보안 / 클라우드

기업 클라우드 플랫폼의 안전성을 확인하는 법

Todd R. Weiss | HPE 2017.06.01


하이브리드 클라우드 인프라 선택 과정에는 각 클라우드 제공 모델의 보안을 평가하는 작업도 포함합니다. HPR의 사이먼 리치가 알려주는 이런 지침은 옵션을 평가하는데 도움이 됩니다.

클라우드 전략에서는 “하이브리드” 부문의 올바른 균형을 알아내야 합니다. 비즈니스 보안 필요사항과 관련한 의사결정을 해야 합니다. 클라우드 공급업체와 클라우드 모델의 유형을 선택할 때, HPE 디지털 솔루션 및 트랜스포메이션 팀 담당 수석 기술자인 사이먼 리치는 “어떤 것에 대해 책임이 있는지 그리고 받아들일 수 있는 위협 수준은 어느 정도인지를 알아야 합니다”라고 말했습니다.

퍼블릭 클라우드는 여러 가지 모델로 제공되고 있으며, 각각은 고유의 보안과 프라이버시 특성을 지니고 있습니다. IaaS(Infrastructure-as-a-Service), PaaS(Platform-as-a-Service), 그리고 SaaS(Software-as-a-Service)라는 3가지 모델의 차이점을 설명하기 위해 가정 보안 시스템을 예로 들어보겠습니다.

IaaS 모델은 고객에게 인프라 도구(컴퓨트, 스토리지, 그리고 연결)와 기초적인 보안 도구를 제공합니다. 인프라를 보호하는 방화벽이 거의 전부입니다. 사유지를 들고나는 모든 사람을 물리적으로 확인하는 연중무휴 경비원이 있는 호화로운 사유지에 살고 있는 것과 상당히 유사합니다. 그러나 사유지의 건물에는 출입문과 창문이 있고, 외출할 때 출입문과 창문이 닫혀있는지를 확인하는 것은 본인의 몫입니다.

PaaS 모델 하에서는, 누군가 침입하려 하면 어느 정도 보호를 해주는 경보 시스템이 있다고 가정할 수 있습니다. 비유적으로 이 경보는 정기적으로 개발 플랫폼과 관련 IT 시스템을 패치하고 업데이트 해 공격자를 막아냅니다. 그렇지만, 주말에 집을 비웠을 때 10대 자녀들이 파티를 연다면, 이 보안 시스템은 독자가 가장 아끼는 꽃병, 즉 개발한 애플리케이션을이 깨지지 않게 보호 조치를 하지는 않을 것입니다.

SaaS 애플리케이션 제공 모델은 서드파티 업체에 모든 방의 침입과 파손된 물건 내역을 알리고, 적절하게 대응하는 적외선 센서, 인터넷에 연결된 카메라를 갖춘 완벽한 자동화 연중무휴 가정 보안 관제 시스템과 같다고 리치는 말했습니다. 이 비유에서 각각의 방은 회사가 사용하는 서로 다른 애플리케이션을 나타내지만, SaaS 공급업체에 의해서 완벽하게 관리되고 보호됩니다.

책임자는 누구입니까?
클라우드를 도입하려는 조직에 있어 가장 쉬운 클라우드 제공 모델은 SaaS입니다. SaaS의 예로는 구글의 지메일, 페이스북, 세일즈포스가 있습니다. 인사관리(HR: Human Resources) 서비스 제공을 위해 워크데이(Workday)를 사용하는 방식이 수직적 애플리케이션에도 적용됩니다. 사용자의 컴퓨터에 소프트웨어를 각각 설치하지 않고, 포털을 통해 애플리케이션을 제공하므로 모든 직원이 SaaS 서비스를 전달받을 수 있습니다.

SaaS 모델에서 클라우드 서비스 공급업체는 온라인 애플리케이션의 안전한 개발에서부터 서버나 기저에 있는 가상 서버 하드웨어 인프라의 보호는 물론, 맬웨어 방지 보호에 이르기까지 보안에 관련된 모든 것을 책임딥니다. 고객사의 IT 팀은 사용자 ID 인증(즉, 사용자 로그인 정보 생성)만을 관리합니다.

PaaS 클라우드 모델에서는 사용자와 서비스 공급업체가 서로 다른 책임을 공유합니다. PaaS 제공업체는 기본적으로 사용자가 애플리케이션을 개발하고 배포할 수 있는 준비된 환경을 제공합니다. 공급업체는 네트워크 경계 방화벽(Perimeter Firewall), 운영체제, 스토리지, 보안, 그리고 시스템 패치 같은 구성요소를 공급합니다.

IaaS 공급업체는 기업이 IaaS 회사 소속 작업자에 대한 보안 정책 할당과 유지관리뿐 아니라 자체적으로 운영체제, 안티바이러스 등의 각기 다른 애플리케이션을 설치, 유지보수, 패치할 수 있게 해 줍니다. IaaS 클라우드 서비스 공급업체는 컴퓨트, 스토리지, 네트워킹 자원 같은 요구형 인프라를 제공하고 유지보수하고, 기업의 IT 부서는 자체적인 필요사항을 충족시키기 위해 이들 인프라를 프로비전 할 수 있습니다.

리치는 “실제로 책상 밑에 컴퓨터를 놓는 대신, 가상 컴퓨트 인스턴스를 구매하는 것에 비유할 수있습니다”라고 말했습니다. 즉, “사용자들에게 더 크고, 더 강력한 컴퓨트 시스템에 대한 액세스를 제공합니다”라는 설명입니다.

어느 정도의 IT 인프라를 스스로 유지하는 대신 다른 사람에게 맡길 것인지의 문제부터, 클라우드 공급업체가 제공하는 것 중 필요한 서비스 수준을 선택하는 것은 사용자에게 달려있습니다. 그렇지만, 이런 의사결정은 절대로 IT 부서가 기업과 사용자 데이터, 프라이버시, 보안과 관련된 위험 책임을 포기한다는 것을 의미하지 않습니다.

리치는 “운영업무는 아웃소싱 할 수 있지만, 위험은 아웃소싱 할 수 없습니다. 완전히 망치거나 매우 잘 해결하거나 둘 중 하나의 위험을 질 수밖에 없습니다”라고 강조했습니다.

하이브리드 클라우드를 구성할 때, 올바른 퍼블릭 클라우드 전달 시스템을 선정하는 것은 상세 위험 평가, 데이터 암호화, 계층형 보안 시스템, 보안을 고려한 설계(SbD: Security by Design) 등으로 이루어진 매우 긴 작업 목록에서 겨우 한 개의 의사결정일 뿐입니다. 보안과 인프라 주제가 빠지지 않도록 처음부터 보안 담당자가 처음부터 참여해야 합니다.

특히 리치는 “모든 단계에서 많은 것들을 고려해야 합니다”라고 덧붙였습니다.

클라우드 서비스 공급업체를 평가할 때 확인해야 할 사항
기업의 클라우드 인프라에 통합될 퍼블릭 클라우드 플랫폼을 고르는 것은 일반적으로 어려운 일입니다.리서치 업체인 펀드-IT의 수석 분석가인 찰스 킹은 “클라우드 서비스의 가치는 만병통치식 의사결정이 아닙니다”라고 말했습니다.

또, 킹은 “CIO 등 기업의 임원은 클라우드 공급업체와 접촉할 때 자사의 목표를 명확히 결정해야 합니다”라고 부연했습니다. 어떤 정보를 오프 프레미스(Off Premises)에 저장할 수 있고, 어떤 정보를 온 프레미스에 저장할 수 있는지 등이 중요한 논제입니다. 킹은 “바로 이것이 하이브리드 클라우드가 인기 있는 이유”라고 설명했습니다.

킹은 “일의 과정을 정확히 파악하기 위해서는 클라우드 공급업체와 진지한 논의를 해야만 합니다”라고 말했습니다. 기업은 클라우드 공급업체가 하는 일이 자사의 보안 요구사항에 부합하는지 꼭 확인해야 합니다. 공급업체는 일정 수준의 보안, 일정 수준의 암호화, 특정 데이터와 애플리케이션 가용성을 보장할 것입니다. 기업과 공급업체가 같은 기대치를 공유하고 있는지 꼭 확인해야 합니다.

킹은 클라우드 공급업체를 평가할 때 꼭 확인해야 할 것을 목록으로 만들어 권장하고 있습니다.

해커가 침입하더라도 데이터를 보호하기 위해, 전송 중에 암호화되는 데이터는 무엇입니까?

1. 데이터를 보호하기 위해 정확히 어떤 암호화 도구들이 사용되고 있습니까? 암호화 도구는 수준별로 다양한 보호를 제공합니다. 공급업체는 어떤 이유로 그 세트를 선택했습니까?

2. 클라우드 공급업체는 데이터 유출 사실을 언제, 어떻게 회사에 통보할 예정입니까? 즉시 통보됩니까, 아니면 공급업체가 차단 등의 다른 조처를 취한 다음에 기업에 알립니까?

3. 공급업체는 데이터 유출 발견 전후에 고객 데이터를 보호하기 위해 어떤 세부 정책을 가지고 있습니까?

4. 고객이 서비스를 해지할 경우, 회사의 중요한 데이터를 공급업체 인프라에서 완전히 제거하는 절차는 무엇입니까?

킹은 “중요한 것은 기업이 모든 세부사항에 대해 전신을 바짝 차리고 조심해야 한다는 것입니다”라고 말했습니다.

리치에 따르면 궁극적으로 모든 고객의 모든 용도에 딱 들어맞는 퍼블릭 클라우드 모델은 존재하지 않는다고 합니다. 대다수 기업이 세 가지 모두의 조합을 사용하고 있습니다. 의사결정은 특정한 용도, 구현 용이성 등 사용자의 보안 요구사항에 의해서 결정됩니다. 하이브리드 클라우드 사용 기업에 이 서비스가 매력적인 이유는 바로 하이브리드 클라우드가 제공하는 그런 종류의 유연성일 것입니다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.