운영 환경

운영 환경에는 물리적 시스템과 해당 구성 요소, 데이터 센터 설계자, 관리자 및 IT 조직의 구성원이 포함됩니다. 보안 침입은 운영 환경의 어느 지점에서나 발생할 수 있습니다.

가상화는 실제 하드웨어와 운용 서비스를 실행하는 게스트 도메인 사이에 소프트웨어 층을 두며, 이 구조는 점점 더 복잡해지고 있습니다. 따라서 가상 시스템을 주의 깊게 계획하고 구성해야 하며, 사람의 실수 가능성을 염두에 두어야 합니다. 또한 “소셜 엔지니어링”을 사용하여 운영 환경에 액세스하려는 공격자의 시도를 유의해야 합니다.

다음 절에서는 운영 환경 레벨에서 대처할 수 있는 고유한 위협을 설명합니다.

위협: 의도하지 않은 잘못된 구성

가상화 환경에 대한 기본적인 보안 고려 사항은 네트워크 세그먼트를 구분하고, 관리 액세스 권한을 차별화하며, 서버를 보안 클래스(동일한 보안 요구 사항 및 권한을 가지는 도메인 그룹)에 배포하여 서버 격리를 유지하는 것입니다.

다음 오류를 피하도록 가상 리소스를 세심하게 구성하십시오.

• 운용 게스트 도메인과 실행 환경 사이에 불필요한 통신 채널 만들기

• 네트워크 세그먼트에 대한 불필요한 액세스 권한 만들기

• 각 보안 클래스 사이에 의도하지 않은 연결 만들기

• 의도하지 않게 게스트 도메인을 잘못된 보안 클래스로 마이그레이션

• 예상치 않은 리소스 오버로드로 이어질 수 있는 불충분한 하드웨어 할당

• 디스크나 I/O 장치를 잘못된 도메인에 지정

대처 방법: 운영 기준 만들기

시작하기 전에 Oracle VM Server for SPARC 환경에 대한 운영 기준을 주의 깊게 정의하십시오. 이러한 기준에서는 수행할 다음 작업 및 수행 방법을 설명합니다.

• 환경의 모든 구성 요소에 대한 패치 관리

• 잘 정의되고 추적 가능한 변경 사항의 안전한 구현 사용

• 정기적으로 로그 파일 확인

• 환경의 무결성 및 가용성 모니터링

이러한 기준이 최신이고 충분하며, 일상 작업에서 이러한 기준을 따르고 있는지 정기적으로 확인합니다.

이러한 기준 이외에도 여러 가지 더욱 기술적인 방법을 사용하여 의도하지 않은 작업의 위험을 줄일 수 있습니다. Logical Domains Manager를 참조하십시오.

위협: 가상 환경 아키텍처의 오류

물리적 시스템을 가상화 환경으로 이동하는 경우 대개 원래 LUN을 재사용하여 저장소 구성을 그대로 유지할 수 있습니다. 하지만 네트워크 구성은 가상화 환경에 맞추어야 하므로 결과적인 아키텍처는 물리적 시스템에서 사용된 아키텍처와 상당히 다를 수 있습니다.

각 보안 클래스의 격리 유지 방법 및 필요성을 고려해야 합니다. 또한 네트워크 스위치 및 SAN 스위치와 같은 플랫폼의 공유 하드웨어 및 공유 구성 요소를 고려합니다.

환경에 대한 보안을 극대화하기 위해서는 게스트 도메인과 보안 클래스의 격리를 유지해야 합니다. 아키텍처를 설계할 때 가능한 오류 및 공격을 예측하고 방어망을 구현합니다. 좋은 설계는 복잡성과 비용을 관리하면서 잠재적인 보안 문제를 파악하는 데 도움을 줍니다.

대처 방법: 게스트를 하드웨어 플랫폼에 주의하여 지정

동일한 보안 요구 사항과 권한을 가지는 도메인 그룹인 보안 클래스를 사용하여 개별 도메인을 서로 격리합니다. 동일한 보안 클래스에 있는 게스트 도메인을 특정 하드웨어 플랫폼에 지정하면 격리 무효화가 발생하더라도 다른 보안 클래스로 공격이 넘어오는 것을 막을 수 있습니다.

대처 방법: Oracle VM Server for SPARC 도메인 마이그레이션 계획

실시간 도메인 마이그레이션 기능은 다음 그림에 나온 대로 게스트 도메인이 다른 보안 클래스에 지정된 플랫폼으로 잘못 마이그레이션될 경우 격리 무효화를 유발할 수 있습니다. 따라서 보안 클래스 경계 사이에는 마이그레이션이 허용되지 않도록 게스트 도메인 마이그레이션을 주의해서 계획하십시오.

그림 1-4  보안 경계 사이의 도메인 마이그레이션

대처 방법: 올바른 가상 연결 구성

모든 가상 네트워크 연결 추적을 잃으면 도메인이 네트워크 세그먼트에 대한 잘못된 액세스 권한을 얻을 수 있습니다. 예를 들어, 이러한 액세스 권한은 방화벽이나 보안 클래스를 우회할 수 있습니다.

구현 오류의 위험을 줄이려면 환경의 모든 가상 및 물리적 연결을 주의 깊게 계획하고 문서화하십시오. 도메인 연결 계획은 단순성과 관리 용이성으로 최적화하십시오. 계획을 명확하게 문서화하고 운용으로 들어가기 전에 계획에 대해 구현의 정확성을 확인하십시오. 가상 환경이 운용 중인 상태 이후에도 정기적으로 계획에 대해 구현을 확인하십시오.

대처 방법: VLAN 태그 지정 사용

VLAN 태그 지정을 사용하여 여러 이더넷 세그먼트를 단일 물리적 네트워크로 통합할 수 있습니다. 이 기능은 가상 스위치에 대해서도 사용할 수 있습니다. 가상 스위치의 구현에서 소프트웨어 오류와 관련된 위험을 완화하려면 물리적 NIC 및 VLAN당 하나의 가상 스위치를 구성합니다. 이더넷 드라이버의 오류에 대해 추가적으로 보호하려면 태그 지정된 VLAN 사용을 피합니다. 하지만 이 태그 지정된 VLAN 취약점은 잘 알려져 있으므로 이러한 오류의 가능성은 낮습니다. Oracle VM Server for SPARC 소프트웨어를 사용하는 Oracle의 Sun SPARC T-Series 플랫폼에 대한 침입 테스트에서는 이 취약점이 나타나지 않았습니다.

대처 방법: 가상 보안 장치 사용

패킷 필터 및 방화벽과 같은 보안 장치는 격리 수단이며 보안 클래스의 격리를 보호합니다. 이러한 장치는 다른 게스트 도메인과 마찬가지로 동일한 위협에 노출되므로 이를 사용한다고 해서 격리 무효화로부터 완전한 보호가 보장되는 것은 아닙니다. 따라서 이러한 서비스의 가상화를 결정하기 전에 위험 및 보안의 모든 측면을 주의 깊게 고려하십시오.

위협: 리소스 공유의 부작용

가상화 환경에서 리소스 공유는 다른 구성 요소(다른 도메인 등)에 악영향을 줄 때까지 리소스를 오버로드하는 서비스 거부(DoS) 공격으로 이어질 수 있습니다.

Oracle VM Server for SPARC 환경에서는 일부 리소스만 DoS 공격의 영향을 받을 수 있습니다. CPU 및 메모리 리소스는 각 게스트 도메인에 배타적으로 지정되어 대부분의 DoS 공격을 막을 수 있습니다. 이러한 리소스의 배타적 지정에서도 다음 방법으로 게스트 도메인의 성능을 저하시킬 수 있습니다.

• 스트랜드 사이에 공유되고 두 게스트 도메인에 지정된 캐시 영역 스래싱

• 메모리 대역폭 오버로드

CPU 및 메모리 리소스와 달리 디스크 및 네트워크 서비스는 대개 게스트 도메인 사이에 공유됩니다. 이러한 서비스는 하나 이상의 서비스 도메인에 의해 게스트 도메인에 제공됩니다. 이러한 리소스를 게스트 도메인에 지정하고 분산시키는 방법을 주의 깊게 고려하십시오. 최대 성능 및 리소스 활용률을 동시에 허용하는 구성은 부작용의 위험을 최소화합니다.

평가: 공유 리소스를 통한 부작용

도메인에 배타적으로 지정되거나 도메인 사이에 공유되든지 네트워크 연결은 포화되고 디스크는 오버로드될 수 있습니다. 이러한 공격은 공격 시간 동안 서비스의 가용성에 영향을 줍니다. 공격 대상은 손상되지 않고 데이터는 손실되지 않습니다. 이 위협의 영향을 쉽게 최소화할 수 있지만, Oracle VM Server for SPARC에서는 네트워크 및 디스크 리소스로 제한되더라도 항상 염두에 두어야 합니다.

대처 방법: 하드웨어 리소스를 주의하여 지정

필요한 하드웨어 리소스만 게스트 도메인에 지정해야 합니다. 리소스가 더 이상 필요하지 않을 때는 사용되지 않는 리소스를 지정 해제하십시오. 예를 들어, 네트워크 포트나 DVD 드라이브는 설치 중에만 필요합니다. 이 방식을 따르면 공격자에게 가능한 진입 지점 수를 최소화할 수 있습니다.

대처 방법: 공유 리소스를 주의하여 지정

물리적 네트워크 포트와 같은 공유 하드웨어 리소스는 DoS 공격 대상이 될 수 있습니다. DoS 공격의 영향을 단일 게스트 도메인 그룹으로 제한하려면 어떤 게스트 도메인에서 어떤 하드웨어 리소스를 공유할지 주의 깊게 결정하십시오.

예를 들어, 하드웨어 리소스를 공유하는 게스트 도메인은 동일한 가용성 또는 보안 요구 사항으로 그룹화할 수 있습니다. 그룹화 이외에도 서로 다른 종류의 리소스 제어를 적용할 수 있습니다.

디스크 및 네트워크 리소스를 어떻게 공유할지 고려해야 합니다. 전용 물리적 액세스 경로 또는 전용 가상 디스크 서비스를 통해 디스크 액세스를 구분함으로써 문제를 완화할 수 있습니다.

요약: 공유 리소스를 통한 부작용

이 절에서 설명한 모든 대처 방법에는 배포 및 보안 구현에 대한 기술적 세부 정보의 이해가 필요합니다. 주의 깊게 계획하고, 올바르게 문서화하며, 가능한 단순하게 아키텍처를 유지하십시오. 가상화 하드웨어의 구현을 이해해야만 Oracle VM Server for SPARC 소프트웨어의 안전한 배포를 준비할 수 있습니다.

CPU 및 메모리는 실제로 거의 공유가 발생하지 않으므로 논리적 도메인은 CPU 및 메모리 공유의 영향에 비교적 안전합니다. 그래도 게스트 도메인 내에서 Solaris 리소스 관리와 같은 리소스 제어를 적용하는 것이 가장 좋습니다. 이러한 제어를 사용하면 가상 또는 비가상화 환경에 대한 잘못된 응용 프로그램 동작으로부터 보호할 수 있습니다.