2019.03.18

클라우드 서비스 업체가 알려주지 않는 보안 기법 2가지

David Linthicum | InfoWorld
클라우드옵스(Cloud Operation)과 세크옵스(Security Operation, Secops)는 빠르게 진화하고 있다. 일부 오류도 있지만, 그보다 더 흔한 것은 운영팀이 중요한 것을 빠트리는 것이다. 만약 이런 간과된 측면을 해소하지 못하면, 세크옵스는 금방 문제 요소가 될 것이다.

오늘 당장 처리할 수 있는 세크옵스의 두 가지 허점을 소개한다. 퍼블릭 클라우드 서비스 업체가 말해주지 않아도, 특정 자격증이 없어도 처리할 수 있다. 많은 사람이 오해하는 문제이다.
 
ⓒGettyImagesBank
 

세크옵스 모니터링과 거브옵스 모니터링의 연동

세크옵스와 거브옵스(Governance Operations)은 둘 다 선제적이어야 한다. 즉 세크옵스는 변화하는 위협을 기반으로 조정해야 하고, 거브옵스는 변화하는 정책을 기준으로 조정해야 한다.

실제로 세크옵스와 거브옵스는 서로가 없으면 효과적이지 않다. 거브옵스는 세크옵스가 보안을 위해 무엇을 하는지를 알아야 보안 위협에 맞춰 정책을 선제적으로 조정할 수 있다. 그 반대도 마찬가지다.

이런 경우를 생각해 보자. 퍼블릭 클라우드에서 구동하는 프로덕션 환경에 배치한 일군의 가상 서버에서 실패한 로그인 시도가 다수 발견됐다. 세크옵스는 이런 공격적인 IP 주소를 자동으로 차단하려 할 것이고, 세크옵스의 역할이기도 하다.

하지만 거브옵스는 이런 위험에 대한 경보를 받아야만 특정 영역에서 들어오는 모든 IP와 관련된 새로운 정책을 자동으로 생성할 수 있다. 즉 한 번에 프로비저닝하는 자원을 제한하거나 향후 1개월 동안 매 시간마다 재로그인하도록 해야 한다. 또 좀 더 엄밀한 로그인 정책을 실시해 악의적인 행동을 찾아낼 수도 있다.

세크옵스와 거브옵스 모두 반드시 함께 운영해야 다양한 접근법을 사용해 위험을 처리할 수 있다.
 

코스트옵스와 세크옵스의 연동

10만 달러짜리 클라우드 요금 고지서를 받고 놀란 적이 있는가? 현재 사용 중인 자원에 대한 선제적인 가시성을 갖추지 못하면, 이런 일을 당할 수 있다. 사용량 기반의 계산, 즉 코스트옵스(Cost Operation)는 클라우드 사용자가 사전에 결정한 허용치를 초과하지 못하도록 함으로써 일정한 비용 통제를 할 수 있어야 한다. 

하지만 비용 통제를 공격을 찾아내는 지표로 사용하지 않으면, 책상 위에 돈을 그냥 내버려 두는 것이나 마찬가지다. 실제로 클라우드 서비스를 훔쳐가는 해커는 눈에 띄게 많은 자원을 사용하지 않는 한 세크옵스의 레이더에 걸리지 않을 수 있다. 따라서 비용 패턴을 일정한 방식으로 변경하면 가능한 공격에 관한 새로운 단서를 얻을 수도 있다.

분명하지 않은 공격의 징후를 발견하기 위해서는 코스트옵스 툴의 분석 자동화 기능을 사용해야만 한다. 필자는 이를 통해 6개월 이상 악의적인 용도로 자사의 퍼블릭 클라우드 서버가 사용된 것을 찾아낸 회사도 두 곳이나 봤다. 세크옵스팀은 이런 자원 절취를 탐지하지 못했지만, 코스트옵스팀이 클라우드 사용량 로그를 감사하면서 드러났다. 만약 이들 기업이 자동화된 코스트옵스 정책을 적용했더라면, 이런 해킹은 며칠 만에 발각됐을 것이다.  editor@itworld.co.kr


2019.03.18

클라우드 서비스 업체가 알려주지 않는 보안 기법 2가지

David Linthicum | InfoWorld
클라우드옵스(Cloud Operation)과 세크옵스(Security Operation, Secops)는 빠르게 진화하고 있다. 일부 오류도 있지만, 그보다 더 흔한 것은 운영팀이 중요한 것을 빠트리는 것이다. 만약 이런 간과된 측면을 해소하지 못하면, 세크옵스는 금방 문제 요소가 될 것이다.

오늘 당장 처리할 수 있는 세크옵스의 두 가지 허점을 소개한다. 퍼블릭 클라우드 서비스 업체가 말해주지 않아도, 특정 자격증이 없어도 처리할 수 있다. 많은 사람이 오해하는 문제이다.
 
ⓒGettyImagesBank
 

세크옵스 모니터링과 거브옵스 모니터링의 연동

세크옵스와 거브옵스(Governance Operations)은 둘 다 선제적이어야 한다. 즉 세크옵스는 변화하는 위협을 기반으로 조정해야 하고, 거브옵스는 변화하는 정책을 기준으로 조정해야 한다.

실제로 세크옵스와 거브옵스는 서로가 없으면 효과적이지 않다. 거브옵스는 세크옵스가 보안을 위해 무엇을 하는지를 알아야 보안 위협에 맞춰 정책을 선제적으로 조정할 수 있다. 그 반대도 마찬가지다.

이런 경우를 생각해 보자. 퍼블릭 클라우드에서 구동하는 프로덕션 환경에 배치한 일군의 가상 서버에서 실패한 로그인 시도가 다수 발견됐다. 세크옵스는 이런 공격적인 IP 주소를 자동으로 차단하려 할 것이고, 세크옵스의 역할이기도 하다.

하지만 거브옵스는 이런 위험에 대한 경보를 받아야만 특정 영역에서 들어오는 모든 IP와 관련된 새로운 정책을 자동으로 생성할 수 있다. 즉 한 번에 프로비저닝하는 자원을 제한하거나 향후 1개월 동안 매 시간마다 재로그인하도록 해야 한다. 또 좀 더 엄밀한 로그인 정책을 실시해 악의적인 행동을 찾아낼 수도 있다.

세크옵스와 거브옵스 모두 반드시 함께 운영해야 다양한 접근법을 사용해 위험을 처리할 수 있다.
 

코스트옵스와 세크옵스의 연동

10만 달러짜리 클라우드 요금 고지서를 받고 놀란 적이 있는가? 현재 사용 중인 자원에 대한 선제적인 가시성을 갖추지 못하면, 이런 일을 당할 수 있다. 사용량 기반의 계산, 즉 코스트옵스(Cost Operation)는 클라우드 사용자가 사전에 결정한 허용치를 초과하지 못하도록 함으로써 일정한 비용 통제를 할 수 있어야 한다. 

하지만 비용 통제를 공격을 찾아내는 지표로 사용하지 않으면, 책상 위에 돈을 그냥 내버려 두는 것이나 마찬가지다. 실제로 클라우드 서비스를 훔쳐가는 해커는 눈에 띄게 많은 자원을 사용하지 않는 한 세크옵스의 레이더에 걸리지 않을 수 있다. 따라서 비용 패턴을 일정한 방식으로 변경하면 가능한 공격에 관한 새로운 단서를 얻을 수도 있다.

분명하지 않은 공격의 징후를 발견하기 위해서는 코스트옵스 툴의 분석 자동화 기능을 사용해야만 한다. 필자는 이를 통해 6개월 이상 악의적인 용도로 자사의 퍼블릭 클라우드 서버가 사용된 것을 찾아낸 회사도 두 곳이나 봤다. 세크옵스팀은 이런 자원 절취를 탐지하지 못했지만, 코스트옵스팀이 클라우드 사용량 로그를 감사하면서 드러났다. 만약 이들 기업이 자동화된 코스트옵스 정책을 적용했더라면, 이런 해킹은 며칠 만에 발각됐을 것이다.  editor@itworld.co.kr


X