이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.

Overview

1: Checklist

서비스 개요

Config Inspection은 Samsung Cloud Platform의 서비스 별 Console 설정에 대한 보안 수준을 진단하는 서비스입니다. IAM, Networking, Database, Logging 등 영역별로 구성된 보안 체크 리스트를 제공하며, 진단 항목별로 권고하는 보안 설정이 적용되어 있는지 API 호출을 통해 현재 상태를 점검합니다.

사용자는 서비스 생성을 통해 진단 대상을 생성한 후 진단을 요청할 수 있으며, 진단 요청 결과는 Report를 통해 확인할 수 있습니다. Report에서는 진단 요청 이력과 항목별 진단 결과를 제공하며, 사용자의 최종 확인 또는 조치가 필요한 진단 항목은 각 항목에 해당하는 자원 정보와 조치 가이드를 포함한 상세 결과를 확인할 수 있습니다.

제공 기능

Config Inspection은 다음과 같은 기능을 제공합니다.

콘솔 진단: 인증키 방식으로 Console API를 호출하여 보안 수준을 진단할 수 있습니다.
진단 대상 관리: 서비스 생성을 통해 사용자의 Samsung Cloud Platform 계정을 진단 대상으로 생성하고 관리할 수 있습니다.
진단 요청: 자원 상세 화면에서 진단 요청 버튼을 클릭하여 진단을 요청할 수 있습니다.
진단 결과 관리: Report에서 진단 요청 목록 및 진단 상세 결과를 조회하고, 엑셀 파일로 다운로드할 수 있습니다.

구성 요소

체크 리스트

체크 리스트는 진단 결과의 기준이 되는 진단 항목 모음으로, 현재 Config Inspection에서 제공하는 체크 리스트는 다음과 같습니다.

Samsung Cloud Platform에서 제공하는 체크 리스트의 상세 진단 항목은 체크 리스트를 참고하세요.

클라우드	체크 리스트명	항목 개수
Samsung Cloud Platform	Best Practice	27
	Samsung Security Index (SSI)	24

표. Config Inspection 체크 리스트 종류

참고

SSI 체크 리스트는 삼성 리전에서만 사용할 수 있습니다.

Report

Config Inspection Report에서는 진단 결과 목록, 진단 결과 상세, 진단 항목 상세 순서로 진단 결과를 확인할 수 있습니다.

구분	상세 설명
진단 결과 목록	Account 내 전체 진단 요청 이력 완료: 진단 요청이 정상적으로 완료된 상태 인스턴스를 클릭하여 진단 결과 상세 내용을 확인 오류: 진단 요청이 정상적으로 완료되지 않은 상태 진단 결과가 오류인 경우 진단 결과 상세 내용을 제공하지 않습니다. 오류 발생 원인은 Config Inspection 상세 정보에서 확인
진단 결과 상세	정상 완료된 진단 요청 결과(진단 항목 목록) PASS: 진단 항목에 취약한 자원이 존재하지 않습니다. FAIL: 진단 항목에 취약한 자원이 존재합니다. CHECK: 취약 여부에 대해 사용자의 최종 확인이 필요합니다. ERROR: 사용자/인증키 권한 또는 API 호출에 오류가 있습니다. N/A: 진단 항목에 해당하는 자원이 없습니다.
진단 항목 상세	진단 항목별 상세 결과

구분

상세 설명

진단 결과 목록

Account 내 전체 진단 요청 이력

완료: 진단 요청이 정상적으로 완료된 상태
- 인스턴스를 클릭하여 진단 결과 상세 내용을 확인

오류: 진단 요청이 정상적으로 완료되지 않은 상태
- 진단 결과가 오류인 경우 진단 결과 상세 내용을 제공하지 않습니다.
- 오류 발생 원인은 Config Inspection 상세 정보에서 확인

진단 결과 상세

정상 완료된 진단 요청 결과(진단 항목 목록)

PASS: 진단 항목에 취약한 자원이 존재하지 않습니다.

FAIL: 진단 항목에 취약한 자원이 존재합니다.

CHECK: 취약 여부에 대해 사용자의 최종 확인이 필요합니다.

ERROR: 사용자/인증키 권한 또는 API 호출에 오류가 있습니다.

N/A: 진단 항목에 해당하는 자원이 없습니다.

진단 항목 상세

진단 항목별 상세 결과

표. Config Inspection Report 진단 구성

선행 서비스

Config Inspection은 선행 서비스가 없습니다.

1 - Checklist

Config Inspection에서 제공하는 체크 리스트 종류와 체크 리스트별 상세 진단 항목을 확인할 수 있습니다.

체크 리스트

체크 리스트는 진단 결과의 기준이 되는 진단 항목 모음으로, 현재 Config Inspection에서 제공하는 체크 리스트 종류는 다음과 같습니다.

클라우드	체크 리스트명	항목 개수
Samsung Cloud Platform	Best Practice	27
	Samsung Security Index (SSI)	24

표. Config Inspection 체크 리스트 종류

참고

SSI 체크 리스트는 삼성 리전에서만 사용할 수 있습니다.

Best Practice

Samsung Cloud Platform에서 제공하는 Best Practice 체크 리스트의 상세 진단 항목은 다음과 같습니다.

영역	진단 항목
IAM	Account 사용자를 관리하는 권한은 최소 권한의 원칙에 따라 IAM User 관리가 필요한 사용자에게만 부여해야 합니다. 장기 미사용자가 존재하지 않아야 합니다. 모든 사용자에게 인가된 IP만 접근을 허용하는 정책을 적용해야 합니다. 직무 및 사용 목적을 고려하여 최소 권한의 원칙에 따라 권한을 부여해야 합니다.
Networking	NAT Gateway는 인터넷 접속이 불필요한 Private Subnet에 생성하지 않아야 합니다. 네트워크 연동 상품은 Firewall을 사용해야 합니다. 불필요한 로컬 서브넷이 존재하지 않고 생성된 로컬 서브넷 내부에는 운영상 필요한 Virtual Server(VM) 또는 Bare Metal Server(BM)만 연결해야 합니다. 프로토콜별 원격 접속 Port는 인터넷 접근이 차단되어야 하며 접근이 필요한 IP를 지정하여 접속을 허용해야 합니다. Security Group은 IP/Port 단위로 필요한 규칙만 등록해야 합니다. 네트워크 연동 상품의 Firewall은 IP/Port 단위로 필요한 규칙만 등록해야 합니다.
Compute	Cloud Functions 함수 URL 사용 시 접근 제어를 적용해야 합니다.
Container	Kubernetes 클러스터 제어 영역은 퍼블릭 엔드포인트를 사용하지 않아야 합니다. Kubernetes 클러스터의 프라이빗 엔드포인트에는 인가된 리소스만 접근을 허용해야 합니다. Container Registry에 인가된 IP 리소스만 접근이 가능하도록 제한합니다. Container Registry 이미지에 대해 취약점 스캔을 활성화하고 발견된 취약점은 조치해야 합니다. Container Registry 취약한 이미지는 사용하지 못하도록 제한합니다.
Database	DB는 Private Subnet에 구성하고 인터넷 접속을 차단하여야 합니다. KMS Key는 접근이 필요한 주체에게만 관련 권한을 최소한으로 부여해야 합니다. KMS Key는 자동회전 기능을 통해 주기적(90일 이내)으로 변경해야 합니다.
Logging	Logging&Audit의 Trail 서비스를 활성화하고, 적용 범위를 전체 리전/자원 유형/사용자로 설정해야 합니다. Logging&Audit Trail의 로그파일 검증을 사용으로 설정해야 합니다. Logging&Audit의 Trail 로그를 1년 이상 저장하고 있어야 합니다. Security Group은 로깅을 활성화해야 합니다. Internet Gateway의 NAT 로깅을 활성화해야 합니다. Kubernetes Engine 클러스터의 제어 영역 로깅을 활성화해야 합니다. 네트워크 연동 상품은 Firewall 로깅을 활성화해야 합니다. DB 감사 로그를 저장해야 합니다.

표. Samsung Cloud Platform Best Practice 체크 리스트 구성 항목

Samsung Security Index (SSI)

Samsung Cloud Platform에서 제공하는 Samsung Security Index (SSI) 체크 리스트의 상세 진단 항목은 다음과 같습니다.

영역	진단 항목
IAM	Account 사용자를 관리하는 권한을 최소 인력에게 부여했는가? 미사용 계정이 존재하는가? 모든 Samsung Cloud Platform 사용자에 대해 접근 통제를 실시하는가? 직무 및 사용 목적에 따라 사용자의 권한을 최소화하고 있는가?
Networking	업무상 외부시스템 접속이 불필요한 Private Subnet은 NAT Gateway 연동을 금지하고 있는가? 네트워크 연동 상품은 방화벽을 사용하는가? 로컬 서브넷은 필요한 자원에 한하여 연동하는가? 모든 Security Group에 IP/Port 단위로 필요한 규칙만 등록하였는가? 네트워크 연동 상품의 Firewall은 IP/Port 단위로 필요한 규칙만 등록하였는가?
Container	Cloud Functions에 접근 제어를 하고 있는가? Kubernetes Engine API Server endpoint를 Private으로 설정하였는가? Kubernetes Engine API Server endpoint의 접근을 제한하고 있는가? Container Registry에 접근 제어를 하고 있는가? Container Registry 이미지에 대해 취약점 스캔 및 취약점 조치를 완료하였는가? 취약한 이미지는 Pull 제한을 하고 있는가?
Database	DB를 전용 Private Subnet 내 구성하고 인터넷 접속을 차단하고 있는가? KMS Key에 접근이 필요한 주체에게만 관련 권한을 최소한으로 부여하였는가? KMS Key를 주기적으로 자동 변경하는가?
Logging	Logging&Audit의 Trail 서비스를 활성화하고, 그 범위를 전체로 설정하였는가? 로그 파일에 대한 무결성 검증을 설정하였는가? Logging&Audit의 Trail 로그를 저장하고 있는가? Security Group 로깅을 활성화하였는가? 네트워크 연동 상품의 Firewall 로깅을 활성화하였는가? (DBaaS를 사용하는 경우) DB Audit을 활성화하였는가?

표. Samsung Cloud Platform SSI 체크 리스트 구성 항목