PCI 준수를 가속화하기 위한 Deep Security 활용법

게시일: 2016-04-19 l 작성자: Jason Dablow

AWS에서 PCI에 준수하는 새로운 인프라를 구축하거나, 현재 환경을 준수 요건에 충족시키기 위한 시도를 하고 있다면, Deep Security를 활용하여 프로세스를 가속화할 수 있습니다. 이 게시글은 Coalfire의 Meeting PCI Compliance with Deep Security에 추가 정보를 제공하기 위한 목적으로, 다가오는 인증 감사를 위해 빠르게 보안 프레임워크를 적용할 수 있는 방안을 제시합니다. 각 요건을 설명하기 보다, 전체 프로세스를 신속하게 할 수 있는 몇 가지 팁을 공유하고자 합니다.


팁 #1: 기존 컴퓨터 설정을 사용하여 새로운 정책 만들기


일반 다층구조(N-tier architecture)에서 웹 인터페이스 또는 애플리케이션 레이어과 같은 유사 설정 시스템을 보호할 수 있는 가장 빠른 방법을 안내합니다. 하나의 인스턴스에 대한 보안 관리를 생성한 뒤, 유사 기기에 보안 정책으로 적용할 수 있습니다.

결제 애플리케이션을 예로 들어보겠습니다. 이 경우, 웹 또는 프레젠테이션 레이어 및 결제 카드 데이터베이스 서버에 접속해야 합니다. 모든 인스턴스에 백신을 적용하는 기본 정책이 있지만, 해당 레이어 내 보안정책에서 침입 방지 룰을 정의하여, 모든 애플리케이션 인스턴스에 심층패킷분석을 빠르게 실행할 수 있습니다. 이 때, 방화벽 정책을 설정하여 프레젠테이션 티어로부터 정보를 받을 때, 그리고 데이터베이스 티어로 접근을 허가할 때 강력한 규칙이 있어야 합니다.


팁 #2: 이해하기 쉬운 방화벽 명명규칙과 룰셋 사용하기


AWS의 보안 그룹은 PCI에서 요구하는 조건에 맞추어 티어 간의 트래픽을 허용하도록 설정돼야 합니다. 결제 카드 데이터베이스에는 결제 애플리케이션만 접속하도록 해야 합니다. PCI 준수에 따르는 라벨화된 특정 규칙을 생성하여, 이해하기 쉬운 룰셋을 만들어 적용할 수 있습니다.

PCI 방화벽 라벨이 있고 사용 중인 서비스 타입도 볼 수 있기 때문에 보안 정책에 적절한 규칙이 적용되어 있다는 것을 알 수 있습니다. “PCI 서버인가? -> 네, PCI 모든 규칙을 지정하시오.”, “이 애플리케이션이 있습니까? -> 네, 애플리케이션 이름의 모든 규칙을 지정하시오.” 위 스크린샷을 참고해보면, Source와 Destination IP에 적용되는 목록도 있다는 것을 알 수 있습니다.


팁 #3: 목록을 사용하여 룰셋 블로트 제거하기


일반 IP 주소 또는 포트 숫자 정의를 위한 목록을 사용하여, 각 서버와 서비스에 요구되는 규칙의 수를 줄일 수 있습니다. 위 예시를 보면, PCI 환경의 모든 애플리케이션과 데이터베이스를 목록화할 수 있습니다. 목록으로 특정 자산을 구분함으로써, 해당하는 곳만 방화벽 규칙을 적용하여 모든 서버를 포함시킬 수 있습니다. 또한, AWS 상의 PCI 자원을 불러들일 때 특정 부분 망(sub net)을 사용하여 방화벽 규칙을 작업량에 따라 조정할 수 있습니다. 목록의 IP 마스크를 지정한 뒤 AWS의 애플리케이션과 데이터베이스를 사용할 때 부분 망을 이용합니다. 설정해야 할 규칙의 개수가 줄어들어, 관리가 편하고 신속하세 배치할 수 있습니다.


팁 #4: 정책 생성 및 업데이트를 위한 추천 스캔 사용


컴퓨터에서 새로운 정책을 생성할 때 (팁 #1), 해당 기능 사용 여부와 상관 없이, 자동 적용 추천사항 운영을 사용합니다. 신규 인스턴스와 스캔에 추천사항을 자동 적용하기 때문에, 모든 추천사항을 선택하여 적용하지 않아 시간을 절약할 수 있습니다. 이 경우, 해당 애플리케이션 유형의 침입 방지와 통합 모니터링 정책에 대한 기본 보안 모델을 제공합니다.

정책 적용 뒤 설정을 ‘Yes’로 유지하면, 보안을 자동으로 업데이트하기 위해 정책 적용 뒤 설정을 ‘Yes’로 유지하는 것을 추천합니다. 트렌드마이크로에서 새로운 룰셋이 업데이트 되거나, 새로운 애플리케이션 패치 또는 OS 커널이 나올 경우, 설정에 따라 자동 적용되어 보안을 최신으로 유지할 수 있습니다. 이 설정과 함께 주간 추천 스캔을 사용하면, 지속적으로 유지할 필요 없이, 보안을 항상 최신으로 유지할 수 있습니다.

이러한 팁을 잘 활용하여 PCI DSS 인증을 위한 시스템 준수사항 적용 시간을 효과적으로 감소시킬 수 있습니다.

하단 링크를 통해 PCI 준수를 위한 더 많은 사항을 확인하실 수 있습니다.

http://www.trendmicro.com/cloudpci


원문: http://aws.trendmicro.com/acceleratingpci/