가상화 보안관리지침은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨
제1조(목적)
이 지침은 주식회사 팀모노리스의 ‘정보보호정책서’에 의거 구성원의 가상화 보안관리에 필요한 사항을 규정함을 목적으로 한다.
제2조(적용 범위)
이 지침은 주식회사 팀모노리스의 클라우드 컴퓨팅 서비스 업무에 종사하는 임직원 및 고객사명과 계약을 맺어 클라우드 컴퓨팅 서비스 업무 외부 업체 직원 모두에게 적용된다.
제3조(용어 정의)
이 지침에서 사용되는 용어 정의는 다음 각 호와 같다.
“악성코드”이라 함은 컴퓨터 바이러스와 달리 다른 파일을 감염시키지는 않지만, 악의적인 용도로 사용될 수 있는 유해 프로그램을 말한다.
“가상자원”이라 함은 가상화 기술을 활용하여 서버, 네트워크, 스토리지 등 논리적으로 생성된 자원을 말한다.
제4조(공개 서버 보안)
① 공개 서버(웹서버, 메일서버, 배포 서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다.
② 공개 서버(웹서버, 메일서버, 배포 서버 등)는 Public 영역에 설치하고 공개 서버가 침해 당하더라도 공개 서버를 통한 내부 네트워크 침입이 불가능하도록 접근통제정책을 적용하여야 한다.
③ 웹서버의 경우 최소한 연 1회 웹 취약점을 주기적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다.
제5조(악성코드 통제)
① 바이러스, 웜, 트로이목마 등의 악성코드로부터 가상 환경을 보호하기 위한 다양한 클라우드 기반 보안 서비스(예: 웹 방화벽, 백신 등)를 도입하여 적용하여야 한다.
② 이상 징후가 발견되는 경우 인프라 담당자는 바이러스, 웜, 트로이목마 등 악성코드가 다른 시스템에 전파되었는지 점검하여야 한다.
③ 이상 징후 발견 시 이용자에게 통지하고 사용 중지 및 격리 조치를 수행하여야 하며, 심각도에 따라 침해사고 처리 절차를 준용하여 대응하여야 한다.
제6조(데이터 이전)
① 이용자의 데이터 이전 시 안전한 이전을 위하여 VPN 기능을 제공하여야 한다.
② VPN에서 사용되는 암호알고리즘 및 암호 키는 안전성이 확보된 메커니즘을 적용하여야 한다.
제7조(주요 정보처리설비 이중화)
① 가상 환경 내에 출처, 유통경로 및 제작자가 명확하지 않은 소프트웨어의 설치를 방지하여야 한다.
② 설치된 소프트웨어에 대해서는 주기적으로 보안 패치 및 업데이트가 수행되어야 한다.
③ 불법 소프트웨어 설치 및 사용 여부에 대하여 주기적으로 점검하여야 한다.
제8조(가상 자원 관리)
① 가상 자원(가상 머신, 가상 스토리지, 가상 소프트웨어 등) 사용 목록을 유지하고 관리하여야 한다.
② 가상 자원의 생성, 변경, 회수 등에 대한 승인, 책임 추적성 확보 방안 및 주기적 점검 등 가상 자원의 유형에 따른 생성, 변경, 회수 등의 생명주기에 따른 관리 방안을 수립하여야 한다. 단, 가상자원을 관리하는 자와 가상자원 관리 적절성에 대한 주기적인 점검하는 자는 분리되어야 한다.
③ 가상 자원 간의 접근통제 기술적 수단을 마련하여야 한다. 단, 자체적으로 수행할 수 없는 경우 외부 기관 또는 전문업체에 위탁할 수 있다.
④ 가상 자원에 대해 상용 운용성 및 이식성을 높이기 위한 가능한 다음 각 호와 같은 조치를 취하여야 한다.
⑤ 이용자와의 계약종료 시 데이터 이관, 삭제 등 가상자원 처분 방안 및 처분 결과에 관한 보증 방안을 마련하여야 한다.
⑥ 클라우드 서비스 제공하기 위해 가상자원을 관리하기 위한 담당자(운영담당자)를 지정하여야 한다.
제9조(가상 환경 보호)
① 가상 환경(가상 PC, 가상 서버, 가상 소프트웨어 등) 접속을 위한 인터페이스 및 API에 대해 접근통제, 보안성 검토 등의 보호 방안을 마련하여야 한다.
② 클라우드 컴퓨팅 서비스를 위한 가상 환경에 접근 가능한 인터페이스를 보호하고, 해당 인터페이스를 통한 통신도 보호하여야 하며 다음 항목이 고려되어야 한다.