계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
GCP Terraform Misconfiguration: Weak Cryptographic Cloud DNS Signature
Abstract
이 Terraform 구성은 안전하지 않은 서명 알고리즘으로 Cloud DNS 도메인의 DNSSEC(Domain Name System Security)를 활성화합니다.
Explanation
DNSSEC는 DNS 응답 유효성 검사에 디지털 서명을 사용할 수 있는 기능을 제공하여 DNS 스푸핑을 방지합니다. 그러나 SHA-1을 사용하는 모든 DNSSEC 서명 알고리즘은 끊임없이 증가하는 공격 위험에 취약합니다. SHA-1은 디지털 서명과 함께 사용할 때 더 이상 보안 해시 알고리즘으로 간주되지 않습니다.
예제 1: 다음 예제는 안전하지 않은 서명 알고리즘
예제 1: 다음 예제는 안전하지 않은 서명 알고리즘
rsasha1으로 DNSSEC를 활성화하는 Terraform 구성을 보여줍니다.
resource "google_dns_managed_zone" "zone-demo" {
...
dnssec_config {
default_key_specs {
algorithm = "rsasha1"
...
}
}
...
}
References
[1] HashiCorp dns_managed_zone
[2] Google Cloud Use advanced DNSSEC
[3] Tony Finch SHA-1 chosen prefix collisions and DNSSEC
[4] IETF RFC 8624 Algorithm Implementation Requirements and Usage Guidance for DNSSEC
[5] Standards Mapping - CIS Google Cloud Computing Platform Benchmark Recommendation 3.4, Recommendation 3.5
[6] Standards Mapping - Common Weakness Enumeration CWE ID 327
[7] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000166, CCI-002418, CCI-002422, CCI-002450
[8] Standards Mapping - FIPS200 SC
[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-12 Cryptographic Key Establishment and Management (P1), SC-13 Cryptographic Protection (P1)
[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-12 Cryptographic Key Establishment and Management, SC-13 Cryptographic Protection
[11] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 6.2.2 Algorithms (L2 L3)
[13] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[14] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[15] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography
[16] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography
[17] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography
[18] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II
[20] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II
desc.structural.hcl.gcp_terraform_misconfiguration_weak_cryptographic_cloud_dns_signature