# 퍼블릭 클라우드 회의록 ## 경영운영망 PoC확대 건에 대한 정보보호위원회 상정관련 의견 - **경영지원망의 PoC를 확대 또는 연장하는 목적은 다음과 같음.** - 금보원 평가가 완료될때까지 비중요시스템을 디플로이하고 내부트래픽을 발생시켜 실제 운영 경험 확보하여 중요시스템 런칭시 운영리스크 최소화 - 시스템간의 연계 검증 - 시스템 모니터링 및 알람(WatchTower)등 시스템간 연계 검증 - 안전성 확보조치를 위한 정보보호시스템과의 연계 및 실질적 운영경험도 확보 - ex: Qradar연동을 통해 클라우드 관련 로그를 사전에 면밀히 분석하여 적절한 Rule 생성 - WatchTower나 Qradar의 경우 개발/테스트환경에 구성되어 있지 않음. - 제정될 지침등 내규에 따른 운영체계 및 프로세스에 대한 검증절차도 필요 - AWS의 아키텍쳐상 네트워킹 문제로 방화벽 가용성 이슈 해결 필요 - **정보보호위원회 상정시 통과될 가능성이 희박해 보임** - 위원회 상정시 준법, 리스크관련 위원을 설득하기가 어려울 것으로 예상됨 - 블록체인 도입시에도 관련 위원들의 반발이 상당했어서, 본건 또한 반발이 예상됨. (보안파트 실무자 의견) - 정상적인 절차대로라고 하면 아래와 같은 서류를 준비하여 상정해야함. - 이용대상 정보처리시스템의 중요도 평가 기준 및 결과 - 준비에 큰문제는 없음 - CSP의 재무건전성 및 안전성 평가 결과 - 안전성 평가결과 미흡사항이 존재함. 조치가 완료되지 않은 CSP에 운영서비스를 올리는 것이 적법하지 않다는 반발에 부딪쳐 원하는 결과를 얻지 못할 가능성이 있음. - 당행의 업무 위수탁 운영기준 - 준비에 큰문제는 없음 - 업무 연속성 계획 및 안전성 확보조치 방안 - 준비에 큰문제는 없음 - **정보보호위원회에 상정이 된다 하더라도 통과될지 의문임.** - 정보보호위원회에서 통과가 되더라도, **평가결과상 하자가 있는 것을 운영환경에서 테스트했다는 공식적인 문서가 남으면 향후 감독원 감사시 문제될 소지가 있어보임.** - 감독원 수검시 제일 먼저 요구하는 것이 정보보호위원회 안건자료임. - 보안파트에서 정보보호위원회에 상정함으로써 리스크를 헷지하려는 것으로 보이나, 위와같은 이유로 실제 리스크를 헷지하기보다 더 큰 문제를 야기할 수 있음. - 위와 같은 사유로 굳이 정보보호위원회에 상정하여 소모적 논쟁을 하는 것은 불필요해 보임 - 따라서, 다음과 같은 안으로 기술협의체에서 정보보안파트장, CISO와 협의를 진행하여 소모적 논쟁을 최소화하고, PoC확대 목적을 달성하는 것이 타당해 보임. - 1안 (우선 검토안) - **경영운영환경에서 제한적으로 허용하는 형태로 정보보안파트장 또는 CISO이 합의 결재로 진행** - 기존 PoC와 동일한 형태로 전자결재 부서합의를 통해 진행 - 전자결재 기안시 몇가지 전제조건 제안 가능 - 클라우드 접근가능자 최소화 - 시스템 운영경험을 위한 파트 (기술기획파트, 정보보안파트) - JupyterHub을 통한 테스트 파트선정 (ex: 빅데이터) - 파트선정이 어렵다면 기술기획 파트에서 해당 서비스에 대한 테스트까지 진행. - PoC종료후 해당 운영환경의 데이터 및 클라우드 리소스 전체 삭제처리하고 정식 계약시 재구성 - 2안 (1안이 어렵다고 할 경우 차선책) - **보안파트에서 운영환경에서의 PoC에 대해서 부정적인 의견을 견지할 경우, 개발/테스트 환경에서 PoC진행** - 기본적으로 개발/테스트 환경에서 실제 운영 - 이 경우에도 운영경험은 충분히 확보할 수 있음 - 구성 및 시스템연계 검증에 꼭 필요하나, 개발/테스트환경에 구축되어 있지 않은 시스템에 대해서는 아래와 같은 방안을 고려 - ex: WatchTower, Qradar, Git-lab 등 1) 해당 시스템에 한해서만 운영환경의 시스템과 연동 2) 1번이 불가능 할 경우, 연동 및 검증을 위한 제한적인 기간동안만 접근 허용 ## 2020.01.17 클라우드 이슈협의체 미팅 - 보안파트 의견 - KB 정보보호부에 확인결과, AWS 최종평가후에도 타사에는 결과를 공유하지 않을 예정이라고함 - 보안파트 입장에서는 금보원의 공식적인 평가 문서가 없이 단말기의 논리적 망분리를 적합으로 판정하기에는 부담이 있음 - 금보원에 CSP평가를 신청해야할 것으로 보임 - 기술기획파트 최종의견 - 금보원에 AWS평가요청 및 경영운영으로 PoC확대 2Track으로 진행 - 금보원에 AWS에 대한 CSP안전성평가 신속히 신청 - 이벤트 시스템으로 신청 (차주 기술협의체 공유후 신청) - 플랫폼기술파트 담당자 assign필요 - 금보원은 3월 9일부터 평가가능 (2월은 이미 평가일정이 모두 잡혀있음) - 추가보호조치만 평가시 2주소요 예상 - AWS가 예정대로 1분기내 무선AP를 조치완료한다고 하면 특별한 이슈가 없는한 3월중으로 평가가 종료될것으로 예상됨 - 추가보호지치에 대해서만 신청 - 금보원 평가종료전에 KB에서 평가 결과를 공유해줄 경우 그 결과로 대체 진행 - AWS EA 검토 마무리 추진 (henry 의견 확인 필요) - 준법파트 검토중 이슈발생시 AWS global과 의견조율 과정이 2개월정도 소요될 것으로 예상 - F Unit의 EA검토를 마무리하고 빠르면 2월부터 준법파트에 EA계약서 검토 요청 (3월중 마무리 목표) - 경영운영으로 PoC확대 - 정보보호위원회에 경과보고후 진행 - AWS의 아키텍쳐상 네트워킹 문제로 방화벽 가용성 이슈 해결 필요 - 금융업무망에 중요시스템(이벤트시스템) 런칭시 해당 이슈는 반드시 해결이 필요함 - AWS에 feature request를 하였으나 반영여부와 일정은 미지수임 - 동 이슈에 대한 해결책으로 3rd Party제품(aviatrix)에 대한 PoC진행필요 - AWS에 대한 운영경험 확보 필요 - 금보원 평가가 마무리되고 금융업무망 런칭 전까지 경영운영망에서 비중요시스템을 디플로이하고 내부트래픽을 발생시켜 실제 운영 경험 확보 및 시스템간의 연계 검증 - 중요시스템(이벤트시스템) 런칭시 AWS의 운영경험 없이 런칭하기에는 운영리스크가 상당할 것으로 판단됨. - 제정될 지침등 내규에 따른 운영체계 및 프로세스에 대한 검증절차도 필요 - AWS확인결과, Credit 추가지원 가능 ## 2020.01.07 클라우드 이슈협의체 미팅 ### AWS 미팅 - 무선 AP제거 2020.01까지 요청건 - AZ는 3군데나 IDC는 9군데 - PoC 진행중으로 20.02.07 완료 예정 - Business impact & 비용등 확인 - 2020.02월말까지 제거 목표 - 진행사항은 2주마다 카뱅에 업데이트 예정 - 통합보안관제 - 부분 충족 - 기존 On-prem장비로 연동은 가능하여 큰 이슈 없음 - 전산실 단말기 논리적 망분리 - 당행에서 본내용과 완전 동일함. - 단말기(인터넷 접속가능, corp wifi 망) > mid g/w > bastion > server (prod 망) - 각 단계마다 id, pw, ubikey 인증을 통해 corp wifi > global backbone > prod 망으로 접속 - 인증이 있음에도 불구하고 141개 항목을 모두 실사 받음. - KB에서 보수적인 접근을 함. - 추가 지적사항이 있음(개수는 공유해주지 않음) - rack 시건장치 없어 지적받음(azure 지적사항과 동일건이라 공유해준듯) - 조치하지 않을 예정이며, 카뱅에서 이런 부분은 수용가능한지 물어봄 - 그외는 공유해주지 않음 - 1분기내에 금보원을 통해서 재점검 받을 예정 - 4월 중순은 되야 결과를 공유받지 않을까함. - KB에서는 결과공유에 동의한 상태 ### 추가공유 내용 - Azure stack, AWS Outpost 정리내용 공유 - 추가로 LB, Object Storage 지원 여부 조사요청 - 20.01.10일에 인프라 사업계획시 HCI, Azure Stack, AWS Outpost를 두고 논의할예정 (퍼블릭 클라우드 사업과는 별개) - 상세내용 https://wiki.kabang.io/pages/viewpage.action?pageId=69811380