[번역] 당신의 데이터를 "데이터 인질극" 공격 으로부터 보호하는 방법

원본 글 : https://www.elastic.co/blog/protecting-against-attacks-that-hold-your-data-for-ransom

지난 주말, 악성 공격이 발견되었다. 오픈소스 데이터베이스를 이용하여 저장된 수 천개의 데이터가 복사되고 삭제되었으며 공격자로부터 "데이터 인질극" 공격을 받게 되었다. 

이러한 공격에는 악성코드, 또는 "랜섬웨어"라는 방법은 사용되지 않았으며 보안 취약점을 이용한 보안 사고도 아니였다. 그러나 이는 데이터 손실 또는 유출과 같은 심각한 보안 사고와 연관이 있다. 

좋은 소식은 이러한 사고로 인한 데이터 손실 또는 유출은 적절한 설정과 구성을 통해서 쉽게 예방할 수 있다는 것이다.

따라서 이제부터 Elasticsearch 인스턴스, 특히 인터넷을 통한 접속이 가능한 인스턴스를 보호하는 것이 얼마나 중요한지에 대해서 다시 한번 상기하도록 하겠다.

Elastic Cloud를 사용하는 고객은 X-Pack 보안으로 무작위로 할당된 개별 암호를 받음으로써 클러스터를 보호할 수 있다.

AWS를 선택한 고객은 이중화된 방화벽과 프록시 뒷단에 클러스터가 배치된다. 기본적으로 인터넷에서 암호화된 TLS 연결을 지원하며, Elastic은 백업한 클러스터 데이터를 2일동안 보관한다.

만약 위의 방법을 사용하지 않는 다른 배포 방법을 선택하신 분들은 절대 Elasticsearch 인스턴스를 인터넷에 직접 노출시키지 말 것을 강력하게 권장한다. 이 부분은 2013년 Elastic 팀에서 게시한 블로그 게시물을 참고할 것. 

우리는 또한 localhost로 기본 바인딩 되도록 함으로써 외부에 노출시키지 않도록 하였지만 아직도 많은 인스턴스들이 안전하지 않은 인터넷에 연결되어 있다는 것을 우리는 알고 있다.

만약 여러분의 인스턴스가 인터넷에 바로 연결된 안전하지 않은 상태에 있다면, 빠른 시일 내에 즉시 조치를 취할 것을 강력하게 권장한다.

모든 데이터를 안전한 위치에 주기적으로 백업하는 것은 물론, "Curator snapshots"를 사용하는 것을 고려해 보길 바란다.

그리고 Elasticsearch를 non-routable 네트워크로 분리시키는 설정을 반드시 진행하기 바란다. 또는 만약에 당신이 인터넷에 반드시 접속해야 하며 연결시켜야 하는 경우에는 방화벽이나 VPN, Reverse Proxy 또는 다른 접근제어 기술을 통해서 인터넷에서 클러스터에 대한 접근을 제어할 수 있도록 하게 제한할 것.

그리고 가장 좋은 케이스로 항상 우리는 이 것을 추천합니다.

1. 최신 버전의 Elastic Stack 으로 업그레이드

2. 만약 당신이 2.x 버전을 실행중인 경우 스크립트 설정을 확인하거나 5.x 버전의 새로운 스크립팅을 확인.

3. TLS 암호화 추가, 인증, 권한, IP 필터링 기능을 지원하는 X-Pack 보안을 사용하여 인스턴스를 보호.

X-Pack Security : https://www.elastic.co/products/x-pack/security

Curator Snapshots: https://www.elastic.co/guide/en/elasticsearch/client/curator/current/snapshot.html