클라우드 애플리케이션 보안 정책 자동화와 클라우드 보안 개선

이 문서는 효과적인 애플리케이션 보안 정책 자동화의 과제에 설명 합니다, 그리고 모델 구동형 보안 방법 보안 정책 자동화의 혜택을 설명 하 고 클라우드 응용 프로그램 보안 정책을 자동화 하는 방법을 보여 줍니다. 보안, 클라우드 기술을 사용의 필수 요소 이며 종종 클라우드 기술의 도입을 방해 하는 보안의 부족. 그러나 보안 정책 및 규정 준수 복잡성으로, 그것은 복잡성, 그리고 민첩성 증가, 보안 정책을 보안 구현으로 번역의 작업 더 소모, 반복적인, 비싼, 그리고 오류가, 되 고 쉽게 최종 사용자 조직의 보안 작업 부하를 증가 시킬 수 있습니다. 자동화 도움이 최종 사용자 조직 (그 윤 공급자)이 작업이 부하를 줄일 수 및 정책 구현 정확도 개선 합니다. 이 문서는 특히 흥미로운, 도전 그리고 종종 잊혀진된 주제에 초점을 맞추고: 응용 프로그램 계층의 보안 정책 자동화.

클라우드 애플리케이션 보안 자동화

애플리케이션 보안 정책 자동화는 주로 인간을 이해할 수 있는 보안 요구 사항, 기업 보안 정책, 준수 규정, 모범 사례 등 해당 기술 보안 정책 규칙 및 응용 프로그램 계층에서 구현 하는 구성으로 변환 하는 자동된 프로세스입니다. 사이클의 끝에, 또한 포함 감사 자동화, 예를 들어 응용 프로그램 수준 경고를 수집 하 여 지속적으로 보안 자세를 평가 인간의 이해할 수 있는 보안 및 규정 준수 요구 사항에 매핑합니다.

클라우드 응용 프로그램 보안 정책 분석

응용 프로그램 보안 정책 들은 특히 복잡 한 상호, 서비스 지향 아키텍처 (SOA), 클라우드 애플리케이션 매시업 및 다른 "플러그 앤 플레이" 응용 프로그램 환경 등의 응용 프로그램 패턴을 동적으로 변경 합니다. 고객은 이러한 다양 한 비즈니스 상의 이유로, 뿐만 아니라 이러한 이유로 최소한의 전반적인 유지 보수 노력을 지 원하는 보안 요구 사항에 대 한 응용 프로그램 환경을 채택 한다. 그래서 자동화가 중요 합니다.

보안 자동화는 클라우드를 위한 특히 중요 한 그들은 선행 자본 지출 및 그들의 내부 수동 유지 관리 노력을 줄일 수 얼마나 많은에 따라 컴퓨팅, 클라우드 사용자 요구 클라우드 컴퓨팅으로 대략 동일한 통계의 관점에서 그들의 힘을 측정 하는 동안 준수 정책 관리를 지원 하기 위해 클라우드 공급자.

전반적으로, 응용 프로그램 계층 보안 취약점 스캔, 응용 프로그램 계층 방화벽, 구성 관리, 경보 모니터링 및 분석, 및 소스 코드 분석을 포함 하 여이 문서에서 설명 하는 정책 자동화 보다 훨씬 광범위 한입니다. 응용 프로그램 계층 보안 정책에 밀접 한 작업 id 및 액세스 관리 이다. Id 및 액세스 관리는 종종 사용자 id 관리 보다는 응용 프로그램 보안과 큰 관계를 가진 것으로 볼 수, 하지만 그들은 실제로 매우 응용 프로그램 계층 보안에 관련 된. 이것은 사용자 응용 프로그램에 액세스 하 고 인증, 권한 부여 정책, 액세스 하 고 있는 특정 응용 프로그램에 따라 크게 적용 될 필요 하기 때문에.

이 시점에서 문제 발생:이 권한 부여 정책은 어디에서 나오나요? 누가 기록 하 고이 정책을 유지 한다? 이 정책을 구현 하는 방법? 이 정책을 감사 하는 방법? 이 문제는 또한 응용 프로그램 보안 정책 자동화 및 id 및 액세스 관리를 사용 하 여 만들고 정책 관리 더 시간 절약, 반복, 비싼, 오류가 적용 됩니다.

오늘날의 클라우드 응용 프로그램 보안 정책 자동 배포

전반적으로, 특히 클라우드 기술에 대 한 보안 정책 자동화는 여전히 상대적으로 초기 단계에서입니다. 그것은 주로 id/인증 서비스 (예를 들어 페이스 북 연결) 제공에 집중 한다. 또한 클라우드 기반 보안 서비스 (바이러스 백신 전자 메일 검색, 침입 탐지 시스템 (IDS), 로그 관리), 일부는 직접 관련 되지 응용 프로그램 있다.

이 문서는 서비스 공급자와 응용 프로그램 보안 정책을 자동화에 초점을 맞추고. 얼 리 어댑터에 대 한 몇 가지 배포만 있다: 첫째, objectsecurity 개인 플랫폼 서비스 (PaaS) 클라우드 (Intalio 클라우드 Intalio BPMS로), 클라우드 매시업에 대 한 자사의 OPENPMF 모델 구동형 보안 정책 자동화 제품 통합 원활한 정책 자동화를 제공합니다. 다른 초기 배포 OPENPMF 관련 된 사설 클라우드 및 SOA 사이 회색 지역에서 미국 해군에 적용 됩니다. 그것은 서비스, 그리고 그것은 매우 안전한 환경에서 서비스 가상화 전략을 포함 한다. 모든 경우에 2 개의 최신 사례 연구 섹션에서 논의 됩니다.

또한 다양 한 다른 모델 기반의 자동화 된 배포 보안 정책, 하지만 하지는 구름에 대 한 대부분의 포함 하지 않는 정책 또는 서비스.

응용 프로그램 보안 정책 자동화의 도전

불행히도, 대부분의 경우, 보안 정책 자동화는 보다 쉽게 했다 다. 이 섹션에서는 애플리케이션 보안 정책 자동화 구현 하기 어려운 이유는 이유가 설명 합니다.

정책을 구현 하 고 자동화 하는 그들은 더 많은 사람과 단체를 의미 하기 때문에 더 어려워

많은 오늘날의 보안 도구 (없이 유지 관리), 자동화의 정도 제공 하지만 종속성, 정확성, 및 자동화 타협 수 없습니다: 경우에 따라 자동화 도구 건물 공급 업체는 기본 보안 정책으로 구현 하고자 하는 최종 사용자 조직 알고 전제로. 다른 경우에 제품을 건물의 목적은 시간이 지남에 추론 방식으로 전략을 배울 것입니다. 두 가지 접근법의 단점은 그들은 계획, 없는, 또는 불완전 한 정책을 구현할 수 있습니다 경우에 자체 보안 메커니즘은 그 부분을 재생할 수 있습니다.

이러한 전통적인 보안 자동화는 더 자주 보다 일반적인 보안 도구에 적용, 이러한 도구 조직 관련 정책 필요 하지 않습니다 있으며 지향 기술 시스템 (예, 네트워크 또는 운영 체제 계층)의 기본 수준에와 같은 안티 바이러스, 맬웨어 방지, 네트워크 침입 탐지 시스템, 미리 구성 된 검색 하는 일반적인 응용 프로그램 취약점.

보안 자동화 구현 하 고 보안 정책 감사 조직, 사용자 및 응용 프로그램 내에서 동작을 고려해 야 합니다 구현 하기가 더 어려워집니다. 예를 들어 신용 카드 지불을 처리 하는 조직으로 이러한 정책을 구현 하 고 싶을 "암호화 되지 않은 신용 카드 정보 촬영 해야 합니다 하지는 조직", 및 "그것은 더 이상 사용 중인 신용 카드 정보를 삭제 하는 데 필요한." 또 다른 예는 의료 조직 "의사와 간호사 액세스할 수 있습니다 자신의 현재 환자의 건강 파일 경고 감사 로그를 만들지 않고 법적인 목적 있는 경우에." 포함 하는 전략을 구현 하고자 이러한 복잡 하 고 상황에 맞는 정책 보안 정책, 비즈니스 프로세스, 응용 프로그램 및 응용 프로그램 특정 단체의 상호 작용에 따라 달라 집니다. 이 복잡 하 고 상황에 맞는 정책 이다 최종 사용자 조직 산업 사양 PCI 데이터 보안 표준 또는 PCI DSS 및 건강 보험 이동성 및 책임 법 (HIPAA)을 충족 해야 하기 때문에 일반적으로 구현 됩니다.

정책을 구현 하 고 자동화 더, 더 복잡 한, 더 다재 다능 하 고, 더 세밀 하 고 상황에 맞는 되기 때문에 더 어려워

전통적인 "권한 관리" 이제 분류 id 및 액세스 관리의 일환으로, 그것은 이러한 문제를 보여줍니다: 풍부 하 고, 세분화, 고 컨텍스트 관련 정책 될 때 정책 될 덜 관리 시스템 및 참가자 되 면 더 많은 동적 상호 응용 프로그램 ("민첩성") 진화 하는 때. 권한 부여 정책 모호 하거나 하지 관리 될 수 있다 그래서, 관리 해야 하는 너무 많은, 너무 복잡 한 기술적 보안 규칙 고 정책 구현에 대 한 신뢰 저하 될 수 있습니다. 앞에서 설명 했 듯이, 대답에 질문은:이 권한 부여 정책은 어디에서 나오나요? 누가 기록 하 고이 정책을 유지 한다? 이 정책을 구현 하는 방법? 이 정책을 감사 하는 방법?

정책 자동화 하기 어려워진 IT 패턴 때문에 더 민첩 하 고 (특히 클라우드 매시업) 대 한 상호 연결 구현

클라우드 및 SOA와 같은 민첩 한 응용 프로그램 환경 뒤에 원리의 도입을 지원 하기 위해 자체 권한 부여 관리는 민첩 하 고, 및 자동화 된 관리, 세분화 된, 상황에 맞는으로 이상 있이 필요가 있다. 불행히도, 만들기 및 일관 되 고 정확한 기술 보안 정책 유지 관리 자주와 동적 시스템 변경 얼굴 주요 도전 이다. 이건 동적 변경 (예를 들어, 클라우드 매시업 동적 변화) 구현 기술 정책 때문에 효과적인, 그리고 보안 정책에 대 한 특히 복잡 한 상호 응용 프로그램 패턴을 동적으로 변경 등 SOA, 클라우드 애플리케이션 매시업 및 다른 "플러그 앤 플레이" 응용 프로그램 환경. 이러한 단점 없이 권한 부여 관리를 구현 하 고 모든 보호 된 리소스에 대 한 응용 프로그램 권한 부여 정책 감사 수 있는 핵심 기술 빌딩 블록을 형성 한다. 그것 때문에 다른 역할 (사용자 또는 클라우드 응용 프로그램) 보안 정책에 따라 서로 다른 서비스를 호출을 특정 상황에서 공인 해야 특히 클라우드 매시업에 대 한 클라우드 응용 프로그램 보안의 중요 한 부분입니다. 중요 한 권한 부여 관리 표준 오아시스 확장 액세스 제어 태그 언어 (XACML) 이다.

준수 정책 관련 요구 하며 따라서 가능한 많은 자동화 지원

엔터프라이즈 클라우드 사용자가 필연적으로 필요 합니다 하지 간단 하 고, 낮은 유지 보수 (자동화) 준수 지원을 그들의 클라우드 호스팅 응용 프로그램 및 서비스에 대 한. 이 때문에 많은 응용 프로그램 거래는 종종 조직의 경계에 걸쳐 감사할 필요가 규제 정보 (개인 정보 보호, 건강 정보, 지불 정보), 클라우드. 규정 준수 감사 사용자 (특히 PaaS와 소프트웨어 뿐 아니라 대 한 서비스 인프라) 클라우드로 표시 제한으로 클라우드 사용자에 대 한 고유 책임을 수 없습니다. 따라서, 규정 준수 (예: 보안 정책 관리 및 사고 모니터링) 부분적으로 클라우드 플랫폼에 내장 될 필요가 있다.

블랙 리스트는 더 이상 충분 하기 때문에 화이트 리스트를 채택할 필요가 사용자 전략을 기반으로

이 알림, 블랙 리스트 액세스를 제공 하기 위해 블랙 리스트에 어떤 사람을 말합니다. Whitelist는 whitelist에 사람들에 게 액세스를만 제공 하는 것을 의미 합니다.

모델 구동형 보안 구성 요소

자동화 하기 위해, 일부 알고리즘은 보안 정책 요구 사항 및 정책에 관련 된 것 들 (사용자, 응용 프로그램, 응용 프로그램 상호 연결 및 응용 프로그램 워크플로)를 이해 하 고 기술 보안 정책 구현을 일치를 자동으로 생성할 수 있이 필요가 있다. 모델 구동형 보안 방법 보안 및 준수 정책 관리, 따라서 필요한 보안 정책 자동화의 수준 발전 모델 기반 소프트웨어 개발 접근의 뒤에 추론을 사용 합니다.