본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

KISA4

제로트러스트 가이드라인 1.0 요약 1. 제로트러스트 추진배경 가. 환경변화 -디지털 대전환 가속화로 네트워크 경계 확장 및 다변화 발생 (원격 재택근무, 리소스 위치 다변화, 접속요구시간 및 위치 예측 불가) -복잡한 환경변화로 정보보호 관리의 어려움 증가 -기존 경계보안모델의 한계 도달 나. 기존 경계보안모델의 한계 -내부자에 대한 암묵적 신뢰 기반의 위험 노출 -악성코드, 크리덴셜 스터핑을 통해 내부 침투 후 횡적이동을 통해 시스템 접근하여 권한획득 및 데이터 유출 -기존 보안기술을 개선, 보완한 SIEM, SOAR, XDR 등 운용 - 다양한 악성행위 감시, 정보 유출 등에 한계 도달 다. 미국의 제로트러스트 도입 현황 -2010년, 탈경계화 등 경계기반 보안모델의 한계 극복 시도, 존 킨더백이 제로트러스트 개념 제시 -2013년,.. 2023. 8. 2.

(CSAP) 금융사 CSP 안전성 평가와 비교 1. CSAP (클라우드 서비스 보안 인증) 가. CSAP의 정의 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제23조 제2항에 따라 정보보호 기준의 준수 여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. CSAP의 특징 (공공기관 이용 대상), 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 목적 (민간 클라우드 관리체계), 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 다. CSAP의 근거 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(20.. 2021. 7. 30.

(CSAP) 클라우드 보안 인증제 1. 클라우드 보안인증제의 개요 가. 클라우드 보안인증제의 정의 -클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. 클라우드 보안인증제의 특징 -(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공 -(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보 -(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리 2. 클라우드 보안인증제의 구성 1) 인증 유형 구분 분야 통제항목 IaaS 14개 117개 Sa.. 2021. 4. 11.

(CSAP) 클라우드 보안인증제 확대 (DaaS) 1. CSAP의 DaaS 인증 확대 가. 추진배경 -공공기관의 민간 상용 클라우드 이용이 가능하도록 국가가 사전 점검 및 승인 -행안부의 개방형 OS 도입 전략 수립에 따라 인터넷망 PC대체를 위해 행정 공공기관이 도입 가능한 DaaS에 대한 인증 필요성 대두 나. 정의 -공공기관이 망분리를 위해 기존에 사용하던 인터넷 PC를 대체하기 위해 클라우드 서비스 제공자의 DaaS 서비스를 사전에 점검 인증하는 제도 2. DaaS의 인증 범위 가. DaaS의 인증 범위 나. DaaS의 인증기준 -14개 부문, 110개 통제항목, 209개 세부점검항목 -기 IaaS인증을 획득한 사업자는 IaaS 대피 변경사항을 식별하여 중복 점검기준 도출 후 평가 수행 -인증 유효기간 : 5년 -일부 보안요구사항 삭제 -DaaS.. 2021. 4. 10.

이전 1 다음

티스토리툴바