2020.03.23

IDG 블로그 | 우리가 몰랐던 멀티클라우드 보안의 3가지 복병

David Linthicum | InfoWorld
보안은 보안일 뿐이라고 생각할지 모른다. 하지만 멀티클라우드는 온프레미스나 네이티브 퍼블릭 클라우드와는 다른 접근법과 메커니즘을 배워야 한다.
 
ⓒ GettyImagesBank

불과 몇 년 전에 한 퍼블릭 클라우드 서비스 업체에 맞춰 보안 계획을 세우고 물리 보안 기술을 구축한 사람이라면, 같은 방식을 수많은 클라우드, 즉 멀티클라우드에 그대로 적용할 수 있다고 생각하지 않기를 바란다. 그렇게 동작하지 않는다.

최근 멀티클라우드 배치와 운영에서 흔히 보는 보안 실책은 보안 아키텍처와 구현 기술을 선택하고 배치하는 과정에서 발생한다. 필자는 이들 실책으로부터 3조각으로 이루어진 멀티클라우드 보안 배치에 관한 조언을 편집해 냈다.

우선 보안에 대한 전통적인 접근법은 먹히지 않는다. 역할 기반의 전통적인 보안 접근법으로 기업 환경에서 성공했다 해도 멀티클라우드에서는 같은 결과를 얻을 수 없다. 멀티클라우드가 가져오는 복잡성을 처리해야만 하고, 보안 역시 이런 복잡성을 고려해 구성해야만 한다. 유휴 및 작업 중 암호화를 모두 지원하는 좋은 암호화 시스템과 결합한 IAM(Identity Access Management)이 훨씬 더 좋은 선택이 될 것이다.

둘째, 클라우드 네이티브 보안은 사용할 수 없다. AWS나 애저, GCP가 제공하는 보안이 네이티브 플랫폼에서는 정말 괜찮지만, 경쟁업체의 플랫폼도 보호하도록 만들어진 것이 아니다. 필자는 여전히 클라우드 네이티브 보안 플랫폼을 중앙집중화된 보안 관리자로 사용하고는 바로 실패하는 기업 사용자를 만나곤 한다.

멀티클라우드의 과제는 수많은 공통 서비스(보안, 거버넌스, 관리, 모니터링 등)를 멀티클라우드 배치 내에서 모든 클라우드 브랜드에 걸쳐 공통 서비스로 관리해야 한다는 것이다. 이를 위해서는 서로 다른 퍼블릭 클라우드 브랜드를 아우를 수 있으면서, IAM 같은 현대적인 기능을 제공하는 서드파티 보안 시스템이 필요하다.

마지막으로, 생각보다 책임져야 할 것이 많다. 퍼블릭 클라우드 환경에서도 서비스 업체는 일부 기본적인 보안을 제공하면서 책임 분담 모델을 제시한다. 궁극적으로는 기업 사용자가 보안을 책임져야 한다는 것을 알려주려는 것이다.

멀티클라우드에서는 더 심하다. 멀티클라우드를 사용하는 기업은 공통 보안 시스템과 그 사용을 직접 책임져야 한다. 이 경우 여러 클라우드를 포괄하는 공통 모델을 지원하기 위해 많은 클라우드 네이티브 보안 서비스를 이용하지 못할 가능성이 크다.

보안은 멀티클라우드의 주요 과제이며, 대부분 기업이 완전히 이해하지 못한 완전히 다른 접근 방법을 요구한다. 이 세 가지 조언을 통해 명백한 실책을 피할 수 있기를 바란다. editor@itworrld.co.kr


2020.03.23

IDG 블로그 | 우리가 몰랐던 멀티클라우드 보안의 3가지 복병

David Linthicum | InfoWorld
보안은 보안일 뿐이라고 생각할지 모른다. 하지만 멀티클라우드는 온프레미스나 네이티브 퍼블릭 클라우드와는 다른 접근법과 메커니즘을 배워야 한다.
 
ⓒ GettyImagesBank

불과 몇 년 전에 한 퍼블릭 클라우드 서비스 업체에 맞춰 보안 계획을 세우고 물리 보안 기술을 구축한 사람이라면, 같은 방식을 수많은 클라우드, 즉 멀티클라우드에 그대로 적용할 수 있다고 생각하지 않기를 바란다. 그렇게 동작하지 않는다.

최근 멀티클라우드 배치와 운영에서 흔히 보는 보안 실책은 보안 아키텍처와 구현 기술을 선택하고 배치하는 과정에서 발생한다. 필자는 이들 실책으로부터 3조각으로 이루어진 멀티클라우드 보안 배치에 관한 조언을 편집해 냈다.

우선 보안에 대한 전통적인 접근법은 먹히지 않는다. 역할 기반의 전통적인 보안 접근법으로 기업 환경에서 성공했다 해도 멀티클라우드에서는 같은 결과를 얻을 수 없다. 멀티클라우드가 가져오는 복잡성을 처리해야만 하고, 보안 역시 이런 복잡성을 고려해 구성해야만 한다. 유휴 및 작업 중 암호화를 모두 지원하는 좋은 암호화 시스템과 결합한 IAM(Identity Access Management)이 훨씬 더 좋은 선택이 될 것이다.

둘째, 클라우드 네이티브 보안은 사용할 수 없다. AWS나 애저, GCP가 제공하는 보안이 네이티브 플랫폼에서는 정말 괜찮지만, 경쟁업체의 플랫폼도 보호하도록 만들어진 것이 아니다. 필자는 여전히 클라우드 네이티브 보안 플랫폼을 중앙집중화된 보안 관리자로 사용하고는 바로 실패하는 기업 사용자를 만나곤 한다.

멀티클라우드의 과제는 수많은 공통 서비스(보안, 거버넌스, 관리, 모니터링 등)를 멀티클라우드 배치 내에서 모든 클라우드 브랜드에 걸쳐 공통 서비스로 관리해야 한다는 것이다. 이를 위해서는 서로 다른 퍼블릭 클라우드 브랜드를 아우를 수 있으면서, IAM 같은 현대적인 기능을 제공하는 서드파티 보안 시스템이 필요하다.

마지막으로, 생각보다 책임져야 할 것이 많다. 퍼블릭 클라우드 환경에서도 서비스 업체는 일부 기본적인 보안을 제공하면서 책임 분담 모델을 제시한다. 궁극적으로는 기업 사용자가 보안을 책임져야 한다는 것을 알려주려는 것이다.

멀티클라우드에서는 더 심하다. 멀티클라우드를 사용하는 기업은 공통 보안 시스템과 그 사용을 직접 책임져야 한다. 이 경우 여러 클라우드를 포괄하는 공통 모델을 지원하기 위해 많은 클라우드 네이티브 보안 서비스를 이용하지 못할 가능성이 크다.

보안은 멀티클라우드의 주요 과제이며, 대부분 기업이 완전히 이해하지 못한 완전히 다른 접근 방법을 요구한다. 이 세 가지 조언을 통해 명백한 실책을 피할 수 있기를 바란다. editor@itworrld.co.kr


X