Cloud Defender
    • PDF

    Cloud Defender

    • PDF

    기사 요약

    도킹 존의 보안 정책을 서비스 형태로 제공하는 Cloud Defender와 이용 중인 네이버 클라우드 플랫폼의 리소스를 모니터링하는 방법을 설명합니다.

    Cloud Defender 준수 현황 확인

    Cloud Defender 화면

    네이버 클라우드 플랫폼 콘솔의 Services > Management & Governance > Control Panel > Cloud Defender 메뉴에서 [Cloud Defender] 탭 메뉴를 클릭하면 Defender 준수현황을 확인할 수 있습니다.
    Cloud Defender 화면은 다음과 같이 구성되어 있습니다.
    cp-defender4

    영역설명
    ① 보안정책Control Panel에서 권고하는 보안 정책 항목
    ② 준수여부보안정책별 준수 여부 표시
    ③ 자세히보기보안정책에 대한 전체 계정의 설정현황 제공

    cp-defender1_ko

    영역설명
    ① 보안 정책 위반 사항보안정책 위반사항 발생 시 빨간색 글씨로 표기, 조치필요
    ② 사용 가이드 연결보안정책 위반사항에 대한 조치방법 가이드 제공

    Cloud Defender 항목 위반 시 조치

    Cloud Defender의 보안 정책을 위반한 상황이 감지되었을 때 조치할 방법을 확인해 주십시오.


    보안 정책별 조치 방법은 다음과 같습니다.

    보안 정책위반 조건조치 방법
    1. 멤버 계정 중 Log와 Audit 역할을 분리해서 운영합니다.없음 (Docking Zone 설정 시 자동 생성)위반 발생 시 고객 문의를 통해 오류 조치
    2. Control Panel의 통보 대상 알림 담당자 변경을 감지합니다.알림 대상자가 설정되지 않음
    1. 콘솔 Services > Management & Governance 클릭
    2. Control Panel 클릭
    3. 하위 메뉴 Notifications 클릭
    4. 우측 상단 [통보대상관리] 메뉴 클릭 (메뉴 클릭 시, Notification Recipient 페이지로 자동 이동)
    5. [대상자 추가] 메뉴 클릭
    6. 대상자 이름 및 정보 입력
    7. [추가] 클릭 시 대상자 생성

    3. Sub Account에 2차 인증옵션을 필수로 설정합니다.없음(금융 클라우드 이용 시 2차 인증 옵션이 필수 설정됨)위반 발생 시 고객 문의를 통해 오류 조치
    4. Sub Account에 SSL VPN 설정을 확인합니다.서브계정의 SSL VPN 발급이 안되었을 시1. 서브 계정 로그인하여 [마이 페이지 > 계정 관리] 클릭
    2. VPN 계정 관리 클릭
    3. SSL VPN 계정 발급을 클릭해 주십시오.
    4. 이메일에서 발급받은 SSL VPN 계정의 아이디와 비밀번호 확인
    5. 새로운 비밀번호 입력
    6. [확인] 버튼 클릭

    5. Sub Account의 비밀 번호는 90일 미만 주기로 변경 필요합니다.비밀번호의 사용 일수가 90일이 넘는 계정 존재
    1. 콘솔 Services > Sub Account 클릭
    2. Sub Accounts 클릭
    3. 비밀번호 사용 일수가 90일이 넘는 계정의 로그인 아이디 클릭
    4. 서브 계정 세부 정보 > [수정] 메뉴 클릭
    5. 하단 로그인 비밀번호 메뉴 > [비밀번호 변경] 클릭
    6. 변경 후 [수정] 클릭
    7. 완료

    6. Sub Account에 Master에 준하는 권한이 설정되지 않도록 확인합니다.Sub Account 계정에 NCP_FIN_ADMINISTRATOR , NCP_FIN_FINANCE_MANAGER, NCP_FIN_INFRA_MANAGER 권한 부여됨
    1. 콘솔 Services > Sub Account 클릭
    2. Sub Account 메뉴 클릭
    3. 권한 조정할 Sub Account의 로그인 아이디 클릭
    4. [정책] 탭 > 삭제할 권한 선택 후 [삭제] 버튼 클릭

    7. Cloud Activity Tracer를 활성화하고 기록을 Object Storage에 보존합니다.Control Panel 이용 시, 서비스계정에서 발생하는 Log가 Object Storage에 자동으로 Export되도록 설정되어있어, 서비스계정이 생성된 이후에는 자동으로 준수됨
    서비스 계정 생성 이후 위반 발생 시 고객문의를 통해 오류 조치

    • 'Tracer 설정'이 'Object Storage 보존 설정 안됨' 으로 변경되는 경우 등
    8. 서버로의 네트워크 접근을 관리합니다.네트워크의 접근 제한이 없음
    • Server 서비스 ACG 기능 및 VPC 서비스의 Network ACL 기능 설정
    • Server의 ACG 기능 설정
      1. Services > Server 클릭
      2. ACG 클릭
      3. Inbound > 허용할 접근 소스 설정
      4. [추가] 클릭
    • Network ACL 규칙 설정
      1. Services > VPC 클릭
      2. Networks ACL 클릭
      3. ACL Rules > 허용할 접근 소스 설정
      9. 서버의 성능 지표 모니터링을 위한 Event Rule을 설정합니다.
    • 서버 생성 이후 Cloud Insight > Event Rule이 설정되지 않음
    • 생성된 서버가 없을 시 Event Rule 설정 불필요하므로 '준수'로 표시됨

    • 1. Services > Management & Governance 클릭
      2. Cloud Insight 클릭
      3. 하위 메뉴 Configuration 클릭
      4. 하위 메뉴 Event Rule 클릭
      5. [Event Rules 생성] 메뉴 클릭
      6. 감시 대상, 항목, 조건, 액션 등 설정
      7. 정보 입력 후 [생성] 클릭

      10. 인프라 확장 시 내 서버 이미지 생성 기능을 활용하여 타 계정으로 빠르게 공유할 수 있도록 합니다.
    • 서버의 이미지가 생성되지 않음
    • 생성된 서버가 없을 시 이미지 생성 불필요하므로 '준수'로 표시됨

    • 1. Services > Compute 클릭
      2. Server 클릭
      3. Server 클릭
      4. 이미지 생성할 서버 선택 > [서버 관리 및 설정 변경] 클릭
      5. [내 서버 이미지 생성] 클릭
      6. 이미지 입력 > [생성] 클릭
      7. 정보 입력 후 [확인] 클릭

      11. 고객의 중요 정보 암호화에 사용된 키를 고객이 설정한 보안 정책에 따라 엄격히 관리하고 안전하게 보호합니다.암호 키 관리 기능을 사용하지 않음
      1. Services > Security 클릭
      2. Key Management Service 클릭
      3. 암호 키 생성 및 회전 주기 설정

      12. 서브 계정에 Key Manager 권한이 설정되지 않도록 관리합니다.서브 계정에 아래 Key Management Service 상품의 Manager 권한 부여됨
      (NCP_FIN_ADMINISTRATOR, NCP_KMS_MANAGER, NCP_INFRA_MANAGER)

      1. 콘솔 Services > Sub Account 클릭
      2. Sub Account 메뉴 클릭
      3. 권한 조정할 Sub Account의 로그인 아이디 클릭
      4. [정책] 탭 > 삭제할 권한 선택 후 [삭제] 버튼 클릭

      13. SSL 인증서를 등록하고 관리합니다.SSL 인증서가 등록되지 않음
      1. Services > Security 클릭
      2. Certificate Manager 클릭
      3. [외부 인증서 등록] 버튼 클릭
      4. Certificate 이름, *.pem 확장자로 인코딩 된 Private Key, Certificate Body, Certificate Chain 입력
      5. [추가] 클릭

      14. 멤버 Log 계정의 Object Storage의 삭제를 감지합니다.Log 계정의 Object Storage 버킷 삭제가 감지됨
      • 해당 항목은 강제 사항이 아니어서 보안 위반에 해당하지 않음
      • 단, 버킷이 삭제되면 삭제 일자가 표시되고, 이후에 새 버킷 생성 시 생성 내역이 표시됨

      서비스 이용 현황 확인

      도킹 존 안에서 이용 중인 네이버 클라우드 플랫폼 서비스들을 확인하는 방법은 다음과 같습니다.

      1. 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Control Panel 메뉴를 차례대로 클릭해 주십시오.
      2. Cloud Defender 메뉴를 클릭해 주십시오.
      3. [서비스 이용 현황] 탭 메뉴를 클릭해 주십시오.
      4. 화면에 표시되는 서비스 목록을 확인해 주십시오.
      5. [콘솔로 이동] 버튼을 클릭하면 해당 서비스의 콘솔 화면이 표시됩니다.

      이 문서가 도움이 되었습니까?

      What's Next
      Changing your password will log you out immediately. Use the new password to log back in.
      First name must have atleast 2 characters. Numbers and special characters are not allowed.
      Last name must have atleast 1 characters. Numbers and special characters are not allowed.
      Enter a valid email
      Enter a valid password
      Your profile has been successfully updated.