보안 평가 수행은 인프라에 있을 수 있는 취약점을 파악하는 첫 번째 단계입니다. 보안 평가는 보안 감사의 일환이며, 보안 규정 준수를 비롯한 사례와 시스템을 모두 살펴봅니다.
일반적으로 보안 평가는 조직의 물리적 인프라(방화벽, 네트워크, 하드웨어 등)를 검색하여 취약점 및 결함을 식별하는 것을 말합니다. 보안 평가는 보안 감사와 동일하지 않습니다. 보안 감사에는 물리적 인프라에 대한 검토뿐만 아니라 보안 규정 준수를 비롯한 정책 및 표준 운영 절차와 같은 다른 영역도 포함됩니다. 감사를 거친 후에는 시스템 내에서 문제를 해결하는 단계를 결정할 수 있습니다.
보안 감사를 수행하려고 준비할 때 다음과 같이 일반적인 질문을 할 수 있습니다.
- 귀사는 준수 규정을 준수해야 합니까? 그렇다면 어떤 규정을 준수해야 합니까?
- 귀사의 감사 간격은 어떻게 됩니까?
- 귀사의 내부 자체 평가 간격이 어떻게 됩니까?
- 이전 감사 결과에 대한 액세스 권한이 있고 이전 감사 결과를 살펴본 적이 있습니까?
- 귀사의 감사 준비를 돕기 위해 타사 감사 회사를 이용합니까? 그렇다면 해당 회사의 가상화에 대한 설비 수준이 어떻게 됩니까?
- 귀사는 시스템 및 애플리케이션에 대한 취약점 검색을 실행합니까? 언제 얼마나 자주 수행합니까?
- 귀사의 내부적인 사이버 보안 정책은 무엇입니까?
- 감사 로깅이 필요에 맞게 구성되어 있습니까? vSphere의 감사 로깅의 내용을 참조하십시오.
어디서부터 시작해야 하는지에 대한 구체적인 지침이나 방향이 없다면, 다음을 수행하여 vSphere 환경에 대한 보안을 신속하게 시작할 수 있습니다.
- 최신 소프트웨어 및 펌웨어 패치를 통해 환경을 최신 상태로 유지
- 모든 계정에 대해 우수한 암호 관리 및 예방 조치 유지
- 벤더가 승인한 보안 권장 사항 검토
- VMware 보안 구성 가이드 참조(vSphere 보안 제어 참조 참조)
- NIST, ISO 등과 같은 정책 프레임워크에서 언제든지 사용이 가능한 검증된 지침을 사용
- PCI, DISA 및 FedRAMP와 같은 규정 준수 프레임워크의 지침 따르기