보안 그리고 설정관리 (Configuration Management)
조직에 필요한 적절한 보안장비를 도입했다고 해도 적절한 설정을 유지하지 못하면 아무런 소용이 없다.
그리고, 운영되는 모든 어플리케이션이나 시스템 역시나 보안을 고려한 설정을 하지 않으면, 댐에 작은 균열이 생겨서 댐이 무너질 수 있는 것처럼 이후에 큰 보안 이슈를 만들 수 있다.
SE(Software Engineering)관점에서는 Configuration Management를 형상관리로 해석을 하지만, 여기에서는 설정관리로 표현하는 것이 보다 적절하다는 것이 개인적인 생각이다. 물론 적절한 가이드를 따르는 안전한 설정을 지속적으로 유지하는 것은 당연히 매우 중요하며, 이 때에는 변경에 대한 관리 등 형상관리 관점의 관리가 매우 중요하겠다.
설정에 대해서 아래와 같은 문서들을 참고할 수 있어서 정리를 해본다.
* NIST의 Common Configuration Enumeration
- 기존에 MITRE(마이터 라고 읽는다)에서 시작한 프로젝트(http://cce.mitre.org/)인데 현재는 NIST에서 주관하고 있다.
- http://nvd.nist.gov/cce/index.cfm
* NSA의 Security Configuration Guides
NSA(National Security Agency)에서는 Guide to the Secure Configuration of Red Hat Enterprise Linux 5(http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf) 등과 같이 실제 사례들을 잘 정리해주고 있는데, 아래의 경로에서 찾을 수가 있다
- http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/