[스터디2] [인프라 엔지니어의 교과서] 10장 솔루션 및 보안

10장: 솔루션 및 보안

IT 인프라 상태 확인 -> IT 인프라 관리

 

10-1. 솔루션

솔루션 도입의 목적: IT 인프라 여러 장비를 효율적으로 관리

IT 자산 관리 도구: 엑셀로 관리 or 자체 개발 프로그램

 

보안 시스템

• 방화벽: IP나 포트 확인
• 침입 탐지 시스템(IDS, Intrusion Detection System): 네트워크나 시스템을 실시간으로 모니터링하다가, 수상한 패턴이나 해킹 시도가 감지되면 관리자에게 알림
• 웹 애플리케이션 방화벽(WAF, Web Application Firewall): 웹 트래픽(http) 내용물 확인

=> 인프라 전체에 대한 보안 대책

 

• 바이러스 검사 소프트웨어(antivirus software)

=> 서버 단위의 보안 대책

 

퍼실리티 관리 시스템: 데이터 센터 상태(온도, 전력 등 물리적 환경) 모니터링 및 관리

스토리지 관리 시스템: 스토리지 가동 상황 및 사용 상황 모니터링, 가상 스토리지 동적 확장 및 축소

 

구성 관리 도구: 시스템 구성 요소(하드웨어, 소프트웨어, 설정, 문서 등)를 관리하고 변경 추적

IaC(Infrastructure as Code)로 인프라를 코드화해 쉽고 빠르게 인프라 변경 가능

IaC 예시: Ansible, Chef, Puppet, SaltStack, Terraform, Packer, Jenkins

 

*SaltStack 동작 원리

• 마스터-미니언 구조
• 마스터: 명령을 내리는 중앙 관리 서버
• 미니언: 명령을 받아 실행하는 대상 서버들
• 마스터는 수많은 미니언에게 동시에 명령을 뿌림(비동기식)
• Pub/Sub 모델: 마스터가 4505번 포트를 통해 명령을 방송(Broadcast)함. 모든 미니언은 이 포트를 항상 구독(Listening)하고 있음
• 명령은 모든 미니언이 듣지만, 조건에 해당하는 미니언만 명령 수행
• Zero Message Queue(메시지 큐 서버가 필요없고 빠른 속도)를 사용해 명령 전파가 빠르게 이뤄짐
• 예시) 보안 인증기관 심사 시, 모든 서버에서 특정 스크립트의 실행이 필요할 때 사용

---

10-2. 보안

인프라 전체 관점의 보안 대책과 실시간 외부 공격 탐지 필요

• 보안 대상: 고객 데이터, 소스 코드, 사원 정보 등
• 보안 취약점: 코드 내 실수, 부적절한 권한 설정 등

 

주기적인 보안 진단

• 운영 과정에서 애플리케이션 변경 및 권한 설정 변경 작업이 일어나므로 보안 담당자는 정기적인 유지 보수가 필요
• 이상이 생기면 네트워크 차단 후 서버 담당자에게 이슈 전달해 대책 의뢰

 

그 외 방법: 외부 보안 전문 업체 활용, 데이터 암호화 및 해싱(애플리케이션 수준, RDB 수준, 스토리지 수준에서 암호화 활용 가능)