• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Change Management - 걸림돌 2008.06.23

Cover Story

 

걸림돌

 

변경 관리와 관련한 함정을 피하기 위해 보안팀이 유념해야 할 몇 가지 핵심 사항이 있다.

 

● 변경 관리와 설정 관리의 차이를 알아야 한다. 변경 관리는 프로세스 프레임워크로 기술 지원을 받는다. 설정 관리는 변경이나 설정 데이터베이스를 위해 주요 파일들을 모니터하는 서버의 소프트웨어 에이전트처럼 그 자체가 툴과 동일시되는 경우가 빈번하다(“변경을 위한 툴” 참조). 그러나 제대로 설계된 설정 관리는 보안팀이 쉽게 적절한 변경 관리를 할 수 있게 해준다.

● 위기에 초점을 맞춘 효과적인 변경 관리를 성취하는데 있어 최대의 장애물은 기술이 아니라 사람과 프로세스다. 변경 관리 워크플로우 내의 보안의 역할을 이해시키기 위해 각기 다른 IT 그룹과 사업체와 대등하게 작업하는데 초점을 맞춰야 한다. 가트너의 부회장 크리스 브리테인(Kris Brittain)은 “보안은 보다 ‘적극적인 파트너’가 되어야 한다. 또한 툴보다 정책이나 프로세스 생성이 더 논의 되어야만 한다”고 말했다.

● 설정 모니터링과 구현 툴을 평가할 때는 조직 전반의 변경 관리 제품에 통합될 수 있는지를 살펴야 한다. 보안과 보안 제품을 위한 저장소를 만들어서는 안 된다.


설정 모니터링 툴이 변경 관리 제품과의 통합의 시작이기는 하지만 그들 둘의 융합은 요원하다. 우선 보안 전문가들은 정책과 프로세스에 초점을 맞춰야만 하고 예정된 변경에 관한 위험 분석의 내부 프로세스를 개선해야 하며 변경 관리 워크플로우의 모든 단계에서 적절한 감사 추적이 행해지고 있는지를 확실히 해야만 한다.

 

 products

변경을 위한 툴

 

변경과 설정 관리를 능률적으로 할 수 있도록 도와주는 제품들이 있다.

 

집중화된 변경과 설정 관리 기능을 수행하는 다양한 툴이 있다.

그 중 일부는 시스템과 애플리케이션을 조사할 수 있으며 패치 레벨을 적용하고 모니터 할 수 있디. 또 설정 세부사항을 통제할 수 있는 어플라이언스나 에이전트를 통해 설정 관리 옵션을 전통적인 패치 관리와 결합시켰다.

BigFix의 Enterprise Suite, Configuresoft의 Enterprise Configuration Manager(ECM), Kace의 KBOX Systems Management Appliance, BladeLogic의 Operations Manager, Lumension의 PatchLink 등이 이에 해당된다.

그 외의 툴들은 좀 더 정책 관리와 설정 모니터링에 관련된 것으로 파일 보존 모니터링과 조직의 특정한 설정을 기반으로 정책 시행을 수행한다. 조직은 기본 설정으로 정책을 평가하고 일단 적용되면 툴이 변경을 모니터하도록 한정한다. 이러한 툴들은 정책을 기반으로 경고하거나 또는 설정과 치료를 자동화 할 수 있다.

Tripwire의 Enterprise, nCircle의 Configuration Compliance Manager, Solidcore의 S3 Control 등이 이에 해당된다.

세 번째 유형은 전통적인 변경 관리 제품들로 헬프데스크 티켓팅, 변경 요청 및 승인 워크플로우 툴, 빌트인 감사 기능 등을 통합하기도 한다.

BMC의 Remedy, HP의 ‘Change and Configuration Center’, IBM의 ‘Tivoli Change and Configuration Management’ 등이 이에 해당된다.

 

데이브 섀클포드(Dave Shackleford)

 

<글·데이브 섀클포드(Dave Shackleford)>

[정보보호21c (info@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>