 간 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리를 하도록 요구하고 있음
나. 네트워크 분리의 특징
-(논리적, 물리적), 서비스 또는 업무에 따라 위험평가 결과를 기반으로 논리적 또는 물리적 분리 적용
-(내부, 외부), 외부에서 접근이 허용되는 네트워크와 허용이 필요하지 않는 차단되는 네트워크 분리
-(접근통제), 각각의 논리적/물리적 분리, 내/외부 분리된 네트워크 간에 접근통제를 통해 최소서비스만 허용
2. 네트워크 분리의 개념도 및 구성요소
가. 네트워크 분리의 개념도
1) IaaS
2) SaaS 표준/간편
나. 네트워크 분리의 구성요소
| 구분 | 설명 |
| DMZ 망 | -외부로부터의 접근이 불가피한 공개서버를 경유하여 내부 업무망으로의 접근이 이루어지지 않도록 접근통제를 수행 |
| DB 망 | -이용자의 중요정보 등 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리 -ISMS 등의 경우에는 WAS도 내부망에 분리 설치 요구 |
| 관리 망 | -서버, 보안장비, 네트워크장비 등 중요 클라우드시스템을 운영하는 인력이 사용하는 네트워크 영역은 별도로 분리 -서비스 제공을 위한 운영 인력은 공공/민간 겸직 가능 (단 공공 클라우드 서비스 제공을 위한 운영인력은 사전에 식별 관리) |
| 개발 망 | -개발업무(개발자PC, 개발서버, 테스트서버 등)에 사용되는 네트워크는 별도망으로 구성 -운영에 사용되는 네트워크와 분리 (단 개발 네트워크는 반드시 공공 IaaS 영역에 존재하지 않아도 가능) |
| 이용자 | -이용자간 서비스 영역은 물리적 또는 논리적으로 분리 |
-민간 영역과 공공 영역 간의 네트워크가 분리되어야 함
-개발 망은 공공 클라우드 서비스를 위한 개발 시스템이 존재하더라도 반드시 CSAP 인증을 받은 IaaS 내에 존재할 필요는 없음
-IaaS의 경우 이용자(테넌트)별로 별도의 가상 네트워크가 구성되어야 함(테넌트 간 동일 네트워크 내에 존재하지 않도록 관리 필요)
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
| (CSAP) 시점별 통제활동 수행을 위한 관리자 역할 (0) | 2021.04.18 |
|---|---|
| (CSAP) 정보보호 관리체계 운영현황 관리 (0) | 2021.04.14 |
| (CSAP) 체계적인 대응을 위한 시점별 통제활동 유형 (0) | 2021.04.11 |
| (CSAP) SDLC 상에서 정보보호 활동 (0) | 2021.04.11 |
| (CSAP) 품질 관리와 정보보호 관리의 비교 (1) (0) | 2021.04.11 |
댓글