클라우드 보안

클라우드 보안

클라우드 보안은 클라우드에 있는 모든 데이터와 서비스가 가용성, 무결성 및 기밀성 공격이나 침해로부터 보호되도록 하는 조치입니다. 클라우드 서비스 제공 업체는 책임 공유 모델을 통해 안전한 클라우드 인프라를 제공하지만 고객은 클라우드에서 실행되는 워크로드, 애플리케이션 및 데이터를 보호 할 책임이 있습니다.

클라우드 보안

클라우드 보안이 불가능한것처럼 들릴 수 있습니다. 클라우드는 단순히 다른 기업이 소유하고 있는 서버, 라우터 및 스위치입니다. 책임 모델의 끝을 확실히 유지하기 위해 비즈니스를 보호하는 방법에는 여러가지가 있습니다. 클라우드가 제공해야 하는 모든 기능을 활용하면서 클라우드를 안전하게 유지합니다.

클라우드 아키텍처를 보호하는 방법을 논의하기 전에 클라우드의 구조를 살펴 보겠습니다. 오늘날의 클라우드 환경은 선택할 수 있는 다양한 옵션을 제공합니다. 세 가지 서비스 모델과 네 가지 배포 모델이 있습니다. NIST는 SP 800-145 내에서 정의합니다.

서비스 모델은 다음과 같습니다.

  • Infrastructure as a Service – IaaS를 통해 기업은 자체 가상 데이터 센터 (vDC)를 구축 할 수 있습니다.
  • 서비스형 플랫폼 – PaaS는 고객이 소프트웨어를 프로비저닝, 배포 또는 생성 할 수 있는 다양한 옵션을 제공합니다.
  • Software as a Service – SaaS에서 고객은 소프트웨어를 구축할 컴퓨터나 서버 없이도 소프트웨어를 사용할 수 있습니다. 가장 좋은 예는 Microsoft 365 (이전 Office 365)와 Gmail입니다. 고객은 온라인 소프트웨어에 액세스하기 위해 컴퓨터, 태블릿 또는 전화만 있으면 됩니다.


기업은 DRaaS (재해 복구)에서 HSMaaS (하드웨어 보안 모듈), DBaaS (데이터베이스), 마지막으로 XaaS (Anything aaS)에 이르는 NIST의 임상 설명과 달리 다양한 용어를 사용하여 제품을 강조합니다. 회사의 마케팅 대상에 따라 제품이 SaaS인지 PaaS인지 판단하기 어려울 수 있지만 결국 클라우드 제공 업체의 계약 책임을 이해하는 것이 더 중요합니다. 클라우드 제공 업체는 계약을 연장하여 HSMaaS (하드웨어 보안 모듈) 또는 DRMaaS (디지털 권한 관리)와 같은 서비스를 통해 클라우드 구성에 보안을 추가합니다.

네가지 배포 모델

  • 공개 – 누구나 구매할 수 있습니다. 가장 좋은 예는 Amazon Web Service (AWS), Microsoft Azure 및 Google Cloud Platform (GCP)입니다.
  • Private – 이것은 한 회사를 위해 만들어졌습니다. 기본적으로 하드웨어 자체는 다른 사람과 공유되지 않습니다. 프라이빗 모델은 퍼블릭 클라우드 또는 자체 데이터 센터 (DC) 내에서 또는 프라이빗 클라우드 구축을 전문으로하는 비즈니스, 즉 관리 서비스 제공 업체에서 구축 할 수 있습니다.
  • 커뮤니티 – 여기에는 기업 간의 공유 개념이 포함됩니다. 서비스를 공유하거나 해당 서비스에서 데이터를 공유 할 수 있습니다. 한 가지 예는 여러 기관에서 공유하는 정부 구축 클라우드 일 수 있습니다.
  • 하이브리드 – 여기에는 위에 나열된 세 가지 배포 모델 (공용 및 개인, 개인 및 커뮤니티 또는 공용 및 커뮤니티) 중 2 개 이상을 사용하는 것이 포함됩니다. 또 다른 가능성은 세 가지를 모두 사용하는 것입니다.

 

클라우드 아키텍처

클라우드 아키텍처는 구성 요소와 하위 구성 요소를 논리적이고 효율적이고 효과적인 구조로 구성하는 것입니다. 이 구조는 이러한 구성 요소가 목표를 향해 함께 작동하여 강점을 최대화하고 약점을 최소화 할 수 있도록 해야합니다. 클라우드를 만드는 데 필요한 기본 구성 요소에는 네트워크, 라우터, 스위치, 서버 및 방화벽 및 침입탐지시스템과 같은 다양한 요소가 포함됩니다. 이러한 구성 요소 외에도 클라우드에는 하이퍼바이저 및 가상 머신과 같은 서버 내의 모든 요소는 물론 소프트웨어도 포함됩니다. 클라우드 아키텍처는 또한 클라우드 서비스를 생성, 관리, 판매 및 구매하기 위해 클라우드 공급자, 클라우드 설계자 및 클라우드 브로커가 필요합니다.

클라우드 아키텍처와 관련된 많은 용어는 클라우드 사용자처럼 오래되고 친숙한 용어에 클라우드라는 단어를 추가하면 됩니다. 사용자의 정의를 이해한다면 새로운 용어는 분명합니다. 즉, 전화 서비스가 아닌 클라우드 서비스 사용자를 의미합니다.

NIST SP 500-299에있는 기본 용어는 다음과 같습니다.

  • 클라우드 사용자 – 클라우드 공급자의 클라우드 서비스를 활용하는 개인 또는 회사입니다.
  • 클라우드 공급자 – 사용자가 필요로하는 서비스를 제공 할 리소스를 보유한 개인 또는 회사입니다. 여기에는 서버, 가상 머신, 데이터 스토리지 또는 고객이 필요로하는 모든 리소스를 생성하는 기술이 포함됩니다.
  • 클라우드 브로커 – 사용자를 위해 클라우드의 제공, 사용 및 성능을 관리하는 사람 또는 회사입니다. 그들은 또한 사용자를 대신하여 공급자와의 관계를 협상합니다.
  • 클라우드 이동 통신사 – 이동 통신사는 비즈니스를 클라우드에 연결하는 서비스 제공 업체입니다 (예 : 인터넷 서비스 제공 업체). 비즈니스의 경우 일반적으로 MPLS 연결입니다.
  • 클라우드 감사자 – 클라우드 공급자 환경에 대한 감사를 수행하는 사람 또는 회사입니다. 이러한 감사에는 개인 정보 감사 및 보안 감사가 포함됩니다.


클라우드 아키텍처 자세히 보기

클라우드 보안 아키텍처

클라우드의 보안은 기본 아키텍처에 보안 요소를 추가하는 클라우드 보안 아키텍처에서 시작됩니다. 기존 보안 요소에는 방화벽 (FW), 맬웨어 방지 및 침입감지시스템 (IDS)이 포함됩니다. 클라우드 감사자, 보안 설계자 및 보안 엔지니어를 포함하여 클라우드 내에서 그리고 클라우드를 통해 보안 구조를 설계하는 사람들도 필요합니다.

즉, 클라우드 보안 아키텍처는 하드웨어나 소프트웨어에만 국한되지 않습니다.

클라우드 보안 아키텍처는 위험 관리에서 시작됩니다. 무엇이 잘못 될 수 있고 비즈니스에 부정적인 영향을 미칠 수 있는지 아는 것은 기업이 책임있는 결정을 내리는 데 도움이됩니다. 세가지 중요한 영역은 비즈니스 연속성, 공급망 및 물리적 보안입니다.

클라우드 제공 업체에 장애가 발생하면 비즈니스는 어떻게 됩니까? 서버, 서비스 및 데이터를 클라우드에 배치한다고해서 비즈니스 연속성 및 재해 복구 계획의 필요성이 선점되지는 않습니다.

누군가가 클라우드 제공 업체의 데이터센터 (DC)에 들어갈 수 있다면 어떻게 될까요? AWS, GCP, Azure의 3대 기업에서는 쉽지 않겠지만 그것이 핵심입니다. 그들은 데이터 센터 자체의 보안에 많은 투자를 했습니다. 하지만 다른 클라우드 공급자는 어떻습니까? 클라우드 공급자와 함께 데이터센터 둘러보기를 요청하고 감사에 참여하십시오. 그들의 대답을 기록하십시오. 다음날 DC를 확인할 수 있었습니까? DC에 들어가는 것이 쉽다면, 서비스 사용 여부에 대해서 재고해야 할 것 입니다.

더 작은 클라우드 제공 업체에는 물리적 DC가 없을 가능성이 높습니다. 아마도 그들은 큰 클라우드 공급자의 기능을 사용하고 효과적으로 재판매합니다. 괜찮습니다. 이것이 클라우드 사용의 장점입니다. 클라우드 제공 업체 간의 관계를 알 수 없는 경우 법률, 규정 및 계약과 관련된 추가 문제가 발생 할 수 있습니다. 간단한 질문: 나의 데이터는 어디에 있습니까? 클라우드 제공 업체에 여러 레벨이 있는 경우 답을 결정하기 어려울 수 있으며 유럽 GDPR (일반 데이터 보호 규정) 문제와 같은 법적 결과가 있을 수 있습니다.

비즈니스의 클라우드 보안 아키텍처를 구성하는 요소에도 클라우드 보안 서비스가 있을 수 있습니다. DLPaaS (Data Leak Prevention)와 같은 서비스를 구매하거나 개인 식별 정보 (PII)를 검색하는 스캔 도구와 같은 보안 지원 도구를 사용하여 적절한 보안을 유지할 수 있습니다. 이러한 서비스가 제대로 작동하는지 확인하려면 클라우드 보안 관리가 필요합니다.

클라우드 컴플라이언스

기업은 많은 법률, 규정 및 계약을 준수해야 합니다. 데이터와 서비스를 다른 사람이 소유하게 되면 규정 준수를 확인하는 데 필요한 감사가 복잡해질 수 있습니다.

좋은 질문은 다음과 같습니다: 귀하의 우려사항은 무엇입니까? 이는 클라우드 공급자에게 어떤 질문을 할 것인지 결정하는 데 도움이됩니다. 법적 관점에서 조직은 EU GDPR (유럽 연합 일반 데이터 보호 규정), SOX (Sarbanes-Oxley-미국 금융 데이터 보호), HIPAA (Health Information Portability and Accountability Act-US health care) 등을 준수해야합니다. 또한 신용 카드 보호는 PCI-DSS (Payment Card Industry-Data Security Standard)와의 계약법에 따릅니다.

준수 주제가 식별되면 많은 조치를 취할 수 있으며 그중 하나는 감사입니다. 감사는 American Institute of Certified Public Accountants의 SSAE 18 (증명 계약에 대한 표준 명세서, No. 18)과 같은 표준화 된 접근 방식과 입증된 방법론을 사용하여 수행되어야 합니다. 감사 결과는 준수하지 않을 수 있는 사항을 나타냅니다. 클라우드 제공 업체를 결정할 때 이러한 보고서를 읽고 DC의 보안 수준과 예상되는 사항을 파악하는 것이 중요합니다.

클라우드 컴플라이언스 자세히 보기

Infrastructure as Code (IaC)

IaC에 대한 간략한 설명은 인프라가 각각의 개별 라우터, 서버, 스위치 및 소프트웨어를 구성하는 것이 아니라 DevOps의 동일한 로직으로 코드처럼 취급된다는 것입니다. DevOps의 강점을 인프라 생성 및 관리에 적용하면 많은 이점을 얻을 수 있습니다. 클라우드에서 인프라는 가상이 됩니다. 즉, 하드웨어가 아니라 코드입니다. 라우터는 실제로 특정 컴퓨터 또는 특별히 구축된 컴퓨터에 있는 코드입니다. 하드웨어가 제거되면 남은 것은 코드입니다.

이제 해당 코드의 개발 및 배포에 논리를 적용해 보겠습니다. 이제 자동화 도구를 사용하면 소프트웨어를 배포하고 관리하는 더 쉽고 더 통제된 방법이 가능합니다. 이러한 도구를 사용하여 가상 인프라를 관리하면 훨씬 더 쉽고 제어된 방식으로 클라우드를 배포하고 관리 할 수 있습니다.

Infrastructure as Code자세히 보기

클라우드 보안 주제