Security Monitoring 개념

Prev Next

Security Monitoring에서 이용 가능한 각 보안 서비스에 대한 개념을 설명합니다.

보안 서비스 종류

Security Monitoring에서는 아래와 같이 다섯 종류의 보안 서비스를 제공하고 있습니다. 서비스별 제공 기능은 다음과 같습니다.

참고
  • Security Monitoring 개념의 원활한 이해를 위해 다음 용어에 유의해 주십시오.
  • Security Monitoring 개념 학습 전 보안 서비스별 주의 사항도 사전에 반드시 숙지해야 합니다. 보안 서비스별 주의 사항은 Security Monitoring 사용 준비를 참조해 주십시오.

IDS

사용자의 서비스로 인입되는 공격을 실시간 탐지합니다. 24시간 365일 모니터링함으로써 사용자의 서비스가 안전하게 운영될 수 있도록 지원합니다. 제공하는 기능은 다음과 같습니다.

  • 보안 사고 의심 이벤트 발생 시 탐지 및 분석 보고서 전달
  • 최신 공격 위협에 대해서 지속적인 탐지 정책 설정 및 패턴 업데이트 적용
  • 사용자 요청 시 탐지 예외 처리 제공
  • 월간 보고서 제공
참고

IDS 과금 대상은 매일 23:00 기준으로 수집되며 네이버 클라우드 플랫폼 콘솔의 i_menu > Services > Management & Governance > Cloud Activity Tracer > Activities > Daily Use Resouce > 상세에서 확인할 수 있습니다.

Anti-Virus

악성코드를 탐지하고 방어합니다. 사용자가 운영 중인 서버에 악성코드를 실시간으로 탐지하고 격리 및 삭제 조치함으로써 사용자의 서비스가 안정적으로 운영될 수 있도록 지원합니다. Anti-Virus에서 제공하는 기능은 다음과 같습니다.

  • 바이러스, 스파이웨어의 격리 및 삭제
  • 악성코드 의심 이벤트 발생 시 분석 보고서 제공
  • Windows/Linux용 서버 백신 제공
  • 특정 파일 및 폴더에 대한 예외 처리 제공
  • 최신 탐지 패턴 자동 업데이트
  • 네이버 클라우드 플랫폼 콘솔에서 탐지 정보 확인 및 대시보드 제공
  • 월간 보고서 제공
참고

Anti-Virus 백신 패턴은 매일 새벽 1시에 업데이트되며, 실시간 모니터링에 즉시 반영됩니다.

Anti-DDoS

사용자의 서비스로 인입되는 DDoS 공격을 24시간 365일 모니터링하여 탐지 및 차단함으로써 사용자의 서비스가 안정적으로 운영될 수 있도록 지원합니다. Full Packet Analysis 방식으로 빠르고 정확한 공격 탐지가 가능합니다. Anti-DDoS에서 제공하는 기능은 다음과 같습니다.

  • 다단계 필터를 통한 다양한 유형의 DDoS 공격으로부터 보호
  • 사용자별 특화된 보호 대상(Zone)을 생성하여 별도 정책으로 공격을 감지
  • 사용자 특화 공격에 대한 분석 및 차단 룰 생성, 등록을 지원
  • 정상적인 대량 트래픽을 유발하는 Source IP(NAT IP) 별도 관리 및 오탐 방지
  • 학습을 통한 사용자 맞춤형 임계치 설정 제공
  • 월간 보고서 제공

WAF

웹 공격을 전문적으로 탐지하고 방어합니다. HTTP, HTTPS의 웹 기반 트래픽을 모니터링하여 사용자의 웹 서비스로 공격이 인입될 경우 WAF 전용 솔루션을 통해 탐지하고 방어함으로써 즉각적인 대응이 가능하도록 지원합니다. VPC 환경에서 WAF는 Reverse Proxy 방식으로 사용자별 별도의 WAF 플랫폼을 제공하며, 안정적인 서비스를 위해 기본적으로 이중화 구조를 갖추고 있습니다. WAF VM과 사용자 서비스 Load Balancer 간의 통신은 HTTP 80 port 공인 통신을 사용합니다. 위 내용을 토대로 VPC 환경에서의 WAF 서비스 구성을 도식화하면 다음과 같습니다.

sm-waf_vpc_ko

WAF는 기본적으로 탐지 모드와 차단 모드로 운영됩니다. 약 1개월 동안 탐지 모드로 운영한 다음 탐지 이벤트를 분석하여 차단 정책과 차단 모드 변경 일정을 사용자에게 제안하는 방식입니다. 이러한 방식으로 인해 탐지 모드로 운영되는 동안 네이버 클라우드 플랫폼 콘솔에서는 확인되는 로그는 없으며, 차단 모드로 변경된 후 차단된 로그만 제공하게 됩니다. WAF에서 제공하는 기능은 다음과 같습니다.

  • 접근 권한 취약점 탐지 및 차단
  • 암호화 오류 탐지 및 차단
  • 보안 설정 오류 탐지 및 차단
  • 어플리케이션 취약점 탐지 및 차단
  • SSRF, XSS, CSRF, Injection 탐지 및 차단
  • Cookie 변조 및 도용 방지 등 다양한 웹 공격 탐지 및 차단
  • 고객사 환경에 적합한 차단 정책 설정 및 관리
  • IP 및 URL 예외 기능 제공
  • 주기적인 보안 정책 업데이트 제공
  • 네이버 클라우드 플랫폼 콘솔에서 차단 정보 확인 및 대시보드 제공
  • 월간 보고서 제공

IPS

호스트 기반의 Inbound, Outbound 트래픽을 24시간 365일 모니터링하여 의심스러운 활동을 탐지하고 차단하여 사용자의 서비스를 안전하게 운영될 수 있도록 지원합니다. IPS는 기본적으로 탐지 모드와 차단 모드로 운영됩니다. 최초 계약 시 1달 후 차단 모드로 변경되도록 기본 설정이 되며 이는 일정관리 기능을 통해 변경할 수 있습니다. 탐지 모드로 운영되는 동안에는 실질적 차단이 진행되지 않으므로 네이버 클라우드 플랫폼 콘솔에서는 확인되는 로그는 없으며, 차단 모드로 변경된 후 차단 로그를 제공하게 됩니다. IPS에서 제공하는 기능은 다음과 같습니다.

  • 운영체제별, 애플리케이션별, 서버 용도별 맞춤형 탐지 및 차단 정책 기능 제공
  • 가상 패치(virtual patching) 제공을 통해 취약한 버전의 애플리케이션이 패치될 때까지 시스템을 보호하여 제로데이 공격으로부터 VM 보호
  • IPS 탐지 및 차단 정책의 주기적인 업데이트
  • 호스트의 애플리케이션에 대해 주기적인 스캔 및 탐지 정책 적용을 통해 취약점으로부터 VM 보호
  • 네이버 클라우드 플랫폼 콘솔에서 차단 정보 확인 및 대시보드 제공
  • 월간 보고서 제공