2021.09.06

IDG 블로그 | 클라우드 보안과 아키텍처팀이 더 친해야 하는 이유

David Linthicum | InfoWorld
베스트 프랙티스와 표준에 대한 논의 없이는 컨테이너와 마이크로서비스가 클라우드 네이티브 애플리케이션의 새로운 보안 취약점이 될 것이 분명하다.

클라우드에서 애플리케이션과 데이터 침해에 대한 사후 부검을 진행해 보면, 문제는 커뮤니케이션인 것으로 드러나는 경우가 적지 않다. 주로 컴퓨터와 컴퓨터의 커뮤니케이션이 아니라 클라우드 기반 시스템을 설계하는 인간과 클라우드 보안을 책임지는 인간 간의 커뮤니케이션에 문제가 있다.
 
ⓒ Getty Images Bank

컨테이너나 쿠버네티스, 마이크로서비스 같은 현대적인 메커니즘을 사용하는 애플리케이션은 종종 이런 메커니즘 때문에 노출되는 보안 취약점을 놓치곤 한다. 필자가 즐겨 사용하는 비유는 건축가가 세계 최고의 스마트 빌딩을 설계했지만, 잠금장치를 설치하지 않은 것이다. 잠금장치는 건물을 설계할 때 만들어야 하는 것이지 사후에 추가하는 것이 아니다. 그런데 클라우드 시스템 보안 세계에서는 이런 일이 종종 발생한다.

문제의 본질은 이런 클라우드 네이티브 솔루션을 만드는 사람들이 믿고 의지할 만한 베스트 프랙티스와 표준의 부족이다. 이제서야 아키텍처팀과 보안팀이 표준과 베스트 프랙티스와 관련해 더 잘 공조할 수 있는 약간의 지침이 등장하고 있다.

대표적인 예는 클라우드 보안 연합의 애플리케이션 컨테이너 및 마이크로서비스 워킹그룹이 개발한 마이크로서비스 아키텍처 패턴(Microservices Architecture Pattern)이다. 이 지침은 애플리케이션 개발자와 아키텍트, 그리고 애플리케이션 컨테이너와 마이크로서비스 보안을 책임지는 모두에게 마이크로서비스 아키텍처 패턴을 설계하고 개발하고 배치하는 접근 방법을 제공한다.


쉽게 말해, 이 지침은 마이크로서비스를 독립적으로 운영하면서 다른 마이크로서비스와 커뮤니케이션하는 방법을 알려준다. 마이크로서비스는 최신 클라우드 기반 시스템의 공통 애플리케이션 요소로 진화했다. 물론, 애플리케이션 구성요소는 공격 벡터가 되어서는 안된다. 설계와 보안이 합쳐져야 한다.

기본 개념은 클라우드 네이티브 애플리케이션을 설계하고 구축하는 팀과 보안을 책임지는 팀이 좀 더 밀접하게 협업해야 한다는 것이다. 하지만 IT 문화에서 이런 일은 잘 일어나지 않는데, 보안팀은 마이크로서비스 같은 신기술을 도입에 허점이 있다고 느끼기 때문이다. 동시에 개발팀은 비즈니스를 지원할 수 있는 더 혁신적이고 가치 있는 클라우드 네이티브 기술을 준비해야 한다는 압박을 받는다. 사실 기업에는 이 두 가지 모두가 필요하다.
 
  • 클라우드 아키텍처팀과 클라우드 보안팀 간의 밀접한 협업 및 커뮤니케이션 문화를 만든다.
  • 아키텍처와 보안을 위한 표준과 베스트 프랙티스 사용을 권장한다
  • 클라우드 네이티브 아키텍처와 베스트 오브 브리드 보안 프랙티스 및 기술의 지속적인 개선을 촉진한다.

상당히 단순 명료한 지침이다. 물론, 이 때문에 향후 몇 년간 애플리케이션팀과 보안팀 간의 싸움이 일어날 수도 있다. 모두의 도움이 필요할 것이다. editor@itworld.co.kr


2021.09.06

IDG 블로그 | 클라우드 보안과 아키텍처팀이 더 친해야 하는 이유

David Linthicum | InfoWorld
베스트 프랙티스와 표준에 대한 논의 없이는 컨테이너와 마이크로서비스가 클라우드 네이티브 애플리케이션의 새로운 보안 취약점이 될 것이 분명하다.

클라우드에서 애플리케이션과 데이터 침해에 대한 사후 부검을 진행해 보면, 문제는 커뮤니케이션인 것으로 드러나는 경우가 적지 않다. 주로 컴퓨터와 컴퓨터의 커뮤니케이션이 아니라 클라우드 기반 시스템을 설계하는 인간과 클라우드 보안을 책임지는 인간 간의 커뮤니케이션에 문제가 있다.
 
ⓒ Getty Images Bank

컨테이너나 쿠버네티스, 마이크로서비스 같은 현대적인 메커니즘을 사용하는 애플리케이션은 종종 이런 메커니즘 때문에 노출되는 보안 취약점을 놓치곤 한다. 필자가 즐겨 사용하는 비유는 건축가가 세계 최고의 스마트 빌딩을 설계했지만, 잠금장치를 설치하지 않은 것이다. 잠금장치는 건물을 설계할 때 만들어야 하는 것이지 사후에 추가하는 것이 아니다. 그런데 클라우드 시스템 보안 세계에서는 이런 일이 종종 발생한다.

문제의 본질은 이런 클라우드 네이티브 솔루션을 만드는 사람들이 믿고 의지할 만한 베스트 프랙티스와 표준의 부족이다. 이제서야 아키텍처팀과 보안팀이 표준과 베스트 프랙티스와 관련해 더 잘 공조할 수 있는 약간의 지침이 등장하고 있다.

대표적인 예는 클라우드 보안 연합의 애플리케이션 컨테이너 및 마이크로서비스 워킹그룹이 개발한 마이크로서비스 아키텍처 패턴(Microservices Architecture Pattern)이다. 이 지침은 애플리케이션 개발자와 아키텍트, 그리고 애플리케이션 컨테이너와 마이크로서비스 보안을 책임지는 모두에게 마이크로서비스 아키텍처 패턴을 설계하고 개발하고 배치하는 접근 방법을 제공한다.


쉽게 말해, 이 지침은 마이크로서비스를 독립적으로 운영하면서 다른 마이크로서비스와 커뮤니케이션하는 방법을 알려준다. 마이크로서비스는 최신 클라우드 기반 시스템의 공통 애플리케이션 요소로 진화했다. 물론, 애플리케이션 구성요소는 공격 벡터가 되어서는 안된다. 설계와 보안이 합쳐져야 한다.

기본 개념은 클라우드 네이티브 애플리케이션을 설계하고 구축하는 팀과 보안을 책임지는 팀이 좀 더 밀접하게 협업해야 한다는 것이다. 하지만 IT 문화에서 이런 일은 잘 일어나지 않는데, 보안팀은 마이크로서비스 같은 신기술을 도입에 허점이 있다고 느끼기 때문이다. 동시에 개발팀은 비즈니스를 지원할 수 있는 더 혁신적이고 가치 있는 클라우드 네이티브 기술을 준비해야 한다는 압박을 받는다. 사실 기업에는 이 두 가지 모두가 필요하다.
 
  • 클라우드 아키텍처팀과 클라우드 보안팀 간의 밀접한 협업 및 커뮤니케이션 문화를 만든다.
  • 아키텍처와 보안을 위한 표준과 베스트 프랙티스 사용을 권장한다
  • 클라우드 네이티브 아키텍처와 베스트 오브 브리드 보안 프랙티스 및 기술의 지속적인 개선을 촉진한다.

상당히 단순 명료한 지침이다. 물론, 이 때문에 향후 몇 년간 애플리케이션팀과 보안팀 간의 싸움이 일어날 수도 있다. 모두의 도움이 필요할 것이다. editor@itworld.co.kr


X