클라우드 보안이란?

클라우드 보안은 잠재적 사이버 보안 위협에 대항하여 클라우드 기반 컴퓨팅 환경을 강화하는 절차, 정책, 기술 모음입니다. 실제로 이는 공격이나 침해 중에 클라우드 컴퓨팅 모델의 무결성과 안전을 보장합니다. 클라우드 서비스 제공업체는 안전한 클라우드 인프라를 구축하고 있습니다.

클라우드 보안

클라우드 보안 확보만큼 복잡한 일도 없을 것입니다. 클라우드 보안을 유지하면서 비즈니스를 보호하고 동시에 클라우드가 제공해야 하는 모든 것을 이용할 수 있는 여러 방법이 있습니다.

클라우드 보안은 조직의 요구에 맞는 올바른 서비스 모델을 선택하는 것에서 시작됩니다. 클라우드 보안 솔루션에는 세 가지 고유한 서비스 모델과 네 가지 배포 옵션이 있습니다. 서비스 모델 옵션에는 다음이 포함됩니다.

  • 서비스형 인프라(IaaS): IaaS 모델은 기업이 자체 가상 데이터센터(vDC)를 구축할 수 있도록 지원합니다. 가상 데이터센터는 기존 데이터센터에서 제공할 수 있는 물리적 이점 대신에 클라우드 기반 리소스를 제공합니다. 가상화된 데이터센터에는 물리적 기계에 대한 정기적 유지보수, 업데이트 또는 서비스가 필요하지 않습니다.
  • 서비스형 플랫폼(PaaS): PaaS 모델은 고객이 소프트웨어를 공급하거나 배포하거나 만들어낼 수 있도록 다양한 옵션을 제공합니다.

 

서비스형 소프트웨어(SaaS):  SaaS 모델을 통해, 컴퓨터나 서버를 사용하지 않아도 빌드할 수 있는 소프트웨어를 고객에게 제공합니다. Microsoft 365(이전의 Office 365)와 Gmail을 예로 들 수 있습니다. 이러한 옵션을 사용할 경우 고객이 각 애플리케이션에 액세스하는 데는 컴퓨터, 태블릿 또는 전화기만 있으면 됩니다. 기업은 효과적인 자사 제품 설명을 위해 DRaaS(재해 복구), HSMaaS(하드웨어 보안 모듈), DBaaS(데이터베이스), 그리고 XaaS(모든 것을 서비스로)까지 다양한 용어를 사용합니다. 회사가 무엇을 마케팅하는가에 따라 제품이 SaaS인지 PaaS인지 판단하기 어려울 수 있지만 결국 클라우드 제공업체의 계약상 책임을 이해하는 것이 더 중요합니다. 클라우드 제공업체는 계약을 연장하여 HSMaaS(하드웨어 보안 모듈) 또는 DRMaaS(디지털 권한 관리)와 같은 서비스를 통해 클라우드 형성에 보안을 추가합니다.

4가지 배포 모델:

  • 퍼블릭:  누구나 구매할 수 있습니다. 가장 좋은 예는 Amazon Web Services(AWS), Microsoft Azure 및 Google Cloud Platform(GCP)입니다.
  • 프라이빗: 이는 하나의 회사를 위해 구축되고 하드웨어는 어느 누구와도 공유되지 않습니다. 프라이빗 모델은 퍼블릭 클라우드 또는 자체 데이터 센터 내에 구축하거나, 프라이빗 클라우드 구축을 전문으로 하는 기업, 즉 관리형 서비스 제공업체에 구축할 수 있습니다.
  • 커뮤니티: 여기에는 기업 간의 공유 개념이 포함됩니다. 서비스를 공유하거나 해당 서비스에서 데이터를 공유할 수 있습니다. 여러 기관에서 공유하는 정부 구축 클라우드를 예로 들 수 있습니다.
  • 하이브리드: 위에 나열된 세 가지 배포 모델, 퍼블릭과 프라이빗, 프라이빗과 커뮤니티, 또는 퍼블릭과 커뮤니티 중에서 적어도 두 가지를 사용하는 것이 포함됩니다. 세 가지를 모두 사용하는 것도 하나의 선택지입니다.

클라우드 보안에서 가장 중요한 측면은 무엇입니까?

개별 클라우드 보안 정책의 모든 측면이 중요하지만 모든 제공업체에서 제공해야 하는 특정 요소들이 있습니다. 이들은 필수적이며 클라우드 보안 인프라의 가장 중요한 측면 중 일부로 간주됩니다. 선택한 제공업체에서 이러한 요소를 모두 제공하는지 확인하는 것은 귀하가 구현할 수 있는 가장 완벽한 클라우드 보안 전략에 해당합니다.

상시 모니터링: 클라우드 보안 제공업체는 로그를 항상 기록하여 클라우드 플랫폼에서 무슨 일이 일어나고 있는지 볼 수 있게 해줍니다. 사건이 발생하는 경우 보안 팀에서 잠재적 공격이나 변경에 대해 인사이트를 얻기 위해 내부 로그를 조사하고 제공업체의 기록과 비교할 수 있습니다. 이렇게 하면 발생할 수 있는 사건을 빠르게 감지하고, 이에 대응할 수 있습니다.

변경 관리: 클라우드 보안 제공업체는 변경 요청이 있을 때, 자산이 변경되거나 이동할 때, 또는 새로운 서버가 공급되거나 해체될 때 규정 준수 제어를 모니터링하도록 변경 관리 프로토콜을 제공해야 합니다. 이상 행위를 자동으로 모니터링하여 귀하와 귀하의 팀이 신속히 움직이고 이를 완화 및 정정할 수 있도록, 전용 변경 관리 애플리케이션을 배포할 수 있습니다.

제로 트러스트 보안 제어: 중요 업무용 자산과 애플리케이션을 클라우드 네트워크에서 격리합니다. 보안 워크로드를 비공개로 접근할 수 없게 유지하면 클라우드 기반 환경을 보호하는 보안 정책을 시행하는 데 도움이 됩니다.

모든 것을 포함한 데이터 보호: 제공업체는 모든 전송 계층, 우수한 데이터 위생, 지속적인 위험 관리 모니터링, 안전한 파일 공유 및 기밀 소통에 대한 추가 암호화를 통해 향상된 데이터 보호를 제공해야 합니다. 요약하자면 제공업체는 비즈니스 데이터 보호에 있어서 모든 면에서 최고의 실력을 발휘해야 합니다.

다음을 자문해 보십시오. “우려하는 바가 무엇인가?” 클라우드 제공업체에 어떤 질문을 해야 하는지 판단하는 데 유용할 것이며, 염두해야 할 가장 중요한 측면을 이해하는 데 도움이 될 것입니다.

클라우드 아키텍처

간단히 말해서 클라우드 아키텍처는 확장 가능한 리소스를 소프트웨어 애플리케이션, 데이터베이스, 기타 서비스 전체에 걸쳐 공유하기 위해 여러 환경을 한 곳에 모은 결과입니다. 기본적으로 이 용어는 이미 알고 있는 바와 같이, ‘클라우드’를 구성하기 위해 함께 작동하는 인프라와 구성 요소를 가리킵니다.

클라우드를 만드는 데 필요한 기본 구성 요소에는 네트워크, 라우터, 스위치, 서버, 방화벽 및 침입 탐지 시스템이 포함됩니다. 이러한 구성 요소 외에도 클라우드에는 하이퍼바이저와 가상 머신, 소프트웨어 같은 모든 요소가 포함됩니다. 또한, 클라우드 아키텍처는 클라우드 서비스를 생성, 관리, 판매 및 구매할 수 있도록 클라우드 제공업체, 클라우드 설계자 및 클라우드 브로커가 필요합니다. 계속 파악해야 할 전체 생태계가 있지만, 사람들이 ‘클라우드’라고 할 때는 기본적으로 클라우드 아키텍처를 지칭합니다.

클라우드 아키텍처 관련 용어는 기존의 친숙한 용어에 ‘클라우드’라는 단어만 붙이면 되는 경우가 많습니다(예: 클라우드 소비자). 소비자의 정의를 이해한다면 새로운 용어의 의미도 잘 알 수 있습니다. 전화 서비스가 아니라 클라우드 서비스의 소비자를 의미하는 것이죠.

다음과 같은 몇 가지 기본적인 예가 있습니다.

  • 클라우드 소비자: 클라우드 제공업체의 클라우드 서비스를 사용하는 사람이나 기업.
  • 클라우드 제공업체: 소비자에게 필요한 서비스를 제공하기 위한 리소스를 보유한 사람이나 기업. 서버, 가상 머신, 데이터 스토리지 또는 고객에게 필요한 모든 리소스를 생성하는 기술이 포함됩니다.
  • 클라우드 브로커: 소비자를 대신하여 제공업체와 협상하며, 소비자를 위해 클라우드의 제공, 사용 및 성능을 관리하는 사람이나 기업입니다.
  • 클라우드 전달자: 전달자는 인터넷 서비스 제공업체(ISP)처럼 기업을 클라우드에 연결해주는 서비스 제공업체입니다. 기업의 경우 이는 일반적으로 다중 프로토콜 레이블 스위칭(MPLS) 연결입니다.
  • 클라우드 감사관: 클라우드 제공업체 환경에 대해 감사를 수행하는 사람 또는 기업입니다. 이러한 감사에는 개인 정보 보호 감사와 보안 감사가 포함됩니다.

클라우드 보안 아키텍처

클라우드의 보안은 기본 아키텍처에 보안 요소를 추가하는 클라우드 보안 아키텍처에서 시작됩니다. 기존 보안 요소에는 방화벽(FW), 멀웨어 방지 및 침입 탐지 시스템(IDS)이 포함됩니다. 클라우드 내에서, 그리고 클라우드를 통해 보안 구조를 설계하는 데는 클라우드 감사관, 보안 설계자 및 보안 엔지니어도 필요합니다.

즉, 클라우드 보안 아키텍처는 하드웨어나 소프트웨어에만 국한되지 않습니다.

클라우드 보안 아키텍처는 위험 관리에서 시작됩니다. 무엇이 잘못될 수 있고 비즈니스에 부정적인 영향을 미칠 수 있는지 아는 것은 기업이 책임 있는 결정을 내리는 데 도움이 됩니다. 비즈니스 연속성, 공급망 및 물리적 보안은 세 가지 중요한 논의 영역입니다.

예를 들어 클라우드 제공업체에 장애가 발생하면 기업에 어떤 일이 발생할까요? 서버, 서비스 및 데이터를 클라우드에 배치한다고 해서 비즈니스 연속성 및/또는 재해 복구 계획이 불필요한 것은 아닙니다.

누군가 클라우드 제공업체의 데이터센터에 들어갈 수 있다면 어떻게 될까요? AWS, GCP, Azure과 같은 3대 대규모 기업에서는 이런 일이 쉽게 발생하지는 않을 것입니다. 바로 그것이 핵심 주제입니다. 이들 기업은 데이터센터 보안에 많은 투자를 했습니다.

그러면 다른 클라우드 제공업체는 어떨까요? 임의의 클라우드 제공업체에 데이터센터를 살펴볼 수 있는지 요청하고 감사에 참여해보십시오. 그들의 대답을 기록하십시오. 그들이 다음날 데이터센터를 기꺼이 확인하게 해주었습니까? 데이터센터로 쉽게 들어갈 수 있었다면 해당 제공업체에 대해 다시 한 번 생각해 볼 필요가 있습니다.

소규모 클라우드 제공업체에는 물리적인 데이터 센터가 없을 것입니다. 아마도 대규모 클라우드 제공업체의 기능을 사용하여 효과적으로 재판매하는 방식이 대부분일 것입니다. 이것이 클라우드 사용의 장점이자 우수한 부분입니다. 클라우드 제공업체 간의 관계를 알 수 없는 경우 법률, 규정 및 계약과 관련된 추가 문제가 발생할 수 있습니다. 다음과 같은 간단한 질문을 해보십시오. 나의 데이터는 어디에 있는가? 클라우드 제공업체 수준이 여러 개일 경우에는 답을 결정하기 어려울 수 있습니다. EU 일반 데이터 보호 규정(GDPR) 관련 문제 등 법적 결과도 있을 수 있습니다.

기업의 클라우드 보안 아키텍처를 구성하는 요소에는 클라우드 보안 서비스도 있을 수 있습니다. 데이터 유출 방지(DLPaaS)같은 서비스를 구매할 수도 있습니다. 개인 식별 정보를 검색하여 이를 적절하게 보호하는 스캐닝 도구 등, 보안을 지원하는 기타 도구도 있습니다. 이러한 서비스가 제대로 작동하는지 확인하려면 클라우드 보안 관리가 필요합니다.

클라우드 네이티브 애플리케이션 보호 프로그램(CNAPP)이란?

CNAPP는 다양한 클라우드 네이티브 애플리케이션의 위험을 식별하고 평가하고 우선 순위를 부여하고 그에 맞게 조정하도록 돕는 보안 솔루션 그룹입니다.

따라서 CNAPP는 분산된 여러 제품과 플랫폼에서 축적한 가장 중요한 몇 가지 기능을 수집합니다. 아티팩트 스캐닝, 런타임 보호 및 클라우드 구성 여기에는 다음이 포함될 수 있습니다.

  • 개방형 Amazon S3 버킷, 데이터베이스, 네트워크 포트의 잘못된 구성 확인
  • 런타임 모니터링과 클라우드 워크로드 보호
  • 컨테이너, 가상 머신(VM) 또는 서버리스 함수 내 취약성 자동 감지
  • CVE, 비밀, 민감한 데이터 및 멀웨어에 대한 노출 스캐닝
  • 코드형 인프라(IaC) 스캐닝

 

트렌드마이크로는 CNAPP 벤더로 간주될 수 있으며, 클라우드 빌더를 위한 보안 서비스 플랫폼인 Trend Micro Cloud One™ 같은 제품은 CNAPP 아키텍처에 잘 맞을 수 있습니다.

클라우드 규정 준수

기업은 기존의 여러 법률, 규정, 계약의 준수 상태를 유지해야 합니다. 데이터와 서비스를 다른 누군가가 소유하고 있을 경우, 규정 준수를 보장하려면 복잡한 특정 요구 사항이 필요합니다.

법적 관점에서 조직은 유럽 연합 일반 데이터 보호 규정(EU GDPR), 사베인스-옥슬리 - 미국 금융 데이터 보호법(SOX), 의료 정보 양도 및 책임에 관한 법률 - 미국 의료 서비스(HIPAA) 등을 준수해야 합니다. 또한 신용 카드 보호는 결제 카드 업계 데이터 보안 표준(PCI-DSS)의 계약법의 적용을 받습니다.

규정 준수 대상이 식별되면 취할 수 있는 조치가 여러 가지 있으며 그 중 하나가 감사입니다. 감사는 미국공인회계사협회(American Institute of Certified Public Accountants)의 SSAE 18(증명 합의에 대한 표준 진술서(Statement of Standards on Attestation Agreements), No. 18)과 같은 표준화된 접근법과 입증된 방법론을 사용해서 수행해야 합니다. 감사를 통해 미준수 사항들을 발견할 수 있습니다. 클라우드 제공업체를 정할 때 이러한 보고서를 읽고 DC의 보안 수준 및 예상되는 사항을 파악하는 것이 중요합니다.

관련 기사

관련 연구