2010.12.21

클라우드 공급업체를 점검하는 방법

Tim Greene | Network World

클라우드 서비스를 이용해야 할 필요가 있는 고객은 한 가지 어려운 문제에 봉착하게 된다. 클라우드 서비스 업체가 보안 및 실용성의 이유로 중요한 인프라에 대한 상세한 설명을 밝히길 거부할 때, 어떻게 클라우드 서비스 업체를 신뢰할 수 있을까?

 

이런 공급업체들은 세부사항들이 잠재적인 공격자들에게 의심을 초래하는 보안 설계도를 제공할 위험이 있기 때문에 그들의 네트워크 구성을 소비자들에게 면밀히 밝힐 수 없다고 설명한다. 또한, 각 고객들의 질문에 대한 대답에 관여하는 것도 금지되어 있다고 말한다.

 

올해 초, 한 클라우드 서비스 업체가 보여준 기준은 고객들이 원하는 투명성 수준에 전혀 도달하지 못한 것이었다. 구글의 제품 마케팅 책임자인 아담 스위들러는 자사의 클라우드 서비스에 대해 "고객이 자체 인프라를 감사하는 수준으로 감사하도록 하지는 않을 것“이라며, ”고객이 자체 인프라를 감사하는 것과 절대로 같은 수 없을 것이다. 고객은 서드파티가 검증한 것에 대한 신뢰 수준을 일정 정도 확대해야 할 것이다“라고 설명했다.

 

고객들이 클라우드 공급업체의 데이터센터로 쳐들어가 공급업체의 CISO를 다그칠 수는 없는 일이다. 하지만 CSA(Cloud Security Alliance)는 원하는 바를 얻을 수 있는 조사용 질문을 제시할 수는 있다고 말한다. CSA는 기업들이 클라우드 서비스 업체의 적합성을 평가할 때 자사의 목적에 맞춰 이용할 수 있는 질문을 개발해 왔다.

 

평가 질문서(Consensus Assessments Initiative Questionnaire)라고 불리는 이 문서는 클라우드 보안을 평가하기에 충분히 다듬어진 구조로 되어 있다. CSA는 "이 질문들은 베스트 프랙티스와 관리 등 중요 문제들을 단순화해 추출한 것으로, 기업들이 클라우드 공급업체와 관련해 필요한 평가 프로세스를 구축할 수 있도록 지원해 준다“고 설명했다.

 

반드시 물어봐야 할 주요 질문은 다음과 같다.

 

- 고객이 볼 수 있는 외부 보안 감사뿐만 아니라 내부 보안 감사와 함께 규칙적인 침투 시험을 수행하는가?

- 고객이 자체적으로 침투 시험을 할 수 있는가?

- 데이터가 사용자마다 논리적으로 분할되거나 암호화되어 고객의 데이터가 우연히 다른 고객의 데이터와 섞이지 않는가?

- 지적재산권은 어떻게 보호되는가?

- 공급업체가 각 고객마다 사용하는 물리 서버와 가상머신을 표시하는가? 그리고 데이터가 관련 법률에 따라 특정 국가에만 저장되고 다른 국가들에서는 저장되지 않는다는 사실을 보장할 수 있는가?

- 고객 데이터를 정부가 요청할 경우, 이에 대한 공급업체의 정책은?

- 고객 데이터를 보유하는 것에 관한 공급업체의 정책은? 그리고 고객의 정책에 따라 공급업체의 네트워크로부터 데이터를 제거할 수 있는가?

- 공급업체는 직원들을 훈련시키고, 이를 문서화하는가?

 

이외에 공급업체에게 물어야 할 또 다른 고려 부분으로는 사용자 액세스 권한을 감시하고 통제하는지, 그리고 양측의 책임을 포함해 보안 사고에 어떻게 대응하는가 등이 있다.

 

이 질문 목록은 앞으로도 계속 보완될 예정인데, CSA는 이에 대해 고객들에게는 서비스 공급업체를 평가할 수 있는 적절한 기준을 제공하고, 서비스 업체에게는 고객의 정당한 우려에 대응할 수 있는 관리 가능한 형식을 제공하는 것이라고 설명했다.

 

몇몇 기업은 오히려 소규모 클라우드 공급업체와 계약을 맺기도 하는데, 이는 필요한 서비스의 수준을 확실히 하기 위해 서비스 업체의 인프라와 절차에 직접적으로 관여할 수 있기 때문이다. 이런 이유로 소규모 공급업체를 선택한 미국 골프 협회의 IT 책임자인 제시카 캐롤은 “하루 정도의 시간을 들일 가치가 있다”며, "현황을 직접 눈으로 확인했기 때문에 계약상에 있는 모든 것이 실제로 존재한다는 것을 알 수 있다“고 강조했다.  editor@idg.co.kr



2010.12.21

클라우드 공급업체를 점검하는 방법

Tim Greene | Network World

클라우드 서비스를 이용해야 할 필요가 있는 고객은 한 가지 어려운 문제에 봉착하게 된다. 클라우드 서비스 업체가 보안 및 실용성의 이유로 중요한 인프라에 대한 상세한 설명을 밝히길 거부할 때, 어떻게 클라우드 서비스 업체를 신뢰할 수 있을까?

 

이런 공급업체들은 세부사항들이 잠재적인 공격자들에게 의심을 초래하는 보안 설계도를 제공할 위험이 있기 때문에 그들의 네트워크 구성을 소비자들에게 면밀히 밝힐 수 없다고 설명한다. 또한, 각 고객들의 질문에 대한 대답에 관여하는 것도 금지되어 있다고 말한다.

 

올해 초, 한 클라우드 서비스 업체가 보여준 기준은 고객들이 원하는 투명성 수준에 전혀 도달하지 못한 것이었다. 구글의 제품 마케팅 책임자인 아담 스위들러는 자사의 클라우드 서비스에 대해 "고객이 자체 인프라를 감사하는 수준으로 감사하도록 하지는 않을 것“이라며, ”고객이 자체 인프라를 감사하는 것과 절대로 같은 수 없을 것이다. 고객은 서드파티가 검증한 것에 대한 신뢰 수준을 일정 정도 확대해야 할 것이다“라고 설명했다.

 

고객들이 클라우드 공급업체의 데이터센터로 쳐들어가 공급업체의 CISO를 다그칠 수는 없는 일이다. 하지만 CSA(Cloud Security Alliance)는 원하는 바를 얻을 수 있는 조사용 질문을 제시할 수는 있다고 말한다. CSA는 기업들이 클라우드 서비스 업체의 적합성을 평가할 때 자사의 목적에 맞춰 이용할 수 있는 질문을 개발해 왔다.

 

평가 질문서(Consensus Assessments Initiative Questionnaire)라고 불리는 이 문서는 클라우드 보안을 평가하기에 충분히 다듬어진 구조로 되어 있다. CSA는 "이 질문들은 베스트 프랙티스와 관리 등 중요 문제들을 단순화해 추출한 것으로, 기업들이 클라우드 공급업체와 관련해 필요한 평가 프로세스를 구축할 수 있도록 지원해 준다“고 설명했다.

 

반드시 물어봐야 할 주요 질문은 다음과 같다.

 

- 고객이 볼 수 있는 외부 보안 감사뿐만 아니라 내부 보안 감사와 함께 규칙적인 침투 시험을 수행하는가?

- 고객이 자체적으로 침투 시험을 할 수 있는가?

- 데이터가 사용자마다 논리적으로 분할되거나 암호화되어 고객의 데이터가 우연히 다른 고객의 데이터와 섞이지 않는가?

- 지적재산권은 어떻게 보호되는가?

- 공급업체가 각 고객마다 사용하는 물리 서버와 가상머신을 표시하는가? 그리고 데이터가 관련 법률에 따라 특정 국가에만 저장되고 다른 국가들에서는 저장되지 않는다는 사실을 보장할 수 있는가?

- 고객 데이터를 정부가 요청할 경우, 이에 대한 공급업체의 정책은?

- 고객 데이터를 보유하는 것에 관한 공급업체의 정책은? 그리고 고객의 정책에 따라 공급업체의 네트워크로부터 데이터를 제거할 수 있는가?

- 공급업체는 직원들을 훈련시키고, 이를 문서화하는가?

 

이외에 공급업체에게 물어야 할 또 다른 고려 부분으로는 사용자 액세스 권한을 감시하고 통제하는지, 그리고 양측의 책임을 포함해 보안 사고에 어떻게 대응하는가 등이 있다.

 

이 질문 목록은 앞으로도 계속 보완될 예정인데, CSA는 이에 대해 고객들에게는 서비스 공급업체를 평가할 수 있는 적절한 기준을 제공하고, 서비스 업체에게는 고객의 정당한 우려에 대응할 수 있는 관리 가능한 형식을 제공하는 것이라고 설명했다.

 

몇몇 기업은 오히려 소규모 클라우드 공급업체와 계약을 맺기도 하는데, 이는 필요한 서비스의 수준을 확실히 하기 위해 서비스 업체의 인프라와 절차에 직접적으로 관여할 수 있기 때문이다. 이런 이유로 소규모 공급업체를 선택한 미국 골프 협회의 IT 책임자인 제시카 캐롤은 “하루 정도의 시간을 들일 가치가 있다”며, "현황을 직접 눈으로 확인했기 때문에 계약상에 있는 모든 것이 실제로 존재한다는 것을 알 수 있다“고 강조했다.  editor@idg.co.kr



X