- 인쇄
- PDF
Security Monitoring 개념
- 인쇄
- PDF
Classic/VPC 환경에서 이용 가능합니다 .
Security Monitoring에는 Basic 서비스와 Managed 서비스가 있으며, 서비스 구분에 따라 제공하는 기능 및 이용 요금이 상이합니다. Security Monitoring Managed가 플랫폼별로 제공하는 보안 서비스는 다음과 같습니다. 사용자 환경이 VPC인지 Classic인지에 따라 동일한 서비스여도 일부 기능에 차이가 있을 수 있습니다. 이용 중인 플랫폼을 먼저 확인한 후 상세 설명을 참고해 주십시오.
- VPC
- Classic
- Security Monitoring 개념의 원활한 이해를 위해 다음 용어에 유의해 주십시오.
- V1: Classic 환경을 일컫는 약어
- V2: VPC 환경을 일컫는 약어
- Security Monitoring 개념 학습 전 보안 서비스별 주의 사항도 사전에 반드시 숙지해야 합니다. 보안 서비스별 주의 사항은 Security Monitoring 사용 준비를 참고해 주십시오.
VPC
VPC 환경에서 Security Monitoring Managed가 제공하는 IDS, Anti-Virus, Anti-DDoS, WAF, IPS, 침해 사고 기술 지원의 기능을 설명합니다.
IDS(V2)
사용자의 서비스로 인입되는 공격을 실시간 탐지합니다. 24시간 365일 모니터링함으로써 사용자의 서비스가 안전하게 운영될 수 있도록 지원합니다. 제공하는 기능은 다음과 같습니다.
- 보안 사고 의심 이벤트 발생 시 탐지 및 분석 보고서 전달
- 최신 공격 위협에 대해서 지속적인 탐지 정책 설정 및 패턴 업데이트 적용
- 사용자 요청 시 탐지 예외 처리 제공
- 주간, 월간 보고서 제공
Anti-Virus(V2)
악성코드를 탐지하고 방어합니다. 사용자가 운영 중인 서버에 악성코드를 실시간으로 탐지하고 격리 및 삭제 조치함으로써 사용자의 서비스가 안정적으로 운영될 수 있도록 지원합니다. 제공하는 기능은 다음과 같습니다.
- 바이러스,스파이웨어의 격리 및 삭제
- 악성코드 의심 이벤트 발생 시 분석 보고서 제공
- Windows/Linux용 서버 백신 제공
- 특정 파일 및 폴더에 대한 예외 처리 제공
- 최신 탐지 패턴 자동 업데이트
- 네이버 클라우드 플랫폼 콘솔에서 탐지 정보 확인 및 대시보드 제공
- 주간, 월간 보고서 제공
Anti-Virus 백신 패턴은 매일 새벽 1시에 업데이트되며, 실시간 모니터링에 즉시 반영됩니다.
Anti-DDoS(V2)
사용자의 서비스로 인입되는 DDoS 공격을 24시간 365일 모니터링하여 탐지 및 차단함으로써 사용자의 서비스가 안정적으로 운영될 수 있도록 지원합니다. Full Packet Analysis 방식으로 빠르고 정확한 공격 탐지가 가능합니다. 제공하는 기능은 다음과 같습니다.
- 다단계 필터를 통한 다양한 유형의 DDoS 공격으로부터 보호
- 사용자별 특화된 보호 대상(Zone)을 생성하여 별도 정책으로 공격을 감지
- 사용자 특화 공격에 대한 분석 및 차단 룰 생성, 등록을 지원
- 정상적인 대량 트래픽을 유발하는 Source IP(NAT IP) 별도 관리 및 오탐 방지
- 학습을 통한 사용자 맞춤형 임계치 설정 제공
- 주간, 월간 보고서 제공
WAF(V2)
웹 공격을 전문적으로 탐지하고 방어합니다. HTTP, HTTPS의 웹 기반 트래픽을 모니터링하여 사용자의 웹 서비스로 공격이 인입될 경우 WAF 전용 솔루션을 통해 탐지하고 방어함으로써 즉각적인 대응이 가능하도록 지원합니다. VPC 환경에서 WAF는 Reverse Proxy 방식으로 사용자별 별도의 WAF 플랫폼을 제공하며, 안정적인 서비스를 위해 기본적으로 이중화 구조를 갖추고 있습니다. WAF VM과 사용자 서비스 Load Balancer 간의 통신은 HTTP 80 port 공인 통신을 사용합니다.
위 내용을 토대로 VPC 환경에서의 WAF 서비스 구성을 도식화하면 다음과 같습니다.
WAF는 기본적으로 탐지 모드와 차단 모드로 운영됩니다. 약 1개월 동안 탐지 모드로 운영한 다음 탐지 이벤트를 분석하여 차단 정책과 차단 모드 변경 일정을 사용자에게 제안하는 방식입니다. 이러한 방식으로 인해 탐지 모드로 운영되는 동안 네이버 클라우드 플랫폼 콘솔에서는 확인되는 로그는 없으며, 차단 모드로 변경된 후 차단된 로그만 제공하게 됩니다.
WAF에서 제공하는 기능은 다음과 같습니다.
- 접근 권한 취약점 탐지 및 차단
- 암호화 오류 탐지 및 차단
- 보안 설정 오류 탐지 및 차단
- 어플리케이션 취약점 탐지 및 차단
- SSRF, XSS, CSRF, Injection 탐지 및 차단
- Cookie 변조 및 도용 방지 등 다양한 웹 공격 탐지 및 차단
- 고객사 환경에 적합한 차단 정책 설정 및 관리
- IP 및 URL 예외 기능 제공
- 주기적인 보안 정책 업데이트 제공
- 네이버 클라우드 플랫폼 콘솔에서 차단 정보 확인 및 대시보드 제공
- 주간, 월간 보고서 제공
IPS(V2)
호스트 기반의 Inbound, Outbound 트래픽을 24시간 365일 모니터링하여 의심스러운 활동을 탐지하고 차단하여 사용자의 서비스를 안전하게 운영될 수 있도록 지원합니다. IPS는 기본적으로 탐지 모드와 차단 모드로 운영됩니다. 약 1개월 동안 탐지 모드로 운영한 다음 탐지 이벤트를 분석하여 차단 정책과 차단 모드 변경 일정을 사용자에게 제안하는 방식입니다. 이러한 방식으로 인해 탐지 모드로 운영되는 동안 네이버 클라우드 플랫폼 콘솔에서는 확인되는 로그는 없으며, 차단 모드로 변경된 후 차단된 로그만 제공하게 됩니다.
IPS에서 제공하는 기능은 다음과 같습니다.
- 운영체제별, 애플리케이션별, 서버 용도별 맞춤형 탐지 및 차단 정책 기능 제공
- 가상 패치(virtual patching) 제공을 통해 취약한 버전의 애플리케이션이 패치될 때까지 시스템을 보호하여 제로데이 공격으로부터 VM 보호
- IPS 탐지 및 차단 정책의 주기적인 업데이트
- 호스트의 애플리케이션에 대해 주기적인 스캔 및 탐지 정책 적용을 통해 취약점으로부터 VM 보호
- 네이버 클라우드 플랫폼 콘솔에서 차단 정보 확인 및 대시보드 제공
- 주간, 월간 보고서 제공
Classic
Classic 환경에서 Security Monitoring Managed가 제공하는 IDS, Anti-Virus, Anti-DDoS, WAF, IPS, 침해 사고 기술 지원의 기능을 설명합니다.
IDS(V1)
VPC 환경의 IDS 지원 내용과 동일합니다. 이 페이지의 VPC > IDS(V2)를 참고해 주십시오.
Anti-Virus(V1)
VPC 환경의 Anti-Virus 지원 내용과 동일합니다. 이 페이지의 VPC > Anti-Virus(V2)를 참고해 주십시오.
Anti-DDoS(V1)
VPC 환경의 Anti-DDoS 지원 내용과 동일합니다. 이 페이지의 VPC > Anti-DDoS(V2)를 참고해 주십시오.
WAF(V1)
웹 공격을 전문적으로 탐지하고 방어합니다. HTTP, HTTPS의 웹 기반 트래픽을 모니터링하여 사용자의 웹 서비스로 공격이 인입될 경우 WAF 전용 솔루션을 통해 탐지하고 방어함으로써 즉각적인 대응이 가능하도록 지원합니다. WAF는 기본적으로 탐지 모드와 차단 모드로 운영됩니다. 약 1개월 동안 탐지 모드로 운영한 다음 탐지 이벤트를 분석하여 차단 정책과 차단 모드 변경 일정을 사용자에게 제안하는 방식입니다. 이러한 방식으로 인해 탐지 모드로 운영되는 동안 네이버 클라우드 플랫폼 콘솔에서는 확인되는 로그는 없으며, 차단 모드로 변경된 후 차단된 로그만 제공하게 됩니다.
WAF에서 제공하는 기능은 다음과 같습니다.
- 접근 권한 취약점 탐지 및 차단
- 암호화 오류 탐지 및 차단
- 보안 설정 오류 탐지 및 차단
- 어플리케이션 취약점 탐지 및 차단
- SSRF, XSS, CSRF, Injection 탐지 및 차단
- Cookie 변조 및 도용 방지 등 다양한 웹 공격 탐지 및 차단
- 고객사 환경에 적합한 차단 정책 설정 및 관리
- IP 및 URL 예외 기능 제공
- 주기적인 보안 정책 업데이트 제공
- 네이버 클라우드 플랫폼 콘솔에서 차단 정보 확인 및 대시보드 제공
- 주간, 월간 보고서 제공
IPS(V1)
네트워크 기반의 Inbound, Outbound 트래픽을 24시간 365일 모니터링하여 의심스러운 활동을 탐지하고 차단하여 사용자의 서비스를 안전하게 운영될 수 있도록 지원합니다. IPS는 기본적으로 탐지 모드와 차단 모드로 운영됩니다. 약 1개월 동안 탐지 모드로 운영한 다음 탐지 이벤트를 분석하여 차단 정책과 차단 모드 변경 일정을 사용자에게 제안하는 방식입니다. 이러한 방식으로 인해 탐지 모드로 운영되는 동안 네이버 클라우드 플랫폼 콘솔에서는 확인되는 로그는 없으며, 차단 모드로 변경된 후 차단된 로그만 제공하게 됩니다.
IPS에서 제공하는 기능은 다음과 같습니다.
- 실시간 트래픽 분석을 통해서 악의적인 유해 트래픽 탐지 차단
- 사용자별 차단 정책 제공
- 시그니처 기반 방어
- Application 방어
- 프로토콜 기반 방어
- 도메인 차단
- 유해 사이트/URL 기반 차단
- 패턴 기반의 차단 예외 처리 제공
- IP 차단 예외 처리 제공
- IPS 탐지 및 차단 정책의 주기적인 업데이트
- 네이버 클라우드 플랫폼 콘솔에서 차단 정보 확인 및 대시보드 제공
- 주간, 월간 보고서 제공