클라우드 스캔의 주요 개념

클라우드 스캔에는 환경 및 리소스와 같은 Snyk 핵심 개념과 다른 고유한 개념이 많이 있습니다.

환경 (Environments)

Snyk 환경은 Amazon Web Services (AWS) 계정, Azure 구독 또는 Google Cloud 프로젝트에 해당하는 조직 개념입니다.

Snyk 프로젝트와 달리 환경에는 리소스로 알려진 스캔 가능한 엔티티가 포함됩니다. 리소스는 상호 연관될 수 있습니다. 하나의 리소스는 다른 리소스의 자식 또는 형제 리소스가 될 수 있습니다. 리소스에는 테스트할 수 있는 속성도 있으며, 이러한 속성은 잘못 구성될 수 있어 이슈를 생성합니다. 이는 환경과 그 리소스를 프로젝트와 다르게 만듭니다.

Snyk 환경에는 클라우드 공급자를 위한 통합 설정도 포함됩니다. 예를 들어, 각 환경은 다른 AWS 계정과의 통합을 나타낼 수 있습니다.

/cloud/environments Snyk REST API 엔드포인트를 사용하여 모든 환경 목록을 검색하고 선택적으로 이름 및 스캔 상태와 같은 속성으로 필터링할 수 있습니다.

다음 클라우드 공급자가 지원됩니다:

• Amazon Web Services

• Microsoft Azure

• Google Cloud

리소스 (Resources)

리소스는 AWS S3 버킷과 같은 클라우드 인프라 엔티티, IAM(Identity and Access Management) 역할 또는 VPC(Virtual Private Cloud) 플로우 로그입니다.

각 스캔에서 Snyk은 환경의 각 리소스 구성 속성을 기록합니다.

/cloud/resources Snyk REST API 엔드포인트를 사용하여 조직의 모든 리소스 목록을 검색하고 선택적으로 환경 ID, 리소스 ID 또는 리소스 유형과 같은 속성으로 필터링할 수 있습니다.

클라우드 환경에 대해 지원되는 리소스 유형 목록은 다음을 참조하십시오:

• 지원되는 AWS 리소스

• 지원되는 Azure 리소스

• 지원되는 Google 리소스

규칙 (Rules)

보안 규칙은 보안 문제로 이어질 수 있는 잘못된 구성을 위해 클라우드 인프라 및 코드형 인프라(IaC)를 확인합니다.

예시 규칙은 "S3 버킷에 모든 블록 공개 액세스 옵션이 활성화되어 있지 않음"입니다. Snyk은 AWS S3 버킷의 구성을 스캔하여 규칙에 실패하는지 확인하고 데이터 유출에 취약한지 확인할 수 있습니다.

이슈 (Issues)

이슈는 보안 문제로 이어질 수 있는 잘못된 구성을 나타냅니다. 리소스 및 규칙과 연결됩니다. 예를 들어, AWS S3 버킷은 "S3 버킷에 모든 블록 공개 액세스 옵션이 활성화되어 있지 않음" 규칙에 대해 테스트할 수 있습니다. 버킷이 규칙에 실패하면 Snyk은 클라우드 이슈를 엽니다.

Snyk이 이슈를 생성한 후, 잘못된 구성이 수정될 때까지 이슈를 열어 두며, 이때 이슈는 닫힙니다.

Snyk 웹 UI에서 조직의 이슈를 볼 수 있습니다. Snyk 웹 UI에서 클라우드 이슈 보기를 참조하십시오.

규정 준수 표준 (Compliance standard)

규정 준수 표준은 조직이 IT 시스템 및 인프라를 보호하기 위한 지침 및 제어를 설정하는 프레임워크입니다. 규정 준수 표준은 다양한 주기로 릴리스되는 버전이 있습니다. 예: NIST 800-53 (vRev5), CIS AWS Foundations Benchmark (v1.4.0). Snyk은 클라우드 규정 준수 이슈 보고서를 제공합니다.

자세한 내용은 지원되는 규정 준수 표준을 참조하십시오.

규정 준수 제어 (Compliance control)

규정 준수 제어는 조직이 시스템 또는 인프라를 보호해야 하는 방법을 규정하는 규정 준수 표준의 특정 권장 사항 또는 지침입니다. 예: CIS AWS Foundations Benchmark (v1.4.0)의 제어 2.1.5는 "S3 버킷이 '블록 공개 액세스(버킷 설정)'로 구성되어 있는지 확인하십시오"입니다. 이 제어를 준수하려면 조직은 모든 S3 버킷에 대해 "블록 공개 액세스" 설정을 활성화해야 합니다.

규정 준수 매핑 (Compliance mapping)

Snyk은 보안 규칙을 규정 준수 제어에 "매핑"합니다. 즉, 각 규칙은 하나 이상의 제어와 연결되고 각 제어는 하나 이상의 규칙과 연결됩니다.

예를 들어, CIS AWS Foundations Benchmark (v1.4.0)의 제어 2.1.5는 "S3 버킷이 '블록 공개 액세스(버킷 설정)'로 구성되어 있는지 확인하십시오"이며, 이는 보안 규칙 SNYK-CC-00195인 "S3 버킷에 모든 블록 공개 액세스 옵션이 활성화되어 있지 않음"으로 매핑됩니다.