08. 가상화보안관리지침 편집하기

__NOTOC__

<div style="border:2px solid #888; padding:20px; background-color:#f9f9f9; border-radius:8px;">


== 제1장 총칙 ==

=== 제1조 (목적) ===
이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호 정책서」에 의거  
구성원의 가상화 보안관리에 필요한 사항을 규정함을 목적으로 한다.

=== 제2조 (적용범위) ===
이 지침은 회사의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및  
회사와 계약을 맺어 클라우드컴퓨팅서비스 업무를 수행하는 외부업체 직원 모두에게 적용된다.

=== 제3조 (용어 정의) ===
“악성코드”라 함은 컴퓨터바이러스와 달리 다른 파일을 감염시키지는 않지만,  
악의적인 용도로 사용될 수 있는 유해 프로그램을 말한다.

== 제2장 가상자원 ==

=== 제4조 (가상자원 관리) ===
# 가상자원의 생성 시 다음 각 호의 사항을 고려하여 관리방안을 수립하고 운영하여야 한다.  
## 가상자원 접근통제  
## 가상소프트웨어 이미지 등록·배포 절차 및 담당자 지정  
## 가상소프트웨어 이미지·스냅샷 저장 장소 및 공유금지 관리  
## 가상소프트웨어 이미지·스냅샷의 바이러스 검사, 보안 업데이트, 패치 등 안전성 확보  
## 가상자원의 변경 시 다른 가상자원에 미치는 영향 고려  
# 가상자원의 회수는 다음 각 호를 포함한다.  
## 회수 절차 및 방법 수립  
## 비정상 회수 발생 시 대응 방안  
## 회수 기록 관리  
# 가상서버 등의 생성·변경·회수 시 승인절차를 마련해야 한다.  
# 가상자원의 생성·변경·회수 내역을 주기적으로 점검하고 점검이력을 남겨야 한다.  

=== 제5조 (공개서버 보안) ===
# 공개서버(웹, 메일, 배포 등) 운영 시 다음 보안대책을 적용한다.  
## 서비스별 전용 서버로 운영  
## 개인정보 송·수신 시 SSL/TLS v1.2 이상 인증서 설치  
## IPTABLES, PodSecurityPolicy, Container Network Interface 등을 이용한 접근통제  
## 백신 설치 및 OS 최신 패치 적용  
## 불필요한 서비스 제거 및 포트 차단  
## 불필요한 소프트웨어·스크립트·실행파일 등 설치 금지  
## 테스트 페이지 및 오류 페이지 노출 금지  
## 정기 취약점 점검 수행  
# 공개서버는 DMZ 영역에 설치하며, 침해 시 내부망 접근이 불가능하도록 해야 한다.  
# DB, WAS 등 내부 시스템과의 통신 시 엄격한 접근통제 정책 적용.  
# 메일서버(SMTP) 운영 시 SPF, DKIM, DMARC 등 국제표준 보안기술 적용.  
# 방화벽 정책은 최소 서비스만 허용하도록 설정한다.  
# 공개서버 취약점 점검은 [[정보자산관리지침]] 제10조에 따라 수행한다.  
# 웹서버는 연 1회 이상 OWASP TOP 10 기준으로 점검하며, 취약점 발견 시 즉시 조치한다.  

=== 제6조 (악성코드 통제) ===
# 바이러스, 웜, 트로이목마 등 악성코드로부터 보호하기 위해 다음을 적용한다.  
## 보안시스템(백신, 이메일보안, 웹셸탐지, 웹방화벽 등) 설치 및 최신 업데이트  
## 운영체제 보안 업데이트  
## 서비스 SW(WAS, DB 등) 최신 보안 패치  
## 악성코드 예방·탐지 활동 지속 수행  
# 보안시스템에서 이상 징후 발생 시 이용자에게 통보하고, 사용 중지 및 격리 조치를 수행해야 한다.  
# 악성코드 감염 시스템은 즉시 사용 중단 및 네트워크 분리 조치 후, 확산 여부 점검 및 재발 방지 대책 수립.  
# 서비스 영향이 발생하는 경우 이용자에게 즉시 통지해야 한다.  

=== 제7조 (인터페이스 및 API 보안) ===
# 인터페이스 및 API 보안 취약점 분석과 연관성 분석을 주기적으로 수행해야 한다.  
# 상위 서비스(IaaS, PaaS 등)로의 통신뿐 아니라 SaaS 이용자가 접근하는 API도 식별해야 한다.  
# 상위 서비스 제공자의 안전한 API만 사용해야 하며, 자체 개발 API는 별도 보안성 검토를 수행한다.  
# 중요 데이터 통신 시 반드시 암호화 통신을 적용해야 한다.  

=== 제8조 (데이터 이전) ===
# 이용자 데이터를 가상 환경으로 이전할 때는 암호화 통신채널(전용회선, VPN 등)을 적용해야 한다.  
# 수동 이전 시 이동매체 암호화, 무결성 검증, 전달 안전성 확보 등의 조치를 취해야 한다.  

=== 제9조 (가상 소프트웨어 보안) ===
# 출처 불명 또는 검증되지 않은 소프트웨어 설치를 금지하며,  
  출처·유통경로·제작자가 명확한 소프트웨어만 사용해야 한다.  
# 설치된 소프트웨어는 주기적으로 보안패치 및 업데이트를 수행해야 한다.  

== [별지 제1호 서식] 가상자원 관리담당자 목록 ==
{| class="wikitable" style="width:90%; text-align:center;"
! 플랫폼명 !! 가상자원명 !! 관리자명 !! 부서명 !! 권한 !! 비고
|-
| || || || || ||
|-
| || || || || ||
|}

== [별지 제2호 서식] 소프트웨어 패치관리대장 ==
{| class="wikitable" style="width:90%; text-align:center;"
! 연도/분기 !! 패치적용일 !! 시스템명 !! 패치내용 !! 서비스 정상여부 !! 미적용 대책 !! 작업자
|-
| || || || || || ||
|-
| || || || || || ||
|}

<div style="margin-top:15px; font-size:90%; color:#555;">
서버담당자 서명: _______  
정보보호관리자 서명: _______
</div>

== [별지 제3호 서식] 가상자원 관리대장 ==
{| class="wikitable" style="width:90%; text-align:center;"
! 플랫폼명 !! 변경일시 !! 가상자원명 !! 변경내역(생성·변경·회수 등) !! 담당자(서명) !! 승인자(서명)
|-
| || || || || ||
|-
| || || || || ||
|}

----

''(끝)''