스토리지 보안
Storage security스토리지 보안은 데이터 스토리지 시스템과 에코시스템 및 이러한 시스템에 상주하는 데이터의 보안과 관련된 보안의 전문 영역이다.
소개
SNIA(Storage Networking Industry Association)에 따르면 스토리지 보안은 디지털 자산을 보호하고 보호하기 위한 스토리지, 네트워킹 및 보안 분야, 기술 및 방법론의 융합을 상징한다.[1]역사적으로, 스토리지 제품을 보다 안전하게 만드는 벤더 측면과 스토리지 제품을 안전한 방법으로 사용하는 것과 관련된 소비자 측면 모두에 초점을 맞추었다.
- SNIA 사전은 스토리지 보안을 다음과 같이 정의한다.
- 승인되지 않은 사용자와 사용으로부터 스토리지 리소스 및 데이터를 보호하는 무결성, 기밀성 및 가용성 제어를 포함할 수 있는 기술 제어.
- ISO/IEC 27040은 스토리지 보안을 위해 다음과 같은 보다 포괄적인 정의를 제공한다.
- 스토리지 시스템 및 인프라에 저장된 데이터뿐만 아니라 이를 보호하기 위한 물리적, 기술 및 관리 제어의 적용
- 참고 1부터 항목: 스토리지 보안은 허가된 사용자에게 데이터 가용성을 보장하면서 무단 공개, 수정 또는 파괴로부터 데이터(및 해당 스토리지 인프라)를 보호하는 데 중점을 둔다.
- 참고 2는 다음과 같다.이러한 통제는 본질적으로 예방, 탐정, 시정, 억제, 회복 또는 보상일 수 있다.
원칙
이 구간은 확장이 필요하다.덧셈으로 도와줘도 된다.(2017년 5월) |
- 내구성이 뛰어난 미디어에 데이터를 저장해야 함
- 중복 백업이 많을수록 더 좋다.
- 저장장치가 위치한 위치는 도난, 자연재해, 고의파괴 등으로부터 확보해야 한다.
- 사이버 공격 및 악성 프로그램으로부터 보호하기 위해 저장 매체를 인터넷 및 모든 컴퓨터에서 분리해야 함
관련 표준 및 사양
스토리지 시스템 및 에코시스템에 보안을 적용하려면 다음을 포함하되 이에 국한되지 않는 다양한 표준 및 사양에 대한 우수한 실무 지식을 갖추어야 한다.
- ISO 가이드 73:2009, 리스크 관리 — 어휘
- ISO 7498-2:1989, 정보 기술 - 오픈 시스템 상호접속 - 기본 참조 모델 - 제2부: 보안 아키텍처
- ISO 16609:2004, 뱅킹 — 대칭 기법을 사용한 메시지 인증 요구사항
- ISO/PAS 22399:2007, Socialetal Security — 사고 대비 및 운영 연속성 관리를 위한 지침
- ISO/IEC 10116:2006, 정보 기술 - 보안 기술 - n비트 블록 암호에 대한 운영 모드
- ISO/TR 10255:2009, 문서 관리 애플리케이션 — 광디스크 스토리지 기술, 관리 및 표준
- ISO/TR 18492:2005, 전자문서 기반 정보의 장기 보존
- ISO 16175-1:2010, 정보 및 문서 — 전자 사무실 환경의 기록에 대한 원칙 및 기능 요구사항 — 제1부: 원칙 개요 및 설명
- ISO 16175-2:2011, 정보 및 문서 — 전자 사무실 환경의 레코드에 대한 원칙 및 기능 요구사항 — 제2부: 디지털 레코드 관리 시스템의 지침 및 기능 요구사항
- ISO 16175-3:2010, 정보 및 문서 — 전자 사무실 환경의 기록에 대한 원칙 및 기능 요구사항 — 제3부: 비즈니스 시스템의 기록에 대한 지침 및 기능 요구사항
- ISO/IEC 11770(모든 부분), 정보 기술 - 보안 기술 - 키 관리
- ISO/IEC 17826:2012, 정보 기술 — 클라우드 데이터 관리 인터페이스(CDMI)
- ISO/IEC 19790:2006, 정보 기술 - 보안 기술 - 암호화 모듈에 대한 보안 요구사항
- ISO/IEC 24759:2008, 정보 기술 - 보안 기술 - 암호화 모듈에 대한 테스트 요구 사항
- ISO/IEC 24775, 정보 기술 — 스토리지 관리(발표 예정)
- ISO/IEC 27000:2014, 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 개요 및 어휘
- ISO/IEC 27001:2013, 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구사항
- ISO/IEC 27002:2013, 정보 기술 — 보안 기술 — 정보 보안 제어를 위한 실무 지침
- ISO/IEC 27003:2010, 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 구현 지침
- ISO/IEC 27005:2008, 정보 기술 - 보안 기술 - 정보 보안 위험 관리
- ISO/IEC 27031:2011, 정보 기술 - 보안 기술 - 비즈니스 연속성을 위한 정보통신 기술 준비 지침
- ISO/IEC 27033-1:2009, 정보 기술 — 보안 기술 — 네트워크 보안 — Part 1: 개요 및 개념
- ISO/IEC 27033-2, 정보 기술 - 보안 기술 - 네트워크 보안 - 제2부: 네트워크 보안 설계 및 구현 지침
- ISO/IEC 27033-3:2010, 정보 기술 — 보안 기술 — 네트워크 보안 — Part 3: 참조 네트워킹 시나리오 — 위협, 설계 기술 및 제어 문제
- ISO/IEC 27033-4:2014, 정보 기술 - 보안 기술 - 네트워크 보안 - 제4부: 보안 게이트웨이를 이용한 네트워크 간 통신 보안
- ISO/IEC 27037:2012, 정보 기술 - 보안 기술 — 디지털 증거의 식별, 수집, 획득 및 보존에 대한 지침
- ISO/IEC/IEEE 24765-2010, 시스템 및 소프트웨어 엔지니어링 - 어휘
- IEEE 1619-2007, 공유 스토리지 미디어용 와이드 블록 암호화를 위한 IEEE 표준
- IEEE 1619.1-2007, 스토리지 디바이스의 길이 확장을 통한 인증된 암호화를 위한 IEEE 표준
- IEEE 1619.2-2010, IEEE 블록 지향 스토리지 장치의 데이터 암호 보호 표준
- IETF RFC 1813 NFS 버전 3 프로토콜 규격
- IETF RFC 3195 syslog용 신뢰할 수 있는 전송
- IETF RFC 3530 네트워크 파일 시스템(NFS) 버전 4 프로토콜
- IETF RFC 3720 인터넷 소형 컴퓨터 시스템 인터페이스(iSCSI)
- IP를 통한 블록 스토리지 프로토콜 보안 IETF RFC 3723
- IETF RFC 3821 FC Over TCP/IP(FCIP)
- IETF RFC 4303 IP 캡슐화 보안 페이로드(ESP)
- IETF RFC 4595 Fibre Channel Security Association Management Protocol에서 IKEv2 사용
- IETF RFC 5246 TLS 프로토콜 버전 1.2
- IETF RFC 5424 Syslog 프로토콜
- IETF RFC 5425 Syslog용 TLS 전송 매핑
- IETF RFC 5426 UDP를 통한 Syslog 메시지 전송
- IETF RFC 5427 Syslog 관리를 위한 텍스트 규칙
- IETF RFC 5661 네트워크 파일 시스템 버전 4 부 버전 1 프로토콜
- IETF RFC 5663 병렬 NFS(pNFS) 블록/볼륨 레이아웃
- IETF RFC 5848 서명된 Syslog 메시지
- Syslog용 IETF RFC 6012 DTLS(Datagram Transport Layer Security) 전송 매핑
- IETF RFC 6071 IPSec(IPsec) 및 IKE(Internet Key Exchange) 문서 로드맵
- IETF RFC 6587 TCP를 통한 Syslog 메시지 전송
- IETF RFC 7146, IP를 통한 블록 스토리지 프로토콜 보안: IPsec v3에 대한 RFC 3723 요구 사항 업데이트
- ANSI INCITS 400–2004, 정보 기술 — SCSI 객체 기반 스토리지 장치 명령(OSD)
- ANSI INCITS 458–2011, 정보 기술 — SCSI 객체 기반 스토리지 장치 명령 – 2 (OSD-2)
- ANSI INCITS 461–2010, 파이버 채널 — 스위치 패브릭 — 5 (FC-SW-5)
- ANSI INCITS 462–2010, 정보 기술 — 파이버 채널 - 백본 — 5 (FC-BB-5)
- ANSI INCITS 463–2010, 파이버 채널 - 일반 서비스 - 6(FC-GS-6)
- ANSI INCITS 470–2011, 파이버 채널 — 프레임 및 신호-3(FC-FS-3)
- ANSI INCITS 482–2012, 정보 기술 — ATA/ATAPI 명령 집합 — 2 (ACS-2)
- ANSI INCITS 496–2012, 정보 기술 — 파이버 채널 — 보안 프로토콜 — 2 (FC-SP-2)
- ANSI INCITS 512–2013, 정보 기술 — SCSI 블록 명령 — 3 (SBC-3)
- NIST FIPS 140–2, 암호화 모듈에 대한 보안 요구 사항
- NIST FIPS 197, 고급 암호화 표준
- NIST 특별 간행물 800-38A, 블록 암호 모드 운영 권장사항:CBC 모드의 암호문 도용 3가지 변형
- NIST 특별 간행물 800-38C, 블록 암호 모드 운영 권장사항: 인증 및 기밀성을 위한 CCM 모드
- NIST 특별 간행물 800-38D, 블록 암호 모드 운영 권장사항: GCM(Galois/Counter Mode) 및 GMAC
- NIST 특별 간행물 800-38E, 블록 암호 모드 운영 권장사항:스토리지 장치의 기밀성을 위한 XTS-AES 모드
- NIST 특별 간행물 800-57 Part 1 키 관리 권장사항: Part 1: 일반(개정 3)
- NIST 특별 간행물 800-57 Part 2, 키 관리를 위한 권장 사항: Part 2: 키 관리 조직을 위한 모범 사례
- NIST 특별 간행물 800-67, TDEA(Triple Data Encryption Algorithm, TDEA) 블록 암호 권고
- NIST 특별 간행물 800-88 개정판 1, 미디어 삭제 지침, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
- SNIA(Storage Networking Industry Association), SMI-S(Storage Management Initiative – Specification), 버전 1.5, Architecture Book, http://www.snia.org/tech_activities/standards/curr_standards/smi
- SNIA(스토리지 Networking Industry Association), SNIA 기술 포지션:스토리지 시스템용 TLS 규격 v1.0, http://www.snia.org/tls
- Trusted Computing Group, 스토리지 아키텍처 핵심 사양, 버전 2.0, 2011년 11월
- Trusted Computing Group, Storage Security Subsystem Class: Enterprise, Version 1.0, 2011년 1월
- Trusted Computing Group, Storage Security Subsystem Class: Opal, Version 2.0, 2012년 2월
- OASIS, 키 관리 상호운용성 프로토콜 규격(버전 1.2 이상)
- OASIS, 키 관리 상호운용성 프로토콜 프로파일(버전 1.2 이상)
- 권장 ITU-T X.1601(2013), 클라우드 컴퓨팅을 위한 보안 프레임워크
- 권장 ITU-T Y.3500 ISO/IEC 17788:2014, 정보 기술 - 클라우드 컴퓨팅 - 개요 및 어휘
외부 링크
참조
- ^ Eric A. Hibbard; Richard Austin. "Storage Security Professional's Guide to Skills and Knowledge" (PDF). www.snia.org/ssif. SNIA. Retrieved 18 August 2014.