TOAST > TOAST 보안 정책

TOAST는 보다 안전한 보안 환경을 제공하고자 보안 상품, 보안 정책, 취약점 정보 등을 안내하고 있습니다. 다양하고 새로운 공격 기법과 보안 취약점으로부터 고객의 자산을 보호하기 위해, 클라우드 환경에서 자주 발생하는 보안 사고 및 위협에 대비할 수 있는 보안 정책을 아래와 같이 제공합니다.

비밀번호 정책

사용자 계정(root 및 일반 계정 모두) 비밀번호 설정 시, 일반적으로 유추하기 쉬운 비밀번호를 설정하면, 비인가된 사용자가 비밀번호 대입 공격을 통해 일반 계정 또는 root 권한을 획득하여 시스템에 접근할 수 있습니다. 이로 인해 서버에 저장된 중요 데이터가 유출되거나, 해킹 경유지 서버로 악용될 수 있으므로 안전한 비밀번호를 설정하고 관리해야 합니다.

안전한 비밀번호란

영문자, 숫자, 특수문자를 조합하여 최소 8자 이상으로 구성합니다. 다음과 같이 추측 가능한 비밀번호를 사용하지 않아야 합니다.

  • null 비밀번호
  • 문자 또는 숫자만으로 구성
  • 사용자 ID와 같은 비밀번호
  • 연속적인 문자나 숫자(예: 1111, 1234, adcd 등)
  • 주기적으로 비밀번호 재사용
  • 전화번호, 생일, 계정명, 호스트 이름과 같이 추측하기 쉬운 비밀번호

비밀번호 정책

TOAST는 고객의 소중한 자산과 서비스를 보호하기 위하여 아래와 같이 비밀번호 정책을 기본 적용합니다.

  • 영문자, 숫자, 특수문자 3종류로 조합
  • 최소 8자리 이상

DRDoS 공격 차단 정책

외부 네트워크에 오픈된 인스턴스가 DRDoS 공격 경유지로 악용될 경우 아웃바운드 트래픽의 비정상적인 증가로 인해 서비스 장애나 및 의도하지 않은 트래픽 과금이 발생할 수 있습니다. TOAST는 고객의 소중한 자산과 서비스를 보호하기 위하여 DRDoS 공격 경유지로 자주 악용되는 UDP 포트에 대한 차단 정책을 적용하고 있습니다.

DRDoS(Distributed Reflect DoS, 분산 반사 서비스 거부 공격)란?

DRDoS는 DNS, NTP, SSDP, Memcached 등 애플리케이션의 취약한 설정으로 인해 발생합니다. 다수의 좀비 PC를 이용하여 작은 요청 패킷으로 큰 응답 패킷을 만들어 타깃 서버에 트래픽을 집중시킬 수 있기 때문에 최근 해킹 공격에 많이 사용되는 대역폭 잠식형 공격 기법입니다.

차단 포트 목록

서비스명 차단 포트 차단 방법 비고
Chargen UDP / 19 Network ACL 차단 적용 외부에서 접속 불가
SSDP UDP / 1900 Network ACL 차단 적용 외부에서 접속 불가
Memcached UDP / 11211 Network ACL 차단 적용 외부에서 접속 불가

인터넷 포트 차단 정책 (Inbound)

TOAST와 달리 공공 기관에 제공하는 TOAST G 클라우드는 고객 서비스 보호를 위해 고객이 직접 관리할 수 있는 Security Group 기능 외 침입차단 시스템을 이용하여 중요 서비스 포트에 대해 차단하고 있습니다.

차단 포트 목록

서비스명 차단 포트 차단 방법 비고
시스템 Terminal Port TCP / 22, 23, 3389 Network ACL 차단 적용 외부에서 접속 불가
DBMS Port TCP, UDP / 1433(MS-SQL), 1521(Oracle), 3306(MySQL) Network ACL 차단 적용 외부에서 접속 불가
Netbios 관련 Port TCP, UDP / 135, 137, 138, 139, 445 Network ACL 차단 적용 외부에서 접속 불가
기타 TCP / 21(FTP), TCP / 5900(VNC) Network ACL 차단 적용 외부에서 접속 불가

포트 추가/허용 신청 절차

  • 아래 이미지 링크를 통해 “TOASTCloud G 방화벽 및 SSL VPN 정책 신청서.xlsx” 파일 다운로드하고 작성합니다.

  • 파일명 “TOAST G 방화벽 정책 신청서-기관명.xlsx”으로 저장합니다.
  • TOAST G 대표 메일 support@gov.toast.com로 접수 신청 메일 발송합니다.(접수일 기준으로 3일 이내 처리 및 회신)
TOP