[클라우드/접근통제] 클라우드 서비스 외부접속 차단 (CA-02)

클라우드 서비스 외부접속 차단

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 허용한 호스트만 서비스를 사용하게 하여 비인가자의 무단 접근 시도를 예방 하기 위함

■ 보안 위협
- 허용한 호스트만 서비스를 사용하게 하여 비인가자의 무단 접근 시도를 예방 하기 위함

 

 

 

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 허용된 IP에서만 관리 콘솔 및 원격 접속이 가능하도록 제한하고 있는 경우
- 취약 : 허용된 IP에서만 관리 콘솔 및 원격 접속이 가능하도록 제한하고 있지 않은 경우

■ 조치 방법
- 호스트에서 제공하는 방화벽 애플리케이션을 이용하여 서비스 접속 허용 IP 등록

■ 점검 및 조치 방법
VMware ESXi
• 웹 콘솔 접속 IP 제한 설정
Step 1) Web 콘솔 페이지 접속
https://<VMware ESXi IP>
Step 2) 네트워킹 > 방화벽 규칙으로 이동
Step 3) vSphere 웹 클라이언트 “허용된 IP 주소” 확인

Step 4) IP 제한 설정이 적용되어 있지 않은 경우 vSphere Web Client > 설정 편집 > 다음 네트워크의 연결만 허용 선택
Step 5) 접속 허용 IP 입력

• 웹 콘솔 접속 IP 제한 설정
Step 1) Web 콘솔 페이지 접속
https://<VMware ESXi IP>
Step 2) 네트워킹 > 방화벽 규칙으로 이동
Step 3) SSH 서버 “허용된 IP 주소” 확인

Step 4) IP 제한 설정이 적용되어 있지 않은 경우 SSH 서버 > 설정 편집 > 다음 네트워크의 연결만 허용 선택
Step 5) 접속 허용 IP 입력

XenServer, KVM
• IPTables를 통한 접근 통제
Step 1) 호스트 접속
Step 2) IPTables 정책 목록을 통해 접속 IP 제한 설정 확인

Step 3) ssh 원격 접속을 허용된 IP로만 제한

Step 4) IPTables의 변경된 정책 저장 및 서비스 재시작

■ 용어 설명 / 팁
※ TCP Wrapper : 호스트 기반의 네트워킹 ACL(Access Control List) 시스템이다.
※ IPTables : 리눅스 커널 방화벽이 제공하는 테이블들과 그것을 저장하는 체인, 규칙들을 구성할 수 있게 해주는 응용 프로그램
※ FirewallD : Linux 운영 체제를위한 방화벽 관리 도구