정보보호 (Security)335 OAuth, OIDC(OpenID Connect), SAML 인증 표준 개념과 주요 차이점 OIDC는 OpenID Connect의 약자로, 사용자 인증 및 권한 부여를 위한 오픈 표준 프로토콜입니다. OAuth 2.0 기반으로 구축되어 있어, 사용자의 인증 및 권한 부여를 위한 프레임워크로 사용됩니다. 이 프로토콜은 웹 및 모바일 애플리케이션에서 안전하게 사용자를 인증하고, 인증된 사용자에게 자원에 대한 액세스 권한을 부여하는 데 사용됩니다. OIDC의 주요 개념은 다음과 같습니다. 유저 인증 (Authentication): OIDC는 사용자를 안전하게 인증하기 위해 기존의 OpenID 프로토콜을 기반으로 합니다. 사용자는 클라이언트 애플리케이션에 로그인하고, 클라이언트는 인증 서버를 통해 사용자를 인증합니다. 권한 부여 (Authorization): OAuth 2.0과 마찬가지로, OIDC는.. 2023. 11. 26. HTTP Strict Transport Security (HSTS) 작동 원리 및 적용 방법 HTTP Strict Transport Security (HSTS)란 무엇인가? HSTS는 웹 보안을 강화하기 위한 중요한 메커니즘으로, 웹사이트의 보안을 향상시키고 사용자 데이터를 보호하는 데 도움이 되는 기술입니다. HTTP 통신은 기본적으로 텍스트로 전송되며 보안상 취약할 수 있습니다. 특히 사용자가 웹사이트에 처음 접속할 때, 일반적으로 브라우저와 웹 서버 간의 통신은 암호화되지 않은 HTTP로 시작됩니다. 이 초기 HTTP 연결은 중간자 공격을 수행하거나 사용자의 데이터를 가로채는 데 사용될 수 있습니다. HSTS는 이러한 위협을 해결하기 위해 개발되었습니다. 이것은 브라우저에게 특정 도메인을 HTTPS를 통해서만 접속하도록 강제하는 정책을 설정하는 메커니즘입니다. 사용자가 해당 도메인을 입력하.. 2023. 11. 14. AWS 클라우드 환경 보안점검을 오픈소스(Prowler)로 자동화 수행 Prowler는 AWS 환경에서 보안 점검을 수행하는 오픈 소스 도구 중 하나입니다. 아래는 Prowler를 사용하여 AWS 환경 보안 점검을 수행하는 단계별 구체적인 지침입니다. 이러한 지침은 Prowler의 기본 사용 방법을 안내하며, 상황에 따라 추가적인 구성이 필요할 수 있습니다. 참고: Prowler를 실행하기 전에 AWS CLI 및 AWS 계정에 액세스할 권한이 필요합니다. 단계 1: Prowler 설치 Prowler를 사용하려면 먼저 다음 단계를 따라 Prowler를 설치해야 합니다. Prowler GitHub 저장소에서 Prowler를 다운로드합니다. git clone https://github.com/toniblyx/prowler Prowler 디렉터리로 이동합니다. cd prowler .. 2023. 10. 10. 정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P) '정보보호 및 개인정보보호 관리체계 인증'(ISMS-P : Personal information & Information Security Management System)은 '개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'으로 개별 운영되던 인증체계를 하나로 통합한 '통합인증제도'로 2018년 11월 7일부터 시행되었습니다. 기업과 기관은 '정보보호 및 개인정보보호 관리체계 인증'을 통해 자사의 개인정보보호 및 정보보안에 대한 대외 신뢰도 향상 및 내·외부의 개인 정보 침해 위험 저감을 기대할 수 있습니다. 법적 근거 「개인정보 보호법」 제32조의2(개인정보 보호 인증) 처리 절차, 인증체계 및 기준 처리절차 인증심사 신청 => 인증심사 => 보완조치 => 인증위원회 개최 .. 2023. 9. 16. 클라우드서비스 CSAP 보안인증 교육 실시 KISA, CSAP 인증 준비사업자 대상 ‘클라우드서비스 보안인증 교육’ 실시 - 연내 총 16차 교육 실시…8/28(월)부터 교육생 모집 - 한국인터넷진흥원(KISA, 원장 이원태)은 과학기술정보통신부(장관 이종호)와 함께 클라우드 보안인증 준비사업자 및 인증유지기업 대상으로 ‘클라우드 보안인증(Cloud Security Assurance Program, CSAP) 교육’을 실시한다고 2023. 9. 4.(월) 밝혔다. 클라우드서비스 보안인증(CSAP)은 민간 클라우드서비스를 이용하는 공공기관의 보안 우려를 해소하고, 국내 클라우드서비스의 경쟁력 확보를 위해 기업의 클라우스서비스와 관련된 주요 정책, 정보자산, 인프라, 조직 등이 보안인증기준에 적합한지 인증하는 제도이다. KISA는 민간 클라우드 기업.. 2023. 9. 9. 이전 1 2 3 4 5 6 7 8 ··· 67 다음
