ㅇISMS (구) 통제항목 10.4.1.5(접근 통제)
ㅇISMS, ISMS-P 통제항목 2.6.1(네트워크 접근)
- 점검 항목 :
- 서비스, 사용자그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 있는가?
네트워크 분리라하면 일단 제일 중요한 부분인 DB망과 웹서버망(DMZ)을 분리하는 것이다. 컨설팅을 진행하다보면 이를 우선적으로 생각하고 다른 부분은 간과될 수 있는 부분이다.
이 항목에서 또하나의 요구하는 중요 사항은 다음과 같다.
- 주요 내부 서비스용 서버와 웹서버를 같은 네트워크 단에 두지 말기.
APC, DLP 등 내부 서비스 용도로 사용되어지는 서버는 웹서버와 같은 네트워크 단(DMZ)에 위치할 경우, 외부에서 내부로 침투할 수 있는 경로를 제공하는 거랑 마찬가지이다. 웹서버도 어찌보면 침투경로가 되겠지만, 사용자에게 서비스를 제공하기 위한 불가피하게 DMZ에 위치해야할 부분으로 예외적인 요소로 생각하면 되겠다.
흔히 많이 이슈가 되는 것이 WAS도 DMZ존에 위치시키는 부분인데...
요즘은 WEB과 WAS가 하나의 모듈로 동작하는 형태로 나오기때문에 이를 굳이 분리시켜서 적용할 것까지는 안해도 무방하다.(단, WAS 내 개인정보 및 중요정보가 저장되어 있지 않은 경우에만 해당)