Angel's Tear

0.1.1 보안 vs 보호 보안 保安 Security 1. 안전을 유지함 2. 사회의 안녕과 질서를 유지함 보호 保護 Protection 1. 위험이나 곤란 따위가 미치지 아니하도록 잘 보살펴 도움 2. 잘 지켜 원래대로 보존되게 함 0.1.2 정보 보호 vs 정보 보안 정보 보안(Information Security) 컴퓨터/네트워크로 확대, 발전하는 정보환경에서 모든 정보자원(하드웨어, 소프트웨어, 데이터 등)을 위/변조, 유출, 훼손 등과 같은 정보보안 사고로부터 보호하는 것. 기업의 영업비밀이나 개인의 프라이버시를 보호하기 위하여, 위협이 되는 정보의 유출, 도청, 파괴 등의 행위에 대응하는 것 정보보호를 위해 동원되는 수단 정보 보호(Information Protection) 허가되지 않은 접근을 통한 정보의 손상, 변형, 파괴시키는 행위로부터 정보를 보호하고 무결성, 기밀성, 가용성 등의 기능을 제공하는 것 정보가 남용되지 않도록 하는 것(목표) 0.1.3 Availability보안의 3요소(C.I.A) 1. 기밀성(Confidentiality) 허락되지 않은 사용자가 또는 개체가 내용을 알 수 없도록 하는 것.  a. 위협 요소 : 도청, Shulder surfing, 도난 등 b. 적용 기술 : 암호화, 네트워크 트래픽 통제 등 2. 무결성(Integrity) 자산이 인가된 당사자에 의해서, 인가된 방법으로만 변경 가능하도록 하는 것. a. 위협 요소 : 트로이 목마, 바이러스 등 b. 적용 기술 : 전자 서명, 바이러스 백신, hash 함수를 이용한 공개키 3. 가용성(Availability) 자산이 적절한 시간에 인가된 당사자에게 접근 가능해야 하는 것. a. 위협 요소 : Dos, DDoS 공격 등 b. 적용 기술 : 백업, HA 클러스터링 등 0.1.4 보안 위협 요소 1. 해커(또는 크래커) 시스템의 약점을 노려 범죄를 저지르는 사람 시스템에서 정보를 빼내 경쟁사에 돈을 받고 팔기도 하고, ...

1. Why should you use cloud computing? - It increase productivity - It is cost effective and saves time - It is an easy and secure data storage - It is useful for data backup - It has powerful servers - It also has sandboxing capabilities 2. List the three basic clouds in cloud computimg. - Professional Cloud, Performance Cloud, Personal Cloud 3. What are the general characteristics of cloud computing? - Elasticity and scalability - Standardized interfaces - Billing self-service based usage - Self-service provisioning - Automatic de-provisioning 4. What security aspects do you receie along with cloud? - Authentication and authorization - Control of access 5. What are the precautions that a user must consider before going for cloud computing? - Integrity of data - Loss of data - Data storage - Continuity of business - Compliance with rules and regulations - Uptime 6. Can you differentiate between computing for mobiles and cloud computi...

 출처 : https://imgur.com/1fh6eyc

 1. Data 3법이란?  데이터 이용을 활성화하는 「개인정보 보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」,「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)」등 3가지 법룰을 통칭한다.  4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있다. 특히, 신산업 육성을 위해서는 인공지능(AI), 인터넷 기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요하다. 한편 안전한 데이터 이용을 위한 사회적 규범 정립도 시급하다. 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거버넌스) 체계 정비의 두 문제를 해결하기 위해 데이터 3법 개정안이 발의됐다.(’18.11.15)  법률 개정안은 대통령 직속 4차산업혁명위원회 주관으로 관계부처·시민단체·산업계·법조계 등 각계 전문가가 참여한 ‘해커톤’회의 합의결과(’18.2, ’18.4)와 국회 ‘4차산업혁명 특별위원회’의 특별권고사항(’18.5)을 반영한 입법조치다. 시민단체, 산업계, 법조계, 학계 등의 다양한 의견수렴 절차를 거쳐 마련됐다. 법률 개정안 주요 내용 - 데이터 이용 활성화를 위한 가명정보 개념 도입 - 관련 법률의 유사, 중복 규정을 정비하고 추진체계를 일원화하는 등 개인정보 보호 협치(거버넌스) 체계의 효율화 - 데이터 활용에 따른 개인정보 처리자의 책임 강화 - 모호한 ‘개인정보’ 판단 기준의 명확화 2. Data 3법 개정사항 ① 개인정보 보호법 개정안 • 가명정보 도입 등을 통한 데이터 활용 제고 o 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입 o 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용 o 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함 • 동의없이 처리할 수 있는 개...

Open Web Application Security Project. 웹 어플리케이션 보안 분야에서 누구나 자유롭게 이용할 수 있는 기사, 방법론, 문서, 도구, 기술들을 발굴하는 온라인 커뮤니티 OWASP Top10 으로 알려져 있는 가장 중요한 10가지의 웹 어플리케이션 보안 결함 순위를 공개 1. Injection  공격자가 웹 어플리케이션으로 비정상적인 명령어, 쿼리 등을 보내 시스템에 접근할 수 있는 취약점. 공격자는 개발자의 의도와는 다른 접근으로 시스템의 데이터를 변조, 수정, 유출하는 악의적인 행동을 할 수 있다. 대표적으로 SQL Injection 이 있음. - 웹 어플리케이션 로직에서 데이터를 분리 - 데이터 노출을 제한하는 설정을 구현 - 최소 권한의 원칙 2. Broken Authentication(취약한 인증) 인증 및 세션 관리와 관련된 웹 어플리케이션의 기능이 잘못 구현되어 공격자가 암호, 키 또는 세션 토큰을 위험에 노출시키거나 일시적 또는 영구적으로 다른 사용자의 권한을 획득하여 악용하는 취약점. 웹에서 매우 일반적으로 발견할 수 있으며 여러 유형이 존재 Brute force, 약한 암호화 사용, 세션 ID 를 관리하지 않는 경우 - MFA 적용 - 관리자의 경우 기본 자격 증명을 사용하지 않을 것 - 취약한 암호 검사 - 모든 결과에 동일한 메시지 사용(ID 가 올바르지 않습니다 -> X, ID 혹은 Password 가 올바르지 않습니다 -> O) - 로그인 실패시 계정을 제한하거나 지연 - 세션 관리 3. Sensitive Data Exposure(민감한 데이터 노출) 개인 식별 정보 호근 신용 정보가 대표적인 민감 데이터. 웹 어플리케이션마다 중요한 민감 데이터를 취급하고 있을 것이며 이를 올바르게 보호하지 않는다면 공격자에게 노출될 수 있음. 민감한 데이터 노출은 저장되어 있는 데이터일 수도 있고 전송중인 데이터일 수도 있음. 데이터의 평문 전송이 그 예이며, 많...

Category Use cases AWS service Identity & access management Manage user access and encryption keys   AWS Identity & Access Management (IAM) Cloud single-sign-on (SSO) service AWS Single Sign-On Identity management for your apps Amazon Cognito Managed Microsoft Active Directory AWS Directory Service Simple, secure service to share AWS resources AWS Resource Access Manager Central governance and management across AWS accounts AWS Organizations Detection Unified security and compliance center AWS Security Hub Managed threat detection service Amazon GuardDuty Analyze application security Amazon Inspector Record and evaluate configurations of your AWS resources AWS Config Track user activity and API usage AWS CloudTrail Security management for IoT devices AWS IoT Device Defender Infrastructure protection Network security AWS Network Firewall DDoS protection AWS Shield Filter malicious web traffic AWS Web Application Firewall (WAF) Central management of firewall rules AWS Firewal...

1. What is the important cloud security aspects in AWS?  The two critical cloud security aspects in AWS refer to authentication and authorization and access control. Authentication and authorization allow genuine users to access data and applications. On the other hands, access control helps in restricting the access of other users trying to enter the AWS cloud environment.  인증 및 권한 부여 & 접근 제어 인증 및 권한 부여를 통해 데이터와 어플리케이션제 접근이 가능. 접근 제어를 통하여 AWS 클라우드 환경에 진입하려는 비인가자의 접근을 제어 2. What are the important security precautions before migration to AWS cloud?  Data integrity, Data loss, Data storage, Business continuity, Uptime, Compliance with rules and regulations 3. What are the laws implements for security of cloud data?  Data3법(정보통신망법, 개인정보보호법, 신용정보법) + 클라우드 컴퓨팅법 4. What are the infrastructure security on AWS?  AWS facilitates different security capabilities and services for increasing privacy and control over network access. You can find connectivity options for en...