보안 / 클라우드

IDG 블로그 | SaaS를 보호하는 방법 : 클라우드의 보안 계층 이해하기

David Linthicum | InfoWorld 2018.05.09
기업용으로 사용하는 클라우드의 보안 문제를 해결하고자 한다면, 이를 여러 계층에서 생각해야 한다.

Image Credit : GettyImagesBank

- 0계층은 모든 것이 구동되는 1차 IaaS 클라우드이다. 보통 AWS나 마이크로소프트 애저, 구글 클라우드 플랫폼, IBM 클라우드 등이다.

- 1계층은 애플리케이션과 서버를 제공하는 SaaS 서비스 업체이다. SaaS는 보통 어딘가의 0계층 서비스 업체 인프라 상에서 구동되거나 SaaS도 제공하는 0계층 클라우드 서비스 업체가 제공한다. 자체 클라우드가 제공하는 애플리케이션도 바로 이 계층에도 있다.

- 2계층은 특정 애플리케이션과 그 사용자이다.

혼동하기 쉬운 것은 어떤 계층이 어디에 있는지를 이해하는 것이다. 예를 들어, 시장에는 3,000곳 이상의 SaaS 서비스 업체가 CRM부터 회계 시스템, 헬스케어 포털, 심지어 보석 보증서 관리까지 수많은 애플리케이션을 어딘가의 IaaS 클라우드 상에서 구동하고 있다. 사용자 기업은 종종 SaaS 서비스 업체가 사용하는 IaaS 0계층 서비스 업체가 어디인지 알지 못한다.

게다가 1계층에서도 SaaS 서비스 업체는 사용자를 이른바 ‘매크로테넌트(MacroTenant)로 그룹 짓는데, 이는 보통 같은 기업 고객의 같은 부서 사용자로 구성된다.

그리고 그 다음에 2계층이 있는데, 사용자는 특정 애플리케이션이나 서비스에 대한 인증서를 가지고 있으며, 컴퓨터와 브라우저, 네트워크를 사용해 서비스를 이용한다. 이 때 이들 엔드포인트는 IaaS나 SaaS 서비스 업체가 관리하지 않는다. 다시 말해 0계층은 IaaS 서비스 업체의 통제 하에 있고, 1계층은 SaaS 서비스 업체의 통제 하에 있다. 즉 2계층은 아니다.

IaaS 서비스 업체는 0계층 보안을 관리하는 데 매우 뛰어나며, SaaS 서비스 업체는 1계층 보안을 관리하는 데 뛰어나다. 물론 보안의 수준은 서비스 업체의 규모와 경험에 따라 달라진다.

언제나 보안에 허점이 생기는 것은 사용자의 2계층이다. 암호화처럼 0계층과 1계층, 2계층을 연결하는 보안 서비스는 서브시스템으로, 맞춤형으로 구축하거나 통합된 서드파티 제품을 사용한다. 문제는 너무나 자주 사용자 데이터가 암호화되지 않은 곳에 저장되어 쉽게 볼 수 있다는 것인데, 여기에는 내부 네트워크 상의 캐시도 포함된다.

데이터에는 흔히 건강 데이터나 신용카드 정보, 범죄 기록, 기타 사용자가 꺼내놓고 싶지 않은 PII(Personally Identifiable Information)가 포함된다. 경쟁 기업이 눈독을 들일만한 기업의 기밀 정보는 말할 것도 없다. 때로 0계층과 1계층 데이터보다 2계층 데이터 보안이 더 중요한 이유가 여기에 있다. 그리고 2계층 데이터의 보안은 기업 IT 부서와 1계층 SaaS 서비스 업체에 달려 있다.  editor@itworld.co.kr
 Tags 암호화 PII Saas

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.