KR20240003570A - Cloud security diagnosis service providing system and method - Google Patents

Cloud security diagnosis service providing system and method Download PDF

Info

Publication number
KR20240003570A
KR20240003570A KR1020220081308A KR20220081308A KR20240003570A KR 20240003570 A KR20240003570 A KR 20240003570A KR 1020220081308 A KR1020220081308 A KR 1020220081308A KR 20220081308 A KR20220081308 A KR 20220081308A KR 20240003570 A KR20240003570 A KR 20240003570A
Authority
KR
South Korea
Prior art keywords
diagnosis
security
server
user
cloud
Prior art date
Application number
KR1020220081308A
Other languages
Korean (ko)
Inventor
문경곤
박성환
김성회
박상욱
주환석
김성식
Original Assignee
주식회사 린아레나
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 린아레나 filed Critical 주식회사 린아레나
Priority to KR1020220081308A priority Critical patent/KR20240003570A/en
Publication of KR20240003570A publication Critical patent/KR20240003570A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Abstract

클라우드 보안 진단 서비스 제공 시스템 및 방법은 점검대상의 보안 상태를 서비스형 소프트웨어로 진단 가능하게 함으로써, 사용자가 관리하는 시스템의 보안 상태 및 취약점을 빠르게 파악할 수 있도록 한다. 또한, 점검대상의 취약점이 탐지되는 경우, 신속하게 대응하도록 하여 점검대상의 시스템 보안성을 향상시킬 수 있다. 또한, 실시예에는 사용자 별 역할과 역할에 대응하는 권한을 각각 생성하여 사용자 각각의 신원 및 접근관리를 수행함으로써, 시스템 보안 점검과정에서 관계자 외의 인력에 의해 발생될 수 있는 정보 노출 문제를 해결할 수 있다. 또한, 실시예에서는 클라우드 보안 진단 시스템에서 전달받은 정보와 CVE를 비교하여 취약점이 존재하는 리소스에 대한 정보를 반환하고 해당 정보를 저장하여 지속적인 취약점 관리를 할 수 있도록 한다. The cloud security diagnosis service provision system and method enables the security status of the inspection target to be diagnosed through service-type software, allowing users to quickly identify the security status and vulnerabilities of the system they manage. In addition, when vulnerabilities in the inspection target are detected, the system security of the inspection target can be improved by responding quickly. In addition, in the embodiment, a role for each user and permissions corresponding to the role are created to perform identity and access management for each user, thereby solving the problem of information exposure that may be caused by personnel other than the relevant person during the system security check process. . Additionally, in the embodiment, information received from the cloud security diagnosis system is compared with the CVE to return information on resources with vulnerabilities and store the information to enable continuous vulnerability management.

Description

클라우드 보안 진단 서비스 제공 시스템 및 방법{CLOUD SECURITY DIAGNOSIS SERVICE PROVIDING SYSTEM AND METHOD} Cloud security diagnosis service provision system and method {CLOUD SECURITY DIAGNOSIS SERVICE PROVIDING SYSTEM AND METHOD}

본 개시는 클라우드 보안 진단 서비스 제공 시스템 및 방법에 관한 것으로 구체적으로, 보안 시스템 업데이트를 통해 국내/외 컴플라이언스 규제 기준에 따른 보안상 취약점을 탐지하고, 점검대상의 보안상태를 판단하여 클라우드 서버로 전달하는 시스템 및 방법에 관한 것이다. This disclosure relates to a system and method for providing a cloud security diagnosis service, and specifically, detects security vulnerabilities in accordance with domestic and foreign compliance regulatory standards through security system updates, determines the security status of the inspection target, and transmits it to the cloud server. It relates to systems and methods.

본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.Unless otherwise indicated herein, the material described in this section is not prior art to the claims of this application, and is not admitted to be prior art by inclusion in this section.

현재 IT 분야에서 가장 빠르게 발전하는 기술 중 하나인 '클라우드 컴퓨팅'은 구름(Cloud)과 같이 무형의 형태로 서로 다른 물리적 위치에 존재하는 컴퓨팅 자원을 가상화 기술로 통합하여 제공하는 것이다. 쉽게 말해 전자기기 자체가 아닌 인터넷상의 서버를 통하여 데이터 저장, 네트워크, 콘텐츠 사용 등 IT 관련 서비스를 한 번에 사용할 수 있는 컴퓨팅 환경을 말한다. 데이터가 기기 자체에 저장된 것이 아니기 때문에 기기를 잃어버리거나, 다른 기기에서 액세스하더라도 영향을 받지 않는다.'Cloud computing', one of the most rapidly developing technologies in the current IT field, integrates and provides computing resources that exist in different physical locations in an intangible form, such as a cloud, through virtualization technology. Simply put, it refers to a computing environment in which IT-related services such as data storage, network, and content use can be used all at once through a server on the Internet rather than the electronic device itself. Because the data is not stored on the device itself, it is not affected if the device is lost or accessed from another device.

SaaS(Software as a Service)는 서비스형 소프트웨어를 뜻하며, 조직의 클라우드 전략에서 최상위 계층이다. 클라우드 인프라 서비스(IaaS, Infrastructure-as-a-service) 및 서비스형 플랫폼(PaaS, Platform-as-a-service)과 동일하게 공급업체가 모든 물리적 및 가상 핵심 인프라, 미들웨어, 데이터베이스 관리 시스템, 개발 툴 등을 제공하고 호스팅한다. 여기에 추가로 데이터와 응용 프로그램을 제공하여, 특정 앱 또는 웹 포털을 통해 액세스하는 서비스로, 클라이언트 조직의 최종 사용자에게 제공되는 완전한 소프트웨어 솔루션이다. 예컨대, 많은 사람이 사진이나 동영상 등 콘텐츠를 저장 및 관리하는 데 사용하는 아이 클라우드(iCloud)나 구글 드라이브(Google Drive), 네이버의 마이 박스(MYBOX)가 바로 서비스형 소프트웨어(SaaS)의 대표적 모델이다. 기업의 측면에서는, 기업용 메신저나 이메일, 화상회의, 일정 관리 서비스 등도 서비스형 소프트웨어에 포함된다. 뿐만 아니라, 요즘 전 세계적으로 선풍적인 인기를 끌고 있는 넷플릭스와 같은 OTT(Over-the-Top) 서비스도 SaaS의 사례이다. SaaS는 콘텐츠를 소유하는 것이 아니라 '구독'의 방식으로 클라우드 인프라를 통해 인터넷상의 수많은 콘텐츠를 원하는 만큼 이용할 수 있다. SaaS는 사용자와 연결된 패키지 소프트웨어이며 모든 사용자에게 동일하게 디스플레이 된다. 업데이트나 업그레이드가 발생할 때 컨트롤할 수 없고, 일부 커스터마이징 기능은 제공되지만, 전체 스택은 제3자가 관리한다. 설치 및 지원은 일반적으로 공급업체에서 처리하므로 소프트웨어를 더 쉽게 사용할 수 있다는 장점을 제공한다. 서비스형 소프트웨어가 다양한 분야에서 빠르게 등장하고 있고, 보안 서비스를 제공하는 SaaS에 대한 수요도 대폭 증가하고 있다. SaaS (Software as a Service) refers to software as a service and is the highest layer in an organization's cloud strategy. Same as cloud infrastructure services (IaaS, Infrastructure-as-a-service) and platform-as-a-service (PaaS, Platform-as-a-service), the provider provides all physical and virtual core infrastructure, middleware, database management system, and development tools. Provides and hosts, etc. In addition, it is a complete software solution provided to the client organization's end users as a service that provides data and applications, accessed through a specific app or web portal. For example, iCloud, Google Drive, and Naver's MYBOX, which many people use to store and manage content such as photos and videos, are representative models of software as a service (SaaS). . On the corporate side, service-type software also includes corporate messenger, email, video conferencing, and schedule management services. In addition, OTT (Over-the-Top) services such as Netflix, which are gaining sensational popularity around the world these days, are also examples of SaaS. Rather than owning content, SaaS is a 'subscription' method that allows you to use as much content on the Internet as you want through cloud infrastructure. SaaS is packaged software connected to users and displayed equally to all users. You have no control over when updates or upgrades occur, and although some customization features are provided, the entire stack is managed by a third party. Installation and support are typically handled by the vendor, providing the advantage of making the software easier to use. Software-as-a-service is rapidly emerging in various fields, and demand for SaaS that provides security services is also increasing significantly.

1. 한국 특허등록 제10-2343501호 (2021.12.22)1. Korean Patent Registration No. 10-2343501 (2021.12.22) 2. 한국 특허등록 제10-2260822호 (2021.05.31)2. Korean Patent Registration No. 10-2260822 (2021.05.31)

실시예에 따른 클라우드 보안 진단 서비스 제공 시스템 및 방법은 보안 시스템 업데이트를 통해 진단항목 리스트를 분석하고, 국내/외 컴플라이언스 규제 기준에 따라 보안상 취약점을 탐지하여 점검대상의 보안상태를 판단한다. The cloud security diagnosis service provision system and method according to the embodiment analyzes the list of diagnosis items through security system updates, detects security vulnerabilities in accordance with domestic and foreign compliance regulatory standards, and determines the security status of the inspection target.

실시예에서는 점검대상의 보안상 취약점 탐지 이후, 해당 취약점에 필요한 조치(write)를 CVE(Common Vulnerabilities and Exposures)시스템을 통해 생성하여 전달한다. In the embodiment, after detection of a security vulnerability in the subject to be inspected, the necessary action (write) for the vulnerability is created and delivered through the Common Vulnerabilities and Exposures (CVE) system.

또한, 실시예에서는 보안 진단 서비스를 제공받는 사용자에 따른 역할(role)을 생성하고 생성된 역할에 권한을 부여하여 신원 및 접근관리(IAM, Identity and Access Management)를 수행할 수 있다. Additionally, in the embodiment, identity and access management (IAM) can be performed by creating a role according to the user who receives the security diagnosis service and granting permissions to the created role.

또한, 실시예에서 진단 요청을 받은 프론트 서버(Front Server)는 백엔드 서버(Backend Server)로 진단을 위한 사용자 정보를 전송하고, 백엔드 서버는 해당 정보를 수신하면 클라우드 진단 종류를 파악하고, 사용자 키를 복호화 하여 보안 진단을 수행할 수 있다.In addition, in the embodiment, the front server that received the diagnosis request transmits user information for diagnosis to the backend server, and when the backend server receives the information, it determines the type of cloud diagnosis and provides the user key. You can decrypt and perform security diagnosis.

실시예에서는 사용자가 지정한 클라우드로 API 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 받아, 리소스 정보에서 실시예에 따른 클라우드 보안 시스템에서 제공하는 룰(Rule)과 비교하여 양호, 취약 여부를 판단하고 진단항목 리스트와 컴플라이언스를 포함하는 결과 파일을 생성한다. In the embodiment, an API request is sent to the cloud designated by the user, all resource information of the diagnosis target account is received, and resource information is compared with rules provided by the cloud security system according to the embodiment to determine whether it is good or vulnerable and diagnose. Generates a results file containing a list of items and compliance.

실시예에 따른 클라우드 보안 진단 서비스 제공 방법은 (A) 사용자 단말은 회원가입 및 키(Key) 등록 후, 보안상태 진단 솔루션을 제공하는 보안 서버의 홈페이지에 접근 가능한 계정을 발급받고 상기 솔루션에 로그인하는 단계; (B) 사용자 단말은 진단을 원하는 계정의 진단 요청을 보안서버로 전송하여 진단을 준비하는 단계; (C) 보안서버는 멀티 클라우드 중 사용자 단말에 의해 지정된 클라우드로 API(Application Programming Interface) 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 수집한 후, 상기 수집된 리소스 정보를 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하여 보안상태를 진단하는 단계; (D) 보안서버는 진단을 완료한 후, 사용자 단말로 진단 결과물을 공유할 수 있도록 보안 상태 진단 결과 정보를 저장하는 단계; 를 포함한다.The method of providing a cloud security diagnosis service according to an embodiment is (A) the user terminal registers as a member and registers a key, is issued an account accessible to the homepage of a security server that provides a security status diagnosis solution, and logs in to the solution. step; (B) the user terminal prepares for diagnosis by transmitting a diagnosis request for an account for which diagnosis is desired to a security server; (C) The security server sends an API (Application Programming Interface) request to the cloud designated by the user terminal among the multi-clouds, collects all resource information of the account to be diagnosed, and then uses the collected resource information to be provided by the security status diagnosis solution. Diagnosing the security status by comparing it with rules; (D) after the security server completes the diagnosis, storing the security status diagnosis result information so that the diagnosis result can be shared with the user terminal; Includes.

다른 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템은 회원가입 및 키(Key) 등록 후, 보안상태 진단 솔루션을 제공하는 보안 서버의 홈페이지에 접근 가능한 계정을 발급받고 상기 솔루션에 로그인하고, 진단을 원하는 계정의 진단 요청을 보안서버로 전송하여 진단을 준비하는 사용자 단말; 멀티 클라우드 중 사용자 단말에 의해 지정된 클라우드로 API 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 수집한 후, 수집된 리소스 정보를 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하여 보안상태를 진단하는 보안 서버; 를 포함한다. A cloud security diagnosis service providing system according to another embodiment is after registering as a member and registering a key, an account that can access the homepage of a security server that provides a security status diagnosis solution is issued, and the user logs in to the solution and accounts for the desired diagnosis. A user terminal that prepares for diagnosis by transmitting a diagnosis request to a security server; Among multi-clouds, an API request is sent to the cloud designated by the user terminal, and all resource information of the diagnosis target account is collected. Then, the security status is diagnosed by comparing the collected resource information with the rules provided by the security status diagnosis solution. secure server; Includes.

이상에서와 같은 클라우드 보안 진단 서비스 제공 시스템 및 방법은 점검대상의 보안 상태를 서비스형 소프트웨어로 진단 가능하게 함으로써, 사용자가 관리하는 시스템의 보안 상태 및 취약점을 빠르게 파악할 수 있도록 한다. 또한, 점검대상의 취약점이 탐지되는 경우, 신속하게 대응하도록 하여 점검대상의 시스템 보안성을 향상시킬 수 있다. The cloud security diagnosis service provision system and method as described above allows the security status of the inspection target to be diagnosed using service-type software, allowing users to quickly identify the security status and vulnerabilities of the system they manage. In addition, when vulnerabilities in the inspection target are detected, the system security of the inspection target can be improved by responding quickly.

또한, 실시예에는 사용자 별 역할과 역할에 대응하는 권한을 각각 생성하여 사용자 각각의 신원 및 접근관리를 수행함으로써, 시스템 보안 점검과정에서 관계자 외의 인력에 의해 발생될 수 있는 정보 노출 문제를 해결할 수 있다. In addition, in the embodiment, a role for each user and permissions corresponding to the role are created to perform identity and access management for each user, thereby solving the problem of information exposure that may be caused by personnel other than the relevant person during the system security check process. .

또한, 실시예에서는 클라우드 보안 진단 시스템에서 전달받은 정보와 CVE를 비교하여 취약점이 존재하는 리소스에 대한 정보를 반환하고 해당 정보를 저장하여 지속적인 취약점 관리를 할 수 있도록 한다. Additionally, in the embodiment, information received from the cloud security diagnosis system is compared with the CVE to return information on resources with vulnerabilities and store the information to enable continuous vulnerability management.

본 발명의 효과는 상기한 효과로 한정되는 것은 아니며, 본 발명의 상세한 설명 또는 특허청구범위에 기재된 발명의 구성으로부터 추론 가능한 모든 효과를 포함하는 것으로 이해되어야 한다.The effects of the present invention are not limited to the effects described above, and should be understood to include all effects that can be inferred from the configuration of the invention described in the detailed description or claims of the present invention.

도 1은 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템을 나타낸 도면
도 2는 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템의 신호 흐름을 나타낸 도면
도 3은 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템의 보안 진단 과정을 나타낸 도면
도 4는 실시예에 따른 사용자 회원 가입 및 키 등록을 위한 데이터 처리 흐름을 나타낸 도면
도 5는 실시예에 따른 클라우드 보안 진단 시스템의 보안 진단 준비 과정을 나타낸 도면
도 6은 실시예에 따른 클라우드 보안 진단 시스템의 보안 진단 수행 과정을 나타낸 도면
도 7은 실시예에 따른 클라우드 보안 진단 시스템의 보안진단 정보 전달 과정을 나타낸 도면
도 8은 실시예에 따른 보안 서버 구성을 나타낸 도면
도 9는 실시예에 따른 프론트 서버(110)의 데이터 처리 구성을 나타낸 도면
도 10은 실시예에 따른 백 엔드 서버(130)의 데이터 처리 구성을 나타낸 도면
도 11은 실시예에 따른 클라우드 보안 진단 시스템의 진단항목 리스트 및 컴플라이언스를 나타낸 도면1 is a diagram showing a cloud security diagnosis service provision system according to an embodiment
Figure 2 is a diagram showing the signal flow of a cloud security diagnosis service providing system according to an embodiment
Figure 3 is a diagram showing the security diagnosis process of the cloud security diagnosis service provision system according to an embodiment
Figure 4 is a diagram showing the data processing flow for user membership registration and key registration according to an embodiment
Figure 5 is a diagram showing the security diagnosis preparation process of the cloud security diagnosis system according to an embodiment
Figure 6 is a diagram showing the security diagnosis performance process of the cloud security diagnosis system according to an embodiment
Figure 7 is a diagram showing the security diagnosis information transmission process of the cloud security diagnosis system according to an embodiment.
Figure 8 is a diagram showing the configuration of a security server according to an embodiment
Figure 9 is a diagram showing the data processing configuration of the front server 110 according to an embodiment.
Figure 10 is a diagram showing the data processing configuration of the back-end server 130 according to an embodiment.
Figure 11 is a diagram showing a list of diagnosis items and compliance of a cloud security diagnosis system according to an embodiment

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.The advantages and features of the present invention and methods for achieving them will become clear by referring to the embodiments described in detail below along with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below and may be implemented in various different forms. The present embodiments are merely provided to ensure that the disclosure of the present invention is complete and to provide common knowledge in the technical field to which the present invention pertains. It is provided to fully inform those who have the scope of the invention, and the present invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. The terms described below are terms defined in consideration of functions in embodiments of the present invention, and may vary depending on the intention or custom of the user or operator. Therefore, the definition should be made based on the contents throughout this specification.

도 1은 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템을 나타낸 도면이다.Figure 1 is a diagram showing a cloud security diagnosis service providing system according to an embodiment.

도 1을 참조하면, 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템은 보안 진단 시스템 업데이트를 통해 진단대상 계정의 국내/외 컴플라이언스 규제 기준에 따른 보안상 취약점을 탐지하고, 보안상태를 판단하여 이를 보안서버(100)로 전달한다. 실시예에 따른 보안 서버(100)는 진단 대상 계정의 보안 진단을 위한 서비스형 소프트웨어(SaaS, Software as a Service)를 분산방식으로 배포하고 사용자가 이용하는 서버에 보안 진단을 위한 서비스형 소프트웨어를 설치하면 진단 대상 계정의 보안진단을 수행할 수 있도록 한다. 실시예에서는 사용자 단말에서 사용자 회원가입 및 키(Key) 등록 후, 보안상태 진단 솔루션을 제공하는 보안 서버의 홈페이지에 접근 가능한 계정을 발급받고 보안서버에서 제공한 보안 진단을 위한 솔루션에 로그인하고, 진단을 원하는 계정의 진단 요청을 보안서버(100)로 전송하여 진단을 준비한다. Referring to FIG. 1, the cloud security diagnosis service provision system according to the embodiment detects security vulnerabilities according to domestic/international compliance regulatory standards of the diagnosis target account through security diagnosis system updates, determines the security status, and sends it to the security server. Forward to (100). The security server 100 according to the embodiment distributes software as a service (SaaS, Software as a Service) for security diagnosis of the diagnosis target account in a distributed manner and installs the service-type software for security diagnosis on the server used by the user. Allows you to perform a security diagnosis on the account being diagnosed. In the embodiment, after user registration and key registration on the user terminal, an account accessible to the homepage of a security server that provides a security status diagnosis solution is issued, and the user logs in to the security diagnosis solution provided by the security server and performs the diagnosis. Prepare for diagnosis by sending a diagnosis request for the desired account to the security server 100.

실시예에서는 보안 진단 대상 등록을 위해, 컴퓨터와 솔루션 간 연결을 제공하는 API(application programming interface)는 콘솔을 이용한 방식과 프로그래밍 방식으로 제공한다. 실시예에서 제공하는 솔루션은 프로그래밍 방식을 채택하여 사용하므로, 실시예에서는 접속 권한이 있는 계정의 키(Key)가 필요하다. 이에 따라 실시예에서는 사용자 계정의 키(Key)를 전달받아 솔루션에 등록하고, 해당 키를 이용하여 API를 호출하여 점검을 진행시킬 수 있다. In the embodiment, in order to register a security diagnosis target, an API (application programming interface) that provides a connection between a computer and a solution is provided through a console method or a programming method. Since the solution provided in the embodiment uses a programming method, a key for an account with access rights is required in the embodiment. Accordingly, in the embodiment, the user account key is received, registered in the solution, and the inspection can be performed by calling the API using the key.

실시예에서 보안 서버(100)는 멀티 클라우드 중 사용자 단말에 의해 지정된 클라우드로 API (Application Programming Interface)요청을 보내고 진단 대상 계정의 모든 리소스 정보를 수집한 후, 수집된 리소스 정보를 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하여 보안상태를 진단한다.In an embodiment, the security server 100 sends an API (Application Programming Interface) request to a cloud designated by the user terminal among multi-clouds, collects all resource information of the diagnosis target account, and then uses the collected resource information in the security status diagnosis solution. Diagnose the security status by comparing it with the provided rules.

실시예에서는 진단대상의 보안상 취약점 탐지 이후, 해당 취약점에 필요한 조치(write)를 CVE(Common Vulnerabilities and Exposures) 시스템을 통해 생성하여 사용자 단말, 클라우드 서버 및 보안 서버로 전달할 수 있다. 또한, 실시예에서는 보안 서비스를 제공받는 사용자에 따른 역할(role)을 생성하고 생성된 역할에 권한을 부여하여 신원 및 접근관리(IAM, Identity and Access Management)를 수행할 수 있다. In an embodiment, after detecting a security vulnerability in the diagnosis target, the necessary action (write) for the vulnerability can be created through the Common Vulnerabilities and Exposures (CVE) system and delivered to the user terminal, cloud server, and security server. Additionally, in the embodiment, identity and access management (IAM) can be performed by creating a role according to the user who receives the security service and granting permissions to the created role.

또한, 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템은 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버를 포함하는 분류의 보안진단을 수행하기 위해, 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버를 포함하는 각각의 분류 별 보안 진단 항목을 설정하고, 보안 진단 항목 각각의 취약점 파악을 위한 보안 진단 항목 각각의 취약점 파악을 위한 세부 확인 항목을 포함하는 가이드를 생성한다. 실시예에서는 생성된 가이드를 통해 각 항목의 보안진단을 수행할 수 있도록 하고, 가이드에 따른 보안 진단 결과와 권고 사항을 사용자에게 제공할 수 있도록 한다. In addition, the cloud security diagnosis service providing system according to the embodiment is to perform security diagnosis of categories including account management, network, logging, monitoring, virtual database, and virtual server. , set security diagnosis items for each category, including virtual servers, and create a guide containing detailed confirmation items to identify vulnerabilities in each security diagnosis item. In the embodiment, security diagnosis of each item can be performed through the generated guide, and security diagnosis results and recommendations according to the guide can be provided to the user.

또한, 실시예에서 진단 요청을 받은 프론트 서버(Front Server)는 백엔드 서버(Backend Server)로 진단을 위한 사용자 정보를 전송하고, 백엔드 서버는 해당 정보를 수신하면 클라우드 진단 종류를 파악하고, 사용자 키를 복호화 하여 보안 진단을 수행할 수 있다. 실시예에서는 사용자가 지정한 클라우드로 API 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 받아, 리소스 정보에서 실시예에 따른 클라우드 보안 시스템에서 제공하는 룰(Rule)과 비교하여 양호, 취약 여부를 판단하고 결과 파일을 생성한다. In addition, in the embodiment, the front server that received the diagnosis request transmits user information for diagnosis to the backend server, and when the backend server receives the information, it determines the type of cloud diagnosis and provides the user key. You can decrypt and perform security diagnosis. In the embodiment, an API request is sent to the cloud designated by the user, all resource information of the diagnosis target account is received, the resource information is compared with the rules provided by the cloud security system according to the embodiment to determine whether it is good or vulnerable, and the result is Create a file.

도 2는 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템의 신호 흐름을 나타낸 도면이다.Figure 2 is a diagram showing the signal flow of a cloud security diagnosis service providing system according to an embodiment.

도 2를 참조하면, S10 단계에서는 보안서버에서 CVE(Common Vulnerabilities and Exposures)정보를 수집하여 데이터베이스에 저장한다. CVE (Common Vulnerabilities and Exposures) 시스템은 공개적으로 알려진 정보 보안 취약성 및 노출에 대한 참조 방법을 제공한다.Referring to Figure 2, in step S10, Common Vulnerabilities and Exposures (CVE) information is collected from the security server and stored in the database. The Common Vulnerabilities and Exposures (CVE) system provides a reference method for publicly known information security vulnerabilities and exposures.

S20 단계에서 사용자는 계정에서 사용하고 있는 서버에 에이전트(Agent)를 설치하고, S30 단계에서 보안 서버로 사용하고 있는 계정에 설치된 하드웨어, 소프트웨어 종류, 버전 등 보안 진단에 필요한 정보를 전송한다. 실시예에서 에이전트는 복잡한 동적인 환경에서 목표를 달성하려고 시도하는 시스템으로서, 외부 환경, 센서 및 행위자를 사용하여 상호작용할 수 있다. 실시예에서 에이전트는 가상공간 환경에 위치하여 특별한 응용 프로그램을 다루는 사용자를 도울 목적으로 반복적인 작업들을 자동화하는 소프트웨어 에이전트(software agent) 또는 지능형 에이전트(intelligent agent)를 포함할 수 있다. 실시예에서 에이전트는 사용자의 개입 없이 주기적으로 정보를 모으거나 또는 일부 다른 서비스를 수행할 수 있다.In step S20, the user installs an agent on the server used by the account, and in step S30, information necessary for security diagnosis, such as hardware and software type and version installed in the account used as a security server, is transmitted. In embodiments, an agent is a system that attempts to achieve a goal in a complex dynamic environment and may interact using the external environment, sensors, and actors. In embodiments, the agent may be located in a virtual space environment and include a software agent or intelligent agent that automates repetitive tasks for the purpose of assisting a user with a particular application. In embodiments, an agent may periodically gather information or perform some other service without user intervention.

S40 단계에서 보안서버는 사용자로부터 전달받은 정보와 CVE를 비교하여 취약점이 존재하는 리소스에 대한 정보를 탐지한다. 이후 S50 단계에서 탐지 정보를 사용자에게 반환하고 탐지 정보를 데이터 베이스에 저장하여 지속적인 취약점 관리 서비스를 제공할 수 있도록 한다. 또한, 실시예에서는 사용자 단말에서 사용자가 직접 해당 취약점을 테스트할 수 있도록 가상의 이미지를 제공하여 취약, 양호 등을 포함하는 진단 대상의 보안 진단 결과 및 조치 여부 등을 확인할 수 있도록 한다. 또한, 실시예에서 사용자 계정의 서버에 에이전트(Agent)를 설치할 수 없을 경우, 코드형 인프라 스트럭처 (IaC, Infrastructure as code)로 작성된 명세를 보안 서버로 전송한다. 코드형 인프라 스트럭처(Infrastructure as code, IaC)는 물리적 하드웨어 구성이나 인터페이스 구성 도구가 아닌 컴퓨터가 읽을 수 있는 정의 파일들을 통한 컴퓨터 데이터 센터의 관리 및 프로비저닝(provisioning) 과정이다. 프로비저닝은 사용자의 요구에 맞게 시스템 자원을 할당, 배치, 배포해 두었다가 필요 시 시스템을 즉시 사용할 수 있는 상태로 미리 준비해 두는 것으로, 실시예에서는 IaC로 작성된 명세 정보를 바탕으로 보안 진단 서비스를 동일하게 재현하고 CVE 진단을 수행할 수 있다. 이후, 실시예에서는 취약점이 존재하는 리소스에 대한 정보를 반환하고 해당 정보를 데이터베이스에 저장하여 지속적인 취약점 관리를 수행할 수 있도록 한다. 또한, 실시예에서는 사용자가 직접 해당 취약점을 테스트할 수 있도록 가상의 이미지를 제공하여 취약, 조치 여부 등을 확인할 수 있도록 한다. In step S40, the security server detects information about resources with vulnerabilities by comparing the information received from the user with the CVE. Afterwards, at step S50, the detection information is returned to the user and the detection information is stored in the database to provide continuous vulnerability management services. In addition, in the embodiment, a virtual image is provided on the user terminal so that the user can directly test the corresponding vulnerability, so that the user can check the security diagnosis results of the diagnosis target, including weak, good, etc., and whether or not to take action. Additionally, in the embodiment, if an agent cannot be installed on the server of the user account, a specification written in infrastructure as code (IaC) is transmitted to the security server. Infrastructure as code (IaC) is the process of managing and provisioning computer data centers through computer-readable definition files rather than physical hardware configuration or interface configuration tools. Provisioning refers to allocating, placing, and distributing system resources according to user needs and preparing the system in advance so that it can be used immediately when needed. In the embodiment, the security diagnosis service is identically reproduced based on specification information written in IaC. and perform a CVE diagnosis. Thereafter, in the embodiment, information about resources where vulnerabilities exist is returned and the information is stored in a database to enable continuous vulnerability management. In addition, in the embodiment, a virtual image is provided so that the user can directly test the vulnerability, so that the user can check the vulnerability and whether action should be taken.

도 3은 실시예에 따른 클라우드 보안 진단 서비스 제공 시스템의 보안 진단 과정을 나타낸 도면이다.Figure 3 is a diagram showing a security diagnosis process of a cloud security diagnosis service providing system according to an embodiment.

도 3을 참조하면, S100 단계에서는 사용자 단말에서 사용자 회원가입 수행 후 발급된 사용자 키(Key)를 보안서버에 등록 후, 보안상태 진단 솔루션을 제공하는 보안 서버의 홈페이지에 접근 가능한 계정을 발급받고 솔루션에 로그인한다. 실시예에서 S100 단계에서는 사용자에게 각각 다른 접근 권한을 부여한 롤(role)을 생성하고, 사용자 키(Key)를 부여받지 못한 신원 및 접근 관리(IAM) 사용자 단말에서 특정 권한이 필요한 경우, 롤이 부여된 사용자에게 일정 시간 동안 롤의 권한을 양도받는다. 이후, 신원 및 접근 관리(IAM) 사용자 단말은 상기 양도된 롤을 이용하여 고객 계정에 설치된 서버가 API를 호출하여 진단 대상의 보안 진단을 수행한도록 한다. Referring to FIG. 3, in step S100, the user registers the user key issued after performing user membership registration on the user terminal to the security server, then issues an account accessible to the homepage of the security server that provides a security status diagnosis solution and provides a solution. Log in. In the embodiment, in step S100, roles are created that grant different access rights to each user, and if specific rights are required in an identity and access management (IAM) user terminal that has not been granted a user key, the role is granted. Role rights are transferred to the designated user for a certain period of time. Afterwards, the identity and access management (IAM) user terminal uses the transferred role to cause the server installed in the customer account to call the API to perform a security diagnosis of the diagnosis target.

실시예에서 사용자에 따라 부여되는 롤(role)은 사용자에게 직접 권한을 부여하는 것이 아니라 역할을 것을 생성하고 생성된 역할에 접근 권한 등을 부여하는 것이다. 이에 따라 실시예에서 신원 및 접근 관리(IAM) 사용자는 특정 권한이 필요한 순간에 잠시 동안 롤(Role)의 권한을 빌려서 사용할 수 있다. 실시예에서는 롤 기반 자산 등록을 통해, 해당 롤(Role)의 권한을 사용할 수 있도록 허가해 줄 수 있도록 한다. 롤 기반 자산 등록을 수행하면, 해당 롤(Role)에 접근할 수 있도록 롤(role)이 부여된 사용자만 해당 롤로 스위칭 하여 잠시동안 권한을 사용할 수 있다. 실시예에서 생성하는 롤(Role)은 사용자를 위한 롤(Role), 서비스를 위한 롤, 서버에 부여할 수 있는 롤 등을 포함할 수 있다. 실시예에 따른 보안 진단 솔루션은 사용자 또는 진단 대상 계정에서 키(Key)를 부여하기 어려운 환경인 경우, 롤(Role)을 이용하여 사용자 계정에 설치된 서버가 API를 호출하여 진단대상의 보안 상태를 점검할 수 있도록 한다. In an embodiment, a role granted to a user does not grant authority directly to the user, but creates a role and grants access rights to the created role. Accordingly, in the embodiment, an Identity and Access Management (IAM) user can borrow and use the permissions of a role for a while when specific permissions are needed. In the embodiment, permission to use the authority of the role is provided through role-based asset registration. When role-based asset registration is performed, only users who have been granted a role to access the role can switch to the role and use the authority for a while. Roles created in the embodiment may include roles for users, roles for services, and roles that can be assigned to a server. In the security diagnosis solution according to the embodiment, in an environment where it is difficult to grant a key to the user or diagnosis target account, the server installed in the user account uses a role to call the API to check the security status of the diagnosis target. make it possible

S200 단계에서는 사용자 단말에서 진단을 원하는 계정의 진단 요청을 보안서버로 전송하여 보안서버에서 진단을 준비한다. S300 단계에서는 보안서버에서 멀티 클라우드 중 사용자 단말에 의해 지정된 클라우드로 API 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 수집한 후, 수집된 리소스 정보를 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하여 보안상태를 진단한다. S400 단계에서는 보안서버에서 진단을 완료한 후, 사용자 단말로 진단 결과물을 공유할 수 있도록 보안 상태 진단 결과 정보를 저장한다. In step S200, the user terminal transmits a diagnosis request for the account for which diagnosis is desired to the security server, and the security server prepares for diagnosis. In the S300 stage, the security server sends an API request to the cloud designated by the user terminal among the multi-clouds, collects all resource information of the diagnosis target account, and compares the collected resource information with the rules provided by the security status diagnosis solution. to diagnose the security status. In step S400, after completing the diagnosis on the security server, the security status diagnosis result information is stored so that the diagnosis results can be shared with the user terminal.

도 4는 실시예에 따른 사용자 회원 가입 및 키 등록을 위한 데이터 처리 흐름을 나타낸 도면이다. 도 4를 참조하면, S110 단계에서는 사용자는 실시예에서 제공하는 서비스형 소프트웨어(SaaS)인 보안 진단 솔루션 홈페이지에 접근할 수 있는 계정을 발급받아 로그인하고, S130 단계에서 로그인한 사용자는 진단을 희망하는 계정의 키(Key)를 솔루션에 등록한다. S150 단계에서는 등록된 키를 암호화하여 데이터베이스에 저장하고, 보안 진단 시 암호화된 키를 복호화 하여 사용한다.Figure 4 is a diagram showing the data processing flow for user membership registration and key registration according to an embodiment. Referring to FIG. 4, in step S110, the user is issued an account that can access the security diagnosis solution homepage, which is software as a service (SaaS) provided in the embodiment, and logs in. The user who logs in in step S130 logs in to the homepage of the security diagnosis solution, which is software as a service (SaaS) provided in the embodiment. Register the account key in the solution. In step S150, the registered key is encrypted and stored in the database, and the encrypted key is decrypted and used during security diagnosis.

도 5는 실시예에 따른 클라우드 보안 진단 시스템의 보안 진단 준비 과정을 나타낸 도면이다. S210 단계에서는 보안서버에서 사용자 단말로부터 진단을 원하는 계정의 진단 요청을 수신한다. S230 단계에서는 진단요청을 수신한 보안서버의 프론트 서버가 백엔드 서버로 진단을 위한 사용자 정보를 전송하면, 백엔드 서버에서 보안 진단을 위한 사용자 정보를 수집한다. S250 단계에서는 백엔드 서버가 보안 진단을 위한 사용자 정보를 전달받으면 어떤 종류의 클라우드 진단을 수행하는 것인지 확인한다. 실시예에서는 보안 진단을 수행하는 클라우드의 종류 및 클라우드 진단 종류를 모두 확인할 수 있다. 이후, 데이터베이스 사용자의 키를 복호화 한다. S270 단계에서는 복호화한 키를 백엔드 서버의 환경변수에 등록하여 API에 올바른 키인지 정합성을 확인한다. Figure 5 is a diagram showing a security diagnosis preparation process of a cloud security diagnosis system according to an embodiment. In step S210, the security server receives a diagnosis request for an account for which diagnosis is desired from the user terminal. In step S230, when the front server of the security server that has received the diagnosis request transmits user information for diagnosis to the back-end server, the back-end server collects user information for security diagnosis. In step S250, when the backend server receives user information for security diagnosis, it checks what type of cloud diagnosis is being performed. In the embodiment, both the type of cloud performing security diagnosis and the type of cloud diagnosis can be confirmed. Afterwards, the database user's key is decrypted. In step S270, the decrypted key is registered in the environment variable of the backend server to check whether it is the correct key to the API and its consistency.

도 6은 실시예에 따른 클라우드 보안 진단 시스템의 보안 진단 수행 과정을 나타낸 도면이다. 도 6을 참조하면 S310 단계에서는 백엔드 서버에서 멀티 클라우드(Multi Cloud) 중 사용자가 지정한 클라우드로 API 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 받아온다. S330 단계에서는 전달받은 리소스 정보와 보안진단 솔루션에서 제공하는 룰(Rule)과 비교하여 비교 결과에 따라 양호, 취약 여부를 판단하고 보안진단 결과 파일을 생성한다. 실시예에서는 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버를 포함하는 분류의 보안진단을 수행하기 위해, 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버2를 포함하는 각각의 분류 별 보안 진단 항목을 설정하고, 보안 진단 항목 각각의 취약점 파악을 위한 가이드를 생성한다. 이후, 생성된 가이드를 통해 각 항목의 보안진단을 수행할 수 있도록 하고, 가이드에 따른 보안진단 결과와 권고 사항을 사용자에게 제공할 수 있도록 한다. Figure 6 is a diagram showing a security diagnosis performance process of a cloud security diagnosis system according to an embodiment. Referring to Figure 6, in step S310, an API request is sent from the back-end server to the cloud designated by the user among the multi clouds and all resource information of the diagnosis target account is received. In step S330, the received resource information is compared with the rules provided by the security diagnosis solution, the comparison result determines whether it is good or vulnerable, and a security diagnosis result file is created. In the embodiment, in order to perform security diagnosis of categories including account management, network, logging, monitoring, virtual database, and virtual server, each category including account management, network, logging, monitoring, virtual database, and virtual server2 Set each security diagnosis item and create a guide to identify vulnerabilities in each security diagnosis item. Afterwards, security diagnosis of each item can be performed through the generated guide, and security diagnosis results and recommendations according to the guide can be provided to the user.

실시예에 따른 S330 단계는 수집한 리소스 정보를 파싱 후 분석하고, 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하는 단계, 비교 결과에 따라 진단 대상 계정의 양호, 취약 여부를 판단하는 단계 및 백엔드 서버에서 보안 상태 진단이 모두 완료되면, 요약, 결과보고서를 포함하는 진단 결과 파일을 생성하는 단계를 포함하여 구성될 수 있다. 실시예에서는 백엔드 서버에서 진단이 모두 완료되면 S370 단계에서는 요약보고서 및 엑셀, 워드파일형식의 결과보고서를 위한 2차 결과물 작성 로직을 진행한다.Step S330 according to the embodiment is a step of parsing and analyzing the collected resource information and comparing it with rules provided by the security status diagnosis solution, determining whether the diagnosis target account is good or vulnerable according to the comparison result, and When the security status diagnosis is completed on the backend server, it may be configured to include the step of generating a diagnosis result file including a summary and a result report. In the embodiment, once the diagnosis is completed in the back-end server, secondary result creation logic for a summary report and a result report in Excel or Word file format is performed in step S370.

도 7은 실시예에 따른 클라우드 보안 진단 시스템의 보안진단 정보 전달 과정을 나타낸 도면이다.Figure 7 is a diagram showing the security diagnosis information transmission process of the cloud security diagnosis system according to an embodiment.

도 7을 참조하면, S410 단계에서는 백엔드 서버에서 진단을 완료한 후, 프론트 서버에서 사용자에게 진단 결과물을 공유할 수 있도록 진단 결과를 포함하는 주요 정보들을 데이터 베이스에 저장하고 진단을 종료한다. S430 단계에서는 프론트 서버에서 진단 상태(Status)를 모니터링하고, 진단이 완료되면 즉시 사용자에게 진단 완료 알림 및 주요 취약점 정보 알림을 이메일, 푸시 알림 등으로 제공한다.Referring to FIG. 7, in step S410, after the diagnosis is completed on the back-end server, key information including the diagnosis results are stored in the database so that the front server can share the diagnosis results with the user, and the diagnosis is terminated. In step S430, the diagnosis status is monitored on the front server, and once the diagnosis is completed, notification of diagnosis completion and major vulnerability information is provided to the user via email, push notification, etc.

도 8은 실시예에 따른 보안 서버 구성을 나타낸 도면이다. 도 8을 참조하면, 실시예에 따른 보안서버(100)은 프론트 서버(110) 및 백엔드 서버(130)를 포함하여 구성될 수 있다. 프론트 서버(110)는 사용자 단말 및 점검 대상 계정과 통신하여 진단 대상 계정의 보안 진단에 필요한 데이터를 백엔드 서버(130)으로 전달하고, 백엔드 서버로부터 진단 결과 정보 등을 수신하여 사용자 단말 및 점검 대상 계정으로 전달한다. 백엔드 서버(130)은 프론트 서버와 통신하며 진단 대상의 보안진단에 필요한 리소스 정보를 수집하고, 리소스 정보를 분석하여 점검 대상 계정의 보안 진단을 수행한다.Figure 8 is a diagram showing the configuration of a security server according to an embodiment. Referring to FIG. 8, the security server 100 according to the embodiment may be configured to include a front server 110 and a back-end server 130. The front server 110 communicates with the user terminal and the account subject to inspection, transmits data necessary for security diagnosis of the account subject to diagnosis to the back-end server 130, and receives diagnosis result information, etc. from the back-end server to account for the user terminal and the subject account to be inspected. Pass it to The back-end server 130 communicates with the front server, collects resource information necessary for security diagnosis of the diagnosis target, and analyzes the resource information to perform security diagnosis of the account to be inspected.

도 9는 실시예에 따른 프론트 서버(110)의 데이터 처리 구성을 나타낸 도면이다. 도 9를 참조하면, 실시예에 따른 프론트 서버(110)은 통신모듈(111), 사용자 관리 모듈(113), 접근권한 양도 모듈(115), 모니터링 모듈(117) 및 진단정보 알림 모듈(119)을 포함하여 구성될 수 있다. 본 명세서에서 사용되는 '모듈' 이라는 용어는 용어가 사용된 문맥에 따라서, 소프트웨어, 하드웨어 또는 그 조합을 포함할 수 있는 것으로 해석되어야 한다. 예를 들어, 소프트웨어는 기계어, 펌웨어(firmware), 임베디드코드(embedded code), 및 애플리케이션 소프트웨어일 수 있다. 또 다른 예로, 하드웨어는 회로, 프로세서, 컴퓨터, 집적 회로, 집적 회로 코어, 센서, 멤스(MEMS; Micro-Electro-Mechanical System), 수동 디바이스, 또는 그 조합일 수 있다.Figure 9 is a diagram showing the data processing configuration of the front server 110 according to an embodiment. Referring to FIG. 9, the front server 110 according to the embodiment includes a communication module 111, a user management module 113, an access rights transfer module 115, a monitoring module 117, and a diagnostic information notification module 119. It may be configured to include. The term 'module' used in this specification should be interpreted to include software, hardware, or a combination thereof, depending on the context in which the term is used. For example, software may be machine language, firmware, embedded code, and application software. As another example, hardware may be a circuit, processor, computer, integrated circuit, integrated circuit core, sensor, Micro-Electro-Mechanical System (MEMS), passive device, or a combination thereof.

통신모듈(111)은 사용자 단말로부터 진단 요청을 수신하는 경우, 백 엔드 서버로 진단을 위한 사용자 정보를 전송하고, 백엔드 서버는 사용자 정보를 수신하면 클라우드 진단 종류를 파악하고, 사용자의 키(Key)를 복호화 하고, 복호화된 키를 백엔드 서버의 환경변수에 등록하여 API에 키의 정합성을 확인한다. 사용자 관리 모듈(113)은 사용자에게 각각 다른 접근 권한을 부여한 롤(role)을 생성한다. 접근권한 양도 모듈(115)는 사용자 키(Key)를 부여받지 못한 신원 및 접근 관리(IAM) 사용자 단말에서 특정 권한을 요청하는 경우, 롤이 부여된 사용자 단말로부터 일정 시간 동안 롤의 권한을 양도한다. 실시예에서는 신원 및 접근 관리(IAM) 사용자 단말에서 양도된 롤을 이용하여 고객 계정에 설치된 서버가 API를 호출하여 진단 대상의 보안 진단을 수행할 수 있도록 한다. When receiving a diagnosis request from a user terminal, the communication module 111 transmits user information for diagnosis to the back-end server. When the back-end server receives the user information, it determines the type of cloud diagnosis and sends the user's key. Decrypt and register the decrypted key in the environment variable of the backend server to check the consistency of the key in the API. The user management module 113 creates roles that grant different access rights to each user. When an identity and access management (IAM) user terminal that has not been granted a user key requests specific permissions, the access rights transfer module 115 transfers role rights from the user terminal to which the role has been granted for a certain period of time. . In the embodiment, a server installed in the customer account calls an API using a role transferred from an identity and access management (IAM) user terminal to perform a security diagnosis of the diagnosis target.

실시예에서 사용자에 따라 부여되는 롤(role)은 사용자에게 직접 권한을 부여하는 것이 아니라 역할을 것을 생성하고, 생성된 역할에 접근 권한 등을 부여하는 것이다. 이에 따라 실시예에서 신원 및 접근 관리(IAM) 사용자는 특정 권한이 필요한 순간에 잠시 동안 롤(Role)의 권한을 빌려서 사용할 수 있다. 실시예에서는 롤 기반 자산 등록을 통해, 해당 롤(Role)의 권한을 사용할 수 있도록 허가해 줄 수 있도록 한다. 롤 기반 자산 등록을 수행하면, 해당 롤(Role)에 접근할 수 있도록 롤(role)이 부여된 사용자만 해당 롤로 스위칭 하여 잠시동안 권한을 사용할 수 있다. 실시예에서 생성하는 롤(Role)은 사용자를 위한 롤(Role), 서비스를 위한 롤, 서버에 부여할 수 있는 롤 등을 포함할 수 있다. 실시예에 따른 보안 진단 솔루션은 사용자 또는 진단 대상 계정에서 키(Key)를 부여하기 어려운 환경인 경우, 롤(Role)을 이용하여 사용자 계정에 설치된 서버가 API를 호출하여 진단대상의 보안 상태를 점검할 수 있도록 한다. In an embodiment, a role granted to a user does not grant authority directly to the user, but rather creates a role and grants access rights to the created role. Accordingly, in the embodiment, an Identity and Access Management (IAM) user can borrow and use the permissions of a role for a while when specific permissions are needed. In the embodiment, permission to use the authority of the role is provided through role-based asset registration. When role-based asset registration is performed, only users who have been granted a role to access the role can switch to the role and use the authority for a while. Roles created in the embodiment may include roles for users, roles for services, and roles that can be assigned to a server. In the security diagnosis solution according to the embodiment, in an environment where it is difficult to grant a key to the user or diagnosis target account, the server installed in the user account uses a role to call the API to check the security status of the diagnosis target. make it possible

모니터링 모듈(117)은 진단 대상 계정의 진단 상태(Status)를 모니터링하고, 진단 정보 알림 모듈(119)는 진단 대상 계정의 보안 진단 완료 시점에 사용자에게 진단 완료 및 주요 취약점 알림 정보를 제공한다. The monitoring module 117 monitors the diagnosis status of the diagnosis target account, and the diagnosis information notification module 119 provides diagnosis completion and major vulnerability notification information to the user when the security diagnosis of the diagnosis target account is completed.

실시예에서는 설치형 보안 진단 서비스를 제공할 수 있다. 실시예에서 제공하는 설치형 클라우드 보안 서비스는 서비스형 소프트웨어(SaaS) 형태와 대부분 비슷하지만 접근 키(Access Key)를 제공할 수 없는 고객들을 위하여 신원 및 접근관리(IAM) 롤(Role)을 활용한다는 차이가 있다. 실시예에서 따른 설치형 서비스는 AMI를 공유하고 설치를 진행한다. 해당 AMI를 설치하고 로드 된 이미지에 특정 권한이 있는 롤(Role)을 부여하면 구성이 완료된다. 실시예에서는 제공된 이미지가 로딩되면 서비스형 소프트웨어(SaaS) 형태의 서비스와 동일한 구성의 웹 서비스를 접속할 수 있도록 하고, 진단 결과는 해당 이미지에 저장되어, 외부로 데이터를 공유하지 않도록 한다. 실시예에서 제공하는 설치형 보안 진단 서비스는 외부로 데이터를 공유하지 않지만, 그 외 모든 서비스는 서비스형 소프트웨어(SaaS) 형태에서 제공하는 보안 진단 서비스와 동일하게 제공된다.In an embodiment, an installed security diagnosis service may be provided. The installed cloud security service provided in the embodiment is mostly similar to the Software as a Service (SaaS) type, but the difference is that identity and access management (IAM) roles are used for customers who cannot provide an access key. There is. The installable service according to the embodiment shares the AMI and proceeds with installation. Configuration is completed by installing the corresponding AMI and granting a role with specific permissions to the loaded image. In the embodiment, when the provided image is loaded, a web service with the same configuration as a software-as-a-service (SaaS) service can be accessed, and the diagnosis results are stored in the image to prevent data from being shared externally. The installed security diagnosis service provided in the embodiment does not share data externally, but all other services are provided in the same way as the security diagnosis service provided in the form of software as a service (SaaS).

도 10은 실시예에 따른 백 엔드 서버(130)의 데이터 처리 구성을 나타낸 도면이다.Figure 10 is a diagram showing the data processing configuration of the back-end server 130 according to an embodiment.

도 10을 참조하면, 실시예에 따른 백 엔드 서버(130)는 정합성 확인 모듈(131), 분석모듈(133), 판단모듈(135), 결과 정보 생성 모듈(137)을 포함하여 구성될 수 있다. Referring to FIG. 10, the back-end server 130 according to the embodiment may be configured to include a consistency confirmation module 131, an analysis module 133, a judgment module 135, and a result information generation module 137. .

정합성 확인 모듈(131)은 사용자 정보를 수신하면 클라우드 진단 종류를 파악하고, 사용자의 키(Key)를 복호화 하고, 복호화된 키를 백엔드 서버의 환경변수에 등록하여 API에 키의 정합성을 확인한다. 분석모듈(133)은 수집한 리소스 정보를 파싱 후 분석하고, 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교한다. 판단 모듈(135)는 비교 결과에 따라 진단 대상 계정의 양호, 취약 여부를 판단한다. 결과 정보 생성 모듈(137)은 진단 대상 계정의 보안 상태 진단이 모두 완료되면, 요약, 결과보고서를 포함하는 진단 결과 파일을 생성한다. When receiving user information, the consistency check module 131 determines the type of cloud diagnosis, decrypts the user's key, and registers the decrypted key in the environment variable of the backend server to check the consistency of the key in the API. The analysis module 133 parses and analyzes the collected resource information and compares it with rules provided by the security status diagnosis solution. The judgment module 135 determines whether the diagnosis target account is good or weak according to the comparison result. When the security status diagnosis of the diagnosis target account is completed, the result information generation module 137 generates a diagnosis result file including a summary and a result report.

실시예에서 벡 엔드 서버(130)의 분석모듈(133)은 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버를 포함하는 분류의 보안진단을 수행하기 위해, 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버를 포함하는 각각의 분류 별 보안 진단 항목을 설정하고, 보안 진단 항목 각각의 취약점 파악을 위한 세부 확인 항목을 포함하는 가이드를 생성한다. 이후, 생성된 가이드를 통해 각 항목의 보안진단을 수행할 수 있도록 하고, 가이드에 따른 보안진단 결과와 권고 사항을 사용자에게 제공할 수 있도록 한다. In the embodiment, the analysis module 133 of the back end server 130 is used to perform security diagnosis of categories including account management, network, logging, monitoring, virtual database, and virtual server. , set security diagnosis items for each category, including virtual databases and virtual servers, and create a guide containing detailed check items to identify vulnerabilities in each security diagnosis item. Afterwards, security diagnosis of each item can be performed through the generated guide, and security diagnosis results and recommendations according to the guide can be provided to the user.

도 11은 실시예에 따른 클라우드 보안 진단 시스템의 진단항목 리스트 및 컴플라이언스를 나타낸 도면이다. 도 11을 참조하면, 실시예에 따른 클라우드 보안 진단 시스템은 보안진단을 요청받은 진단 대상의 보안진단 수행 후 진단항목 리스트, 작업 분류, 항목 코드, 항목, 컴플라이언스를 포함하는 진단 결과정보를 엑셀 및 워드 파일로 생성하여 저장하고, 이를 보안진단을 요청한 사용자 단말, 클라우드 서버 및 보안서버로 전달할 수 있다. Figure 11 is a diagram showing a list of diagnosis items and compliance of a cloud security diagnosis system according to an embodiment. Referring to FIG. 11, the cloud security diagnosis system according to the embodiment performs a security diagnosis on the diagnosis subject for which a security diagnosis has been requested and then provides diagnosis result information including a list of diagnosis items, task classification, item code, item, and compliance in Excel and Word. It can be created and saved as a file and delivered to the user terminal, cloud server, and security server that requested security diagnosis.

또한, 실시예에 따른 보안 진단 시스템은 계정관리, 네트워크, 로깅, 모니터링, 가상 데이터베이스, 가상 서버를 포함하는 분류의 보안진단을 수행할 수 있다. 실시예에서 계정관리 분류는 진단항목은 루트 계정 자격 증명 사용 제한, 루트 계정 액세스 키 삭제 또는 비활성화, 루트 계정에 대해 MFA 설정, IAM 사용자에 대해 MFA 설정, 90일 이상 사용하지 않은 자격증명 삭제, 90일 이상 사용한 액세스 키, 취약한 클라우드 사용자 계정 패스워드 보안 정책, 가상 서버 서비스 관리자 외 중요 정책이 부여된 클라우드 계정 제거, 가상 데이터베이스 서비스 관리자 외 중요 정책이 부여된 클라우드 계정 제거, 가상 스토리지 관리자 외 중요 정책이 부여된 클라우드 계정 제거, 유추 가능한 계정 삭제 항목을 포함할 수 있고, 실시예에서는 계정관리 분류의 각 항목에 대한 보안진단을 가이드에 따라 수행하고, 진단 결과 및 권고 사항을 사용자에게 전달한다. Additionally, the security diagnosis system according to the embodiment can perform security diagnosis in categories including account management, network, logging, monitoring, virtual database, and virtual server. In the embodiment, the account management classification diagnostic items include limiting the use of root account credentials, deleting or disabling root account access keys, setting MFA for the root account, setting MFA for IAM users, deleting credentials that have not been used for more than 90 days, 90 Access keys that have been used for more than one day, weak cloud user account password security policies, removal of cloud accounts with important policies other than virtual server service administrator, removal of cloud accounts with important policies other than virtual database service administrator, and granting of important policies other than virtual storage administrator It may include items such as removal of a cloud account and deletion of an inferable account, and in the embodiment, a security diagnosis for each item of the account management classification is performed according to a guide, and the diagnosis results and recommendations are delivered to the user.

실시예에서 루트 계정 자격 증명 사용 제한 항목은 보안진단 시 가이드에 따라 루트 자격 증명이 사용을 최소화하기 위해 클라우드 루트 계정이 7일(기본값) 내에 액세스하는데 사용되었는지 확인하고, 루트 자격 증명이 있는 사람은 클라우드 내 모든 리소스에 제한 없이 액세스할 수 있으므로 루트 계정의 사용을 잠그는 것을 권고한다. 또한, 90일 이상 사용하지 않은 자격증명 삭제 항목의 보안진단 수행 후 90일 이상 사용하지 않은 자격증명은 삭제 또는 비활성화 하는 것을 권고할 수 있다. 실시예에서는 해당 자격 증명(패스워드 또는 액세스 키 등)을 삭제 또는 비활성화 하는 조치를 통해, 손상된 계정이 사용자 모르게 사용될 가능성을 줄일 수 있도록 한다. In the embodiment, the root account credential use restriction item checks whether the cloud root account has been used for access within 7 days (default) to minimize the use of root credentials according to the guide during security diagnosis, and anyone with root credentials is We recommend locking down the use of the root account as it has unrestricted access to all resources in the cloud. In addition, it may be recommended to delete or deactivate credentials that have not been used for more than 90 days after performing a security diagnosis on the deletion of credentials that have not been used for more than 90 days. Embodiments may reduce the likelihood that a compromised account will be used without the user's knowledge by deleting or disabling the relevant credentials (such as a password or access key).

실시예에서 네트워크 분류는 모든 인바운드 트래픽 허용 제한하는 보안 그룹(Security Group) 규칙 설정, 출처를 알 수 없는 IP 사용 여부를 파악하는 보안 그룹 규칙 설정, 모든 인아웃바운드 트래픽 허용 제한하는 NACL 규칙 설정, 사용하지 않는 사적 (Private) 서브넷 연결 해제, 불필요한 공인 IP 할당 항목을 포함할 수 있고, 실시예에서는 네트워크 분류의 각 항목에 대한 보안진단을 가이드에 따라 수행하고, 진단 결과 및 권고 사항을 사용자에게 전달한다. 실시예에서 보안 그룹 규칙 설정 항목은 항목 별 가이드에 따라 가상 서버 보안 그룹에서 특정 서비스 포트에 대한 무제한 액세스를 허용하는 인바운드 규칙을 확인하여 보안진단을 수행하고, 불필요한 공인 IP 할당 항목은 외부 연결이 불필요한 가상 서버에 대한 공인 IP 할당 여부를 확인하여 보안진단을 수행할 수 있다.In an embodiment, network classification includes setting security group rules to allow and restrict all inbound traffic, setting security group rules to determine whether IPs from unknown sources are used, setting NACL rules to allow and restrict all inbound traffic, and not using. It may include items such as disconnecting from a private subnet and assigning unnecessary public IPs. In the embodiment, a security diagnosis for each item of the network classification is performed according to a guide, and the diagnosis results and recommendations are delivered to the user. In the embodiment, the security group rule setting item performs a security diagnosis by checking inbound rules that allow unrestricted access to specific service ports in the virtual server security group according to the guide for each item, and the unnecessary public IP allocation item is used to determine whether external connections are unnecessary. You can perform a security diagnosis by checking whether a public IP is assigned to the virtual server.

실시예에서 로깅 분류는 모든 클라우드 서비스 위치에서 클라우드 로깅 서비스 활성화, 클라우드 로깅 서비스 유효성 검증 활성화, 가상 스토리지 액세스 제한, 클라우드 로깅 서비스 암호화, 로그 저장 가상 스토리지 기본 암호화 활성화, 가상 내부망 트래픽 로그 활성화, 클라우드 감사 서비스 활성화 항목을 포함할 수 있고, 실시예에서는 로깅 분류의 각 항목에 대한 보안진단을 가이드에 따라 수행하고, 진단 결과 및 권고 사항을 사용자에게 전달한다. In an embodiment, the logging classifications include: enabling cloud logging service in all cloud service locations, enabling cloud logging service validation, restricting virtual storage access, encrypting cloud logging service, enabling virtual storage default encryption for log storage, enabling virtual internal network traffic logs, and cloud auditing. It may include service activation items, and in the embodiment, security diagnosis for each item in the logging classification is performed according to a guide, and diagnosis results and recommendations are delivered to the user.

실시예에서 클라우드 감사 서비스 활성화 항목의 보안 진단은 항목별 보안진단 가이드에 따라 모든 클라우드 서비스 위치에서 클라우드 감사 서비스 기능의 활성화 여부를 확인하여 수행하고, 클라우드 로깅 서비스 암호화 항목은 서비스하는 클라우드에서 제공하는 암호화를 적용하여 클라우드 로그 데이터의 암호화 여부를 확인하여 보안 진단을 수행할 수 있다. In the embodiment, the security diagnosis of the cloud audit service activation item is performed by checking whether the cloud audit service function is activated at all cloud service locations according to the security diagnosis guide for each item, and the cloud logging service encryption item is performed through encryption provided by the cloud service. You can perform a security diagnosis by applying to check whether cloud log data is encrypted.

실시예에서 모니터링 분류는 승인되지 않은 API 호출에 대한 로그 메트릭 필터링 및 경보 활성화, MFA 없이 클라우드 관리 콘솔 로그인 시 로그 메트릭 필터링 및 경보 활성화, root 계정 사용 시 로그 메트릭 필터링 및 경보 활성화, 클라우드 IAM 정책 변경에 대한 로그 메트릭 필터링 및 경보 활성화, 클라우드 로깅 서비스 변경에 대한 로그 메트릭 필터링 및 경보 활성화, 클라우드 관리 콘솔 인증 실패에 대한 로그 메트릭 필터링 및 경보 활성화, 가상 스토리지 정책 변경에 대한 로그 메트릭 필터링 및 경보 활성화, 클라우드 감사 서비스 구성 변경에 대한 로그 메트릭 및 경보 활성화, Security Group 변경에 대한 로그 메트릭 및 경보 활성화, NACL 변경에 대한 로그 메트릭 및 경보 활성화, 클라우드 외부망 게이트웨이 변경에 대한 로그 메트릭 필터링 및 경보 활성화, 라우팅 테이블 변경에 대한 로그 메트릭 필터링 및 경보 활성화, 클라우드 가상 내부망 변경에 대한 로그 메트릭 필터링 및 경보 활성화, 클라우드 고객 관리형 키 비활성화 또는 삭제 예약에 대한 로그 메트릭 필터링 및 경보 활성화 항목을 포함할 수 있고, 실시예에서는 모니터링 분류의 각 항목에 대한 보안진단을 가이드에 따라 수행하고, 진단 결과 및 권고 사항을 사용자에게 전달한다. In embodiments, monitoring classifications include enabling log metrics filtering and alerts on unauthorized API calls, enabling log metrics filtering and alerts when logging in to the cloud management console without MFA, enabling log metrics filtering and alerts when using the root account, and changing cloud IAM policies. Enable log metrics filtering and alerts for Cloud Logging Service changes, enable log metrics filtering and alerts for Cloud Management Console authentication failures, enable log metrics filtering and alerts for virtual storage policy changes, Cloud Audit Enable log metrics and alerts on service configuration changes, enable log metrics and alerts on Security Group changes, enable log metrics and alerts on NACL changes, enable log metrics filtering and alerts on cloud external network gateway changes, and enable log metrics and alerts on routing table changes. It may include log metric filtering and alarm activation for cloud virtual internal network changes, log metric filtering and alarm activation for cloud virtual internal network changes, and log metric filtering and alarm activation for cloud customer-managed key deactivation or deletion schedule, and in an embodiment, monitoring. A security diagnosis for each item in the classification is performed according to the guide, and the diagnosis results and recommendations are delivered to the user.

실시예에서 클라우드 고객 관리형 키 비활성화 또는 삭제 예약에 대한 로그 메트릭 필터링 및 경보 활성 항목의 보안 진단은 항목 별 보안진단 가이드에 따라 클라우드 고객 관리형 키 구성이 변경될 때마다 감지하는 클라우드 모니터링 서비스 경보의 활성화 여부를 확인하여 수행할 수 있고, 클라우드 가상 내부망 변경에 대한 로그 메트릭 필터링 및 경보 활성화 항목의 보안 진단은 클라우드 가상 내부망 구성이 변경될 때마다 감지하는 클라우드 모니터링 서비스 경보의 활성화 여부를 확인하여 수행할 수 있다. 실시예에서는 클라우드 모니터링 서비스 경보를 설정하여 클라우드 가상 내부망 환경 구성 변경을 감지하여 무단 네트워크 액세스를 방지하며 기타` 보안 사고로 이어질 수 있는 실수 또는 악의적인 수정을 방지할 수 있도록 한다.In an embodiment, the security diagnosis of log metric filtering and alarm activation items for cloud customer-managed key deactivation or deletion reservation is performed according to the security diagnosis guide for each item, and the cloud monitoring service alarm detects whenever the cloud customer-managed key configuration is changed. This can be done by checking whether it is activated, and log metric filtering and alarm activation for changes to the cloud virtual internal network and security diagnosis of alarm activation items can be performed by checking whether the cloud monitoring service alarm, which detects whenever the cloud virtual internal network configuration is changed, is activated. It can be done. In the embodiment, a cloud monitoring service alarm is set to detect changes in the cloud virtual internal network environment configuration, prevent unauthorized network access, and prevent mistakes or malicious modifications that may lead to other security incidents.

실시예에 따른 가상 데이터베이스 분류는 가상 데이터베이스 기본 환경 구성 설정, Oracle 기본 네트워크 암호화(NNE) 설정, Oracle SSL 설정, Oracle Enterprise Manager (OEM) 설정, Oracle UTL MAIL 설정, 가상 데이터베이스 로깅 설정, 가상 데이터베이스 암호화 설정 적용 여부, 가상 데이터베이스 public snapshot 항목을 포함할 수 있고, 실시예에서는 가상 데이터베이스 분류의 각 항목에 대한 보안진단을 가이드에 따라 수행하고, 진단 결과 및 권고 사항을 사용자에게 전달한다. 실시예에 따른 가상 서버 분류는 암호화되지 않은 클라우드 가상 볼륨형 스토리지 사용 여부, User Data 영역 내 중요 정보 노출 여부, 암호화되지 않은 클라우드 가상 볼륨형 스토리지 Snapshot 사용 여부, 클라우드 가상 볼륨형 스토리지 public snapshot 노출 여부 항목을 포함할 수 있고, 실시예에서는 가상 서버 분류의 각 항목에 대한 보안진단을 가이드에 따라 수행하고, 진단 결과 및 권고 사항을 사용자에게 전달할 수 있다. The virtual database classification according to the embodiment includes virtual database basic environment configuration settings, Oracle default network encryption (NNE) settings, Oracle SSL settings, Oracle Enterprise Manager (OEM) settings, Oracle UTL MAIL settings, virtual database logging settings, and virtual database encryption settings. Applicability and virtual database public snapshot items may be included, and in the embodiment, a security diagnosis for each item of the virtual database classification is performed according to a guide, and the diagnosis results and recommendations are delivered to the user. Classification of virtual servers according to the embodiment includes whether to use unencrypted cloud virtual volume storage, whether or not important information in the user data area is exposed, whether to use unencrypted cloud virtual volume storage snapshots, and whether or not cloud virtual volume storage public snapshots are exposed. It may include, and in an embodiment, a security diagnosis for each item of the virtual server classification may be performed according to a guide, and the diagnosis results and recommendations may be delivered to the user.

이상에서와 같은 클라우드 보안 진단 서비스 제공 시스템 및 방법은 점검대상의 보안 상태를 서비스형 소프트웨어로 진단 가능하게 함으로써, 사용자가 관리하는 시스템의 보안 상태 및 취약점을 빠르게 파악할 수 있도록 한다. 또한, 점검대상의 취약점이 탐지되는 경우, 신속하게 대응하도록 하여 점검대상의 시스템 보안성을 향상시킬 수 있다. 또한, 실시예에는 사용자 별 역할과 역할에 대응하는 권한을 각각 생성하여 사용자 각각의 신원 및 접근관리를 수행함으로써, 시스템 보안 점검과정에서 관계자 외의 인력에 의해 발생될 수 있는 정보 노출 문제를 해결할 수 있다. The cloud security diagnosis service provision system and method as described above allows the security status of the inspection target to be diagnosed using service-type software, allowing users to quickly identify the security status and vulnerabilities of the system they manage. In addition, when vulnerabilities in the inspection target are detected, the system security of the inspection target can be improved by responding quickly. In addition, in the embodiment, a role for each user and permissions corresponding to the role are created to perform identity and access management for each user, thereby solving the problem of information exposure that may be caused by personnel other than the relevant person during the system security check process. .

또한, 실시예에서는 클라우드 보안 진단 시스템에서 전달받은 정보와 CVE를 비교하여 취약점이 존재하는 리소스에 대한 정보를 반환하고 해당 정보를 저장하여 지속적인 취약점 관리를 할 수 있도록 한다. Additionally, in the embodiment, information received from the cloud security diagnosis system is compared with the CVE to return information on resources with vulnerabilities and store the information to enable continuous vulnerability management.

개시된 내용은 예시에 불과하며, 특허청구범위에서 청구하는 청구의 요지를 벗어나지 않고 당해 기술분야에서 통상의 지식을 가진 자에 의하여 다양하게 변경 실시될 수 있으므로, 개시된 내용의 보호범위는 상술한 특정의 실시예에 한정되지 않는다.The disclosed content is merely an example, and various modifications and implementations may be made by those skilled in the art without departing from the gist of the claims, so the scope of protection of the disclosed content is limited to the above-mentioned specific scope. It is not limited to the examples.

Claims (10)

클라우드 보안 진단 서비스 제공 방법에 있어서,
(A) 사용자 단말은 회원가입 및 키(Key) 등록 후, 보안상태 진단 솔루션을 제공하는 보안 서버의 홈페이지에 접근 가능한 계정을 발급받고 상기 솔루션에 로그인하는 단계;
(B) 사용자 단말은 진단을 원하는 계정의 진단 요청을 보안서버로 전송하여 진단을 준비하는 단계;
(C) 보안서버는 멀티 클라우드 중 사용자 단말에 의해 지정된 클라우드로 API(Application Programming Interface) 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 수집한 후, 상기 수집된 리소스 정보를 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하여 보안상태를 진단하는 단계;
(D) 보안서버는 진단을 완료한 후, 사용자 단말로 진단 결과물을 공유할 수 있도록 보안 상태 진단 결과 정보를 저장하는 단계; 를 포함하는 클라우드 보안 진단 서비스 제공 방법.
In the method of providing cloud security diagnosis service,
(A) the user terminal registers as a member and registers a key, obtains an account accessible to the homepage of a security server that provides a security status diagnosis solution, and logs in to the solution;
(B) the user terminal prepares for diagnosis by transmitting a diagnosis request for an account for which diagnosis is desired to a security server;
(C) The security server sends an API (Application Programming Interface) request to the cloud designated by the user terminal among the multi-clouds, collects all resource information of the account to be diagnosed, and then uses the collected resource information to be provided by the security status diagnosis solution. Diagnosing the security status by comparing it with rules;
(D) after the security server completes the diagnosis, storing the security status diagnosis result information so that the diagnosis result can be shared with the user terminal; A method of providing a cloud security diagnosis service including.
 제1항에 있어서, 상기 (B)의 단계; 는
사용자 단말로부터 진단 요청을 수신한 보안 서버의 프론트 서버는 백 엔드 서버로 진단을 위한 사용자 정보를 전송하는 단계;
보안서버의 백엔드 서버가 상기 사용자 정보를 수신하면 보안 진단을 수행하는 클라우드를 파악하고, 사용자의 키(Key)를 복호화 하는 단계; 및
상기 복호화된 키를 백엔드 서버의 환경변수에 등록하여 API에 키의 정합성을 확인하는 단계; 를 포함하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 방법.
The method of claim 1, wherein step (B); Is
The front server of the security server receiving the diagnosis request from the user terminal transmits user information for diagnosis to the back-end server;
When the back-end server of the security server receives the user information, identifying a cloud that performs security diagnosis and decrypting the user's key; and
registering the decrypted key in an environment variable of a backend server and confirming the consistency of the key in the API; A method of providing a cloud security diagnosis service comprising:
 제1항에 있어서, 상기 (C)의 단계; 는
수집한 리소스 정보를 파싱(parsing) 후 분석하고, 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하는 단계;
비교 결과에 따라 진단 대상 계정의 양호, 취약 여부를 판단하는 단계; 및
백엔드 서버에서 보안 상태 진단이 모두 완료되면, 요약, 결과보고서를 포함하는 진단 결과 파일을 생성하는 단계; 를 포함하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 방법.
The method of claim 1, wherein step (C); Is
Parsing and analyzing the collected resource information and comparing it with rules provided by the security status diagnosis solution;
A step of determining whether the diagnosis target account is good or weak according to the comparison result; and
When the security status diagnosis is completed in the backend server, generating a diagnosis result file including a summary and a result report; A method of providing a cloud security diagnosis service comprising:
 제1항에 있어서, 상기 (D)의 단계; 는
프론트 서버에서 진단 상태(Status)를 모니터링하고, 진단 대상 계정의 보안 진단 완료 시점에 사용자에게 진단 완료 및 주요 취약점 알림 정보를 제공하는 단계; 를 포함하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 방법.
The method of claim 1, wherein step (D); Is
Monitoring the diagnosis status on the front server and providing notification information of diagnosis completion and major vulnerabilities to the user when the security diagnosis of the diagnosis target account is completed; A method of providing a cloud security diagnosis service comprising:
 제1항에 있어서, 상기 (A)의 단계; 는
사용자에게 각각 다른 접근 권한을 부여한 롤(role)을 생성하는 단계;
사용자 키(Key)를 부여받지 못한 신원 및 접근 관리(IAM) 사용자 단말에서 특정 권한이 필요한 경우, 롤이 부여된 사용자에게 일정 시간 동안 롤의 권한을 양도받는 단계; 및
신원 및 접근 관리(IAM, Identity and Access Management) 사용자 단말은 상기 양도된 롤을 이용하여 고객 계정에 설치된 서버가 API를 호출하여 진단 대상의 보안 진단을 수행하는 단계; 를 포함하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 방법.
The method of claim 1, wherein step (A); Is
Creating roles that grant different access rights to each user;
When a specific authority is required in an identity and access management (IAM) user terminal that has not been granted a user key, transferring role authority to a user granted the role for a certain period of time; and
Identity and Access Management (IAM) The user terminal performs a security diagnosis of the diagnosis target by calling an API from a server installed in the customer account using the transferred role; A method of providing a cloud security diagnosis service comprising:
 클라우드 보안 진단 서비스 제공 시스템에 있어서,
회원가입 및 키(Key) 등록 후, 보안상태 진단 솔루션을 제공하는 보안 서버의 홈페이지에 접근 가능한 계정을 발급받고 상기 솔루션에 로그인하고, 진단을 원하는 계정의 진단 요청을 보안서버로 전송하여 진단을 준비하는 사용자 단말;
멀티 클라우드 중 사용자 단말에 의해 지정된 클라우드로 API 요청을 보내고 진단 대상 계정의 모든 리소스 정보를 수집한 후, 상기 수집된 리소스 정보를 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하여 보안상태를 진단하는 보안 서버; 를 포함하고,
상기 보안 서버; 는
사용자 단말 및 점검 대상 계정과 통신하는 프론트 서버; 및
상기 프론트 서버와 통신하며 점검 대상 계정의 보안 진단을 수행하는 백엔드 서버; 를 포함하는 것을 특징으로 하는 클라우드 보안 서비스 제공 시스템.
In the cloud security diagnosis service provision system,
After registering as a member and registering a key, you are issued an account that can access the homepage of a security server that provides a security status diagnosis solution, log in to the solution, and prepare for diagnosis by sending a diagnosis request for the account you want to diagnose to the security server. a user terminal;
After sending an API request to the cloud designated by the user terminal among multi-clouds and collecting all resource information of the diagnosis target account, the security status is diagnosed by comparing the collected resource information with the rules provided by the security status diagnosis solution. a secure server; Including,
the security server; Is
A front server that communicates with the user terminal and the account subject to inspection; and
a back-end server that communicates with the front server and performs a security diagnosis of the account to be inspected; A cloud security service provision system comprising:
 제6항에 있어서, 상기 프론트 서버; 는
사용자 단말로부터 진단 요청을 수신하는 경우, 백 엔드 서버로 진단을 위한 사용자 정보를 전송하고,
상기 백엔드 서버는
사용자 정보를 수신하면 클라우드 진단 종류를 파악하고, 사용자의 키(Key)를 복호화 하고, 상기 복호화된 키를 백엔드 서버의 환경변수에 등록하여 API에 키의 정합성을 확인하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 시스템.
The system of claim 6, further comprising: the front server; Is
When receiving a diagnosis request from a user terminal, user information for diagnosis is transmitted to the back-end server,
The backend server is
Cloud security diagnosis, which is characterized by identifying the type of cloud diagnosis upon receiving user information, decrypting the user's key, and registering the decrypted key in the environment variable of the backend server to check the consistency of the key in the API. Service delivery system.
 제6항에 있어서, 상기 백엔드 서버; 는
수집한 리소스 정보를 파싱 후 분석하고, 보안상태 진단 솔루션에서 제공하는 룰(Rule)과 비교하는 분석모듈;
비교 결과에 따라 진단 대상 계정의 양호, 취약 여부를 판단하는 판단모듈; 및
보안 상태 진단이 모두 완료되면, 요약, 결과보고서를 포함하는 진단 결과 파일을 생성하는 진단 결과 정보 생성 모듈; 를 포함하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 시스템.
The system of claim 6, further comprising: the backend server; Is
Analysis module that parses and analyzes collected resource information and compares it with rules provided by the security status diagnosis solution;
A judgment module that determines whether the diagnosis target account is good or weak according to the comparison results; and
When the security status diagnosis is completed, a diagnosis result information generation module that generates a diagnosis result file including a summary and a result report; A cloud security diagnosis service provision system comprising:
 제6항에 있어서, 상기 프론트 서버; 는
진단 대상 계정의 진단 상태(Status)를 모니터링하는 모니터링 모듈; 및
진단 대상 계정의 보안 진단 완료 시점에 사용자에게 진단 완료 및 주요 취약점 알림 정보를 제공하는 진단 정보 알림 모듈; 을 포함하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 시스템.
The system of claim 6, further comprising: the front server; Is
A monitoring module that monitors the diagnosis status of the account subject to diagnosis; and
A diagnosis information notification module that provides diagnosis completion and major vulnerability notification information to the user upon completion of the security diagnosis of the account subject to diagnosis; A cloud security diagnosis service provision system comprising:
 제6항에 있어서, 프론트 서버; 는
사용자에게 각각 다른 접근 권한을 부여한 롤(role)을 생성하는 사용자 관리 모듈; 및
사용자 키(Key)를 부여받지 못한 신원 및 접근 관리(IAM) 사용자 단말에서 특정 권한을 요청하는 경우, 롤이 부여된 사용자 단말로부터 일정 시간 동안 롤의 권한을 양도하는 접근권한 양도 모듈; 을 포함하고
상기 신원 및 접근 관리(IAM) 사용자 단말에서 상기 양도된 롤을 이용하여 고객 계정에 설치된 서버가 API를 호출하여 진단 대상의 보안 진단을 수행하는 것을 특징으로 하는 클라우드 보안 진단 서비스 제공 시스템.
The system of claim 6, comprising: a front server; Is
A user management module that creates roles that grant different access rights to each user; and
When an identity and access management (IAM) user terminal that has not been granted a user key requests specific permissions, an access rights transfer module that transfers role rights from the user terminal to which the role has been granted for a certain period of time; contains
A cloud security diagnosis service providing system, wherein a server installed in a customer account calls an API using the transferred role in the identity and access management (IAM) user terminal to perform a security diagnosis of the diagnosis target.
KR1020220081308A 2022-07-01 2022-07-01 Cloud security diagnosis service providing system and method KR20240003570A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220081308A KR20240003570A (en) 2022-07-01 2022-07-01 Cloud security diagnosis service providing system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220081308A KR20240003570A (en) 2022-07-01 2022-07-01 Cloud security diagnosis service providing system and method

Publications (1)

Publication Number Publication Date
KR20240003570A true KR20240003570A (en) 2024-01-09

Family

ID=89538570

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220081308A KR20240003570A (en) 2022-07-01 2022-07-01 Cloud security diagnosis service providing system and method

Country Status (1)

Country Link
KR (1) KR20240003570A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102260822B1 (en) 2020-10-22 2021-06-07 (주)테이텀 Scanning and managing apparatus on cloud security compliance
KR102343501B1 (en) 2020-03-16 2021-12-27 주식회사 티앤디소프트 Security System for Cloud Service Based on Machine Learning

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102343501B1 (en) 2020-03-16 2021-12-27 주식회사 티앤디소프트 Security System for Cloud Service Based on Machine Learning
KR102260822B1 (en) 2020-10-22 2021-06-07 (주)테이텀 Scanning and managing apparatus on cloud security compliance

Similar Documents

Publication Publication Date Title
US10936078B2 (en) Account management services for load balancers
US9892264B2 (en) System and method for dynamic security provisioning of computing resources
JP5961638B2 (en) System and method for application certification
US10178096B2 (en) Enhanced data leakage detection in cloud services
US11683349B2 (en) Dynamic security policy management
US9521032B1 (en) Server for authentication, authorization, and accounting
US8825006B2 (en) Authentication request management
US10318747B1 (en) Block chain based authentication
CN110365684B (en) Access control method and device for application cluster and electronic equipment
US11539707B2 (en) Dynamic security policy consolidation
EP3884405B1 (en) Secure count in cloud computing networks
CN111737232A (en) Database management method, system, device, equipment and computer storage medium
KR20240003570A (en) Cloud security diagnosis service providing system and method
CN114065183A (en) Authority control method and device, electronic equipment and storage medium
US11798001B2 (en) Progressively validating access tokens
US11943226B2 (en) Container and resource access restriction
US20230412641A1 (en) Deduplication of endpoint images
US20240129297A1 (en) Domain ownership verification for a ztna service platform
US20240111513A1 (en) Pausing automatic software updates of virtual machines
CN114707128A (en) Database access method, related device, storage medium and program product