Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- aws
- 가이드라인
- 클라우드 보안
- BYOD
- 프로젝트 시작 시
- it성숙도모델
- 휴대용컴퓨터사용자
- siem
- 클라우드
- 관리보안
- 보안가이드
- 외주업무 수행 시
- 보안체크리스트
- GCP
- ISO인증심사
- 위수탁
- usb사용자
- 기업보안담당자
- AI보안
- ISO27001
- 회사제공pc사용자
- 재직자용
- 퇴직자
- 비밀유지서약서
- 금융보안
- OT보안
- 혼자쓰는보고서
- Azure
- 보안서약서
- 스마트공장
Archives
- Today
- Total
정보보안핑(✌’ω’)✌
🧰 솔루션 없이 직접 만드는 클라우드 보안 체크리스트 본문
반응형
CSPM, CIEM, IaC 실무 점검표 만들기
1️⃣ CSPM (Cloud Security Posture Management) 체크리스트 만들기
목표: 잘못된 구성(Misconfiguration)과 설정 변경 탐지
✔ 기본 구성 요소
| 점검 항목 | 설명 | 도구/방법 |
| S3 퍼블릭 접근 차단 | Block Public Access 설정 여부 | AWS CLI / Config Rule |
| Root 계정 MFA 적용 | MFA enabled 여부 | IAM 사용자 목록 확인 |
| 비밀번호 정책 | 최소 길이, 이력, 복잡성 설정 | IAM Policy 검사 |
| Unused Key 삭제 | 90일 이상 미사용 액세스키 존재 여부 | CLI + CloudTrail 로그 |
| CloudTrail 활성화 | 전 계정/리전에 트레일 존재 여부 | aws cloudtrail describe-trails |
| 보안그룹 과다 오픈 | 0.0.0.0/0 허용 여부 | aws ec2 describe-security-groups |
| RDS/S3 암호화 여부 | SSE/KMS 설정 여부 | describe-db-instances / S3 Bucket Encryption 확인 |
✔ 자동화 힌트
- AWS Config + Lambda로 간단한 자동 점검 가능
- GitHub Action + AWS CLI 조합도 추천
2️⃣ CIEM (Cloud Infrastructure Entitlement Management) 체크리스트
목표: IAM 권한 최소화 및 사용 이력 기반 회수
✔ 점검 기준 항목
| 점검 항목 | 설명 | 도구/방법 |
| 사용하지 않는 계정 식별 | 최근 90일 미사용 | IAM + generate-service-last-accessed-details |
| 과도한 권한 보유 정책 | *:* 포함 여부, FullAccess Policy 사용 여부 | list-attached-user-policies + JSON 파싱 |
| IAM 그룹 구성 적절성 | 그룹 역할별 구분, 불필요 그룹 존재 여부 | CLI/콘솔 |
| AssumeRole 정책 사용 현황 | cross-account role 검토 | IAM Role 분석 |
| Inline Policy 존재 여부 | 관리형 정책으로 일원화 여부 | list-user-policies |
| 권한경계(Permission Boundary) 설정 여부 | Role의 권한 제한 설정 확인 | get-role |
✔ 추가 팁
- IAM Access Analyzer는 무료 + 솔루션 대체 가능
- cloudtrail 로그 + Athena로 누가 무엇을 했는지 추출 가능
3️⃣ IaC (Infrastructure as Code) 보안 체크리스트
목표: 코드형 인프라 구성 시점에서 보안 통제 확보
✔ 체크리스트 항목 (Terraform 기준)
| 항목 | 설명 | 도구/방법 |
| State 파일 보호 | remote backend (S3 + DynamoDB lock) 적용 여부 | backend.tf 설정 확인 |
| 하드코딩된 비밀번호/Secret | .tf, .tfvars 내 민감정보 직접기입 여부 | Regex 스캔, git hooks |
| 태그 누락 여부 | 각 리소스에 Owner, CostCenter 등 태그 포함 여부 | terraform validate + custom check |
| 공개 리소스 생성 방지 | S3, SG 등에서 공개 옵션 설정 여부 | Custom linter 또는 정규식 |
| PR Review 프로세스 | Terraform plan 결과 리뷰 후 승인 여부 | GitHub Actions / GitLab CI |
| Drift 감지 | 실제 상태와 선언된 상태 비교 수행 여부 | terraform plan + terraform state |
| 라이센스 스캔 | 사용하는 모듈/라이브러리의 오픈소스 라이센스 확인 | license-checker, SBOM 도구 |
✔ 오픈소스 도구 추천 (솔루션 아닌 방식)
- checkov: IaC 보안 점검 자동화 도구
- tflint, tfsec: Terraform 코드 정적 분석기
- pre-commit + checkov: 커밋 시 자동 점검 수행
🧩 통합 실무 팁: 이 모든 걸 스프레드시트로 관리하려면?
| 항목 | 분류 | 자동화 가능? | 점검 빈도 | 대응 담당자 | 소지여부 |
| S3 퍼블릭 접근 차단 | CSPM | O | 주 1회 | 보안팀 | ✅/❌ |
| FullAccess Policy 사용 여부 | CIEM | △ | 월 1회 | IAM 담당 | ✅/❌ |
| Secret 하드코딩 여부 | IaC | O (정규식) | 매 배포 시 | DevOps | ✅/❌ |
➡ Google Sheets + App Script, 또는 Notion Table + 자동화도 활용 가능해.
✅ 마무리 요약
| 항목 | 체크리스트 예시 |
| CSPM | 구성 오류 탐지: 퍼블릭 접근, 암호화, MFA, Root 계정 사용 |
| CIEM | 권한 과잉 탐지: 미사용 계정, 풀 권한, 그룹 구성 |
| IaC | 코드 보안: 하드코딩, PR 관리, Tag 누락, Drift |
💡 Point: 솔루션이 없어도 정책 + CLI + 간단한 자동화만으로
기본적인 보안 점검과 리스크 관리가 충분히 가능하다!
'IT기술보안' 카테고리의 다른 글
| 🛡️ 국가 망 보안체계(N2SF), 이제는 “망 분리”보다 “정보 흐름”이다 (0) | 2025.03.27 |
|---|---|
| 🔍 안티바이러스, 얼마나 믿을 수 있을까? (0) | 2025.03.27 |
| SOAR vs SIEM vs XDR 비교 (1) | 2024.12.28 |
| SIEM 활용사례 (1) | 2024.12.27 |
| SIEM(Security Information & Event Management) 정의 및 기능, 구축절차, 중요성 (0) | 2024.12.27 |
'IT기술보안' Related Articles
more
