2018.12.11

IDG 블로그 | 클라우드 보안으로 가는 길은 통합에 있다

David Linthicum | InfoWorld
클라우드를 좀더 안전하게 만드는 것은 다른 보안 시스템과 통하는 것이 중요하다.

클라우드 보안 문제는 이제 더는 문제도 아니다. 요즘은 퍼블릭 클라우드에는 최고의 보안 기술이 있다. 그리고 경우에 따라 더 이상 연구개발의 사랑을 받지 못하는 온프레미스 시스템의 보안보다 더 뛰어나다.

그런데 클라우드의 보안이 그렇게 훌륭하다면, 왜 그렇게 많은 IT 사람이 문제가 있다고 믿는 것일까? 사실 퍼블릭 클라우드는 절대로 혼자 움직이지 않는다. 퍼블릭 클라우드 서비스 업체의 말을 들으면 그럴 것 같지만 말이다. 퍼블릭 클라우드는 서드파티 시스템과 인터랙션을 한다. 전통적인 온프레미스 플랫폼에서 구동하는 수많은 시스템은 물론, 신용카드 조회 서비스나 데이터 유효성 검증 서비스 등과 상호작용을 하는 것이다.

ⓒ GettyImagesBank

보안 전문가들이 늘 하는 말이 있다. 보안 수준은 기업 내에서 가장 취약한 시스템이 결정한다는 것. 클라우드이건 아니건 관계없다. 따라서 모든 보안은 체계적이어야 하고 함께 동작해야 한다. 클라우드에서의 보안도 마찬가지이다.

이런 시스템의 시너지는 IT 부서가 클라우드 보안을 생각할 때는 좀처럼 고려하지 않는 요소이다. 많은 기업이 클라우드 보안을 단지 클라우드에만 있는 것이라고 생각한다. 하지만 클라우드 보안은 클라우드와 연결된 온프레미스 시스템에도 있어야 한다.

IT 부서는 더는 보안 기술을 이 복잡한 환경에 추가할 필요가 없다. 대신 IT 부서는 모든 보안 시스템을 하나의 통일된 접근법과 기술로 더 잘 통합해야 한다. 

희소식은 시장에 이미 클라우드 상의 ID 관리 시스템과 온프레미스 환경의 전통적인 역할 기반 보안을 통합할 수 있는 이른바 “단일창 방식(Single Pane of Glass)” 제품이 나와 있다는 것이다. 일반적으로 디렉토리 시스템이 공통의 연결고리가 되지만, 이들 보안 시스템은 위협 프로파일이나 감사, 선제적인 유출 시도 관리 등을 공유할 수 있다. 

보안 통합을 구현하기 위해 기업이 해야 할 것은 무엇일까? 성공적인 보안 시너지를 창출하기 위해 밟아야 할 순서 몇 가지를 소개한다.

우선 보안 시스템을 연동할 방식에 대한 계획을 세워야 한다. 대부분 보안 디렉토리 시스템을 이용하지만, 사용할 수 있는 공통의 데이터베이스가 있어야 한다. 조직 사일로 간을 계획하고 조정해야 한다는 것을 잊지 말기 바란다.

그 다음으로 단일창 방식의 환경을 제공하는 보안 관리 및 모니터링 제품을 찾아야 한다. 누가 언제 어디서 무엇을 왜 했는지에 대한 단 하나의 믿을만한 정보원이어야 한다. 전자적 보안에 대한 기획자인 셈이다.

마지막으로 교차 시스템 보안 테스트가 보편적으로 이루어져야 한다. IT 부서가 종종 간과하는 것으로, 이런 테스트는 보안 생태계를 조정하고 해커보다 먼저 결함을 찾아내는 기회를 제공한다.

개념은 단순해 보인다. 하지만 실제 배치는 힘들다. 기업의 모든 시스템을 다루고 있다면, 조직 내의 정치 역학도 드러난다. 또한 많은 기업이 모든 영역에 배치할만한 보안 인력이 부족하다. 하지만 불가피한 일이다. 그 반대의 경우는 매우 불편할 것이기 때문이다.  editor@itworld.co.kr


2018.12.11

IDG 블로그 | 클라우드 보안으로 가는 길은 통합에 있다

David Linthicum | InfoWorld
클라우드를 좀더 안전하게 만드는 것은 다른 보안 시스템과 통하는 것이 중요하다.

클라우드 보안 문제는 이제 더는 문제도 아니다. 요즘은 퍼블릭 클라우드에는 최고의 보안 기술이 있다. 그리고 경우에 따라 더 이상 연구개발의 사랑을 받지 못하는 온프레미스 시스템의 보안보다 더 뛰어나다.

그런데 클라우드의 보안이 그렇게 훌륭하다면, 왜 그렇게 많은 IT 사람이 문제가 있다고 믿는 것일까? 사실 퍼블릭 클라우드는 절대로 혼자 움직이지 않는다. 퍼블릭 클라우드 서비스 업체의 말을 들으면 그럴 것 같지만 말이다. 퍼블릭 클라우드는 서드파티 시스템과 인터랙션을 한다. 전통적인 온프레미스 플랫폼에서 구동하는 수많은 시스템은 물론, 신용카드 조회 서비스나 데이터 유효성 검증 서비스 등과 상호작용을 하는 것이다.

ⓒ GettyImagesBank

보안 전문가들이 늘 하는 말이 있다. 보안 수준은 기업 내에서 가장 취약한 시스템이 결정한다는 것. 클라우드이건 아니건 관계없다. 따라서 모든 보안은 체계적이어야 하고 함께 동작해야 한다. 클라우드에서의 보안도 마찬가지이다.

이런 시스템의 시너지는 IT 부서가 클라우드 보안을 생각할 때는 좀처럼 고려하지 않는 요소이다. 많은 기업이 클라우드 보안을 단지 클라우드에만 있는 것이라고 생각한다. 하지만 클라우드 보안은 클라우드와 연결된 온프레미스 시스템에도 있어야 한다.

IT 부서는 더는 보안 기술을 이 복잡한 환경에 추가할 필요가 없다. 대신 IT 부서는 모든 보안 시스템을 하나의 통일된 접근법과 기술로 더 잘 통합해야 한다. 

희소식은 시장에 이미 클라우드 상의 ID 관리 시스템과 온프레미스 환경의 전통적인 역할 기반 보안을 통합할 수 있는 이른바 “단일창 방식(Single Pane of Glass)” 제품이 나와 있다는 것이다. 일반적으로 디렉토리 시스템이 공통의 연결고리가 되지만, 이들 보안 시스템은 위협 프로파일이나 감사, 선제적인 유출 시도 관리 등을 공유할 수 있다. 

보안 통합을 구현하기 위해 기업이 해야 할 것은 무엇일까? 성공적인 보안 시너지를 창출하기 위해 밟아야 할 순서 몇 가지를 소개한다.

우선 보안 시스템을 연동할 방식에 대한 계획을 세워야 한다. 대부분 보안 디렉토리 시스템을 이용하지만, 사용할 수 있는 공통의 데이터베이스가 있어야 한다. 조직 사일로 간을 계획하고 조정해야 한다는 것을 잊지 말기 바란다.

그 다음으로 단일창 방식의 환경을 제공하는 보안 관리 및 모니터링 제품을 찾아야 한다. 누가 언제 어디서 무엇을 왜 했는지에 대한 단 하나의 믿을만한 정보원이어야 한다. 전자적 보안에 대한 기획자인 셈이다.

마지막으로 교차 시스템 보안 테스트가 보편적으로 이루어져야 한다. IT 부서가 종종 간과하는 것으로, 이런 테스트는 보안 생태계를 조정하고 해커보다 먼저 결함을 찾아내는 기회를 제공한다.

개념은 단순해 보인다. 하지만 실제 배치는 힘들다. 기업의 모든 시스템을 다루고 있다면, 조직 내의 정치 역학도 드러난다. 또한 많은 기업이 모든 영역에 배치할만한 보안 인력이 부족하다. 하지만 불가피한 일이다. 그 반대의 경우는 매우 불편할 것이기 때문이다.  editor@itworld.co.kr


X